情報漏えいとは?原因や警戒すべき理由、対策をわかりやすく解説
機密情報や顧客情報の漏えい事故は、一部の大企業だけでなく中小企業にも起こります。情報漏えい事故のニュースを見聞きすることが増え、自社も対策すべきだと感じている企業担当の方もいるのではないでしょうか。
情報漏えい事故がなぜ起こるのか、その危険性やセキュリティ対策を知ることで、自社の情報資産や信用を守る方策を具体的に検討できます。情報漏えい対策を前提としたシステム整備にも目を向け、内外の脅威に備えましょう。
そこでこの記事では、情報漏えいの意味や原因、警戒すべき理由や対策方法についてご紹介します。
情報漏えいとは
情報漏えいと情報流出では同じような用途で使われますが、それぞれ意味が異なります。個人情報保護法の改正により、情報漏えい事故を起こすと報告・通知が義務となりました。また、情報漏えい事故の被害は、費用損害だけでなく風評被害などの二次被害もあり得ます。
まずはこのような情報漏えいの基礎知識を見ていきましょう。
情報漏えいの意味
「情報漏えい」とは、企業・政府機関などの保管する機密情報や顧客情報が、何らかの原因で外部に漏れることを指します。情報漏えいの原因は、サイバー攻撃やヒューマンエラーなどさまざまです。
情報漏えいの類義語に「情報流出」があります。情報流出は主に「情報が自組織で管理できないところへ漏れ出た」ことを指し、情報漏えいは特に第三者へ情報が渡ったと確実視される場合に使われる表現です。流出した情報を第三者に閲覧される前に全て回収できれば、情報漏えいには当たりません。
法律改正により情報漏えいの報告・通知が義務化
2022年4月施行の改正個人情報保護法により、以前は努力義務・推奨とされていた報告・通知が義務化されました。個人情報漏えい事故が以下の条件のいずれかに当てはまる場合、個人情報保護委員会への報告と、本人への通知が必要になります。
・要配慮個人情報が含まれる場合
・不正利用されることで財産的被害を生じる恐れがある場合
・不正な目的による個人情報漏えいが発生した場合
・1,000人を超える個人情報の漏えいが発生した場合
情報漏えいの被害「費用損害」
情報漏えいが発生すると、企業には以下のような費用損害が発生します。
・調査費:情報漏えい事故の原因や規模の調査費
・再発防止費用:コンサルティング費や広告費
・機器更新費:システムの入れ替えにかかる費用
・損害賠償:訴訟費用や損害賠償金
・逸失利益:サービス停止などにより得られなくなった、本来得られた利益
情報漏えい事故の規模などによって費用損害の総額には大きな違いが生じますが、数千万円や数億円の損害となるケースも珍しくありません。
情報漏えいの被害「二次被害」
大規模な情報漏えい事故が起こると、企業がプレスリリースで自発的に事故内容を公表したり、報道機関がニュースで取り上げたりする場合もあります。
そこで起こりがちな事態が、取引先や顧客の信用の喪失や、SNSなどで情報が拡散されることによる「炎上」と風評被害です。事態を収拾できない場合、顧客離れやサービス停止といった二次被害につながり、事業継続が困難になる場合も考えられます。
情報漏えいの3つの原因
情報漏えいは主に以下3つの原因により引き起こされます。
・サイバー攻撃
・社員の不正行為
・社員の不注意
社外からのサイバー攻撃だけでなく、社内のセキュリティリスクも警戒しましょう。
サイバー攻撃
情報漏えいの原因のひとつにサイバー攻撃を挙げられます。例えば、ネットワーク盗聴や不正アクセス、メールやWebサイトなどを経由したマルウェア感染による情報漏えいです。攻撃者はソフトウェア・ネットワーク・システム構成などのセキュリティ上の弱点、つまり脆弱性を狙って情報窃取を試みます。
近年はデバイスやファイルをロック・暗号化するだけでなく、窃取した情報を暴露すると脅す「二重脅迫型ランサムウェア」の被害も増えている状況です。複数の攻撃手法を組み合わせるなどして手口は巧妙化しており、また被害額も増加傾向にあります。
社員の不正行為
社員の積極的な不正行為も情報漏えいの原因になります。例えば、顧客情報を悪用して詐欺などの犯罪行為に及んだり、退職後に情報を販売したりするケースです。
また、産業スパイによる組織的な情報窃取もあり得ます。不正を働く社員は「魔が差しただけ」とは限りません。在職中に社員が犯罪組織にスカウトされるケースの他、入社時点で情報窃取を目的とした犯罪組織の一員という事例もあるのです。
社員の不注意
社員の不注意・ヒューマンエラーにより、意図せず情報漏えいを起こしてしまうことも見受けられます。例えば、個人情報を記録した紙資料やUSBメモリの紛失・誤廃棄・置き忘れにより、管理下に置くべき情報の保存メディアを追跡できなくなってしまうケースです。個人情報を保存したPCなどが車上荒らしに遭ったという声も聞かれます。
