情報漏洩の原因とその対策

最近情報漏洩のニュースが多く聞かれます。情報漏洩はどの企業でも起こりうる事であり、一度起こしてしまうと大きな被害を被る事があります。
IBMによれば、日本企業が情報漏えいした際に被る平均損失額は、なんと１件当たり「約4億5千万円」に達します。

出所：情報漏えい時に発生するコストに関する調査

情報漏洩の原因は多様であり、内訳は以下の様になっています。

出所：2018年 情報セキュリティインシデントに関する調査報告書

また近年は、ランサムウェアと呼ばれるコンピューターウイルスによる身代金被害が拡大しています。
ある米保険会社では、身代金として「約44億円」支払ったと関係者が明かしています。

情報漏洩はセキュリティ体制の「隙間」から発生します。
情報漏洩対策においては「漏れなく」対策していく事が必要不可欠です。

本記事では、情報漏洩の

1.リスク

2.原因

3.対策

以上、３章構成を通して「網羅的」に対策方法を解説します。

リスク

まずは、そもそも情報漏洩が起きると、どのようなリスクが発生するのか網羅的に見ていきます。
情報漏洩によって発生するリスクは、大きく分けて２つあります。
それは「実害」と「信用低下」です。それぞれ詳しく解説します。

図１ 情報漏洩が起きた際に生じるリスクの分類

実害

実害とは、「短期的・直接的」な損害を指します。
実害には以下の3つがあります。

1.機密情報の悪用

クレジットカード情報やクラウドサービスのアカウント情報が漏洩すると、悪意のある第三者から金銭的被害を被る恐れがあります。

2.損害賠償

関係先の機密情報を漏洩させてしまうと、損害賠償を求められる場合があります。

3.機会損失

情報漏洩が起こってしまうと原因究明をする必要が出てきます。
場合によっては、原因究明を実施している期間は、自社サービスを完全に停止しなければならず、その間に生まれるはずだった利益は失われてしまいます。
また、原因によっては新たに対策を講じる必要があり、そこにもリソースが割かれる事もあります。

信用低下

信用低下は「長期的・間接的」に経営を傾ける要因になります。
信用低下による間接的被害には、以下の3つが考えられます。

1.取引停止

信用低下によって企業間の取引停止に至る場合があります。どの企業にとっても、情報漏洩を起こしてしまうような企業と付き合う事はリスクになります。信用が無くなれば、倒産に至るのは想像に難くありません。

2.公的処罰

事業免許の取消・停止、行政指導による業務停止等の公的な処罰を受ける場合があります。

3.株価下落

上場企業であれば、情報漏洩を起こした事が公になる事で株価の下落が起こりえます。

参考：情報セキュリティ事故が与える企業への影響

以上の様に、情報漏洩を起こしてしまうと、大きな被害を被りかねません。
以下に続く、原因と対策を見て、情報漏洩を防ぎましょう。

原因

次に情報漏洩がなぜ起こるのか、その原因を網羅的に見ていきます。

図２ 情報漏洩の原因分類

情報漏洩の原因は大きく２つに分けられます。
それは「内部不正」と「外部不正」です。それぞれ詳しく解説します。

外部不正

外部不正とは、外部からの「サイバー攻撃」や「物理的な侵入」によって、企業の機密情報を持ち出したり、システムや人に対して攻撃をする事です。外部不正は当然ながら悪意のある行為であり、もし外部不正が起きた場合、大きな損害を被る恐れがあります。

外部不正の代表的な行為を２つ紹介します。

1.不正アクセス

不正アクセスとは、悪意のある第三者が企業のサーバーやネットワークに不正にアクセスし、機密情報を盗み出す事を指します。
技術は日進月歩であるため、随時リスクの把握や対策の見直しをしていく必要があります。

2.盗難

盗難とは、第三者によってオフィス等から情報記録媒体(書類、パソコン、USB等)と共に機密情報が盗まれる事を指します。
関係者以外がオフィスに入る事ができないように、物理的な対策をする事が重要になります。

内部不正

内部不正とは、企業の社員や関係者が情報漏洩を起こしてしまう事を指します。

内部不正にも２種類あります。「意図した内部不正」と「意図しない内部不正」です。

意図した内部不正

意図した内部不正とは、社員や関係者が意図的に情報漏洩を起こす事を指します。
社内の人間だからといって、どのデータにも、どの場所にもアクセスする権限を与えてしまうと、意図した内部不正の発生確率が上がってしまいます。

