1. コラム
  2. コラム
  3. 情報セキュリティ対策の甘さが引き起こした重大な被害と今やるべき行動とは

情報セキュリティ対策の甘さが引き起こした重大な被害と今やるべき行動とは

情報セキュリティ対策が十分に講じられていない場合、脅威による被害を受ける可能性があります。セキュリティシステムは複雑なものであるため「実際に自社の対策が十分にできているのかわからない」と不安に感じている方もいるのではないでしょうか。

そこでこの記事では、セキュリティ対策の脅威に関する基本的な概念と被害事例を詳しく解説します。対策を講じても不正アクセスにつながるリスクはあるため、少しでも被害を低減できるよう注意点・防止策もおさえておくことが大切です。被害事例や注意点を知ることで、情報セキュリティ対策の重要さを理解できるでしょう。

情報セキュリティ対策の甘さをねらう脅威の種類

情報セキュリティ対策の甘さをねらう脅威の種類
情報セキュリティに対する脅威は、主に3つの種類に分けられます。意図的脅威・偶発的脅威・環境的脅威です。言葉だけではわかりにくいかもしれませんが、それぞれに異なる侵入経路や警戒ポイントがあります。対策を講じる前にこれらの特徴を知ることが重要です。情報セキュリティにおける3種類の脅威について解説します。

意図的脅威

意図的脅威は、人為的な要因によって行われる脅威です。「意図的」という言葉のとおり、何者かが故意にセキュリティを侵害します。管理下にある情報を盗んだり、ウイルスに感染させて操作できない状態にしたりといった目的をもつケースがほとんどです。

「個人情報を売ってお金を得る」「クレジットカード情報を引き出して不正利用する」などの手法も意図的脅威にあたります。意図的脅威を防ぐためには、外部からの人為的な攻撃に対する防止策を練らなければなりません。

情報セキュリティのなかでも代表的な脅威である点を理解しておきましょう。情報の内容にかかわらず、遭遇する可能性が高い脅威ともいえます。万が一侵害された事実が発覚した場合は、早急に経路を把握して遮断・利用停止などの対応が必要です。

偶発的脅威

セキュリティ侵害を目的に攻撃をする意図的脅威に対し、操作や設定の間違いから情報システムに悪影響をおよぼすのが偶発的脅威です。従業員が知らぬ間にウイルス感染を引き起こしたり、設定内容を変更して情報が漏れたりといったケースが偶発的脅威にあたります。

人為的な操作ミスのほか、情報セキュリティに関係する機器の故障によるトラブルも偶発的脅威のひとつです。このような事態を防ぐために、従業員にリスクを把握してもらう機会を設け、機器の定期検査などで対策を講じます。

環境的脅威

環境的脅威は、人の意思に関係なく引き起こされる脅威です。停電・火事といったトラブルや地震のような自然災害が要因となります。人為的脅威に比べて発生する可能性が低いといえるでしょう。

ただし、一度脅威に侵されると被害が拡大しやすい点に注意しなければなりません。操作不能に陥ったあと普及まで時間を要する場合、環境的脅威が原因で人為的脅威に発展するリスクもあります。発生率は低いものの、万が一の事態を想定して可能な限り被害を縮小できるよう対策することが大切です。

IPAが公開した2020情報セキュリティ10大脅威

IPA(情報処理推進機構)は、2020年1月29日に情報セキュリティの10大脅威を発表しました。社会的に甚大な被害をおよぼした事例から脅威候補をあげ、1位から10位まで順位化したものです。以下はIPAが公開する内容をもとに5位までまとめています。

順位組織における脅威と被害2019年の順位
1位標準的攻撃による機密情報の窃取1位
2位内部不正による情報漏洩5位
3位ビジネスメール詐欺による金銭被害2位
4位サプライチェーンの弱点を悪用した攻撃4位
5位ランサムウェアによる被害3位

2019年から連続で1位にランクインしているのは、明確な目的をもって脅威をおよぼした事例です。前回5位となっていた内部不正は2位になっており、従業員や管理者による意図的脅威が増加傾向にあるといえます。また、6位以降には不注意を原因とする情報漏洩や、機器の障害による停止もランクインしました。

(参考;『情報セキュリティ10大脅威 2020』

中小企業の被害事例

中小企業の被害事例
情報セキュリティ脅威による被害は、どのような企業でも遭遇する可能性があります。セキュリティ対策を講じていても、リスクがゼロとはいえないと理解しなければなりません。些細なミスが原因で情報漏洩に発展することもあるでしょう。ここからは、実際に甚大な被害におよんだ中小企業の事例を5つご紹介します。

不正アクセスによるカード情報不正取得

2018年、約18万件の個人情報が流出した事例です。クレジットカード情報の被害件数は合計2,481件にのぼるといわれています。クレジットカード会社からS社に「情報を不正利用されているかもしれない」と報告があったあと調査が開始されました。

