<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

情報漏えいの原因と対策 ~個人情報・顧客情報の流出を防ぐために~

情報漏えいに関するさまざまなニュースが報じられている昨今。

ひとたび情報漏えいが発生すると、どれくらいの損害賠償額が発生するかと1度は考えたことのある方も少なくないでしょう。

特定非営利活動法人 日本ネットワークセキュリティ協会が公表している『2017年 情報セキュリティインシデントに関する調査報告書【速報版】』によると、情報漏えい事件1件あたりの平均損害賠償額は約5億円。個人情報が漏えいされた人の人数は約520万人で、想定される損害賠償の総額は約1914億円にも上るとのことです。

今回は、情報漏えいが起こる原因と、それを防ぐための対策についてご紹介します。

目次

  1. 情報漏えいの主な原因
  2. 情報漏えいを防ぐための対策
  3. もしも不正アクセス・マルウェア感染による情報漏えいが起きたら
  4. まとめ





情報漏えいの主な原因

9262-00002-2.jpg 個人情報・顧客情報の流出などの情報漏えいは、どのようなことが原因で発生するのでしょうか。




メール送信時などの誤操作

メールは社内外問わず使える分、誤操作の影響も社内外へ渡る可能性があります。たとえばこのような誤操作によって、情報漏えいが発生しています。

<例>

  • 宛先間違えによる情報漏えい
  • 送信すべきファイルの選択ミス
  • 本来BCCに入れるべきメールアドレスをToやCCに入れてしまい、メール受信者に全員分のメールアドレスが漏れるBCCで送信すべきメールアドレスをTo、またはCCに入れてしまう事によるメールアドレスの漏えい



端末などの紛失・置き忘れ

PCや記録媒体、書類を失くしたり、置き忘れたりすることが情報漏えいにつながるケースもあります。

<例>

  • USBメモリやSDカードといった持ち出しをしやすい記録媒体を落とす
  • 酒に酔ってノートPCが入ったカバンを飲食店や駅に忘れ、盗難被害に遭う
  • カバンから出した重要書類入りの封筒をそのまま置き忘れる



不正アクセス・マルウェア感染

情報漏えい発生件数は全体の2割ほどではあるものの、漏えいの規模が拡大しがちなのが不正アクセスやマルウェア感染による情報漏えいです。

<例>

  • ショッピングサイト等に対する不正アクセスによるお客様情報の搾取
  • Webサイトの改ざんによるフィッシングサイトへの誘導
  • マルウェアが埋め込まれたWebサイトを閲覧してマルウェアに感染

情報漏えいを防ぐための対策

情報漏えいの発生を防ぐためには、下記のような対策が考えられます。

メール誤送信防止システムの利用

9262-00002-3.jpg

メールの誤送信に対しては、「メール誤送信防止システム」を導入するのも一手です。

「メール誤送信防止システム」には、メール送信時にアドレスが適切かどうかを判断する機能や送信先を制限する機能、第三者が承認の上送信するなどの仕組みがあります。

端末持ち出しルールを定める、遵守させる

端末を社外へ持ち出すときはルールを定め、社員・関係者に徹底して遵守させるようにしましょう。

ただし、ルールを複雑にすると社員や関係者は煩雑さを覚え、ひいてはルールそのものが形骸化してしまう可能性もあります。

効果と遵守の両面でルールを考えることが肝要です。

WAFの導入

ECサイトなどオンラインショッピング事業や会員制Webサイトの運営、Web経由で他社へサービスを提供している組織の場合はWAFの導入もおすすめします。

Webアプリケーションの脆弱性を悪用した攻撃に対処するためのWAF(Web Application Firewall)というシステムがあります。

かつてWAFの導入・運用は専門知識が必須でハードルが高いものでしたが、最近はクラウド型が登場し、コスト・人的負荷の両面が改善されています。



もしも不正アクセス・マルウェア感染による情報漏えいが起きたら

万が一情報漏えいが発生した場合、報告を受けた情報システム部門はどのような対応を取れば良いのでしょうか。

情報漏えい発生時に取るべき対応を、順を追って見ていきましょう。
  1. 二次被害を防ぐ
    まずは二次被害防止のための初動対応をします。たとえば端末がマルウェアに感染したのであればネットワークから隔離する、といったことです。
  2. 状況整理
    いつ、誰が、どこでなど5W1Hで状況を整理します。もし端末の紛失が起こったのであれば、端末の製造番号などを調査し、控えておきます。
  3. 連絡・公表
    漏えいした情報の重要度によって、取引先への連絡やマスコミへの公表が必要となります。金銭の要求など犯罪性がある場合は警察へ届け出ることも検討したいところです。これらの対応については情報システム部門が単独で判断をするのではなく、総務部や法務部などと連携して対応を協議します。
  4. システムの復旧
    被害拡大を防止し、システムを復旧するための措置を行います。漏えいした情報によっては専用の相談窓口も設置も必要です。



まとめ

今回は、情報漏えいの原因と対策などをご紹介しました。

メールの誤送信やノートPCの紛失などのヒューマンエラーや、悪意の第三者によるWebサイトへの不正アクセスなどの原因によって、多くの情報漏えいが発生しています。

特に、不正アクセスによる情報漏えいは1件あたりの流出個人情報件数が多い傾向にあり被害が大規模になるケースが多いため、社会的な影響も大きくなります。

情報漏えい対策として、まずはルールの見直しをしてみてはいかがでしょうか。

また、オンラインショッピング事業や会員制Webサイトの運営、Web経由で他社へサービスを提供している場合は、WAFの導入などのWebサイトセキュリティの強化を検討されてみてはいかがでしょうか。

よくある質問

情報漏えいの主な原因はなんですか?
メール送信時などの誤操作などが挙げられます。詳しくはこちらをご覧ください。
情報漏えいを防ぐための対策はなんですか?
メール誤送信防止システムの利用などが挙げられます。詳しくはこちらをご覧ください。
もしも情報漏洩が起きたらどうすればよいですか?
まずは二次被害を防ぐことが重要です。詳しくはこちらをご覧ください。

情報漏えい対策に関するご相談・お問い合わせ

contact1.png

関連サービス
〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »