好きな所から読む
情報漏洩ってそもそも何?
企業が保有する機密情報や顧客情報、重要な技術データなどが外部に流出してしまうことです。攻撃者によるマルウェアを使ったサイバー攻撃や社員のミスや故意的な情報の持ち出しにより、情報が流出します。
独自性や専門性の強いノウハウや技術を保有している企業は、他社に差をつける優位性を持っています。他社が真似できない強みや特徴があるからです。独自の技術やノウハウをサービスや製品に活かすことで、莫大な経済的利益や市場での消費者からの支持を得ることができます。
一方、攻撃者にとって企業の機密情報は、多額の金銭的見返りが期待できる対象です。攻撃者の情報資産を狙ったサイバー攻撃や不正アクセスは、今後も減ることがないでしょう。企業全体でセキュリティや情報資産の保護に対する意識を高めていくことが必要です。
情報流出の内容と被害
| 企業が狙われる情報資産 | 被害 | |
| 内容 |
|
|
情報漏洩による損失は2億円以上という試算も
トレンドマイクロ社の発表によると、2014年~2018年にかけて日本企業・組織の情報漏洩による被害総額は、4年連続で2億円以上との結果を発表しています。
情報漏洩の原因は、遠隔操作時におけるネットワークの脆弱性を突いた不正アクセスやマルウェア感染が最も多い原因でした。ターゲットになった組織は中央省庁をはじめとする行政機関、銀行をはじめとする金融機関、出版・印刷・放送の企業です。どの組織も機密情報や個人情報を多数扱っています。
ただし、注意しなければならないのは、被害総額や被害件数が目立たないから、安心というわけではないからです。むしろ、セキュリティ対策が進んでないゆえに、サイバー攻撃に気付かないまま情報漏洩している可能性があります。全ての企業がサイバー攻撃の対象となりうるので、万全なセキュリティ対策を進めていきましょう。
社会的信用の低下につながる
自社のセキュリティ対策が不十分で、取引先の情報流出や取引先のシステムに侵入されて情報流出につながった場合、社会的信用を失います。取引先からはセキュリティ対策の不備を不安視され、取引量の減少や取引停止につながるからです。取引先の立場からすれば「自社の情報も流出するのではないか」、「対策は十分なのか」と不安な思いを抱えながら取引をすることになるため、一定期間経営状態が厳しくなるのは避けられません。
近年では、ターゲットの大企業を直接狙わずに取引や関連のある中小企業を狙うサプライチェーン攻撃が増加しています。大企業はセキュリティ分野への投資を行い、情報資産を守る仕組みを年々強化しているからです。
攻撃者としては、強固なセキュリティ対策を取っている大企業に直接攻撃するよりも、セキュリティ対策が不十分な企業の多い中小企業を狙う方が、情報資産を奪える確率が高いと判断しています。サプライチェーン攻撃の例としては、2017年にチケット販売大手ぴあ社からプロバスケットボール・Bリーグのファンクラブに登録している個人情報が、流出した事件が起きました。
原因としては、ぴあからファンクラブやチケットサイト運営の業務委託を受けている企業のソフト上における脆弱性を突かれたことが原因です。流出事件での被害は、約15万5,000件の個人情報が流出した可能性とクレジットカードによる不正利用が約630万円記録されています。
この事例のように、中小企業が攻撃者のターゲット対象になる機会も増えてきているのです。
企業のノウハウが流出して取り返しがつかなくなる
独自の技術や専門性の高いノウハウが流出すると、莫大な経済的損失と市場での優位性を失います。企業としての強みが失われてしまうからです。
他者が真似できない絶対的な技術やノウハウが商品やサービスにあったからこそ、消費者や取引先から絶大な支持を受けていました。ですが、他社に情報が流出した場合、技術やノウハウをコピーされて低コストでの商品展開や強みを全面的に潰しにかかった事業展開をすることが予想されます。以前のような絶対的な支持を集めるには相当な時間と企業努力が必要で、厳しい経営状況が続くことは避けられません。
情報漏洩はなぜ起こってしまうのか
最も多い原因は誤操作や紛失などの「人的ミス」
セキュリティ意識の甘さやサイバー攻撃への警戒心が薄い結果、マルウェア感染のあるメール開封やセキュリティ対策がされていないWebサイトの閲覧など、些細な行動がきっかけで情報流出につながります。
誤操作や紛失、置き忘れ
