【情報漏洩対策】情報漏洩の事例・要因・対策を徹底解説!

情報漏洩対策してますか?「情報漏洩」と聞くと企業や組織の問題だと考えますよね。確かに情報漏洩は企業にとって大きな脅威となっています。しかしネット上でクレジットカードを使ったり、口座を管理したりできるようになったいま、「情報漏洩」は個人にとっても大変な脅威となり、毎年多くの損害を与えています。 この記事では「情報漏洩」の事例を検討し、その要因を探り、最後に具体的な対策を紹介していきます。

目次

情報漏洩について

21世紀に入ってから我々は様々な新しい技術を手に入れてきました。その最たるものの一つがIT技術であり、スマートフォンの発展であろうと考えられます。


今ではOA化が進展しIoT化(モノのインターネット) の時代が到来しています。

このような高度情報化社会を生きる我々には「情報漏洩」という新たな危機が迫っています。

「情報漏洩」には主に個人によるものと企業によるものがありますが、情報自体が資産である現在においては、この情報漏洩は誰に対しても大きな損害を与えうるものとなりました。

早速、どのような事例があったかを確認してみましょう。

 日本で起こった情報漏洩の事例

hacking-1685092_1280
 
情報漏洩には様々な事例があります。今回は具体的に個人利用者の脅威第一位と、企業組織の脅威第一位、さらに最新の事例、この三つを紹介します。

1. インターネットバンキングやクレジットカード情報【個人】

この事例は個人利用者に対する脅威として最大のものです。

インターネットバンキング利用者を標的としたウイルスやフィッシング詐欺による不正送金が多発しています。

被害者に気づかれにくくするため、注文連絡等を装ったメールにウイルスを添付しているものも確認され、2015年以降は中小金融機関や法人口座も標的となっています。

フィッシング詐欺の手口も巧妙化しており、金融庁をかたって注意喚起などの名目で口座情報を記入させる事例も確認されています。

2. 標的型攻撃による情報漏洩【企業】

この事例は多くの場合攻撃者が組織的であり、主に企業組織にとっての最大の脅威とされています。

「標的型攻撃」は特定のPCをウイルスに感染させ、外部から遠隔操作し内部情報を盗み取る手口のことです。

実際に2015年には日本年金機構が標的になり、約125万件の「基礎年金番号」、「氏名」、「生年月日」、「住所」が漏洩したと報道されたことが記憶に新しいですね。

3. ランサムウェアを使った詐欺【最新】

この手口は2014年の末に初めて日本で確認され、2015年10月以降は件数拡大の傾向にあります。

具体的には、特殊なプログラムによってPC内のファイルを暗号化し閲覧・編集できなくさせてしまいます。そしてファイルを復元する代わりに金銭を要求するのです。

企業にとってはデータを人質にとられて身代金を請求されるようなものです。

さらに最近は流ちょうな日本語メッセージを提示する、多言語対応などの巧妙化が確認されています。
 

情報漏洩が起きてしまう要因

bigdata-1423786_1280
 
 では情報漏洩はどうして起こってしまうのでしょうか、要因は多様ですが、主な三つの脆弱性を検討してみましょう。 

1. システムの脆弱性

情報漏洩のもっとも大きな問題はシステムの脆弱性だと言えます。

  1. セキュリティーが設定されていない:PCにロックが掛かっていない、セキュリティーソフトが導入されていない、などは攻撃を受けた際の大きな弱点となります。
  2. ソフトウェアのバージョンが古い:ソフトウェアだけではなくOSやブラウザも古いバージョンを使用していると、攻撃の方法を熟知されています。とくにサポートが切れたソフトを使用することは最も危険です。

2. 物理的な脆弱性

近年ではUSBなどによってデータの持ち運びがかなり簡単になっていますよね。しかもラップトップの軽量化も進み大量のデータを簡単に移動させることが可能となっています。

ところで、もし顧客データの詰まったUSBを紛失したとしたらどうなるでしょうか…?

このようにデバイスの小型化・軽量化は便利さももたらしましたが、同時に私たちを常に物理的な脆弱性にさらすこととなりました。

3. 知識・意識の脆弱性

情報資産の多くは目に見えないものです、ですが実際にはあなたの口座の全額だとか、商品の売り上げだとかを直接に意味しています。

私たちは目に見えない対象に関して非常に意識が弱い傾向があり、情報漏洩が実際に及ぼす影響に対して意識が薄いと思われます。このような知識・意識の弱さも情報漏洩の根本的な要因となっています。

個人が情報漏洩を防ぐための対策

security-265130_1280


この三つの要因をふまえて、私たち自身が個人的に簡単にできる対策を考えてみましょう。

1. ソフトウェアの更新

システム脆弱性に関して述べたように、ソフトウェアのバージョンを最新に保つことは情報漏洩を防ぐためにすべき第一の事柄です。

そしてこのアップデートは多くの場合無料ですので手軽ですよね。しかし場合によってはアップデートが出来ない、もしくはしたくないという方もいらっしゃると考えられます。その場合は対策2です。