Webサイトのサーバへ不正にアクセスし、プログラムを改ざんして情報を取得した意図的脅威です。プログラム改ざんに加え、データベースへの不正アクセスによって膨大な数の個人情報が流出する結果となりました。

Webサイトに対する脅威であるため、購入履歴だけではなく問い合わせフォームの入力情報も流出した可能性が高いといわれています。情報セキュリティ対策は講じていたものの、脆弱性を悪用された事例といえるでしょう。

不正アクセスによる顧客情報の流出

意図的脅威の事例としてあげられる機会が多いのは、不正アクセスで顧客情報が流出するトラブルです。セキュリティ面の弱点を見つけて穴に入り込むようなイメージで、守られているはずの情報を狙って侵入します。

顧客の情報数が多いほど狙われるリスクも高いと考えたほうがよいでしょう。脆弱性が見つかって不正侵入できると、個人情報・クレジットカード情報など多くのデータが手に入るためです。

情報を引き出すだけではなく、ウイルスを利用して操作不能な状態にするケースもあります。企業は顧客情報を守るためにさまざまなセキュリティ対策を講じますが、セキュリティシステムのすべてに弱点がないわけではありません。万が一の事態に備えてあらゆる経路を把握することが大切です。

洋菓子店の通販サイトに不正アクセス|顧客情報が流出

通信販売で洋菓子を売る企業が、不正アクセスによる個人情報流出を公表しました。会員登録を行った顧客のメールアドレスやパスワードといった情報が漏洩した意図的脅威の事例です。引き出した情報は海外のWebサイトで公開されていたことも判明しました。

別の事例では、同じく洋菓子の通販サイトからクレジットカード情報が流出したケースもあります。プログラムを改ざんして虚偽の決済画面を作成し、顧客が入力した情報を引き出す手法です。

いずれの事例も、セキュリティ対策の脆弱性を利用した意図的脅威といえるでしょう。流出したクレジットカードの不正利用によって、二次被害を拡大させるリスクもあります。このような不正アクセスが原因の脅威は、対策を講じているにもかかわらず企業へのイメージダウンにつながる可能性も把握しなければなりません。

サーバ内のファイルがランサムウェア感染し暗号化被害

インターネット関連のウイルスにも複数の種類がありますが、なかでも被害数の多い傾向にあるのはランサムウェアが原因のトラブルです。ランサムウェアに感染すると、パソコンに保存している情報が暗号化されます。

暗号化された情報を復元するのは容易ではありません。ファイル自体をロックされた場合は、これまでのように開いて閲覧することも不可能になります。ランサムウェアで注意したいのは、企業全体に被害を拡大させる可能性がある点です。

たとえば、オフィス内にある1台のパソコンが感染すると、ネットワークを共有する機器にも感染するリスクがあります。場合によっては企業全体の業務を停止させるかもしれません。ロックされた状態から復元するために、ランサム(身代金)を要求するケースがある点もランサムウェアの特徴です。

人材派遣会社のサイトに不正アクセス|個人情報漏洩の恐れ

近年では、オンラインから個人情報が登録できる人材派遣サービスも増加しています。情報セキュリティ対策にも万全な体制がとられますが、2019年7月に意図的脅威による不正アクセスが発覚しました。Webサイトの運営会社から報告を受けて発覚した事例です。公表の時点で個人情報漏洩は確認されていません。

人材派遣を担う企業であるため、氏名・住所・年齢といった膨大な個人情報を保有しています。一部の登録者は学歴や銀行情報の流出も懸念されていました。2020年2月現在でも漏洩は確認されていませんが、情報が引き出された事態を想定すると甚大な被害に発展していた事例といえるでしょう。

情報セキュリティ対策の落とし穴

情報セキュリティ対策の落とし穴
情報セキュリティに関する取り組みは、多くの方が可視化できていないシステムでもあります。目に見えない対策には関心を寄せにくく、情報漏洩や不正アクセスのリスクを高める要因にもなっているでしょう。システムの更新頻度や事業との相性にも注意が必要です。情報セキュリティ対策を行う際に把握しておきたい落とし穴を3つご紹介します。

セキュリティ対策への希薄な関心度

企業の規模が大きいほど高性能なセキュリティ対策を講じなければなりません。しかし「セキュリティ対策自体に関心がない」と感じている方もいるでしょう。セキュリティ関連の情報管理にかかわらない従業員は、とくに関心度が希薄になりやすいといえます。

従業員・管理職を問わず、セキュリティ対策への関心度はシステムの脆弱性につながる要素です。本来であれば注視できるような部分も、関心度が低ければ見逃す可能性が高まります。情報を守るためには、守る側の意識を高めることが大切です。