また、メールの宛先間違いによって情報漏えいを起こしたり、ビジネスメール詐欺やフィッシングサイトの誘導に引っ掛かったりするケースも珍しくありません。
【関連記事:『情報漏えいの原因と対策とは?2021年発表の原因ランキングや最新動向も解説』】
情報漏えい被害を警戒すべき3つの理由
近年はテレワークの弱点を狙ったサイバー攻撃が増加しており、「RaaS」によるランサムウェア攻撃も拡大しています。また、国家が指揮するサイバー攻撃部隊の標的となる場合もあるため、これまでよりも抜かりのない危機管理が必要です。ここでは、情報漏えい被害を警戒すべき3つの理由を解説します。
テレワークの弱点を狙ったサイバー攻撃の増加
働き方改革やコロナ禍への対応により、テレワークを導入する企業が一般化しました。この状況下でテレワークの弱点を狙ったサイバー攻撃が増加しています。特に懸念されるのはVPN機器の脆弱性を狙ったサイバー攻撃です。
VPN機器のファームウェアをアップデートしていなかったり、セキュリティサポートの終了した古い機種を使い続けていたりすると、ランサムウェアなど危険なマルウェアの感染経路に悪用される恐れがあります。
【関連記事:『テレワークにはセキュリティ対策が必須!リスク回避に効果的なシステム整備を構築しよう』】
「RaaS」によるランサムウェア攻撃の拡大
ランサムウェアは企業にとって最も警戒すべきマルウェアとして知られています。ランサムウェア攻撃の手口は多様化・巧妙化を続けており、近年は「RaaS(Ransomware as a Service)」と呼ばれるビジネスモデルも台頭している状況です。
RaaSとは、ランサムウェア攻撃の手法・ツールをパッケージ化し、サービスとして販売するビジネスモデルを指します。RaaSはいわゆるダークウェブ上で取り引きされるものも多く、ランサムウェア攻撃は悪意と資金さえあれば誰でも実行できるのが現状です。
情報漏えい事故を起こすと社内セキュリティの脆弱性が露呈し、標的型攻撃の対象になりやすくなる恐れもあります。
国家が指揮するサイバー攻撃部隊の標的となる場合も
サイバー攻撃は国家ぐるみで実行されることもあります。例えば、中国・ロシアなどのサイバー攻撃部隊に独自技術の機密情報を窃取され、軍事転用されたり関係諸国へ売却されたりするケースです。北朝鮮のIT技術者が身分を偽り、国内企業のシステム開発に携わろうとした事例もあります。
ウクライナ侵攻の影響もあって国家ぐるみのサイバー攻撃は活発化しており、組織化された強力なサイバー攻撃を受けるリスクが高まっている状況です。
情報漏えい被害の対策方法5選
情報漏えい被害の対策方法として、基本となるのは以下の5点です。
・通信の秘匿
・通信データ・保存データの暗号化
・MFA(多要素認証)
・「3-2-1ルール」によるバックアップ
・ファイル共有にメールを使わない
セキュリティ上の弱点を残してしまうと情報漏えい被害は防げないため、複合的なセキュリティ対策が求められます。
通信の秘匿
通信の秘匿は基本的な情報漏えい対策のひとつです。サイバー攻撃はインターネットなどのネットワークを経由して実行されるため、外部から通信内容を傍受できない仕組みを取り入れます。
テレワーク環境ではVPNの導入が一般的ですが、VPN機器の脆弱性を狙った攻撃も多いことは懸念点です。携帯電話網などの閉域網を活用した通信サービスなら、通信の事実自体を秘匿できます。インターネットを経由しないことで、よりセキュリティレベルを高められる対策方法です。
【関連記事:『VPNのメリット・デメリットはどんなものがある?各利用シーンから解説』】
通信データ・保存データの暗号化
通信データや保存データの暗号化も情報漏えい対策の基本といえます。現在強力な暗号化方式として信頼性が高いのは「AES256ビット暗号化」、インターネット通信の暗号化プロトコルとして推奨されるのは「TLS 1.2」です。
AES256ビット暗号化やTLS 1.2によってデータを暗号化することで、情報流出しても実質的に元データを読み取り不可にできます。
アプリやサービスによっては通信データ・保存データの暗号化強度が低く、またTLS 1.2をサポートしていない場合もあるため、アプリ・サービスを選ぶ際は暗号化の仕組みを重視しましょう。
MFA(多要素認証)
「MFA(多要素認証)」を取り入れることも情報漏えい対策に効果的です。多要素認証とは、2種類以上の認証方法を組み合わせ、アプリ・サービスの安全性を高めることを指します。実用上は、2種類の認証方法を組み合わせた「二要素認証」の採用が一般的です。例えば、ID・パスワードによる認証と、携帯電話番号の認証を組み合わせます。
