ブログ

無くならない情報漏洩による事故と、セキュリティ対策としての二段階認証

公開日:2020.09.02

更新日:2024.02.23

KDDIウェブコミュニケーションズ

セキュリティ対策の技術が進化してきている昨今でも、情報漏洩による事故はなくなることなく、日々発生し続けています。

情報漏洩はあらゆる企業・団体または個人で起こり得る、ごく身近な問題です。特に企業においては企業活動を脅かす大きな要因のひとつとなり、さまざまな損害をもたらす恐れがあります。具体的には「社会的信用の失墜」「企業イメージの著しい低下」や、それに伴う利益の減少、損害請求への対応などが挙げられます。

本記事では、情報漏洩の原因と発生した場合のリスクを事例とともに考え、情報漏洩を防ぐ対策について紹介していきます。

情報漏洩とは

情報漏洩で困っている男性

情報漏洩とは、個人情報や企業における機密データや顧客情報など、内部に留めておくべき重要な情報が、なんらかの原因によって外部に漏れてしまうことです

一般にパソコンが普及して以降、情報通信技術は進化し、様々な情報を簡単に保存・管理できるようになりました。しかし、多くの人が重要な情報を扱うことが容易くなり、管理可能な情報量も増えたことで、情報漏洩するリスクが大幅に増えたのも事実です。

例えば、企業が保持している膨大な数の顧客情報は、犯罪者にとって高額取引ができる情報とみなされ、狙われる対象になり得ます。脆弱なセキュリティの隙を突いた外部攻撃から、大切な情報を守るために備えるのは、企業であれば今や当然の常識となっているのです。

情報漏洩の常識としてまず先に見直さなければならないのは、大部分が日頃のちょっとした気の緩みから発生する、人為的ミスが原因で起こる事故に占められているということです。

次の章では、上記をふまえ情報漏洩の原因について詳しく考えていきたいと思います。

情報漏洩の原因

情報漏洩の原因を考える際、真っ先にイメージするのはどんなことでしょうか?

ウイルスや不正アクセスなど、外部からの攻撃を思い浮かべる方が多いのではないかと思います。しかし、JNSAによる「2018年 情報セキュリティインシデントに関する調査報告書」では、大部分が「紛失・置忘れ」「誤操作」「管理ミス」といった人為的ミスが原因と報告があります。日頃の行動を改めることによって防げる原因が、情報漏洩事故につながっていることがわかります。身近に潜むリスクを見直し、効果的なセキュリティ対策へつなげていきたいものです。

情報漏洩の原因 第1位「紛失・置忘れ」26.2%

情報漏洩の原因 第1位「紛失・置忘れ」

「紛失・置忘れ」は身近な行動と密接に関わっており、多くの状況が考えられ、以下のような例が多いようです。

  • 公共交通機関(電車・バスなど)に業務用のPCや書類を置いたまま下車する
  • 飲食店に会社支給の携帯電話(モバイル端末)を置き忘れたまま帰宅する
  • 紙に印刷した会社の内部資料を外出先で紛失
  • 情報解禁前の会議内容のメモをどこかに落とし見つからない

紛失・置忘れは誰にでも起こりうることですので、常に「大事な情報資産を持っている」という意識を持つことが必要になってきます。日頃から忘れ物が多いという人は、それを防ぐための工夫をする。お酒が好きで呑まれやすいという人であれば、お酒を飲む場合は情報資産を持ち歩かない、というような対策方法が有効かもしれません。企業・組織では情報教育を徹底し、紛失・置忘れを防ぐことが第一です。万が一起こった場合であっても、情報漏洩リスクを軽減できるよう「使用端末へは必ずパスワードを設定する」「PCを持ち歩く場合は電源を切る」などの規則を設定することが必要です。

情報漏洩の原因 第2位「誤操作」24.6%

情報漏洩の原因 第2位「誤操作」

「誤操作」も身近な行動と密接に関わっている原因の一つです。

  • 電子メールを送信する際、誤った宛先を選択したり、BCCに選択すべき宛先を誤ってTO・CCに選択し送信する
  • 誤った資料を添付したことに気付かず、電子メール・FAXを送信する
  • 個人情報や機密情報などの重要な情報を誤って削除する