セキュリティ対策に関する教育を強化することで、偶発的脅威のリスクを軽減できます。実際に脅威をおよぼした事例を共有すると危機感も高まるでしょう。正確な知識を得て、セキュリティ対策への理解を深めるのも重要な取り組みです。

対策ソフトやシステムの更新頻度

セキュリティ対策に用いられるソフトウェアには利用期限があります。期限が切れた状態で機器を使い続けるということは、守りたい情報を第三者に晒している状態です。古いシステムでは不正アクセスを招き入れる結果になるため、更新状況のチェックはこまめに行わなければなりません。

意図的脅威による個人からの攻撃だけではなく、ランサムウェアのような無作為に感染する脅威は回避できないと考えたほうがよいでしょう。

情報量や項目が多いほど狙われる可能性も高くなります。期限を把握するだけでは侵入に気付かないかもしれません。期限を把握したうえで、不正アクセスがないかチェックしましょう。状況確認はセキュリティ対策の重要な要素です。

セキュリティ対策が事業規模にあっていない

ネットワークの数や使用機器の多さが変わると、適切なセキュリティ対策の環境も異なります。たとえば、事業規模の拡大によってサーバを2倍に増強した場合、侵入経路も2倍になることを考慮しておきましょう。

2倍になった侵入経路を安全に保つためには、セキュリティ対策も2倍の性能を発揮しなければなりません。実際にはこのように単純な考え方ではありませんが、規模が大きいほどセキュリティ対策を拡大する必要性も増します。

事業規模に対してセキュリティ対策が十分でない場合、脆弱性を高めて不正アクセスの道を晒す結果につながりかねません。「どのような対策を講じればよいかわからない」という方は、専門知識をもった業者に相談できると安心です。

被害にあわないための3か条

被害にあわないための3か条
セキュリティ侵害のような被害を避けるためには、自社がどのようなセキュリティ対策を行っているか把握しなければなりません。事業規模や売上推移も定期的にチェックし、対策の内容が不十分でないか確かめましょう。専門会社への診断依頼もおすすめです。ここからは、被害にあわないために実践できる3つのポイントをご紹介します。

自社のセキュリティ対策を把握する

まずは、企業全体で「現在どのようなセキュリティ対策を講じているか」を共有しましょう。リスクについて理解するだけではトラブルを避けられません。トラブルに発展するリスクと、実際に行っている対策をあわせて把握することが大切です。

管理職や情報管理にかかわる人材だけではなく、従業員全体で共有できるとより高い効果を期待できます。些細なミスが原因で漏洩するリスクに理解を深めることで、偶発的脅威を回避する結果にもつながるでしょう。

自社の事業規模や売上推移を把握する

セキュリティ対策と事業規模は重要な関係性にあります。「セキュリティ対策に脆弱性があるかどうか」という視点だけではなく「事業規模にあった対策ができているのか」を重視しましょう。顧客数が増加して規模拡大が見込まれるのであれば、セキュリティ対策の強化も検討しなければなりません。

売上の推移も同様に重要な要素です。今後さらに売上向上を目指している状況にある場合は、規模拡大に向けて対策を考えはじめたほうがよいでしょう。

情報セキュリティの専門会社に診断を依頼する

情報セキュリティに関する取り扱いは慎重に進めなければなりません。セキュリティ対策の能力が高まると同時に、脅威も日々進化しているためです。導入当時は最新のシステムでも、数年後には脆弱性が発覚して不正アクセスにつながる可能性があります。

セキュリティ対策の知識が乏しい方にとって、脅威を防止することは困難でしょう。安心できる状態を持続するためにはプロに任せるのもひとつの方法です。対策状況を診断してもらい、改善したほうがよいシステムのアドバイスを求めましょう。

最善の情報セキュリティ対策は一元化

情報セキュリティ対策への信頼性を高めるには、システムを一元化して管理するのがおすすめです。イッツコムでは法人向けサービス「box」を展開しています。

コンテンツの管理・共有・アクセスを同サービス内で行えるため、セキュリティ強化に加えて生産性向上につなげることも可能です。編集内容もクラウド上で共有し、書類を印刷したりメールで送受信したりといった手間も必要ありません。モバイル閉域接続を併用することで、さらなるセキュリティ対策強化が期待できます。

まとめ

まとめ
情報セキュリティ対策に脆弱性がある場合、外部からの侵入によって情報が漏洩するかもしれません。とくに意図的脅威が原因の被害事例が多いため、保有する情報量が多いほど注意しておきたい部分といえるでしょう。

セキュリティ対策を強化すると同時に、従業員の関心度を高めたうえで事業規模に合ったシステムを見極めることも大切です。対策について不安がある方や理解を深めたい方は、イッツコムへご相談ください。