情報漏えいとは?事例やセキュリティ対策、発生する理由を解説

情報漏えいとは

「情報漏えい」とは、内部に留めておくべき情報が何らかの原因によって外部に漏れてしまうことです。例えば、外部からの攻撃、人間のうっかりミス、社員の内部不正などの原因で情報漏えいします。

情報漏えいと情報流出の違い

「情報漏えい」と「情報流出」、どちらの言葉もニュースなどで見聞きし、同じような用途で使われていますが、厳密には意味が異なります。「情報漏えい」については、上述した通りですが、一方、「情報流出」とは内部の情報が外部に流れ出ることを表します。つまり、「情報漏えい」は『知れてしまうこと』に重きをおいた表現であり、「情報流出」は『外部に出てしまうこと』に重きをおいた表現です。ほぼ同じ意味で用いられる言葉ですが、的確に表現したい時には使い分けるとよいです。

情報漏えいの主な理由「なぜ発生するのか?」

外部からの攻撃

東京商工リサーチ社調査報告の2020年の情報漏えい事故原因で最も多かったのは「ウイルス感染・不正アクセス」で51件となり、全体の49.5%を占めています。不正アクセスの防止対策やアンチウイルスソフトの導入、ファイアーウォールの導入等が一般的な対策として浸透してきている一方で、近年ではパスワード付きZIPファイルがアンチウイルスソフトやマルウェア検査を回避することを悪用して「Emotet」や「IcedID」のようなマルウェア攻撃が横行しました。このような側面もあり、PPAP(メールで暗号化ZIPファイル送信して、後からパスワードをメールで別送して復合化する)を廃止し、別の手段でファイルを送信するという対策も注目されています。

6384_shiryo1.png

出典: 東京商工リサーチ 「上場企業の個人情報漏えい・紛失事故」調査(2020年)

人為ミスによる漏えい

外部からの悪意を持った攻撃が増加傾向にあり、セキュリティ対策の重要性はいうまでもありませんが、情報漏えい事故にあたっては人為的ミスによるものも忘れてはいけません。東京商工リサーチ社調査報告に2020年の情報漏えい・紛失原因内訳が公表されていますが、ウイルス感染・不正アクセスに続いて、誤表示・誤送信と紛失・誤廃棄と人為的ミスによる原因が2番目、3番目に多い結果となっています。メールでの送り先間違いや、添付間違いなどのうっかり「別のファイル、人へ」、といったケースおよび、USBメモリの紛失、資料の置き忘れなどの「忘れる」ケースが多く見受けられます。在宅ワークが増えていくなかで、メールやファイル共有ツールの利用頻度も増え、事故もさらに増えると想定されます。

6384_shiryo2.png

出典: 東京商工リサーチ 「上場企業の個人情報漏えい・紛失事故」調査(2020年)

内部不正による漏えいも

情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2020」の報告書で公表されていますが、漏えい事故の全体に占める割合は小さいものの、近年内部不正による情報漏えいが増加傾向にあり、漏えいルートの多くが中途退職者によるものであることが報告されています。在職中の身内による不正行為は、会社自体の信頼を失墜させ、事業継続を困難にさせる深刻な事態に陥りかねません。内部不正への対策も重要性を増しているといえます。

情報漏えいが発生した時の会社への影響

企業にとって情報漏えい事件は大きなインパクトがあります。漏えいした情報が機密情報の場合、信用の失墜によるビジネス機会の損失が容易に想像され、個人情報の場合だと補償の問題も発生することになります。東京商工リサーチ社の調査報告によると、2020年、個人情報の漏えい・紛失事故を公表した上場企業とその子会社は88社になり、事故件数は103件、流出した個人情報は2515万47人分に達し、同社が調査を開始した2012年以降で最多の社数となったようです。これらのなかにはクレジットカード情報の流出による不正決済や不正出金に至るケースも発生しており、データを預けた個人にまで実害がおよぶケースが増えてきています。このような事故にあわないためにも、ビジネスで個人情報や機密情報を取り扱う場合、ファイル受け渡しのリスク管理は必須といえます。