誤操作に関しては、日頃から常に意識していても、集中力が低下したタイミングやちょっとした気の緩みから簡単に発生してしまいます。たとえ悪意のないうっかりミスで大きな問題に発展しない場合でも、個人情報・企業情報の流出事故に変わりありません。取返しのつかない重大な事態を引き起こすことがないよう、情報を扱う一人ひとりの意識の向上が必要です。基本的な行動を見直し、下記を例に実行することが、防止策につながります。

  • 送信前は必ずダブルチェックを徹底する
  • 新人社員のメールは複数人でチェックするフローを作る
  • PC内のファイルやドキュメントを定期的に整理し、誤添付がないようにする

しかし、どんなに気を付けていても無くならないのが人為的ミスです。そのため、誤送信防止ツールや送信取消しツールなどの機能を導入し備える手段もあります。

ちなみに、情報漏洩の原因第3位は「不正アクセス:20.3%」です。手口は様々で日ごと巧妙化しており「システムの脆弱性を狙った侵入」「なりすましログイン」「パスワード総当り攻撃」「ウィルス感染」「フィッシング」などが代表的な例です。

情報漏洩の原因 第4位「管理ミス」12.2%

情報漏洩の原因 第4位「管理ミス」

「管理ミス」は数字の割合だけ見ると少ないように感じますが、原因1位の「紛失・置忘れ」、2位の「誤操作」とも関連が大きいため、以下の項目をしっかり見直すことが必要です。

  • 会社・組織のPCや個人情報・機密情報のデータなどを許可なく持ち出せる
  • 会社・組織の情報にアクセス権限・閲覧制限などを設定していない
  • 重要書類とそうでない書類の管理方法が明確でない
  • ハードディスクの処理方法が徹底されていない
  • 許可なく私用の端末から会社・組織の情報にアクセスできる

また、管理ミスは大きく以下2つのカテゴリに分けられます。

  1. セキュリティに関する組織のルールがあるにも関わらず、ルールを守らないため情報漏洩が発生する
  2. 組織のセキュリティ対策や管理ルールが未整備のために発生する情報漏洩

管理ミスによる事故を防ぐ為にも、管理側は管理すべき情報の整理やルール制定を行う必要があります。そして、情報を扱うすべての人に対し情報教育を定期的に行うなど、セキュリティ対策について徹底的な意識付けが必要です。また、関連会社や業務委託先がある場合は、社内だけに留まらず周知や教育が行き届くように努めることも忘れてはなりません。

原因の5位以降は「盗難:3.8%」「設定ミス:3.6%」「内部犯行・不正行為:2.9%」と続きます。原因全体の6割以上が人為的ミスにより情報漏洩が発生しているため、いかにそれを防止するかがセキュリティ強化につながり、人為的ミスが引き金で発生する不正アクセスを回避できる可能性があります。実は侮れない初歩的な人為的ミスについて、ご理解いただけたのではないかと思います。

情報漏洩が起きるとどうなる?

情報漏洩が起きるとどうなる?

ここでは、実際に情報漏洩が起きるとどうなるのか?これまでに起こったセキュリティインシデントの事例を、情報漏洩の原因に多く挙げられる4つのカテゴリ別に紹介します。

「紛失・置忘れ」が原因による事例

<業務用ノートパソコンを帰宅途中に紛失>

飲食事業を幅広く展開している某企業の社員が、顧客情報約7万件が内在するノートパソコンを、帰宅途中に立ち寄った小売店舗で紛失。発覚後、警察当局や現場の小売店舗へ連絡したが、公表時に発見には至っておらず、情報流出の可能性があるとされています。さらなる情報流出を防ぐ対応として、遠隔操作でノートパソコンのパスワードを複雑なものに変更。さらに社内ネットワークへのアクセスを遮断するなどの措置を施しました。このセキュリティ事故をきっかけに、この企業は再発防止に向け、個人情報の取り扱いや従業員教育などを進めると発表しています。

終業後で気が緩んでいたのかもしれませんが、情報を扱う当事者の意識が低いことにより招いたインシデントです。従業員に対する情報教育が徹底されていなかった可能性もありますので、「管理ミス」に関連する事例であるとも言えるでしょう。

