情報漏洩は事業の存続を危うくする可能性も

企業にとって、個人情報や機密情報の漏洩のリスクに対する備えは重要な課題です。情報漏洩がいったん起こってしまうと、ビジネスパートナーからの信頼や社会的信用が大きく傷き、事業の存続を危うくすることさえあります。様々な情報漏洩事件を見ると、パソコンの置き忘れや重要ファイルの誤送信といった人為的ミスが原因となっていることも少なくありません。また、外部からの不正アクセスやウイルス感染、故意の情報持ち出しなどの内部犯行の手口は巧妙化しています。

■情報漏洩の原因 ー人的ミスや不正アクセスー

情報漏洩とは、機密情報や個人情報など企業が保有している重要データが外部に漏れてしまうことです。パソコンやタブレットといった情報端末が普及し、ネットワークがビジネスで広く利用されるようになったことで、顧客データの保存や管理がしやすくなりましたが、管理する情報の量や情報を扱う人も増え、情報漏洩するリスクが高まっています。

例えば、メールを送信するときに宛先を「BCC」とすべきところを「CC」や「TO」にしたり、添付ファイルを間違えたり、シュレッダーにかけずに重要情報を破棄するなど、基本動作のミスは少なくありません。また、機密データや顧客情報に関するデータの入ったパソコンやスマートフォンの置忘れや紛失など、「うっかりミス」も後を絶ちません。

一方、外部からの不正アクセスによる情報漏洩も手口が巧妙化しています。情報に関するアクセス権を持たない第三者が、不正に取得したIDやパスワードを使ってなりすましたり、ソフトウェアの脆弱性を悪用するほか、「マルウェア」などのウイルスに感染させることで情報を盗むなどが主な手口です。

■企業における情報漏洩対策

人為的なミスによる情報漏洩を防ぐには、管理体制や運用のルールの整備が有効です。例えば、パソコンやスマートフォンの紛失などが起こったとしても、データを暗号化していたり、ログインする際のセキュリティを強化していれば、情報漏洩のリスクを減らすことが可能です。

 また、外部からの不正アクセスによる情報漏洩を防ぐには、セキュリティの専門家と協議するなど、情報漏洩対策を整備することが重要です。マルウェアによるウイルス感染に対する備えとしては、企業の内部の人間が機密データにアクセスする際のアクセス権の設定やその時の手続きなどをしっかり定めておくことが重要になります。

従業員が悪意を持ってデータをコピーして外に持ち出したり、悪意のある第三者の不正アクセスを幇助するなどの内部不正を防ぐには、アクセス権の制限のほか、会社のフィルタリングを通らない外部へのアクセスを禁止するなど、人的・物理的の両面で不正を防ぐ方法が有効です。これらの対策の効果を上げるには、情報管理に対するマニュアルの整備や運用ルールの徹底などを通して、社員のセキュリティ意識を高めることも重要です。


■実際にあった情報漏洩の事例①

下着メーカーで2020年3月に発生した情報漏洩事案は、同社が株主宛に向けたメール配信の誤送信が原因でした。具体的には、株主優待クーポンの使用期限についてメールを配信する際に、担当者が外部向けの一斉メールの発信におけるルールを守らなかったためです。

通常、外部向けの一斉メールでは送信先間でメールアドレスを表示しない「BCC」形式で送付しますが、同社担当者はこれを誤り、「TO」形式で送信してしまったといいます。これによりアドレス共有が発生し、結果的に情報が流出してしまいました。

 この情報漏洩の事実を会社側が把握したのは、株主からの指摘によるものです。会社が調査したところ、情報漏洩した個人情報の被害は、メールアドレス210件におよびました。事後対策としては、当該メールの送信先の株主に、お詫びとメールの削除をお願いするメールを送信しました。また、再発を防止するため、情報セキュリティに関する社内教育と管理体制の強化に取り組んでいます。

■実際にあった情報漏洩の事例②

通販サイトで2019年11月に発生した「なりすまし」による不正アクセスは、外部で不正に取得されたと思われる ID(メールアドレス)・とパスワードを使って、16 回にわたって行われました。

そのうち 1 件が不正ログインされ、1人分の顧客情報(顧客番号、氏名、生年月日、性別、保有ポイント、会員ランク、自宅住所、メールマガジン登録状況)が第三者に閲覧された可能性があることが判明しました。

使われた ID(メールアドレス)・パスワードは社内からではなく、第三者が外部で不正に取得されたものといいます。会社としては不正ログインされた顧客や不正ログイン失敗IDに含まれていた顧客に対し、状況を速やかに連絡し、不正アクセスが行われた特定IP アドレスからのアクセスをブロックするなどの措置を実施しました。

これまでこの会社では、なりすまし防止対策として顧客に対しID・パスワードの管理についての注意喚起を行ってきましたが、それだけでは不十分として、今後はさらなるセキュリティレベルの向上策を検討しているといいます。

情報漏洩は被害を実感しにくいうえ、情報はコピーや流布が簡単で、一度漏洩すると回収が困難です。大きな被害が発生してからでは遅く、事前の対策をしっかり取っておくことが重要です。

サーバ不要のデータ暗号化ツール「SecureCoreSFE」

関連記事

パソコン(PC)ロック ―USBキーでセキュリティ強化

Web認証におけるセキュリティ対策

テレワーク等リモートアクセス時のVPN利用に注意

多要素認証でセキュリティ強化

二段階認証と二要素認証、そしてパスワードレス認証へ

FIDOセキュリティキーのG Suite設定手順のご紹介

第5回FIDOアライアンス東京セミナーのご案内

クレデンシャルスタッフィング攻撃とは

Google Titan Security Key

二要素認証でセキュリティ強化