6384_shiryo3.png

出典: 東京商工リサーチ 「上場企業の個人情報漏えい・紛失事故」調査(2020年)

情報漏えいが発生した企業事例に基づくモデルケース

次に、JNSA(NPO日本ネットワークセキュリティ協会)が公開している「インシデント損害額調査レポート2021年版」(外部サイト)に掲載されている情報漏えいのモデルケースをいくつか紹介します。

軽微なマルウェアに感染したケース

【インシデント概要】
・従業員がメールに添付されたファイルを開いたところマルウェアに感染
【被害概要】
・メールで感染拡大するマルウェアで従業員の端末3台とサーバー1台が感染
・個人情報の漏えい等は発生していない
【被害額(損失額)】
・総額: 600万円
・内訳: 調査費(500万円)、再発防止策(100万円)

ECサイトからのクレジットカード情報等が漏えいしたケース

【インシデント概要】
・ECサイトから、利用者の氏名、住所、クレジットカード情報、セキュリティコード等が漏えいしていることが、決済代行会社からの通報により判明
【被害概要】
・システムの脆弱性を利用したサイト改ざん
・攻撃者設置の偽の入力フォームから10,000件の情報漏えい
・漏えいしたクレジット情報で2,500万円の不正利用
【被害額(損失額)】
・総額: 9,490万円
・内訳: ECサイト停止対応(10万円)、調査費(300万円)、法律相談(50万円)、コールセンター費用(1,080万円)、お詫び・見舞品送付費用(650万円)、再発防止策・システム再構築(800万円)、利益損害(3,000万円)、賠償損害(3,600万円)

大規模なマルウェアに感染したケース

【インシデント概要】
・海外子会社のサーバーがサイバー攻撃を受け、攻撃者は各種資格情報を取得したうえでネットワークへの侵入を続け、本社が管理するサーバーにアクセスするに至った。
・攻撃者はさらにネットワーク内に存在する各種データをランサムウェアに感染させ、暗号化するとともに、既に窃取したデータの一部をダークウェブ上で公開し、データの回復およびデータの公開をやることと引き換えに身代金を払うよう当該企業に要求した(二重の脅迫)。
【被害概要】
・社内ネットワーク全体の停止、メール送受信停止、システム停止による製品出荷停止
・一時的な復旧に3日、完全な収束に3ヶ月を要した
【被害額(損失額)】
・総額: 3億7,600円
・内訳: 調査費用(1億円)、端末入れ替え費用(1.42億円)、再発防止費用(0.5億円)、利益損害(0.84億円)

情報漏えいを防ぐ主なセキュリティ対策ツール

それでは情報漏えいの主な理由に対してどのように対処すればよいでしょうか。それぞれ以下のような対応策や対策ツールの導入が例として挙げられます。

外部からの攻撃

【原因】
・不正アクセスやマルウェアの感染
【具体例】
・マルウェアが埋め込まれたWebサイトを閲覧して感染した
・フィッシングメールを開いてしまった
【対応策・対策ツール】
・次世代ファイアーウォールの導入
・ウイルス対策ソフトウェアの導入、強化

人為ミスによる漏えい

【原因】
・従業員等の操作ミスや設定誤り
【具体例】
・メール送信時などの誤操作
・クラウドサービスの権限等の設定誤り
【対応策・対策ツール】
・社内ルールの制定
・社内教育の徹底
・メール誤送信防止システムの導入(ファイル受け渡しツール等)

内部不正による漏えい

【原因】
・悪意を持った社員や退職者による持ち出し
【具体例】
・顧客情報や機密情報をUSBや印刷して持ち出す
【対応策・対策ツール】
・秘密保持契約の締結
・IT資産管理ツールの導入

