サービス案内
LRMコンサルティングの特徴
エリア別詳細
お問い合わせ
インターネット上では、SNSやWebアプリケーションが利用できますが、それらはIDとパスワードによって認証されています。認証を行うことで、それらのWebサービスに保存されている情報へのアクセスを制限しているわけですが、不正アクセスなどの原因で、第三者に情報が流出してしまうことがあります。
つまりネットワークの利用で顧客データの保存や管理が容易になった反面、管理する情報の量や情報を扱う人も増え、漏洩するリスクも増大してしまったのです。
情報漏洩の原因は不正アクセスのような悪意のある攻撃だけとは限りません。「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩インシデントにおける漏洩原因の第1位は「紛失・置忘れ」で26.2%、「誤操作」が24.6%で第2位、「不正アクセス」は20.3%で第3位です。
つまり情報漏洩の原因の上位を占めているのが、うっかりミスなどによる人的ミスによるものなのです。
これら2つの影響について詳しく見ていきましょう。
そのような重要な情報を取り扱っている企業から、情報漏洩が発生したらどのような影響が発生するのでしょうか。情報流出の規模にもよりますが、企業は非常に高額な損害賠償を行わなければならないケースがあります。
これはあくまでも法律上の罰則規定です。
実際に個人情報を流出させてしまった場合、民事上の損害賠償責任が発生します。状況によって異なりますが、1人あたり数千円から数万円程度の金額にもなることがあります。
企業ではなく個人単位で管理している情報が漏洩した場合でも、クレジットカード不正利用などで金銭的な被害が発生する可能性があります。
例えばプライベートで利用しているECサイトに不正アクセスされて、身に覚えのない買い物をされたり、ネットバンクで自分の口座から他人の口座へと不正送金されたりしてしまうなどのケースです。
情報漏洩が原因で発生する金銭的被害の金額は予測困難です。特に企業においては金銭的被害に加えて、次で紹介する社会的信用の失墜も無視できません。
もしそうなってしまうと、自社の商品やサービスの売上が大きく下がったり、取引先から取引や契約を打ち切られたりする可能性があります。
そのような企業では、業務員が情報漏洩に関する対応に業務時間が奪われるため、通常の業務にも大きな影響が発生してしまいます。
一度失った社会的信用を取り戻すのは難しいでしょう。情報漏洩発生後の対応のまずさで、さらに事態を悪化させているケースも少なくありません。
例えば以下のような情報漏洩の事象が予測されます。
これら3つの原因について見ていきましょう。
まず人的ミスによる情報漏洩の場合、事前に予防策を講じていたとしてもミスが発生することはありえます。そのような時、ミスが発生した原因を追究し、管理体制や運用のルールの是正を行うことが重要です。
例えばうっかりミスにより個人情報が含まれたメールを、社外の人に誤って送信してしまった時のことを考えましょう。まずは迅速に上司や情報システム部に報告して、その後の対応を仰ぎ、誤送信してしまった相手に対して、何らかの適切な対応が必要です。このようなことを予め想定しておけば、実際に人的ミスが発生した時も迅速に対応可能です。
外部からの不正アクセスに対しては、情報システムの構築時などに、セキュリティの専門家らと協議しながら情報漏洩に備えることが重要です。
企業内にSOC(Security Operation Center)などを設置しても良いでしょう。
SOCとは24時間365日、ネットワークやコンピュータを監視して、サイバー攻撃の検知や対応策のアドバイスを行う組織のことです。情報システムの高度化により、企業内のネットワーク担当者やシステム部門では、必要なセキュリティ対策を行いきれないことがあります。
このような場合、専門性の高い人材が配置されているSOCの設置が有効です。
残念なことに、企業の内部不正により情報漏洩が発生してしまうこともあります。内部不正の対策として、デバイスの利用を制限、データアクセス権限を精査して適切な権限を与えることが有効です。
昨今のテレワーク環境では、ZTNA(ゼロトラストネットワークアクセス)などで対策することも有効です。ZTNAとは従業員が社内ネットワークやクラウドサービスなどに接続を試みる際に、デバイスのセキュリティ状態や接続元などを検証することで、不正なデバイスからのアクセスを受け付けないようにする技術です。
また内部不正を発生させないためにも、日頃から従業員に対するセキュリティ教育も重要です。セキュリティ教育でルールを守らなかった場合のリスクを説明し、ルールを守る風土づくりをすることも大事です。
例えば、7payで認証に使われるIDが誰でも乗っ取られる仕組みになっており、クレジットカード情報などの金融情報を取り扱っているにも関わらず、2段階認証にも対応しておらず、パスワード変更に必要なはずの生年月日の入力を省略できるなどのずさんさが露呈しました。
結局、7payの利用は停止させられたまま、2019年9月30日をもってサービスを修了することになりました。
ドコモ口座事件では「リバースブルートフォース攻撃」というサイバー攻撃が使われたことも話題となりました。通常のブルートフォース攻撃では、特定のIDに対してパスワードを総当たりで攻撃する手法が用いられますが、リバースブルートフォース攻撃では、パスワードを固定にした状態で、複数IDに対して総当たりを仕掛ける手法が使われています。これにより、シンプルでわかりやすい暗証番号を使用していた場合、認証が突破され、被害者の銀行口座へと不正アクセスされてしまいました。
カプコンの発表によると、この情報漏洩事件の原因は、ランサムウェアを用いた標的型攻撃でした。この情報漏洩ではクレジットカード番号の流出はなかったとされていますが、氏名や住所、電話番号、メールアドレスなど内容の個人情報が流出した可能性があると発表されています。