情報漏えいの3つのリスクを解説！知らないと危険な発生原因と具体的な対策について

• 2024.3.29 (金)
  Posted by NTT東日本

「情報漏えいの対策はしているが、今のままで大丈夫だろうか」「テレワークにクラウドアプリを使っているが特別に何かセキュリティが必要か」「クラウドメールは既存のセキュリティで何とかならないのか」という方は多いのではないでしょうか。

昨今はリモートワークの推進により、クラウドサービスなどを新たに取り入れる企業が増えています。しかし、適切な情報漏えい対策がされていないため、サイバー攻撃や不正アクセスによる情報漏えいが増加している状況です。

本記事では、情報漏えいの事例やクラウドサービスによる情報漏えいの危険性について解説します。

社内のセキュリティを高めて情報漏えいのリスクを減らしたい方は、ぜひ最後までお読みください。

情報漏えいとは、個人情報や機密情報などが何かしらの原因で第三者が確認できる状態になることを指します。原因は主に社員の「人為的ミス」か、敵意のある「外部からの攻撃」となります。

あらかじめ、情報漏えいによる損害額を把握することは困難です。賠償金額や罰金などは計算可能ですが、顧客の信用失墜や業務停止などによる機会損失は計り知れません。

セキュリティにかける費用を計算するために、予想被害額を参考にする方法もあります。しかし、業種や企業規模などで平均を調べていても、実際に情報漏えいが発生すれば予想以上の損害を被ることがあり予想が難しいため、おすすめできません。

情報資産は、規模に関係なく漏えいすれば損害が出ます。それは個人情報でも機密情報でも関係なく、直接的・間接的に限らず影響することになり、主に以下の3つのリスクがあります。

• 情報が悪用される
• 金銭的損失が発生する
• 顧客が離れて売り上げの低下につながる
  

一度情報漏えいすると、実害が確認できなくとも顧客や取引先からの信頼を失ってしまいます。再発防止のために対策を講じなければならないため、以前と同じ体制で事業は続けられません。

個人情報を悪用されると、顧客の住所や氏名などは名簿化され、迷惑メールや詐欺などの標的となったりクレジットカード等を不正利用されたりする原因になります。

機密情報を悪用されると、社外秘のノウハウがライバル企業に流れ、優位性が失われてしまうでしょう。さらに、新商品やサービスの情報が公式発表より前に流れてしまうことで、販売戦略や広告の計画にも影響が出ます。

個人情報の漏えいが原因で、迷惑メールを送信されるなどの実害が発生すれば、損害賠償の支払いが必要です。それだけでなく、個人情報保護法の罰金も発生します。

さらに、個人情報が漏えいしたことを取引先や顧客に通知・公表するための費用や、再発防止のための原因究明・対策のための経費も発生することになるでしょう。

情報漏えいの原因に関係なく、信頼が失われ顧客が離れてしまいます。また、問題が解決するまでオンラインサービスや事業そのものが停止することになり、投資家に問題のある企業だと判断されると、今後の株価上昇にも影響が出るでしょう。

上場企業による公表分だけでも2012年以降は、日本の人口に匹敵する数の個人情報の漏えいや紛失事故が発生している状況です。特に不正アクセスなどの外部からの攻撃による事故件数が4年連続で最多を更新しているため、深刻さは増しています。

以下は、不正アクセスにより情報漏えいしてしまった企業です。

事例を参考にして、不正アクセスなどの外部からの攻撃対策を考えることが大切です。

不正アクセスによる情報漏えいは、誤送信や紛失などの人為的ミスと比べて、被害が大きくなります。理由として、外部からの攻撃による情報漏えいは、事業停止の期間が長くなる可能性があるためです。さらに、事業停止が長ければ機会損失も増えることになります。

具体的には、攻撃の対象となった端末やサーバーはマルウェアなどに感染していたり、バックドアが仕掛けられていたりする可能性があります。安全性が確認できるまでは、システムやサーバーを停止することになるでしょう。

昨今の不正アクセスなどのサイバー攻撃は、意図的に特定の組織を狙っている「標的型」が主流となっています。「標的型」は日々進化しており、突破できる脆弱なセキュリティがないか常にチェックしているので、完全に防ぐ方法がありません。

急激に変化する市場ニーズに対応するための「端末やシステム」や、リモートワークのための「ネットに関連するインフラ」など、全てに対して完璧に情報セキュリティ対策を施すことは難しい状況です。

情報漏えいは、主に「人為的ミス」と「外部からの攻撃」によって発生しますが、大半の原因は共通して情報資産の認識や管理が甘く「システムの設定不備」があるためです。具体的には以下の4つに分けられます。