人為的な原因で起こる情報漏えいに対してできることは

情報漏えいの発生リスクを減らしていく

インターネットを介したデータのファイル受け渡しは昨今のビジネスでは必須といえます。在宅ワークが日常に浸透していくなかで、当該作業の頻度は今後より増加していくと想定され、当該作業に対するリスクの洗い出しと、それに対する施策を講じ、PDCAサイクルを回してリスクの低減を図るための日々の取り組みが重要となります。

【機会を減らす】: そもそも重要データにアクセスさせない
・アクセス権限管理、ユーザー制限など

【手段を減らす】: データ交換の手段を制限する
・USBメモリの禁止、ファイルアップロードの禁止、メールのファイル添付を禁止など

【不備・不正を減らす】: ミスや不正に対する意識向上を図り緊張感を持たせる
・勉強会/研修、定期的なリテラシーチェックテスト実施など

【万一に備える】: 漏えいした場合の保険
・ログの取得、データの暗号化など

『いつ』・『誰が』・『何を』・『した』を記録する

昨今ではシステムを利用した企業活動にあたってログの重要性が浸透し、システムを導入している企業ではなにかしらのログを取得していると想定しますが、活用できているケースはそれほど多くはありません。リスク管理の観点で、ログを利用した監査・監視の仕組みがあることで、不幸にも漏えい事故が発生した場合の、影響範囲の把握、迅速な事後処理に対応することができます。また、社員に対する研修などで「ログをとっている」、「常に見られている」という意識付けをすることは内部不正の抑止にもつながります。

シンプルで安全な仕組みを用意する

「制限を設ける」、「ルールを周知・徹底する」といったことにより発生リスクの低減化は図ることができますが、これだけでは「うっかり送信」といったミスに対する施策が十分ではありません。人がやることなので、必ずミスは発生します。ミスによる発生リスクを減らすためには、作業を自動化したり、負荷を軽減する仕組みの導入が必要です。また、制限を行ったうえで円滑にビジネスを進めるためには、誰でもすぐ使える、シンプルで、かつ安全な仕組みを用意することが重要となります。

ここまで情報漏えい全般について説明してきましたが、制限や禁止ばかりではビジネスを円滑に運営できないというのが実態です。ファイル受け渡しの作業ひとつとっても、それぞれの用途、場所によって事情も異なります。自身のケースに置き換えてリスクを洗い出し、アセスメントによって潜在リスクを明確にし、リスク管理の方針を策定したうえで、制限とトレードオフとなる便利な仕組みを用意することが重要です。そして、定期的な監査を実施し、PDCAのサイクルを回すことで継続的なリスクの低減化を実現することができます。

情報やデータをインターネット経由でやり取りすることが増えたこの時代だからこそ、それらを安心・安全に実現できる【オフィス宅ふぁいる便】をご検討いただければと存じます。

人為的な原因で起こる情報漏えいの対策ツール

では、最後に人為的な原因で起こる情報漏えい対策のツールをご紹介します。

■オフィス宅ふぁいる便の機能の紹介
【『人為ミスによる漏えい』に対する対策をサポートする機能】
・送信取り消し機能
・簡易ワークフロー機能
 ファイル送信通知を、事前に設定された上司にもメール通知(BCC)する機能

【ファイル送信の『いつ』・『誰が』・『何を』・『した』の管理をサポートする機能】
・ユーザー管理機能
・送受信履歴機能
・ファイル送信通知機能
・アーカイブ機能 ※エンタープライズプランが必要
一定期間、送信したファイルや送信記録を保管し続ける機能

【オフィス宅ふぁいる便】の機能・料金など詳細については、以下のページをご参照ください。

【オフィス宅ふぁいる便 特集ページ】


2021年12月2日

※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。

関連サービス

  • オフィス宅ふぁいる便

    オフィス宅ふぁいる便は、安心・安全・簡単に10GBまでのファイル送受信が可能なサービスです