「誤操作」が原因による事例

<作業中の人為的ミスで長期間にわたり情報流出>

某協同組合にて、ホームページ更新作業中のミスにより、顧客情報約2万件を記載した資料が、閲覧可能な状態になっていたと見られる。その顧客情報は、約2ヶ月半のあいだ流出状態にありました。該当の情報は削除され、影響を受けた顧客へ謝罪を進めています。しかし、問題の資料はインターネット上で特定の操作をすれば、誰でも閲覧できる状態にあった為、外部流出した可能性は高いとされています。

こちらは作業中にミスをしただけでなく、確認作業を怠ったことでミスに気付くことなく、長期間にわたり個人情報が無防備な状態で外部に晒され続けていました。作業した本人がダブルチェックを徹底する、複数人で確認する、といった基本的な作業で防げるミスのため、組織全体で情報管理について見直すことが必要な事例ではないでしょうか。

「管理ミス」が原因による事例

業務用USBメモリによる情報流出

<規定を破り業務用USBメモリを持ち出した際に情報流出>

某スーパーマーケット経営会社の従業員が、顧客情報約1万件が保存されたUSBメモリを、社内規定で禁止されていたにも関わらず持ち出し、紛失しました。公表の時点では発見に至っていません。当該USBメモリには、強固なセキュリティ設定と暗号化処理に守られており、流出の可能性は低いとしています。

こちらは、「管理ミス」における2つのカテゴリのうちの1つである「組織のセキュリティに関するルールがあるにも関わらず、違反者がおり情報漏洩が発生する」事例に該当します。当該社員に悪意があったかどうかはわかりませんが、情報管理に対する意識が低かったのは明らかです。また、管理する側も、現行の情報教育のやり方では意識付けが甘いと判明した場合は、早急に見直しをする必要があります。

「不正アクセス」が原因による事例

ハッカー

<システムの脆弱性をついてハッカーに攻撃され重要情報が流出>

大手電機メーカーとそのグループ企業が、ハッカー集団からのサイバー攻撃で、システムの脆弱性をつかれた事により、7,700万件以上の顧客情報が流出。クレジットカード情報に至っては、最大1,000万件漏洩の可能性があるといいます。また、迅速に情報公開をしなかったため、世界中から批判を浴びる結果なりました。

日々、巧妙化していく不正アクセスの手口と戦い、大事な情報を守り続けるため、多くの企業や組織が情報セキュリティ対策に力を入れ取り組んでいます。万が一事故が起こってしまった場合は、迅速な対応が必要です。企業イメージの悪化を恐れて被害の公表が遅れると、イメージダウンに拍車がかかる他、被害がさらに拡大するなどの二次被害につながる可能性があります。

「盗難」が原因による事例

盗難による情報漏洩

<外出先で業務用のノートパソコン・携帯端末を収めたカバンを盗まれ情報流出>

海外出張中の某大学病院に所属の医師が、患者情報約3,000件、及び大学教職員の情報約1,000件が保存されたノートパソコン・携帯端末を収めた鞄を持ち出し、盗難された被害です。公表の時点で、不正利用などの二次被害は確認されていません。

このような盗難被害の場合、犯人の当初の目的は個人情報でない可能性もありますが、悪意ある第三者の手に大切な個人情報が渡った場合、様々な手口で悪用されるケースが想定されます。特に海外で端末を紛失すると無事に発見される可能性は低いと言えるため、流出した可能性は高い状況でしょう。 海外・国内に関わらず、あらゆる盗難被害を防止する対策が必要です。

情報漏洩による損害リスク

情報漏洩が起った場合、想定される損害リスクはどのようなものがあるのでしょうか。「損害賠償」と「その他の損害」2つのカテゴリに分け、考えてみたいと思います。

損害賠償について

情報漏洩による損害賠償

情報漏洩における損害賠償は一律に算出できるものではなく、インシデントの規模や流出した情報量・内容によって差があります。1つの目安として「情報漏洩の原因」の章で紹介したJNSAによる「2018年 情報セキュリティインシデントに関する調査報告書」では、下記のように記載されています。

情報漏洩事故一件あたりの平均想定損害賠償額:6億3,767万円

一人あたり平均想定損害賠償額:2万9,768円

しかし、これはあくまで一年間に発生したすべての情報漏洩事故を平均した場合の数字です。流出件数や漏洩した個人情報の機密性によって金額は大きく変動しますし、金銭的な被害につながった場合には、さらに請求額は上がります。また、損害賠償が発生すると、争訴費用や弁護士費用といった出費が、別途必要になることも念頭に置かなければなりません。

損害賠償以外に発生する損害について

損害賠償の影響

情報漏洩事故が起こると、損害賠償以外の損害や損失が多く発生します。

例えば、情報漏洩後の対応に発生する費用・対応業務に伴う通信費・問い合わせ対応費用・事故対応に関わる人件費・事故原因調査などの事後対応費・謝罪のための広告費…等といった「費用損害」、インシデント対応優先になることによる業務の中断・業務効率の低下・社員のモチベーションダウン・社会的信用の失墜・それらによって引き起こる企業利益の低下…というように、インシデントが起らなければ本来得られるべきであった「逸失利益」も発生します。

このように、一度の情報漏洩事故で、計り知れない損失が予想されるのです。費用・時間そして労力も掛かるため、企業・団体が存続の危機に陥ることになるでしょう。

また何より、ここで重要なのは金額的に償えるかどうかでありません。情報漏洩事故の発生は、被害者にとっても加害者にとっても、損害賠償などとして算出しきれない程のリスクが潜んでいます。日々情報を取り扱う一人ひとりが、それらのことを自覚し見直すことが必要なのではないでしょうか。

情報漏洩を防ぐ方法

情報漏洩を防ぐ方法

大きな損害をもたらす情報漏洩事故を防ぐ為には、漏洩が起こる前にしっかり対策することが重要です。対策費用を捻出するのが難しい…と先延ばしにするケースがあるようですが、インシデントが発生した後にかかる膨大な損害額や、企業活動の存続すら危ぶまれる状況に陥ることと比較した場合、無理をしてでも防止対策費用を捻出する方がコスト的には断然安いのではないでしょうか。

「情報漏洩の原因」の部分でご紹介した通り、対策の基本として「管理ミス」を無くすことが重要です。組織・団体として、管理側は管理すべき情報の整理・ルール制定を行いましょう。未整備できちんと整理されていない状態は、万が一事故が発生した場合、状況把握が難しくなり、更なる被害拡大を生む原因にもつながりかねません。

情報を扱うすべての人に対し情報教育を徹底することも、大切な対策の一つです。セキュリティ対策について徹底的な意識付けをすることにより、人為的ミスや、ルールがあるにも関わらず違反者が現れる等の事故を防ぐことにつながります。しっかり意識付けするためにも、定期的な開催が望ましいでしょう。また、関連会社や業務委託先がある場合は、共通のルールを作成するなど、社内とは別の配慮で対策する必要があります。

整備をした上で、Webサイトやソフトの脆弱性に不安がある場合には、セキュリティソフトの導入・更新をするなど具体的な対策を検討することが大切です。 専門家への相談を行うと確実なアドバイスが貰えるでしょう。

具体的な対策の中でも、二次被害を防止する方法として「ID管理」「パスワード設定」「二段階認証の設定」などが挙げられます。

ID管理

業務内容など必要に応じて、適切に作業が進められるように、該当者へのみID付与を行うシステムです。正しく活用することによって、内部の不正や外部からの攻撃などを防ぎ、情報漏洩を防止するのに役立ちます。

パスワード設定

パスワード設定で情報漏洩を守る

推測が難しいパスワードを作ることで、外部から侵入しようと試みる第三者からの不正ログインを防止できるとされています。あえて覚えやすい簡単なパスワードを設定している人もいるかもしれませんが、それは、セキュリティレベルの低いパスワードです。情報漏洩対策の為のパスワード設定として、あえて脆弱なセキュリティを選択することにならないよう「桁数を増やす」「異なる種類の文字を組み合わせる」など、複雑で独自性のある、強度の高いパスワード作成を心がけましょう。