• 社員の意識が低いこと
• ITに疎くセキュリティを軽視している
• クラウドサービスを適切に利用できていない
• • 外部からの攻撃の技術は進化し、手口は巧妙化している

社員の意識が低い状態だと、個人情報や機密情報を不特定多数の人が閲覧でき、データのコピーや改ざんが容易なICTを放置してしまいます。また、社外や組織外でやり取りしている情報の中に大切な情報資産が含まれているという認識が低いのも問題です。

テレワークの推進により、新しい端末やクラウドサービスを利用することになった際も、セキュリティを後回しにしてしまうでしょう。

セキュリティを軽視している社員は、社員ひとり一人が情報漏えいに対して高い意識を持っていれば外部からの攻撃も防げると思い込んでいます。その結果、情報セキュリティ対策に予算をかけない傾向があります。

しかし、サイバー攻撃の不正アクセス・不正操作は意識だけでは防げません。どれだけ気をつけていても、情報資産が盗まれたりマルウェアなどに感染したりするリスクはあるため、適切なセキュリティは必須です。

また、人為的ミスも見逃せません。具体的には、メールの誤送信や端末の紛失・置き忘れなどは情報漏えいの原因になります。

クラウドサービスは、自社にサーバーを設置する必要があるオンプレミスとは異なり、場所に縛られずサービスを利用できます。リモートワークの推進もあり、業務に取り入れる企業は多くなりました。

しかし、クラウドサービスをオンプレミスと同じ感覚で利用してしまうと、情報漏えいのリスクが上がります。なぜなら、社外から社内ネットワークに接続する端末や回線のセキュリティの脆弱性をついて攻撃してくるためです。

クラウドサービスの運営会社も情報セキュリティ対策を実施しています。とはいえ、利用者が認証情報を適切な管理をしていなかったり、人為的ミスで外部に漏らしたりしたことが原因で不正アクセスされた場合、検知することはできません。

クラウドサービスの利用によって情報漏えいしてしまうと、契約の責任分界点を基に責任の所在は異なりますが、責任の所在に関係なく利用者側の業務には必ず影響することを忘れてはいけません。

外部からの攻撃は、さまざまに巧妙な手口を活用し、より組織化したプロフェッショナル集団としての犯罪が行われるようになりました。さらに、コロナ禍の影響により新サービスやシステムの導入を急ぐあまり、情報セキュリティ対策が疎かになってしまっているケースも少なくありません。

また、社員の情報漏えいについての意識を高める施策が、外部からの攻撃の技術進化や手口の巧妙化に追い付いていないこともあります。それらが合わさった結果、不正アクセスなどの外部からの攻撃による被害が増えています。

もし情報漏えいが発生してしまった場合には、初動が大切となります。情報漏えいの発覚に社員が気付いた場合でも外部からの指摘の場合でも、対応は同じです。

1. 事実確認と調査
2. 
   被害拡大と二次被害の防止
3. 問い合わせと苦情対応
4. 再発防止と復旧の措置
5. 事後対応

これらは義務化されていませんが、顧客の信頼回復や事業再開のためにも必ず実施しなければなりません。

下記の7つは有効な対策方法で、全てを実施すればリスクを大幅に低減できます。しかし多くの対策を講じているからといって、個々の対策が不十分だとそこが脆弱となり攻撃の標的となるため注意が必要です。

• 社員の情報漏えいへの意識を高める
• サイバー攻撃の手口について最新の情報を共有
• 業務に使用する端末を把握及び管理
• 何気なく扱っている情報が情報資産であることを認識させる
• 適切なセキュリティソフトを導入
• 認証に必要な情報の適切な管理
• システムに脆弱性がないか定期的に確認する

社員の情報漏えいに対しての意識が低いと、さまざまな情報漏えいに繋がります。研修やセミナーへ参加させ、セキュリティへの意識を高めてもらうことが大切です。

研修などは、あくまで定期的に行う必要があります。他の対策を組み合わせ、適切なセキュリティを導入していても、社員の意識が低ければ意味がないため注意しましょう。

情報セキュリティに詳しくない方でも安心できるセキュリティサービスなら「おまかせサイバーみまもりセキュリティパッケージ」がおすすめです。不正な通信をサポートデスクにて検知した場合、サポートデスクからお客さまへ連絡するため、ウイルス感染にすぐ気づくことができます。