意図した内部不正の代表的な行為をご紹介します。

内部犯罪

意図した内部不正の代表的な行為として、「内部犯罪」があります。内部犯罪とは、内部の人間が機密情報を悪用するために不正に持ち出す事を指します。
関係者であるからと言って、性善説の態度でいると、セキュリティリスクに晒されかねません。

意図しない内部不正

意図しない内部不正とは、社員が意図せず情報漏洩を起こしてしまう事を指します。
大したリスクがあるように思えない方もいると思いますが、実は情報漏洩の原因として最も大きな割合を占めています。

意図しない内部不正の代表的な行為を３つご紹介します。

1.紛失・置忘れ

紛失・置忘れとは、社外で業務を実施するために、機密情報が格納されたパソコンや電子媒体を社外に持ち出し、その際に紛失・置忘れてしまう事を指します。
社外に機密情報が格納された媒体を持ち出す際のルールが曖昧だったり、ルールを守る意識が欠如していると発生する確率が高くなります。

2.誤操作

誤操作の具体例として、メールやFAXの誤送信がそれに該当します。
宛先、内容、添付ファイルを間違えるなどが要因となって、情報が漏洩してしまいます。

3.管理ミス

管理ミスと言われてもあまりイメージが湧かないと思います。日本ネットワークセキュリティ協会は管理ミスの具体例として以下の事を挙げています。

• 引越し後に個人情報の行方がわからなくなった。
• 個人情報の受け渡し確認が不十分で、受け取ったはずの個人情報が紛失した。
• 情報の公開、管理ルールが明確化されておらず、誤って開示してしまった。

つまり、機密情報に関する、作業手順や管理ルールが曖昧だったり、それらを守れていない場合に発生する可能性が高くなります。

出所：情報漏洩の原因　～漏えいに対する具体的事例と判断基準とその対応のソリューション～

対策

以上、情報漏洩の原因を網羅的に解説しました。
ここからは、それぞれの原因(外部不正・意図した内部不正・意図しない内部不正)に対応した対策方法をご紹介します。

対策方法は種々様々あります。
漏れなく対策するためにも、「対策方法の観点」を整理しましょう。
整理するに当たって、「対策の機能」と「対策の手法」を確認していきます。

「対策の機能」
「防止・検出・対応」の３つがあります。

1.防止
セキュリティリスクへの対策と聞いて、多くの方が想像されるのは「防護壁を強化し、いかに情報漏洩を起こさないか」つまり「防止」だと思います。
もちろんそれが最も重要な事ではありますが、必要な観点はそれだけではありません。

2.検出
もし情報漏洩が起きてしまった際、二次被害を最小限にするため、素早く「検出」しなければなりません。

3.対応
同じく二次被害を最小限にするため、素早く「対応」する必要があります。

「対策の手法」
「技術的対策・物理的対策・人的対策」の３つがあります。

1.技術的対策
ハード・ソフトウェアを用いたセキュリティリスクへの対策の事を指します。

2.物理的対策
入退室管理や監視カメラを用いたセキュリティリスクへの対策の事を指します。

3.人的対策
社内ルールの作成や社内ルールの教育・徹底によりヒューマンエラーを減らす事を指します。

以上で述べた「対策の機能」「対策の手法」に該当する具体的な一例を、以下の表にまとめました。

図３　対策方法の観点

参考：情報セキュリティ対策は、3つの種類（技術、物理、人）と3つの機能（防止、検出、対応）の組み合わせで考えるべし

これらの観点を意識し、それぞれの原因(外部不正・意図した内部不正・意図しない内部不正)に対して漏れなく対策する事が重要です。

また、原因ごとに有効な対策方法は異なります。
それぞれの原因に対して、有効な手法をまとめました。

図４ 各原因に有効な対策手法

次の章で詳しく解説していきます。

外部不正

外部不正に対して有効な対策の観点は「技術的対策 」と「物理的対策」です。

具体的な対策を見ていきましょう。

1.セキュリティソフトの導入

現在、様々なセキュリティソフトが市場にあり、自社が必要なソフトを正しく選ぶことが重要です。具体的な対策として以下があります。

• ウイルス対策ソフトを導入する。
• ファイアウォールを設置する。
• 侵入検知システムを導入する。

しかし、セキュリティソフトは1度導入すれば、ずっと安全というものではありません。脆弱性を減らすため、定期的なアップデートが必要です。

2.OS・アプリケーション・システム等のアップデート

既に使用しているOS・アプリケーション・システム等を随時アップデートしていくことで、ソフトウェアの脆弱性を減らすことができます。攻撃手法は日進月歩のため、随時アップデートしていく事が重要です。