攻撃者の送る経営者や取引先を装った偽装メールからの情報流出や外出先での紛失による情報漏洩も非常に多いです。偽装メールでの情報流出は、本文に記載のあるリンク先にある偽サイトからの情報流出、ワードやエクセルなど添付ファイルにマルウェアが仕込まれているケースなど様々です。
警戒せずにメールを開封すると情報漏洩につながるので、内容に疑問を感じたら同僚や先輩に内容や対処方法を確認するようにしましょう。そして、外回りの多い営業マンは、外出先のカフェや顧客先でのPCやスマートフォンの取り扱いに注意が必要です。紛失や置忘れによってPCやスマートフォンを盗まれた場合、情報漏洩のリスクが非常に高まります。常に肌身離さず持ち歩くようにして、紛失や盗難を防ぎましょう。
増えている内部流出
内部流出は企業がセキュリティ上で感じている脅威のトップ5に毎年連ねるほど、企業にとって悩みの種となっています。企業にとって難しいのは、現役社員と退職した社員両方に気を配らないといけない点です。
まず、現役社員に関しては、セキュリティへの意識向上が課題です。現在、社員が使用しているノートPCやスマートフォン、LINEなどのクラウドサービスの利用を企業で認めていないにも関わらず、業務に勝手に持ち込むシャドーITの問題が増えてきました。
私物端末を業務で利用するBYODは使い慣れているため効率性の向上に期待ができる反面、情報漏洩のリスクが高まりやすいです。例えば、外出先でスマートフォンやクラウドサービスを利用した場合、他者に情報を盗み見られる可能性やIDをハッキングされて悪用される可能性もあります。
私物流用が原因で企業の機密情報が流出した場合、解雇されるだけでなく莫大な賠償金を求められる可能性もあるので、必ず許可の取れている機器だけを使いましょう。ただし、現役社員は普段の行動が見えるので対策も立てやすく、セキュリティ分野への意識を高める教育機会の設定や罰則を定めることで、ある程度情報流出のリスクを回避できます。
問題は退職した社員です。普段の行動が見えないため、セキュリティツールで対応する以外は方法がありません。退職した社員が内部情報の流出を起こすきっかけは、職場での人間関係のトラブル、給料や肩書など待遇面での不満、不当な解雇通知などが挙げられます。今後、退職した社員による内部流出を起こさないためにも、在籍している社員へのメンタルケアや評価制度の定期的な見直し、退職時に機密情報の流出した場合の対応や罰則などを行っていく必要があります。
管理ミスや設定ミスの場合も
退職した社員のIDやパスワードを長期間使用可能な状態にしている場合や個人情報が不適切に保持されているなど、設定や管理ミスが原因での情報流出もあります。
特に退職した社員IDやパスワードが長期間使える状態の場合、悪用される可能性が高まるので注意が必要です。実際に2014年にエディオンに在籍していた社員が、転職後に在籍時のIDとパスワードを利用して機密情報を盗んだ事件が発生しています。
バグやセキュリティホールにつけこまれる
ソフトやアプリの脆弱性を突かれる攻撃も非常に脅威です。企業側が把握していない未知の脆弱性を攻撃者に突かれた場合、復旧や攻撃経路の把握に時間がかかるからです。特に脆弱性を改善した修正プログラムを配布する前に再び攻撃を行うゼロデイ攻撃は、企業にとって最も脅威を与えるサイバー攻撃の1つとなっています。
不正アクセスやウイルスの危険性を軽視してはならない
情報資産の盗取やシステムダウンなど直接的な被害につながらなくても、不正アクセスやウイルスの兆候を感じたらすぐに対応するべきです。初動対応が被害の拡大を防ぐからです。
一度のアクセスで企業の機密情報やデータファイルに辿り着けることは少なく、何度も不正アクセスを繰り返すことで情報を盗むための作戦を攻撃者側は練っています。一方、ウイルスに感染した場合は、PCが正常に稼働せず動作が重くなったり、突然再起動になったりと業務に多大な影響が出ます。少しでも異変を感じたユーザーは、管理者に相談しましょう。
情報漏洩の危険性は今後さらに増していく
テレワークによるセキュリティの脆弱化
現在テレワークを可能にしているVPN(Virtual Private Network)は、通信の脆弱性と安定性に課題を抱えています。
VPNはネットワーク上に仮想環境を作りだし、ルーターや専用の線を設置して遠隔からのアクセスを可能にしています。また、社外から社内システムへのアクセス時には、VPNゲートウェイと呼ばれる拠点を経由するのが特徴です。ただし、外出先でカフェやファミリーレストランを使用した場合、セキュリティ対策が不十分な店舗の場合は、メールのメッセージ内容が暗号化されない、データ通信の際に不正アクセスを受けて情報の改ざんや盗取を受けるリスクが高まります。