これにより攻撃者が窃取したID・パスワードなど、1セットの認証情報による不正アクセスを防止し、あらかじめ決められた社員でなければアプリ・サービスを利用できない仕組みを構築可能です。
「3-2-1ルール」によるバックアップ
ランサムウェアの脅威が高まる中、データにアクセスできなくなる事態に備え、バックアップは必須です。バックアップは以下の「3-2-1ルール」を基準にすることが推奨されます。
・3:元ファイルの他に2つ以上のコピーファイルを作成
・2:2種類以上の異なるメディアでバックアップデータを保存
・1:少なくともひとつのバックアップデータの保存場所は異なるネットワーク内かオフラインに
加えてバックアップデータを書き換え不可にすることや、バックアップから確実に復元できることも求められます。
ファイル共有にメールを使わない
ファイル共有にメールを使わないこともポイントです。メールは宛先間違いが情報漏えいに直結するなど、セキュリティリスクが高く、ファイル共有には推奨されません。
パスワード付きZipファイルとパスワードを別々のメールで送る「PPAP」は、情報漏えいリスクの高さから、政府は全面禁止の方向です。企業も続々とPPAPを禁止しています。
また、メールはビジネスメール詐欺などサイバー攻撃にも悪用されます。メールからの脱却は重要です。代替方法として、多くの企業はクラウドストレージによるファイル共有に移行しています。
【関連記事:『PPAPを政府・企業が禁止する理由とは?セキュリティリスクや代替案を解説』】
情報漏えい対策のシステム整備はイッツコム!
情報漏えい被害を防ぐには複合的なセキュリティ対策が求められますが、ゼロから万全の体制を整えるのは困難です。イッツコムなら、「Box」と「モバイル閉域接続」という2種類のサービスにより、シンプルな構成で万全の保護システムを提供できます。
データ管理とファイル共有のベストソリューション「Box」
データ管理・ファイル共有における情報漏えい対策は必須ですが、自社運用のファイルサーバを完全に保護するには高額なセキュリティ対策費がかかります。またランサムウェアの感染拡大によるデータの全滅を防ぐために、バックアップデータの分散管理も重要です。
これらの課題は、世界最高峰のセキュリティレベルを誇るクラウドストレージ「Box」を活用すれば解決できます。Boxの全ての有料プランは容量無制限です。7種類のアクセス権限設定や二要素認証、AES256やTLS 1.2による強力な暗号化に標準対応し、あらゆるファイルを安全に保存・共有できます。
Box上の全てのファイルは保存時に暗号化されており、ランサムウェアの実行環境がないため、感染拡大も起こりません。50世代以上のバージョンを自動保存にも対応し、同期したオフラインファイルがランサムウェアに感染しても、簡単に感染前の状態に復元できます。さらに、オプションで「Box Shield」を活用すれば、AIによって未知の脅威もほぼリアルタイムで封じ込めるのもポイントです。
また共有リンクによる社内外ユーザーへの安全なファイル共有や、オンライン共同編集にも対応するため、セキュリティリスクの高いメール添付によるファイル共有は必要ありません。ファイルの保存・編集・共有はBox上で安全に完結できます。
VPNの弱点を払拭する通信サービス「モバイル閉域接続」
VPNは社内LANへの安全なアクセスに重宝されますが、ID・パスワードの窃取やVPN機器がランサムウェアの感染経路として悪用されるなど、セキュリティリスクもあります。
そこで導入したいのが、法人データSIMと閉域網接続を組み合わせた「モバイル閉域接続」です。デバイスに挿入した専用SIMで認証するため、ID・パスワードの流出は起こりません。社内LANへの通信経路はNTTドコモ網・イッツコム網による閉域網で、インターネットを経由しないため、攻撃者は通信の事実すら知り得ないのもポイントです。
インターネット接続の際も社内LANを経由し、通信ログも取得できるため、社内セキュリティポリシーの標準化にも役立ちます。
まとめ
情報漏えい事故は億単位の費用損害に加えて風評被害などを招く場合があります。事業継続性を担保するには、サイバー空間でデータを完全にコントロールできる、複合的なセキュリティ対策が必要です。
イッツコムが提供する「Box」と「モバイル閉域接続」を組み合わせれば、コストを抑えて万全の保護システムを構築できます。資産を強力に保護する情報漏えい対策をお求めなら、シンプルなシステム構成でデータ保護を完結できるイッツコムにご相談ください。