企業における情報漏えい対策-入門編(1/6)
~話題の「標的型攻撃」以外にもある情報漏えいの経路~

Security Privacy Policy Protection Secrecy Concept

このところ、情報漏えい事件が大きく取り上げられる機会が増え、マイナンバー制度の導入にあたりリスク管理への意識が高まってきています。企業においても情報マネジメントが経営にダイレクトに影響することがわかってきたためセキュリティ導入を進める姿勢が強くなっていますが、そのためにはどのようなリスクが存在するのか、まずは敵を知ることが重要です。今回から企業における情報漏えい対策についてシリーズ(全6回の予定)でお届けしていきます。

話題の「標的型攻撃」だけではない!情報漏えいの原因

日本年金機構が標的型攻撃を受け、約125万件に上る大量の個人情報が外部に流出してしまった事件をきっかけに、「情報漏えいをいかに防ぐか」があらためて課題として浮上しています。

この事件では、数度に渡って送りつけられた電子メールの添付ファイルを開いたことがきっかけで組織内のPCが悪意あるソフトウェアに感染。そこからさらに機構内の複数の端末に感染が広まり、個人情報が流出してしまいました。流出した個人情報の量もさることながら、私たち一人一人に関わってくる年金に関する情報であったことから、社会的にもこれまでにない大きなインパクトを与える事件となりました。この件を機に、「標的型攻撃のような怪しいメールが届いていないか」「社内ネットワークから外部に対し、漏えいにつながるような不審な通信が行われていないか」といった事柄を緊急点検した企業や組織も少なくないのではないでしょうか。

しかしよくよく考えてみると、個人情報の漏えいが話題になったのはこれが初めてのことではありません。しかもその原因はさまざまです。

例えば、ちょうど1年前にも、同じようにメディアを大きく騒がせた事件がありました。覚えている方もいらっしゃるでしょう。そう、ベネッセコーポレーションからの顧客情報流出事件です。この事件の原因は、今話題になっている外部からの攻撃ではなく、データベースの運用業務を委託していた業者の派遣社員が情報を持ち出すという内部犯行によるものでした。この結果、約2070万件に上る顧客情報が流出し、一部はダイレクトメールの送付に利用されたことが明らかになっています。最終的には、取締役2名が引責辞任するという形で、ベネッセには経営責任が問われることになりました。

もっともっとさかのぼってみましょう。2013年7月には、クラウドサービス「Googleグループ」を利用していた官公庁や企業の情報が、意図せず外部に公開される状態になっていたことが指摘され、これまた話題になりました。デフォルト設定のままでは情報が一般に公開される状態になっていることに気付かず、設定を適切に変更せずに運用していたことが原因です。故意ではなかったにせよ、外交交渉に関する報告や患者の個人情報なども含む非常にセンシティブな情報が閲覧可能な状態となっていました。

古くからインターネットをお使いの方であれば、「Winny」や「Share」といった単語に聞き覚えがあるのではないでしょうか。これらは画像や動画などの共有が可能なソフトウェアで、非常に多くのユーザーがありました。そして、これらソフトウェアの仕組みを悪用したウイルス、通称「Antinny」によって、PC内に保存された個人情報や業務に関する情報、デスクトップの画像などがP2Pネットワークに流出、流通する事件が相次いだ時期がありました。

ここまでは主に外部要因に起因するものばかりですが、自らを疑わなくてはならないケースもあります。日本ネットワークセキュリティ協会(JNSA)調査結果を見ると、情報漏えいの原因として多数を占めるのは、実はうっかりミスや端末の紛失・盗難です。自宅で作業するつもりで手にしたPCをついつい飲み会に持っていってしまい、鞄ごとどこかに置き忘れてしまう、というケースも枚挙にいとまがありません。他にも、公開Webサイトの脆弱性を突いて顧客情報をデータベースから抜き出されるなど、情報漏えいにつながるリスクは外にも内にもあるのです。

 

JNSA

変わる手口、変わらないターゲット

このように一口に情報漏えいといっても、その原因は多種多様であることをお分かりいただけたでしょうか。ここで強調したいのは、個々の問題についてではありません。私たちが使うテクノロジーや環境の変化にともなって、漏えい経路もまた変わりゆくということをお伝えしたいのです。私たちにとって便利で、仕事を能率よく進めてくれるソフトウェアやクラウドサービス、データベース、電子メール……それらはまた、漏えいの口となり得ることをぜひご理解いただきたいと思います。

原因は多種多様

では、その変化する手口に対し、どうすれば漏えいを防げるのでしょうか?

ここで考えていただきたいのは、手口は変わっても、狙われる対象は変わらないということです。業務に関する機密情報であったり、営業秘密だったり、顧客情報だったり……いずれにせよ、自社、自組織にとって重要であり、外部から見ても価値があると思われる情報がターゲットになります。ですから、「何がターゲットになり得るか」「何を守りたいのか」を明確にし、その情報につながる手段を洗い出し、それぞれに対策を考えるというアプローチが必要となります。その中から、危険度の高いリスクをつぶし、また手間をかけずに実行可能な対策から着手していくことで、少しずつレベルアップしていくことが大切です。

 

最後にもう一つ、ついつい私たちが陥りがちな考え方に注意を呼び掛けたいと思います。セキュリティに関しては、「この対策をとったからもう大丈夫だろう」と考えがちです。例えば、アンチウイルスを導入したから、ファイアウォールがあるから大丈夫……と思いたいところですが、先に申し上げた通り、手口は常に変わります。しかも、外部からの攻撃の中には、私たちが講じた防御策を読んで、それをかいくぐる新たな手法を探し出し、情報を盗み取ろうと画策するものもあります。ですから、一度対策を講じたからといって安心するのではなく、定期的に、ITの使われ方とともに見直しをしていくことが肝心です。

おそらく今後も、新しいソフトウェア、新しいサービス、新しいデバイスが登場してくることでしょう。そうした技術を使いこなすとともに、どのようなリスクが生まれる可能性があるかを考慮に入れることが、情報漏えいに向き合う上で不可欠な姿勢となります。

次回では、「標的型攻撃」とその対策についてお話します。

 

第2回:入門編(2/6)~まずは「標的型攻撃」とその対策を理解しよう~

第3回:入門編(3/6)~覚えていますか? 大手通信教育会社の流出事件 権限を持つ「人」が原因、アカウント管理と監視の徹底を~

 

編集:ビジネスon IT運営事務局(セキュリティ班)

 

メールマガジンを購読する

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン