情報漏洩対策を事例から考えよう。対策方法を原因や損害とともに紹介
情報漏洩によって失う顧客や取引先からの信頼は大きく、金銭的な損害も大きなものになります。そうならないためにも、情報漏洩を防ぐための対策をあらかじめ用意しておきましょう。実際にあった事例を元に、原因と対策方法についてご紹介します。
この記事の目次
- ・ 情報漏洩の原因と企業の損害
- ・ 情報漏洩の事例を知ろう
- ・ 企業がとるべき対策とは
- ・ まとめ
情報漏洩の原因と企業の損害
まずは、情報漏洩の原因と、それによって企業がどの程度の損害を被るのか、具体的な数字を見ていきましょう。
情報漏洩の原因とは
情報漏洩の原因は、外部からの不正アクセスやサイバー攻撃よりも、実は、内部の人間のミスによるものが多いと言われています。主な原因は、『誤操作』『管理ミス』『紛失や置き忘れ』です。 誤操作は、Webサービスの設定やメールの宛先ミスによるものです。個人情報を誰でも見られるように設定を間違えてしまったために、顧客のプライバシーが流出したという事例があります。 管理ミスは、情報管理の誤りが該当し、破棄したはずの資料が残っていて流出したり、社員がデータを持ち帰って流出したりするなどが、該当する例です。 データの入ったUSBメモリやHDDの紛失・置き忘れも要因として多く、このような形での人為ミスが原因の事例は多岐にわたります。
情報漏洩の件数や賠償額
日本ネットワークセキュリティ協会の報告書によれば、2017年時点での情報漏洩件数は、確認できるだけで386件、漏洩した情報は約520万件にもおよびます。 さらに、想定損害金は約1900億円にもおよび、企業が一度の情報漏洩によって受ける損害は甚大だと言えるでしょう。 ただし、情報漏洩の発生件数自体は減少傾向にあります。これは紙媒体で情報を管理数企業が減ったことが大きな要因のようです。
日本ネットワークセキュリティ協会『2017年情報セキュリティインシデントに関する調査報告』
情報漏洩によって企業の信頼は下がる
情報漏洩によって被るのは、システムの改修や被情報流出者への補償など、金銭的な面だけではありません。いったん情報を流出させた企業は取引先や顧客からの信頼が下がり、取引中止やサービスの解約が後を絶たなくなります。 情報漏洩が企業にとって致命的な傷になりかねないのは疑いようもありません。
情報漏洩の事例を知ろう
実際にどのような情報漏洩の事例が過去に発生しているのかをご紹介します。要因別に分けて紹介するので、それぞれ参考にしてください。
人為ミスによる漏洩が最も多い
人為ミスの事例から見ていきましょう。メールの誤送信の例では、2018年に某経営コンサルティング会社の子会社従業員が、電車内にHDDを置き忘れたことから顧客情報が流出した例があります。 また、2019年時点でも、経済産業省がアンケート調査を委託した先で、メールの誤送信によって個人アドレスおよそ8000件が流出する事故が発生しました。 人為ミスによる流出は規模を考慮しなければ、発生件数はかなりのものに上っているのです。
外部攻撃による漏洩の事例
外部攻撃にも、いくつかの事例があります。2018年12月には、食品関連を取り扱ったオンラインショップが、不正アクセスにより約9000件の個人情報と1000件以上のクレジットカード情報が盗まれました。 また、同月に某大学がフリーメールアカウントに不正アクセスを受けて、病歴やパスポート情報など1万件以上が流出して問題となったのです。 特に後者においては、フリーメールアドレスで大学生の個人情報を管理していたことが問題になりました。不正アクセスと同時にセキュリティ側の問題点が指摘される例が多くあります。
内部の犯行による事例も
内部の人間が故意に情報を流出させている事例もあります。大規模なものでは、2014年の教育関連事業を行っていた株式会社が、約2070万件もの個人情報を流出させたとして問題になりました。 システムエンジニアの派遣社員の犯行で、スマートフォンによって意図的に個人情報を持ち出したと言われています。これにより被った被害は、被害者への補償なども合わせると数千億円に上るそうです。 内部犯による情報流出もたびたび話題に上がり、社会全体として管理体制の見直しが迫られているとも言えるでしょう。
企業がとるべき対策とは
情報漏洩を防ぐために、企業としてどのような対策をすべきなのかを解説します。
多層防御によるセキュリティ対策
AIやIoTの進化によってシステム面やクラウドサービスが改善される一方、サイバー攻撃もこれらを利用して日々進化しています。 より巧妙に、凶悪になっていくマルウェアや不正アクセスを防止するには、一方向のセキュリティでは難しいようです。そのために、多層防御を検討していく必要があると言えるでしょう。 ウイルスの監視だけではなく、認証確認や外部通信時の利用規制、暗号化など複数のセキュリティを組み合わせることが推奨されます。
社内ルール確立とセキュリティ教育
人為ミスや内部流出を防ぐためには、社内ルールによる取り締まりと社員に対するセキュリティ教育が重要です。 独立行政法人情報処理推進機構セキュリティセンター(IPA)では、規則化のガイドラインを公表しています。それに従い、情報の持ち出しや持ち込みを安易にさせない規則を制定しましょう。 インターネットワークが業務に欠かせない現状、社員1人ひとりのセキュリティ教育も重要です。セキュリティに対する社内全体のリテラシーを高めることが、情報漏洩の防止につながります。
情報漏えい対策のしおり
まとめ
情報漏洩は企業や教育機関を問わず、さまざまな場所で発生しています。その際の損害は金銭や社会的信用を含めて莫大なものです。防止対策は必須と言えるでしょう。 多層セキュリティの導入や社内ルールの見直し、社員教育によってセキュリティに対する意識改革を企業全体で行うことが求められています。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。