情報漏洩。現代ビジネスにおいてもっとも頻繁に見られるトラブルといってもよいでしょう。大企業から大量の顧客データが流出してしまうケースもときどき見られます。ITやクラウドの導入によってデータの管理・活用の利便性が飛躍的に向上した結果、今度はそのデータを漏洩・流出してしまうといった問題が起こっているのです。この記事では、情報漏洩の原因についてまとめています。
今や企業はこの情報漏洩対策を真剣に行わなければならない時代になっていますが、一方でトラブルがなくなる気配はありません。それはサイバー攻撃の手口が巧妙化しているのも理由の一つですが、さらにデータ・システムを扱う側の意識のレベルでしっかりとした対策ができていないことも挙げられます。
情報漏洩とはいつでも、どこでも起こりうる不測の事態である、いつでも自分が当事者になってしまうリスクを秘めている。この意識をしっかり持ったうえで日ごろから対策を行っていかなければなりません。
どうして情報漏洩への意識が必要なのか?じつは現代における漏洩の原因の多くは人為的なミスだからです。情報漏洩と言えばまずサイバー攻撃を連想する方も多いでしょう。専門のハッカーが仕掛けてくるプログラムの改ざんやシステムへの侵入によって盗まれてしまう。そのため専門的な知識を備えていない側は備えが難しい…しかしこのイメージはあまり正しいとは言えません。当事者たちのほんのちょっとしたミスが情報漏洩をもたらしてしまうケースの方が圧倒的に多いのです。
ある研究機関による2017年のデータによると情報漏洩が起こったケースのうち4分の1、25パーセントほどが誤操作が原因となっています。つまりハッカーがシステムやデータに侵入したのではなく、パソコン・システムを使っている人が誤操作によって情報を流出させてしまっているのです。
例えば仕事の合間に何気なく訪問したサイトが悪意のあるサイトであっというまにマルウェアに感染してしまうケースがよく見られます。仕事で使っているパソコンをプライベートで使うべきかどうか、職場内でなかなか意思統一ができていないことが多く、ついつい個人的な目的で利用してしまうことが多いもの。そうした「ちょっとした隙間」に情報漏洩のきっかけを作ってしまうことが多いのです。
さらに業務用のメールだと思って開封、そこに表示されていたURLにアクセスした途端にマルウェアに感染してしまうケースもあります。大量のビジネスメールを扱う場合、取引先や顧客すべてのメールアドレスや名前を把握することはできませんから、ついうっかりこうした悪意のあるメールに騙されてしまうことも起こりうるのです。
もっと極端な「うっかり型」としてはメールやデータの添付先を間違えてしまうケースも少なくありません。重要なデータを第三者のメールに送ってしまう、データの消去をしっかり行わずにHDDやUSBといった記憶媒体を廃棄した結果第三者の手にわたってしまうといったパターンも考えられます。
第三者に重要な情報を掲載した情報を送ってしまうミスではToを利用したケースが見られます。本来なら特定の人にだけ送付するはずのメールを一斉送信してしまうことで不特定多数の人に拡散させてしまうのです。
パソコンやネット上からデータを盗まれてしまうケースだけではありません。データを記録している媒体を紛失してしまう、盗難してしまうことで漏洩が起こってしまうこともあるのです。先ほどのデータでも全体の20パーセント以上を紛失・置き忘れで占めているとの結果が出ています。先ほどの誤操作と併せると全体の45パーセント以上が本人たちの人為的なミスで起こっているわけです。
大切な書類を紛失してしまうことは昔からありましたが、現在ではデータの大容量化、小型化によって被害も比較にならないほど大きくなってしまいました。昔は書類を紛失しても失われるデータはごく限られていましたが、現在ではUSBメモリをひとつ紛失するだけで数万人分もの個人情報が流出してしまうリスクを秘めているのです。
盗難による紛失も無視できない原因です。例えば大切なデータを入れていたバッグを盗まれてしまう。実際に県庁の職員が飲酒中にUSBメモリが入ったカバンを盗まれてしまい個人情報が流出してしまった事件も起こっています。
日本のサラリーマンはお酒での付き合いが多いと言われており、酔ったときにうっかり忘れてしまうだけでなく、酔った隙をついて盗まれてしまうリスクを抱えているとも言えます。
ほかにもビジネスのグローバル化によって出張先で紛失する、海外で置き引きに合うといったリスクが増加しています。
このように人間が原因で起こる情報漏洩はとにかく当事者たちが日ごろから備える意識と努力が欠かせません。いくらコストをかけて優れたセキュリティ環境を導入しても大事なデータを置き忘れてしまっては意味がないわけです。
もうひとつ、あまり考えたくない状況ですが、内部犯行による漏洩も無視できません。サイバー攻撃のようにシステムに侵入するのではなく、従業員を丸め込む形で情報を流出させるような手口も出てきているのです。もはや情報がお金になる時代、不届きな者がお金欲しさに情報を持ち出して売ってしまう、というケースも十分に起こりえます。そうした行為を促すものもいれば、持ち出したデータを買い取る者もいる。現代とはそういう時代なのです。
こうした人間がもたらすミスに対して年々巧妙化が進んでいるのがサイバー攻撃による情報漏洩です。先ほどの誤操作による漏洩にこれが関わっているケースも見られます。
知り合いや取引先を装ったメールを送り付けて悪意のあるサイトへと誘導させてマルウェアに感染させる手口のほか、Webアプリケーションの脆弱性をつかれてプログラムを改ざんされてしまい、情報の流出や改ざんが行われてしまうといったケースが見られます。
これらの手口は年々巧妙化が進んでおり、しっかりとしたセキュリティ環境を整えているはずの大企業から大量の情報漏洩が起こる事件も起こっています。政府・自治体が管理している住民情報が海外のハッカー集団によって盗まれてしまったといった事件も耳にします。
こうした悪意を持った人たちによるサイバー攻撃に関してはとにかくできる限りセキュリティ環境を充実させておくことはもちろん、対策のための専門の部署を作ることも必要になってくるでしょう。
ここでは漏洩を防ぐだけでなく、万一サイバー攻撃を受けてしまったときに迅速に対応できる備えも行うことになります。情報漏洩だけでも企業イメージに大きなダメージを受けてしまいますから、迅速な対応を行わずにズルズルと被害を拡大させてしまうと「危機管理も満足できない会社」というイメージまで持たれてしまうからです。
この専門的な対策に関しては人間によるミスにも適用されます。管理意識を徹底させる、重要なデータに触れるスタッフ全員に日ごろからの管理を忘れないようにさせる。こうした意識改革の段階が行っていく必要が求められているのです。
先ほども触れたように情報漏洩の実態はその半数近くが実際に情報に触れている人のミスや不適切な扱いによって起こっています。まず内部統制、情報を扱い、管理する環境にふさわしい意識づくりが優先されます。
仕事で使っているパソコンはプライベートでは使わない、重要なデータが記録されたHDDやUSBは家に持ち帰らないといったルール作りをまず徹底する。そのうえでそれがきちんと守られる職場づくりも欠かせないでしょう。いくらルールを定めても残業続きで仕事を家に持ち帰らないとどうにもならない環境では有名無実化してしまいます。こうしたヒューマンエラーを防ぐ環境づくりもセキュリティ環境づくりの一環して欠かせない時代になっているのです。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
2020.03.31
セキュリティ対策
2020.05.07
セキュリティ対策
2020.02.25
セキュリティ対策
2019.12.16
セキュリティ対策
WAFとはなにか?不正な通信を検知・遮断するセキュリティ対策
2020.02.25
セキュリティ対策
2020.04.30
セキュリティ対策