情シス担当になったら知っておきたい情報漏洩の原因と対策
近年、大企業だけではなく、中小企業の被害件数も増加している「情報漏洩」。企業が保有する顧客情報や知的財産などの機密情報が流出すれば、顧客からの信頼を失い、競争力が大幅に減少してしまいます。 しかし、情報漏洩対策の重要性を理解していながらも、「どのような対策を講じればいいのか」と悩む方は少なくありません。そこで本記事では、情報漏洩が起こる原因とその対策などをわかりやすく解説します。 情報漏洩の件数が増加中 近年、情報漏洩の件数が増加しています。東京商工リサーチによれば、個人情報漏洩・紛失事故件数は2年連続最多を更新し、流出・紛失情報は592万人分にもなるとのこと。 また、弊社がダークウェブ調査ツール「ステルスモール(StealthMole)」を用いて、国内主要100企業のダークウェブ流出調査を実施したところ、すべての企業で流出が確認されました。ダークウェブとは特別なソフトウェアのみでアクセスできるプラットフォームであり、個人情報や機密情報などの売買が盛んに行われています。 これらの調査が示すように、企業が保有する顧客情報や機密情報を狙ったサイバー攻撃が増加しています。情報漏洩が発生すると、顧客からの信頼の低下や賠償金の発生、業務停止などへとつながるため、適切なセキュリティ対策が欠かせません。 情報漏洩が起こる主な原因4つ 適切な情報漏洩対策を進めるためには、情報漏洩が起きる原因の理解が必要です。ここからは、情報漏洩が起こる主な原因4つを解説します。 ウイルス感染・不正アクセス 東京商工リサーチの調査では、情報漏洩が起きる最大の原因は「ウイルス感染・不正アクセス」の55.1%でした。ウイルス感染とは、コンピューターシステムやネットワークに悪意のあるソフトウェア(ウイルスやマルウェア)が侵入することを指します。 侵入したマルウェアなどは、システム内より機密情報を盗んだり、システムの動作を妨害したりするのです。ウイルス感染の主な原因としては、以下のようなものが考えられます。 ● 怪しいファイルのダウンロード:信頼性の低いサイトやEメールからファイルをダウンロードすることでウイルスが侵入するリスクがあります。 ● フィッシング攻撃:フィッシング詐欺のメールやウェブサイトを通じて個人情報を入力すると、ウイルスに感染します ● 未更新のソフトウェア:オペレーティングシステムやアプリケーションソフトウェアが最新のセキュリティパッチでない場合、ウイルスの攻撃に対する脆弱性が残ります。 また、不正アクセスとは悪意のある第三者がシステムやネットワークに侵入し、機密情報を盗む、改ざんする、またはシステムを乗っ取ることです。不正アクセスの原因も様々ですが、主な原因は弱いパスワードです。 ウイルス感染と不正アクセスから情報漏洩を守るためには、組織全体でセキュリティに対する意識を高めなければいけません。 人為的ミスと不正行為 Verizonの調査では、情報漏洩の原因の74%に人的要素が関与しているとのこと。また、東京商工リサーチの調査でも、人為的ミスが情報漏洩の主な原因となっていると判明しています。 人為的ミスとは、組織内の従業員や関係者が不注意や誤った行動によって情報漏洩が発生すること。以下は一般的な人為的ミスの例とその原因です。 ● 誤ったファイルの送信: 従業員が誤って機密情報を含むファイルを外部の受信者に送信することがあります。Eメールの誤送信やファイル共有サービスの設定ミスが主な原因です。 ● 紙の文書の紛失:機密情報を含む印刷物や文書が誤って紛失されたり、不適切な場所に置かれたりすることで、情報漏洩が起きます。 ● 不注意なクリック:フィッシング詐欺のメールに対する不注意なクリックにより、悪意のあるソフトウェアが導入されたり、アカウント情報が漏えいしたりすることがあります。 また、不正行為とは従業員や関係者が意図的に情報を盗む、改ざんする、または不正に利用する行動を指します。例えば、元従業員がシステムに不正アクセスし、機密情報を流出させるなどです。 人為的ミスと不正行為に対処するためには、組織内でのセキュリティ意識向上のトレーニングやセキュリティポリシーの徹底、内部者による不正行為を早期発見できるシステムの構築が有効でしょう。