3.入退室管理システムの導入

入退室管理システムを導入する事によって、第三者の侵入を防ぐことが出来ます。

内部不正

内部不正に対して有効な対策の観点は、「意図した内部不正」「意図しない内部不正」のどちらを対策するかによって異なります。

意図した内部不正

「意図した内部不正」に対しては、「技術的対策」と「物理的対策」が有効です。

具体的な対策は以下の通りです。

1.アクセス権限の制限

アクセス権限の制限には、情報空間に対する制限と物理空間に対する制限があります。

情報空間に対するアクセス制限については、専用のソフトウェアがあるので、それを用いると良いでしょう。

物理空間に対するアクセス制限には、「入退室管理システム」を用いる必要があります。

全ての区画に全ての社員が出入りできる状態は非常に危険です。特にサーバールーム等の機密情報がある場所は出入り可能な社員を厳しく制限するべきでしょう。
しかし、誰を出入り可能にするかは変わる事があります。突発的に誰かを入れる必要がある場面や、逆に情報漏洩が起きてしまった時にその部屋へ誰も入れなくする場面も想定出来ます。
そのような時、従来であればオフィスの管理者が出社していなければ権限を変更できませんでした。コロナウイルスによって、テレワークやサテライトオフィスが普及し、社員が出社していない事も増える中でそのような対応は難しくなってきています。

それを解決したのがセキュアのAI Office Baseです。

AI Office Baseはクラウドで一括管理するため、オフィスの管理者がどこにいても、全てのオフィスを管理する事ができます。

2.アクセス履歴の記録

もし情報漏洩が起きてしまった時、企業は社内調査・原因究明を行う必要があります。その際、必要となるのがアクセス履歴です。履歴が記録されてなければ、原因究明は非常に困難になります。原因究明が遅くなればなるほど、二次被害が拡大します。スムーズに原因究明を行うため、アクセス履歴の記録が重要になります。

アクセス履歴の記録にも「情報空間に対する履歴の記録」と「物理空間に対する履歴の記録」があります。

情報空間に対する履歴の記録にも、専用のソフトウェアがあるので、それを用いると良いでしょう。

物理空間に対する履歴の記録には、「監視カメラシステム」と「入退室管理システム」を用いる必要があります。

「誰が、いつ、どこで、何をしていたのか」を記録する事によって、情報漏洩が起きてしまった際、スムーズに原因究明が行え、被害の拡大を防ぐことが出来ます。

セキュアでは、オンプレからクラウドまで、幅広い監視カメラソリューションを扱っています。

また、セキュアのAI Office Baseを用いれば、全てのオフィスの入退室のアクセス履歴を一括管理できます。すべてのログはクラウドに集約されるので、インターネットに繋がる環境さえあれば、自宅やカフェからでもオフィス管理が可能です。

意図しない内部不正

「意図しない内部不正」に対しては、「人的対策」が有効です。

具体的な対策は以下の通りです。

 1.社内ルールの策定

上記で述べた「紛失・置忘れ」「誤操作」「管理ミス」を防ぐために、明確な社内ルールの設定が必要になります。
考えるべきルールの項目として以下が挙げられます。

• 機密情報を格納した媒体を持ち出す際の許可を取る方法、許可を出す基準
• 機密情報を送信する時の確認体制
• 機密情報の公開範囲
• 機密情報の受渡時の作業手順

その他にも、機密情報が関わる場合は、明確なルールを設定しておく事が重要です。

情報処理推進機構は、情報漏洩を起こさないために各社員が意識すべき事をまとめていますので、参考にすると良いでしょう。

参考：情報漏えい対策のしおり

2.社員への意識づけ、教育

以上のように定めたルールも守られなければ意味がありません。定期的に勉強会を実施する、目の届くところに張り紙を貼る等、常にルールへの意識を高めておくことが必要です。

まとめ

本記事の内容を一文でまとめます。

『情報漏洩の原因には「外部不正」と「内部不正」があり、それぞれの原因に対して「技術的対策・物理的対策・人的対策」と「防止・検出・対応」の観点から、最適な対策を講じる事が重要である。』

以上、情報漏洩の「リスク・原因・対策」を網羅的に解説してきました。
情報漏洩は隙間から発生します。そしてその隙間の形は日々変化します。常に、隙間の形を把握し、対処する事が重要です。