情報漏えいのリスク。外部犯・内部犯・誤った認識…それぞれ異なる危険性とは

2023年9月1日掲載

情報漏洩(情報漏えい)のリスク。外部犯・内部犯・誤った認識…それぞれ異なる危険性とは

昨今、企業からの情報漏えいが大きな問題となっています。情報漏えいにはさまざまなケースがあり、外部犯、内部犯、意図的なものかどうかによっても、その対策が異なります。本ブログでは、情報漏えいが起こるメカニズムや、それによって生じる危険性について解説していきます。

目次

セキュリティインシデント増加の背景

新型コロナウイルスの影響により、人々の働き方は大きく変わり、多様化しました。

ひと昔前のように、社内で業務を行うだけでなく、自宅やサテライトオフィスでの勤務が可能になったり、PCのほかにタブレット端末やスマートフォンを利用して業務するなど、場所やデバイスに固定されることなく、柔軟な働き方に対応するための環境整備が進みました。

しかしその一方で、複数の場所やデバイスで機密情報を扱うケースが増えたことからセキュリティインシデントの報告件数が増加したのも事実です。情報漏えいの危険性が身近に潜んでいると再認識して、情報管理に対する意識を変える必要があります。

情報漏えいの種類

情報漏えいには大きくわけて、「悪意があるケース」と、そうでない「うっかりミスによるケース」の2種類が存在します。その中でも、悪意があるケースに関しては、サイバー攻撃によるものと従業員や元従業員の行為によるものが存在します。うっかりミスで情報が漏れてしまうケースでは、従業員による認識のない行為が、結果としてリスクにつながる可能性があります。

情報漏えいを防止するためには、どのようなメカニズムがあるのかを正しく理解しておくことがとても重要です。そこで、次章では何が原因となって情報漏えいが発生するのか、どのような危険性があるのかを、実例とともに解説していきます。

攻撃による窃取(悪意がある場合)

攻撃者による、窃取を目的とした方法には、ソフトウェアやVPN機器などの脆弱性を利用して組織内ネットワークに侵入する「脆弱性攻撃」、不正サイトに誘導して個人情報などを盗み出す「フィッシング」、データの暗号化および窃取後、そのデータの公開をしないことを条件に身代金を要求する2重脅迫型ランサムウェア攻撃などがあげられます。

ランサムウェアに関する事件としては、2023年7月に発生した名古屋港での出来事が記憶に新しいかもしれません。名古屋港のコンテナターミナルで運用されている統一ターミナルシステム「NUTS」(Nagoya United Terminal System)が、ランサムウェアに感染したことが原因でシステム停止し、全コンテナターミナルでトレーラーへのコンテナ搬出入作業が中止になりました。7月4日の早朝にシステムの停止が発覚して以降、7月6日午後まで作業を再開できなかったとされています。

原因としては、リモート接続機器の脆弱性が確認されており、この脆弱性を突いた攻撃を受けたとされています。ランサムウェア攻撃では、リモート機器の脆弱性が悪用されるケースが多く、企業においては環境管理の重要性が改めて問われる事件となりました。

これらの対策としては、最新のセキュリティソリューションの導入やソフトウェアのアップデート、保有している情報に対する適切なバックアップ、セキュリティポリシーの策定と徹底、エンドポイントのリアルタイムな監視、継続的な脆弱性管理などが有効です。セキュリティは日々進化しています。最新情報を取り入れ、インフラ面を強化していくことが重要です。

人為的な行為による流出(悪意がある場合)

続いて、従業員や元従業員・元役員による情報漏えいについてです。

具体的には、機密情報を個人のクラウドへアップロードしたり印刷する、USBなどの記録媒体にコピーするなどして外部に持ち出すなどの不正行為により、情報漏えいのリスクが上がります。

以前、大手外食業界の役員が、転職元の情報を持ち出したとして逮捕された事件があります。また、ある地方銀行では、従業員が私的な郵便を送付する目的でデータベースから顧客の個人情報を参照していたという事実が発覚しました。機密情報の悪用や持ち出しは、株価の下落や企業競争力の低下、さらに顧客の信頼を失うという、甚大な影響を及ぼすのです。

うっかりミスによる情報漏えい(悪意がない場合)

最後は、悪意のないケース。誤認識やうっかりミスによる情報漏えいについてです。このケースは最も身近に起こり得るケースとして認識しておく必要があるでしょう。例えば、機密情報が載った印刷物の放置、メールの誤送信やクラウド・SaaSの設定ミスによるもの、リモートワークに伴うPC持ち帰りなどによる紛失や盗難もリスクの対象です。

また、企業内で承認されていないサービスを、従業員が非公式に利用する「シャドーIT」も、情報漏えいのリスクに繋がります。これは悪意がある場合も存在しますが、認識不足により悪意がないまま情報漏えいにつながることもあります。

意識付けや教育だけでリスクをなくすことは難しい

こうした従業員や役員によるセキュリティインシデントを回避するには、従業員や役員の教育を徹底し、セキュリティへの意識レベルをあげることや、設定ガイドを徹底するなど、日頃の研修や意識付けが重要になります。

しかし、人為的な悪意ある情報の持ち出しに関しては、教育だけでリスクを回避することができません。事実、情報漏えいに関する事故の約9割近くが内部不正により発生していますが、その中でも最も多い割合が「悪意ある行為」による情報の漏えいなのです。

重要なことは環境に左右されない防止・抑止を行うことです。内部不正対策ソリューションを使えば、従業員が端末上で行う操作が記録され、不正な操作を検知し早期の段階で問題を発見することができます。また、不正な操作をした従業員に対し警告などを出すことで、抑止効果の向上にもつながります。

働き方の多様化により、目に見えないリスクは増え続ける一方です。従業員の意識、教育の徹底に加え、ソリューションを使ったリスク回避策を検討することが重要です。

内部不正による情報漏えいから企業を守るために行うべきアクションについてまとめた資料をこちらからダウンロードできます。ぜひ参考にしてください。

ソフトバンクでは、さまざまなセキュリティのソリューションでお客さまの課題を解決いたします。また、関連する記事もぜひご覧ください。

関連記事

クラウド利用のシャドーIT対策
クラウドの設定ミスがもたらすインシデント
内部不正対策 セキュリティ教育では阻止できない情報漏えいの防ぎ方

関連資料

tag
pg12778
displayCount
1

関連セミナー・イベント

オンデマンド配信
本橋 恵美
ソフトバンクビジネスブログ編集チーム
本橋 恵美
2018年からソフトバンクにてB2Bマーケティングに従事。 セミナー企画やウェビナーの立ち上げを担当した後、2023年よりドキュメント制作に携わる。 主な担当領域はスマートワーク実現に向けた内容のコンテンツ。
トップに戻る

同じカテゴリーの記事をみる

Tag
セキュリティ強化
Display
part
/common/fragments/sidebar