2. セキュリティーソフトの導入

基幹ソフトのアップデートのいくつかは大きなデータ容量を必要としていて、容量の少ないデバイスでは不可能な場合もありますよね。そんな時はセキュリティーソフトの導入を検討してみてはどうでしょうか。

最近ではセキュリティーソフトが二千円程度から流通していますのでかなり手軽にできる対策だといえます。セキュリティーソフトは値段にも内容にもばらつきがありますが、犯罪者と私たちの間に一枚でも障壁を設けることは対策として有用です。

ちなみにセキュリティーソフトにもアップデートは必須ですのでお忘れなく。

3. パスワードを設定する

この対策は一見当たり前のようにも思えます。しかし最近ではパスワード設定の問題から「LINE乗っ取り詐欺」などに発展した事例もありますので、もう一度パスワード設定の基本を確認しておきたいと思います。

  1. 誕生日などを用いない
  2. 8文字、または16文字以上にする
  3. 英数、記号を混ぜて使用する

4. 情報の価値を知り意識する

この対策方法は根本的なものです。当たり前ではありますが、この対策には導入コストが必要なく、大きな効果が望めます。

基本的には「個人情報」のもっている本来的な価値に自覚的になることが対策になります。情報の価値は主に有形・無形に分かれます。

個人情報の有形の価値としては、それは金銭的な問題であるといえます。クレジットカードの情報一つであなたには大きな損害がもたらされるかもしれません。

また無形の価値としては、個人的「信用」が問題となります。情報漏洩を一度でも許してしまうことが会社や友人との信頼関係に影響を与えてしまうことは少なくありません。

大切なのは情報の価値を自覚することです。そうすれば自ずから様々な対策が理解できるようになります。

企業が情報漏洩を防ぐための対策

censorship-610101_1280
 
では企業・組織はどのようにして「情報漏洩」に立ち向かえばよいのでしょうか。「個人」が気を付けるこべき事柄は基本として、「組織」としての対策をいくつか検討してみましょう。

1. システムの管理部門を強化する

数多くのPCを取り扱う企業にとって、システム管理を各自の裁量に任せることは自殺行為であると言えましょう。

多くの企業では対策が進んでいますが、依然として日本の企業における情報管理部門は整備途上といえます。具体的には以下のようなタスクを集中的に担当できます。

企業にとって職務の選択的分担と一括化は基本であるといえます。

  1. すべての情報の重要性をレベル分けしてアクセス権を明確にする
  2. 社内PCのセキュリティー、ソフトウェアアップデート管理を一括して行う
  3. 社員に情報資産教育をする

2. 情報機器の管理を徹底する

最近ではBYOD(Bring Your Own Device)という考え方もあります。たしかにこの考え方はデバイスなどを企業が購入する必要がないのでコスト削減にみえます。しかし情報漏洩が一度起きてしまえば情報資産のもっている二つの価値を一瞬で失います。

情報を奪われることによる損失は情報それ自体にとどまらず、損害賠償、信用の低下など多面的なものです。したがって初期投資費用がかかってでも職務専用のPCやUSBを用意することは企業にとって重要な情報漏洩対策となります。

3. 情報資産に関する啓発をする

しかし企業は種々多様な人々によって構成されているのであり、トップダウン式での情報漏洩対策だけでは脆弱性がのこってしまいます。

担当者の各人が企業の情報資産にたいする理解を深めるボトムアップ式の対策も欠かせません。

4. 情報漏洩に対処する仕組みを整える

上記のような対策をすでになさっている企業もあると考えられます。しかし犯罪者集団や産業スパイは現在の情報管理網をかいくぐろうとますます巧妙な手口を開発しています。

したがって企業の対策が報われずに情報漏洩に至ってしまう場合もあるのです。また人為的ミスによる情報漏洩はおそらく人間である以上は続く問題だといえます。

情報漏洩によって資産を失うことより恐ろしいことは何でしょうか。それは企業が「信頼」を失うことなのではないでしょうか。

原理的に情報漏洩がゼロにはならない以上、企業がすべき最後の対策は訴訟などに備えて適切な「弁護士」との関係を築いておくことです。弁護によって企業が誠心誠意対策をしていたことが明らかになれば「信用」まで失うことはないでしょう。

【情報漏洩対策】情報漏洩の事例・要因・対策を徹底解説!のまとめ

grid-1511498_1280
 

情報漏洩を検討して、三つの脆弱性を提示することが出来ました。

この脆弱性を自覚しておくことが情報漏洩に対する基本的な対策になるのです。

しかし情報漏洩がゼロにはならないものである以上、いざという時に備えて専門家に相談することも重要なことですね。

参照:独立行政法人 情報処理推進機構 セキュリティーセンター

この記事の作成者

ジコナラ編集部