情報漏洩はいつの時代においても大きな問題を引き起こしてきました。しかしIT化、デジタル化の時代を迎えたことでその問題がかつてに比べて比較にならないほど大きくなっているのに加え、「情報漏洩」という概念そのものが拡大している傾向が見られます。
簡単に言えば「情報漏洩とは何か」という基本的な部分の段階でひと昔前と現在とでは大きな違いか出ています。
しかしその一方でひと昔前とあまり変わっていない面もあり、漏洩を防ぐための対策を行ううえではこの時代とともに変化した部分と、変わっていない部分の両方を踏まえたうえで適切な環境・体制づくりが求められています。
では時代の移り変わりとともに情報漏洩にはどのような変化が起こったのか?最大の違いはインターネット環境の普及でしょう。今や誰もがインターネットを使える環境にあるといっても過言ではない時代、加えてビジネスでも業種を問わずサイトの運営や社内ネットワークの構築・運用などIT環境が求められるようになっています。そのためインターネットを通して情報が漏洩してしまう問題が多発するようになっているのです。
この変化は漏洩の被害を飛躍的に大きくしました。例えば大企業ともなると膨大な数の顧客データを扱います。それをデジタル化してデータベースに保管している環境だと、そこにハッカーが攻撃を仕掛けることで一気に流出・漏洩してしまうといった「事件」が起こるのです。
さらに国や自治体、官公庁が住民データなどをデジタル化するケースも増えており、ここから情報が漏洩する事件も起こっています。もっとも信頼性が高いように思える官公庁はじつはITセキュリティの点ではあまり「信用できない」面もあり、サイトの脆弱性をつかれる形でデータが抽出されてしまうといった問題が起こりやすいのです。
IT関連の技術が変化したことでサイバー攻撃が多様化・高度化したのも情報漏洩に大きな影響をもたらしています。例えばマルウェアに感染させることでデータの流出や改善が起こってしまうケースが2010年代から頻発するようになっています。
このケースが厄介なのはハッカーなどの攻撃者が最初からターゲットを決めたうえで攻撃を仕掛けるのではなく、不特定多数がウイルスに感染するような状況を用意したうえで被害を拡散させる手口もあることです。
ですから膨大なデータを扱っている企業だけでなく個人レベルの情報が漏洩してしまうリスクも出てきています。
この漏洩する規模を問わなくなっている面も時代の変化として挙げられるでしょう。先ほど触れたように大規模なデータが漏洩することで大きな被害を出すリスクが出てきている一方、より小さな規模での被害も増えているのです。例えば中小企業や個人経営のネットショップから顧客や取引先のデータが流出してしまうことで評判や信用に大きなダメージを受けてしまうといった問題も出てきています。
もうひとつ、指摘しておかなければならないのは情報そのものが価値を持つようになった点です。情報を盗んだ人が直接悪用するだけでなく、盗んだ情報をそれを求める人たちに売るといったビジネスも成り立つようになっています。自分では攻撃して情報を漏洩させるだけの技術やノウハウを持っていない人や団体がプロのハッカーに依頼するといったケースも考えられるわけです。
こうしてみても情報漏洩をめぐる基本的な考えや置かれている状況はひと昔前に比べて大きく変化したと言えるでしょう。しかもその「ひと昔前」とはせいぜい10~15年ほど前の話です。
ですから現在40代~50代の管理職の人が10~15年前の感覚でセキュリティ管理や上臈漏洩対策を行おうとすると巧妙化した手口に全く対応できずに大きな被害を出してしまうといった問題も出てくるわけです。
一方でひと昔前と比べてそれほど変化していない面もあります。じつは情報が漏洩する原因のトップは誤操作なのです。さまざまな機関が原因に対するアンケートや調査を行っており、そのデータも公表されていますが、例外なく原因のトップは誤操作です。
つまりサイバー攻撃やウイルス感染といった問題ではなく、単純にデータを扱う人のミスで情報が漏れてしまうケースが多数を占めているわけです。
ただこれも時代の変化とまったくかかわりがないというわけではありません。メールを送るときについ一斉送信をしてしまったことで重要なデータが外部に漏れてしまった、操作を間違えてデータを本来とは別の場所に移動させてしまったなど。便利な機能に頼りがちだからこそうっかりミスが増える傾向もあるのです。
誤操作に次いで多いのが紛失や置き忘れです。これも極めてシンプルなミスですが、大事なデータをどこかに置き忘れてしまったなどもともとはサイバー攻撃などの犯罪性がまったくなかったところから漏洩が起こってしまうのです。
こちらも現代ならではの事情が背景にあります。例えばUSBメモリなど簡単に携帯・持ち歩きできる記憶媒体の容量が飛躍的に増加しており、膨大なデータをポケットに入れて持ち歩ける状況になっています。そのためふとした拍子にポケットから落としてしまう、どこかに置き忘れてしまうことで大量のデータが紛失・漏洩してしまうことも起こりうるのです。
この点に関してはもうひとつ、現代ビジネスにおける人手不足と超過勤務も関わっていると考えられています。つまり、残業しても仕事が終わらない場合には家に持ち帰って続けなければならない。その時には仕事用のノートパソコンや大事なデータを記録したUSBメモリを持ち帰ることになりますから、その分紛失のリスクが高まるわけです。
このように人間によって漏洩や流出が起こりやすく、しかも大量のデータが流出しやすくなっている環境は人間による不正行為を増やしている面もあります。何しろ小さなUSBメモリをひとつで大量のデータを持ち出せるわけですし、データのコピーも簡単にできます。内部の人間がこうした方法で不正に持ち出し、情報を欲しがっている相手に売ることで被害が拡大する事件も増えています。
現代ビジネスにおいて情報漏洩対策と言えばサイバー攻撃をはじめとしたネット上のセキュリティ環境の強化が重視されていますが、これまで触れてきたようにうっかりミスや内部犯行など人間が原因となるケースの方がじつは多数を占めています。
そうなるとコストをかけて優れたセキュリティ環境を整備・維持するだけでは不十分、社内全体でのセキュリティへの意識が求められます。
例えば記憶媒体の持ち出しを禁止する、仕事用のパソコンをプライベートでは使用しないなど。内部犯行を防ぐためにはコンプライアンスへの意識を高めるといった社員教育の次元での対策も必要になるでしょう。
もうひとつ忘れてはならないのは情報漏洩を防ぐだけにとどまらず、万一漏洩してしまったときに適切な対策をとるための環境・体制づくりです。サイトがウイルスに感染して顧客データが流出してしまっているにも関わらずその事実を隠して対応が後手後手にまわった結果、ブランドイメージや信用が大きく損なわれてしまうこともあります。情報の漏洩はあってはならないことですが、あってしまったときに被害をどれだけ最小限に抑えることができるか、被害をもたらしてしまった顧客や取引先に対してすみやかに償いができるか。漏洩対策にはこうした点への意識も欠かせないのです。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
2020.05.07
セキュリティ対策
2019.12.08
セキュリティ対策
2020.03.13
セキュリティ対策
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
Apache Struts2の脆弱性で広がるサイバー攻撃の被害
2017.03.30
セキュリティ対策
【WordPressとDrupal】WAFでオープンソースCMSの脆弱性を防ぐ
2020.02.28
セキュリティ対策