また、不正な通信を止める機能があり、万が一情報漏えいにつながる危険なサイトやファイル等にアクセスしてしまった場合でもその通信をブロックすることが可能となっています。ウイルス駆除までのサポートに加え、標準付帯されたサイバー保険により、調査や復旧にかかった費用の一部を補償できるのもポイントです。

「おまかせサイバーみまもりセキュリティパッケージ」資料ダウンロードはこちら

サイバー攻撃はセキュリティの脆弱性をつく技術的な攻撃だけではなく、フィッシングメールやフィッシングサイトを利用して人を騙すものもあります。あらかじめ手口を知っていれば、十分防げる攻撃もあるでしょう。

攻撃の手口は日々巧妙化しているため、常にアンテナを高くして、最新の情報を共有することが大切です。具体的には「不審なメールは開かない」ことを徹底したり、標的型攻撃メール訓練サービスを利用したりする方法が挙げられます。

業務に使用されるパソコンやスマートフォンなどの端末は、きちんと把握・管理しましょう。端末が会社からの貸与されたものか、社員の私物かに関係なく、不正アクセスの足掛かりとなるためです。

会社が用意したものであれば、セキュリティの導入状況は把握できます。しかし、社員の私物は管理の対象になっておらず、セキュリティが不十分である可能性もあります。

基本的には、不要な端末の持ち出し及び持ち込みは禁止してください。また、社外から社内にネットワーク経由で接続する必要がある場合には、利用する回線のセキュリティについても把握することが必要になります。

セキュリティへの認識が低い社員に情報漏えいの危険性を説いても、習慣的にずさんに扱ってしまう可能性があります。具体的には、個人情報はどのようなものを指すのか、機密情報はどのレベルのものを指すのかを明確にすることが必須です。

情報資産をずさんに扱ってしまう社員は、重要な書類を放置したり、パソコンの画面を開いたまま離席したりすることがあります。

セキュリティソフトは、ただ導入すれば良いわけではありません。端末の種類や利用方法などによって、適切なセキュリティソフトは異なります。

特に、近年はリモートワークの推進により新たに多種の端末を導入したり、社外からインターネット回線を利用して接続したりすることが増えました。新しいシステムの導入に気を取られ、セキュリティソフトの精査が後回しになっていることがあるため注意が必要です。

「おまかせサイバーみまもりセキュリティパッケージ」なら、以下のような機能がありクラウドサービスの利用におけるセキュリティ向上を図れるため、ぜひ導入を検討してください。

• インストールされている全端末を自動でバージョンアップ
• ライセンス自動更新のため、更新作業不要
• 一元管理が可能なため、アンインストールや設定変更には制限可能
• ウイルス感染時はNTTから連絡をして、駆除サポートを実施
  

「おまかせサイバーみまもりセキュリティパッケージ」資料ダウンロードはこちら

不正アクセスや不正操作の足がかりになるのは、IDやパスワードのずさんな管理状況です。昨今は、リモートワークにおいて「リモートデスクトップ」を導入する企業が増えており、不適切なI認証情報の管理により不正アクセスされてしまうケースが増加しています。

「リモートデスクトップ」は、社外から社内の端末を遠隔操作できます。その反面、不正アクセスされると社内ネットワークに繋がっている端末を不正操作して、マルウェアをダウンロードされてしまいます。

端末のOSや利用しているソフトウェアは、システム内の脆弱性が見つかった場合に、対処するためにアップデートを推奨してきます。しかし、業務に支障があるからと後回しにして最新ではない状態で使用を続けると、脆弱性を放置することになるため危険です。

脆弱性を見極めるには、常に最新の状態を維持することが重要です。

リモートワークの推進や業務効率化を考えるなら、クラウドサービスの利用は避けられません。しかし、クラウドサービスに慣れていないと情報漏えいの原因にもなるため、情報セキュリティ対策への意識改革は必須です。

企業は情報漏えいのリスクを低減させるには、社員の情報漏えいに対しての意識を高める研修やセミナーを定期的に行うことが欠かせません。そして、情報漏えい対策は必要に応じて新しくしていく必要があります。

「おまかせクラウドアップセキュリティ」なら、未知の脅威を検知してメール利用の安全性を向上させ、クラウドアプリ上の情報資産を保護できます。また「情報漏えい対策機能」があり、クラウドメールやクラウドストレージ内のデータの可視化が可能です。

さらに、特定のユーザーがクレジットカード番号を含むメールのやり取りを行っているか把握できるため、情報漏えいの有無を確認できます。導入時からインシデント発生時にもサポートがあるため、ぜひ導入を検討してください。

ページの先頭へ

おまかせサイバーみまもりセキュリティパッケージのトップに戻る