情シス担当になったら知っておきたい情報漏洩の原因と対策

Information Security Online Privacy Protection Concept

近年、大企業だけではなく、中小企業の被害件数も増加している「情報漏洩」。企業が保有する顧客情報や知的財産などの機密情報が流出すれば、顧客からの信頼を失い、競争力が大幅に減少してしまいます。

しかし、情報漏洩対策の重要性を理解していながらも、「どのような対策を講じればいいのか」と悩む方は少なくありません。そこで本記事では、情報漏洩が起こる原因とその対策などをわかりやすく解説します。

情報漏洩の件数が増加中

近年、情報漏洩の件数が増加しています。東京商工リサーチによれば、個人情報漏洩・紛失事故件数は2年連続最多を更新し、流出・紛失情報は592万人分にもなるとのこと。

また、弊社がダークウェブ調査ツール「ステルスモール(StealthMole)」を用いて、国内主要100企業のダークウェブ流出調査を実施したところ、すべての企業で流出が確認されました。ダークウェブとは特別なソフトウェアのみでアクセスできるプラットフォームであり、個人情報や機密情報などの売買が盛んに行われています。

これらの調査が示すように、企業が保有する顧客情報や機密情報を狙ったサイバー攻撃が増加しています。情報漏洩が発生すると、顧客からの信頼の低下や賠償金の発生、業務停止などへとつながるため、適切なセキュリティ対策が欠かせません。

情報漏洩が起こる主な原因4つ

適切な情報漏洩対策を進めるためには、情報漏洩が起きる原因の理解が必要です。ここからは、情報漏洩が起こる主な原因4つを解説します。

ウイルス感染・不正アクセス

東京商工リサーチの調査では、情報漏洩が起きる最大の原因は「ウイルス感染・不正アクセス」の55.1%でした。ウイルス感染とは、コンピューターシステムやネットワークに悪意のあるソフトウェア(ウイルスやマルウェア)が侵入することを指します。

侵入したマルウェアなどは、システム内より機密情報を盗んだり、システムの動作を妨害したりするのです。ウイルス感染の主な原因としては、以下のようなものが考えられます。

●   怪しいファイルのダウンロード:信頼性の低いサイトやEメールからファイルをダウンロードすることでウイルスが侵入するリスクがあります。

●   フィッシング攻撃:フィッシング詐欺のメールやウェブサイトを通じて個人情報を入力すると、ウイルスに感染します

●   未更新のソフトウェア:オペレーティングシステムやアプリケーションソフトウェアが最新のセキュリティパッチでない場合、ウイルスの攻撃に対する脆弱性が残ります。

また、不正アクセスとは悪意のある第三者がシステムやネットワークに侵入し、機密情報を盗む、改ざんする、またはシステムを乗っ取ることです。不正アクセスの原因も様々ですが、主な原因は弱いパスワードです。

ウイルス感染と不正アクセスから情報漏洩を守るためには、組織全体でセキュリティに対する意識を高めなければいけません。

人為的ミスと不正行為

Verizonの調査では、情報漏洩の原因の74%に人的要素が関与しているとのこと。また、東京商工リサーチの調査でも、人為的ミスが情報漏洩の主な原因となっていると判明しています。

人為的ミスとは、組織内の従業員や関係者が不注意や誤った行動によって情報漏洩が発生すること。以下は一般的な人為的ミスの例とその原因です。

●   誤ったファイルの送信: 従業員が誤って機密情報を含むファイルを外部の受信者に送信することがあります。Eメールの誤送信やファイル共有サービスの設定ミスが主な原因です。

●   紙の文書の紛失:機密情報を含む印刷物や文書が誤って紛失されたり、不適切な場所に置かれたりすることで、情報漏洩が起きます。

●   不注意なクリック:フィッシング詐欺のメールに対する不注意なクリックにより、悪意のあるソフトウェアが導入されたり、アカウント情報が漏えいしたりすることがあります。

また、不正行為とは従業員や関係者が意図的に情報を盗む、改ざんする、または不正に利用する行動を指します。例えば、元従業員がシステムに不正アクセスし、機密情報を流出させるなどです。

人為的ミスと不正行為に対処するためには、組織内でのセキュリティ意識向上のトレーニングやセキュリティポリシーの徹底、内部者による不正行為を早期発見できるシステムの構築が有効でしょう。

ソフトウェアの脆弱性

ソフトウェアの脆弱性とは、ソフトウェアやアプリケーションに存在するセキュリティの欠陥や弱点のことです。Tenable Network Security Japanのレポートによれば、脆弱性対応の遅れやシステムの設定ミスなどが不正アクセスや情報漏洩などの大きな要因になっているとのこと。

このレポートが示すように、脆弱性はサイバー攻撃の入り口となるため、定期的にソフトウェアを更新し、脆弱性を解消することが重要です。

ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃は、攻撃者が人々の信頼や無警戒さを利用して機密情報を入手しようとする手法です。この攻撃は、技術的な脆弱性を突くのではなく、人々の心理的な弱点を悪用します。以下は、ソーシャルエンジニアリング攻撃の主な特徴です。

