サイバー攻撃は自然災害ではなく、何らかの目的や意図をもった人間によって行われます。また、意図しないものであっても、人の不注意や知識不足によってもたらされるサイバーリスクも存在します。
情報漏えいの原因は、大きく次の3つに分類できます。
「外部からの攻撃」「内部不正」「人為的ミス」
情報漏えいリスクをもたらすのは外部の攻撃者だけではなく、組織の内部にいる役員や従業員、派遣社員、取引先の人など組織内部の人物もリスク要因になり得ます。まずは誰によるどのような情報漏えい経路があるかを知り、自社に足りない対策のポイントがどこにあるのかを確認しましょう。
サイバー攻撃と聞いてイメージするのは、外部の攻撃者によるものでしょう。代表的な攻撃者の目的としては「金銭の奪取」「機密情報の窃取」「業務妨害」が挙げられます。攻撃の規模もさまざまあり、国家の支援を受けたハッカーが諜報活動として行う場合もあれば、大企業への足掛かりとしてサプライチェーン上の中小企業を狙って行う場合や、単に無差別にマルウェアを多数の企業に送り付ける場合もあります。
どのような場合であっても、十分な対策が取れていなければ多額の金銭や機密情報の漏えいにつながるため、自社に合わせたサイバーセキュリティ対策が必須です。
実は、情報漏えいが起こる原因の8割は組織の関係者によるものです。現役の役員・従業員だけではなく、退職した元従業員や取引先や協力会社も情報漏えいの起点となる可能性があります。組織内部からの漏えいの場合、外部から攻撃を受けた場合に比べて被害額や影響が甚大になりやすい傾向があります。
組織内部からの漏えいには「悪意がある」場合と「うっかりミス」という2つのパターンがあり、それぞれに適切な対策が異なります。また、組織外部からの攻撃とは異なる考え方で対策を行う必要があるため、組織のセキュリティを総合的に考えるためには必要不可欠な領域といえます。
組織外部の攻撃者による機密情報の窃取にはどのような手法があるのか、代表的なものをご紹介します。
ランサムウェアの脅威は、もはやデータやデバイスの暗号化にとどまりません。昨今では、「機密情報を闇サイトで公開する」などという脅迫で金銭を要求する手法も増えています。この脅威に対抗するには、基本的なアンチウイルス対策やデータのバックアップだけではなく、侵入を検知し、侵害を最低限に抑える対策が有効です。
VPN機器やネットワーク機器、PCやサーバなどには、日々新しい脆弱性(セキュリティホール)が発見されています。攻撃者は、これらを用いて組織のネットワークに不正に侵入し、機密情報の窃取やマルウェア感染を実行します。脆弱性対策の基本は、脆弱性情報が公開された後できるだけ早く修正パッチを当てることです。そのためには、組織にどのようなシステムやデバイスが存在し、未対応の脆弱性がないか管理することが重要です。
本物の担当者になりすまして送られた、偽の送金依頼やマルウェアが仕込まれたメールを気づかずに開いてしまい、被害にあうケースが報告されています。非常に巧妙に作成されたメールが送られてくるため、従業員のリテラシー教育だけでは見破れず、結果として多額の被害につながってしまいます。ビジネスメール詐欺への対策には、システムやセキュリティソリューションによって偽メールを見破る体制が必要です。
個人向けのスパムメッセージとしても認知されているフィッシングやスミッシングも、法人組織向けの攻撃手法として知っておくべき脅威です。法人をターゲットにする場合、攻撃者の狙いとしてSSOやグループウェアのID/パスワードが挙げられます。この攻撃が成功すると、攻撃者は正規のID/パスワードを用いて組織のネットワークに侵入することが可能になり、更なる被害の拡大につながるため、注意が必要です。
標的型攻撃やAPT(Advanced Persistent Threats)攻撃は、非常に巧妙かつ慎重に攻撃が行われます。そのため、攻撃者による侵害が発生していることに気づかず知らない間に情報が漏えいしていた、という事態になりかねません。標的型攻撃の被害拡大を防ぐためには、侵入を防ぐ対策だけではなく、できるだけ早く攻撃者の侵入を検知し封じ込めるための対策が必要となります。
サイバーセキュリティは、自社の対策だけでまかなえるものではありません。昨今では、比較的セキュリティが脆弱な関連中小企業を踏み台にして大企業に侵入する、サプライチェーン攻撃による被害も確認されています。関連会社、協力会社にセキュリティが脆弱な企業がないか確認するとともに、サイバー攻撃の起点になりやすいメールのセキュリティや認証を強化したり、侵入を想定したセキュリティ対策を実施するなど、セキュリティの強化を行いましょう。
会社への恨みがあったり転職先で優位に立つために、退職する役員や従業員が機密情報を持ち出してしまう事件は後を絶ちません。内部関係者による情報漏えいのリスクを抑える対策を取り、内部不正をさせない仕組みを作ることが重要です。
故意ではなく、誤認やうっかりミスによる情報漏えいであってもリスクであることは変わりありません。悪意のない関係者が不幸な情報漏えいをしてしまわないよう、システムや従業員教育によるサポートが必要です。