また、VPNゲートウェイは特定のユーザーとの接続に留めるため、拠点は1か所しかありません。データファイルやアプリが複数の拠点に点在している場合、遠回りの通信経路を辿らないといけないため、通信速度の低下や通信コストの増大といった、デメリットを招きます。
クラウドの利用による外部脅威の増加
クラウドサービスを利用する企業が増えてきました。場所や時間を問わない働き方の増加やネットインフラを自社に持たなくて良いため、コストカットや運用の効率化といったメリットがあります。
ただし、自社で情報資産を管理・運用していたオンプレミスとは異なり、クラウド上での情報管理となるため、攻撃者からのハッキング対象になりやすいケースがあるのがデメリットです。不特定多数のユーザで管理をするため、アクセス権のある企業からの情報流出や他社が受けた攻撃が自社に及ぶ可能性があるからです。情報の保護やサポート体制の充実したベンダーを選びましょう。
国家レベルのウイルス攻撃
自己増殖が可能なワームは、感染拡大のスピードが非常に速いのが特徴です。感染経路を問わないため、メールやTwitterなどを悪用して次々に感染していきます。2017年に起きたWannaCryと呼ばれる事例は、マルウェアとランサムウェアを組み合わせた強大なマルウェアで、発生から24時間以内で150か国以上の地域で30万台以上のPCに被害をもたらしました。
令和の情報漏洩への対策は「ゼロトラストセキュリティ」
ゼロトラストセキュリティの考え方の基本は「すべてを疑う」
ゼロトラストセキュリティは、2010年にForrester Research社が提唱したセキュリティモデルです。「全てのアクセスを信頼しない」という考えの下、ユーザーやデバイス機器を問わず全てのアクセスへの認証を求めます。時間も関係なく、ログアウトしたのが30秒前でも2時間前でも、再度システムやアプリにログインする際は認証をクリアすることが必要です。「どのユーザーが、どの機器を使い、どのデータファイルに、いつログインしたか」が、ゼロトラストセキュリティによってわかります。
ゼロトラストセキュリティは単独での製品による構成ではなく、複数のセキュリティ製品を組み合わせたソリューションです。複数の認証を要求する多要素認証、PCやスマートフォンをエンドポイントと位置づけ端末監視を行うEDR(Endpoint Detection and Response)、セキュリティインシデントの自動対処を行うSOAR(Security Orchestration, Automation and Response)など、多くの選択肢があります。自社のセキュリティ状況と合わせて導入を決断してください。
情報漏洩につながる外部からの攻撃を避ける
安全性や本人認証が確認できたアクセスしかデータファイルやアプリへのログインができないため、不正アクセスによる社内システムへのサイバー攻撃やマルウェア感染のリスクを軽減することが可能です。
例えば、顔認証やスマートフォンのSMSを使った多要素認証を利用すると、精度の高い本人認証を実現するため、不正アクセスの侵入をさらに減らすことができます。
そして、EDRを導入した場合は、PCやスマートフォンの端末内のセキュリティ監視に留まらず、異常や異変を検知した場合は脅威を隔離します。現在では「マルウェア感染やサイバー攻撃を受けた後に、いかに感染被害を抑えるか」といったセキュリティ対策が重要となっているため、EDRは予防と感染被害の最小化といった両面で効果が望めるツールです。
内部不正による情報漏洩を防ぐことも可能
社員へのデータファイルやアプリ、Webサイトのアクセス権を制限できます。自身が所属している部署や業務に関係あるデータファイルやアプリしか閲覧できません。また、EDRやSOC(Security Operation Center)の利用で、デバイス機器や社内システムのセキュリティ監視をリアルタイムで行えるため、ユーザーの行動は常に監視されています。不正行為をした場合はすぐにわかるので、内部不正防止につながります。
情報漏洩への対処は早急に行おう
情報漏洩が起きた場合は、初動対応が非常に重要です。マルウェア感染やサイバー攻撃を受けた場合、初期段階で正しく対処すれば被害を最小限に抑えることが可能です。また、内部不正による情報漏洩であれば、すぐに犯人を特定してデバイス機器の利用を即刻停止させます。対応が遅れるほど被害の規模が大きくなるので、対処方法がわからない場合はベンダーに相談しながら対応をしましょう。