●   信頼性の演出:攻撃者は信頼性を高めるために、偽の身分や信頼性のある振る舞いをします。例えば、偽の社員や顧客、友人としてEメールを送信するなど。

●   情報収集:信頼性を高めるために、攻撃者はターゲットの個人情報や人間関係などについて調査をします。

●   誘導:ターゲットに対して特定の行動を誘導し、機密情報を提供させるよう仕向けます。例えば、ウェブサイトへのログイン情報を要求する、ソフトウェアの権限管理の変更を要求するなど。

ソーシャルエンジニアリング攻撃対策には、社内でのセキュリティ啓蒙と従業員意識の向上が重要です。


情報漏洩を防ぐポイント

情報漏洩の原因を理解したところで、その対策を見ていきましょう。情報漏洩の対策ポイントは多々ありますが、これからセキュリティ対策に取り組む場合は、まずは以下4つのポイントから始めてみてください。

強力なパスワードの使用

強力なパスワードの使用は、情報セキュリティの基本です。強力なパスワードを使用することで、不正アクセスからアカウントやデバイスを保護できます。

それでは、強力なパスワードとはどのようなものでしょうか。強力なパスワードは、主に以下3つの項目を満たしています。

●   複雑性:大文字と小文字の英字、数字などを含む複雑な組み合わせ。単語や一般的なパターンは避けましょう。

●   長さ:パスワードはできるだけ長く設定しましょう。一般的に12文字以上が推奨されています。

●   定期的な変更:パスワードは定期的に変更し、古いパスワードを再利用しないようにしましょう。

パスワードマネージャーを利用することで、強力なパスワードの自動生成や管理まで行えます。従業員教育を実施し、強力なパスワードの使用を徹底しましょう。

2要素認証(2FA)の導入

2要素認証(2FA)とは、パスワードと追加の認証情報を必要とするセキュリティプロセスです。パスワードとSMS認証のように複数要素を組み合わせることで、セキュリティを高め、不正アクセスのリスクを大幅に軽減できます。

たとえパスワードが漏えいしたとしても、2要素認証を設定していれば、攻撃者は容易にログインできません。可能な限り、多くのアカウントで2要素認証を導入するようにしましょう。

エンドポイントセキュリティの強化

エンドポイントセキュリティとは、インターネットや社内LANなどに接続されたPCやスマートフォンなどの端末を保護する対策です。リモートワークの普及により、エンドポイントのセキュリティリスクは高まっています。

リモートの従業員の端末が保護されていない場合、サイバー犯罪者が不正アクセスや機密情報を盗む高いリスクが生じるのです。アンチウイルスソフトウェアやファイアウォールの導入、定期的な更新による脆弱性への対応などをしましょう。

セキュリティ意識教育の実施

先に見てきたように、情報漏洩の主な原因としてヒューマンエラーが挙げられます。技術的な面でのセキュリティ対策を進めても、人為的なミスが発生すれば、情報漏洩を招いてしまうのです。そのため、従業員を対象にしたセキュリティ教育を実施しましょう。

具体的には、下記内容のセミナーを開催するのがおすすめです。

●   フィッシング攻撃への対処:フィッシングメールや不審なリンクに対する警戒心を高める

●   パスワードのベストプラクティス:強力なパスワードの作成方法、定期的な変更、パスワードの共有禁止などのベストプラクティスを従業員に教育

●   セキュリティポリシーと規制の認識:組織のセキュリティポリシーや規制について従業員に認識・順守させる

●   セキュリティインシデントへの対処:従業員にセキュリティインシデントが発生した場合の対処手順を教育し、迅速な対応ができるようにする


なぜダークウェブ監視が重要なのか?

日進月歩で進化するサイバー攻撃の前では、適切なセキュリティ対策を講じても、情報漏洩が発生するリスクがあります。そのことを証明するかのように、近年は「なにも信用しない」「サイバー攻撃を受ける」を前提に対策をする「ゼロトラスト」という考え方が拡大しています。

100%確実にサイバー攻撃を防ぐ術がないからこそ、被害を最小限に抑える対策も求められます。その代表的な手法の一つが「ダークウェブ監視」。機密情報の売買が盛んなダークウェブを監視することで、自社の情報漏洩状況を想起に把握し、適切な対策を講じられます。

Torのような専用ソフトウェアを活用すれば、誰でもダークウェブにアクセスできます。しかし、ダークウェブにはサイバー攻撃や犯罪関与など様々なリスクがあるため、専門家へ依頼するか、またはダークウェブ監視ツールの利用がお勧めです。

まとめ

情報漏洩の被害件数は増加傾向にあり、企業は適切な対策を講じなければ、業務停止や顧客信頼の喪失など様々な被害を招いてしまいます。情報漏洩対策としては、セキュリティソフトウェアや強力なパスワードの導入などのセキュリティ面と人為的ミスを削減する取り組みが必要です。

しかし、どれだけ適切な対策を講じても、情報漏洩を100%防ぐことはできません。そこで、ダークウェブ監視をはじめとした情報漏洩の被害を最小化する対策も検討してみましょう。

「もしかしたら自社でも情報漏洩が起きているかも」と不安になった方は、ぜひ下記フォームよりダークウェブ簡易調査へとお申し込みください。毎月10社限定で無料調査を実施しております。