組織で許可されていないクラウドサービスやファイル共有サービス、私用デバイスを利用して情報を持ち出す「シャドーIT」は、情報の不正持ち出しが起こる大きな要因の1つです。社用の端末から許可されていないクラウドサービスへのアクセスを禁止したり、許可されていないデバイスが社内ネットワークに接続できない仕組みを整えることが対策の基本となります。
SaaSであると認識せずサービスを利用していたり、IT部門以外の各部門で勝手にSaaSを契約して利用するなど、必要なチェックを経ずに利用されているSaaSの利用もセキュリティリスクを高めます。IT部門で適切な監査や管理ができないため、たとえ設定ミスがあったり機密情報がアップロードされたりしていても気づくことができないためです。ネットワークの監視などによってシャドーITが存在していないか、チェックが必要です。
サンクションITとは、会社での利用を許可されているクラウドサービスやデバイスなどを指します。許可されているクラウドサービスだとしても、個人アカウントでログインできてしまう場合情報が簡単に持ち出せてしまいます。この場合は、同じクラウドサービスでもアカウントによるアクセス制御対策が必要です。
会社で許可されているクラウドサービスなどのサンクションITであっても、個人のアカウントでログインしていないか、機密情報をアップロードしてよいか、など、利用状況をチェックする仕組みが必要となります。クラウドサービスは便利な反面、使い方次第でリスクが急激に高まる可能性があるため、十分な社内教育とシステムによる管理を行いましょう。
IaaS/PaaS/SaaSはその利便性の高さから多くの企業で利用されていますが、設定1つでそのサービスへのアクセス権限範囲が大きく変わってしまったり、クラウドサービスの提供側が仕様変更したりすることで想定していたセキュリティレベルが保てなくなる場合があります。日々さまざまな業務に追われるシステムやセキュリティの担当者が全てのサービスを完璧に確認することが困難な状況にある今、クラウドセキュリティ管理に特化したツールの必要性が高まっています。
PCや社用端末の紛失は、昔から繰り返されるセキュリティインシデントの1つです。特に昨今スマートフォンからアクセスできる機密情報はPCとほとんど変わらない状況になっており、スマートフォンを含むデバイス管理は欠かせないセキュリティ対策の1つです。デバイス管理ソリューションによって強固なパスコードを必須にしたり、万が一の時にリモートワイプやデバイスの暗号化などが早急に行える体制を用意しておくことが重要です。
パートナー企業とともにプロジェクトを進める際、必要以上の機密情報が共有フォルダに入っていたり、誤った権限管理によって機密情報が見られる状態にあることも、情報漏えいリスクの1つです。信頼関係がある企業だとしても、情報漏えいができない状態にしておくことで、気の迷いやうっかりミスによる漏えいを防ぎ、良好な関係を保つことができます。
手軽に情報を外部に持ち出せるUSBを用いた不正持ち出しも注意するべきポイントのひとつです。業務でUSBを利用している場合でも、必要な範囲の情報かどうかまで検証する必要があります。必要がない場合はデバイスコントロールでUSBの利用を無効にしたり、大量の機密情報が持ち出せないようなDLP対策も行いましょう。
業務上必要だからといっても、会社のネットワークやサーバに個人端末からアクセスできる環境は、内部不正を誘発するリスクが高まります。内部不正を許さない仕組みづくりには、セキュリティ対策をきちんと行った社用端末を利用させることや、アカウント情報での認証だけでなく把握していないデバイスからの接続をさせない仕組みなどが有効です。
IT資産として厳重に管理していても、紙媒体で持ち出されてしまうケースもあります。オンプレミス、クラウドにかかわらず、ファイルの権限管理を行い、場合によっては印刷等も制限する必要があるでしょう。また必要に応じて、個人のPC上での挙動を監視するソリューションの導入も有効な対策の一つです。
日常的に外部とのやり取りが発生するメールでは、機密情報を外部送信したり、自分の個人アドレスに送ったりしても怪しまれにくいという弱点があります。また外部からの攻撃と異なり、組織内部の人間による不正な情報送信は検知しづらいため、内部不正専用の対策が必要となります。
機密情報だと認識していなかった、機密情報をアップロードしてはいけないと知らなかったなど、従業員教育が必要なケースもあります。セキュリティ対策は、「人」と「ソリューション」の両輪で回っています。適切なセキュリティ教育を定期的に行い、不幸なインシデントを回避しましょう。
条件に該当するページがございません
条件に該当するページがございません
組織の情報漏えい対策は、単一のソリューションだけでなく総合的なサイバーリスクマネジメントに伴走できるパートナーが最適です。ぜひ一度ソフトバンクにご相談ください。