二段階認証

二段階認証で情報漏洩を守る

現在、二段階認証の設定ができるアカウントをお持ちの方で、未設定のものがありましたら、是非ご利用いただきたいセキュリティ対策の方法です。

ログインする際の認証作業を二要素以上、且つ二段階にすることによって、たとえ一段階目の認証を突破されたとしても、二段階目の異なる素性や性質の情報を窃取し、不正ログインを完全に成功させることは極めて困難であるとされています。二段階認証を強度の高い状態で利用するためには、「二要素認証」「多要素認証」を利用する二段階認証を設定し、合わせて第三者に推測されにくいパスワードを作成するなどして利用することが大きなポイントです。 二段階認証については、下記の記事でより詳しく解説しています。

二段階認証とは?|メリット、導入方法、二要素認証との違いについてはこちら

二段階認証が役に立つ身近な例

二段階認証の設定が有効とされる、身近な例を1つご紹介します。
新型コロナウイルスの影響で、在宅勤務が推奨されて以降、利用者が急激に増えたテレビ・Web会議ツール「Zoom」。セキュリティの問題が次々取り上げられるなど、利用を不安視している人も多いはずです。 Zoomの有料プランや、会社のZoomアカウントを利用している人は、プロフィールのセキュリティ設定ページから、二要素以上を用いる二段階認証を有効にしましょう。その他にも安全に利用するためのポイントはいくつかありますが、二段階認証を設定することが、アカウントをより安全に使用するための第一歩です。

コミュニケーションAPIサービス
「Vonage」のご紹介

vonagepoe_primary

Vonageは、電話やSMS・ビデオ・チャット・SNSなど、さまざまなコミュニケーションチャネルをWeb・モバイルアプリケーションやビジネスへ組み込めるクラウドAPIサービスです。自動電話発信や電話転送、対話型IVR、自動SMS通知や二要素認証など、多岐にわたるサービスを実現できます。

コミュニケーションに関わる機能を自社で1から開発するのには多大な工数がかかります。通信の暗号化といったセキュリティ対策など考慮せねばならない点も多く、そのために実装を諦めてしまう企業も少なくありません。

しかしVonage APIと連携すれば、それらの工数をすべてVonage側が担ってくれます。お客様側での開発はもちろん、インフラ・ネットワーク構築・維持コストも必要ありません。ただ数行のコードを書き加えるだけで、自社サービスにマルチチャネルを連携できるのです。

Vonage Verify

Vonage Verifyはワンタイムパスワードの生成から送付、正誤判定までをワンストップで提供している二要素認証(2FA)APIです。Vonage Verifyを利用することで、自社で1から開発することなく、二要素認証のシステムを自社サービスに導入できます。

Vonage Verify ではマルチチャネルな配信ロジックを組むことも可能で、国内外を問わず高いワンタイムパスワード到達率を誇ります。また認証成功時に料金が発生する仕組みのため、不要なコストがかかりません。

自社で二要素認証のシステムを開発する場合、インフラプラットフォームの費用やPINコードの管理が必要になったり、不正アクセスの防止策や失敗試行の検出方法を考慮したりと、大幅な導入・運用コストがかかります。

しかし Vonage Verifyなら、認証成功率が一定の値を下回ったりや認証回数の閾値を超えたりした場合、パスワード送付を自動で停止します。不正行為を防止する仕組みがあらかじめ備わっているため、認証成功時の利用料金だけでセキュリティ対策を実施できるのです。

まとめ

今回の記事では実際に起こった情報漏洩事故の事例を通して、「情報漏洩」による事故を防ぐために必要なセキュリティ対策を紹介しました。事故の多くが人為的ミスによって起こっていること、また一度の事故により高額な損害賠償やそのほか多くの損害リスクが発生することを、ご理解いただけたのではないかと思います。

現在「完璧だ!」と言えるセキュリティ対策の方法は残念ながら存在しませんが、今回ご紹介した「情報漏洩を防ぐ方法」を参考に、管理体制の見直し、二要素以上を用いる二段階認証の導入などを行っていただくだけで、セキュリティレベルをより強固にできます。

情報漏洩は起きてしまってからでは遅いもの。未然に防ぐ対応を、常に見直し続けることが大切です。 

執筆者情報

KDDIウェブコミュニケーションズ
KDDIウェブコミュニケーションズ
KDDIウェブコミュニケーションズは、常に「開発者目線」を大切にしており、ブログ記事がお役に立てれば幸いでございます。


「多要素認証」の最新記事 Related post