情報漏洩の原因は?
リモートワークでのセキュリティ問題や身代金目的のランサムウェア攻撃など、企業における情報漏洩のニュースをみるケースが増えています。情報漏洩は、セキュリティ管理が十分におこなわれていると思われる有名企業からも発生しており、その原因を理解することの重要性を感じさせます。そこで今回は、情報漏洩の原因に注目し代表的な原因を紹介します。
情報漏洩は企業にとって脅威
情報化社会は、豊かで便利なライフスタイルを実現している一方で、重要情報の安全を脅かす脅威にもなっています。IPA(情報処理推進機構)では、毎年、個人と企業に分けて「情報セキュリティ10大脅威」を発表しています。その内容によると、情報漏洩は企業にとって大きな脅威であることが分かります。
標的型攻撃による情報漏洩
悪意のある攻撃者が標的を定めた企業に対し、重要情報を窃取することを目的とした攻撃を仕掛け、漏洩が起こる可能性を秘めた不正アクセスを受けるケースが複数発生しています。
内部不正による情報漏洩
企業内部の社員や元社員が重要情報を持ち出したり、悪用することによって情報漏洩が発生した場合、企業は社会から信用されなくなるとともに、損害賠償による経済的な損失を被ることになり、企業は多大な損害を被ります。
不注意による情報漏洩
企業の情報管理体制の不備や、社員の不注意から重要情報の漏洩が起こってしまうケースも多く発生しています。
情報漏洩の原因
情報漏洩には、さまざまな原因がありますが、おもな原因は以下になります。
紛失・置き忘れ
情報漏洩で最も件数が多いのは、単純な人為的な不注意によって発生する紛失や置き忘れです。電車に乗った時や飲食店に入った時など、パソコンやUSBメモリーなど、情報が保存されている機器を置き忘れることによって情報が漏洩したケースです。
誤送信
メールの宛先や添付ファイルを間違える誤送信や、FAXの宛先間違えの誤送信、郵便物の宛先間違えによる情報漏洩は、紛失・置忘れに次いで件数が多いのが現状です。誤送信は、「宛先を間違える」「添付ファイルを間違える」といった、きわめて単純なヒューマンエラーによって発生しますが、重要情報が漏洩した場合、企業のセキュリティ管理の甘さが指摘され、ブランドイメージを低下させ、社会からの信頼を失うことになります。
不正アクセス
不正アクセスとは、正式に企業が認めたアクセス権を持っている担当者ではなく、悪意を持った攻撃者などが、サーバや情報システム内部に侵入することです。不正アクセスは、サーバやシステムの停止、重要情報漏洩などを引き起こす可能性があり、企業の業務やブランドイメージの悪化に大きく影響を与えます。
管理ミス
業務で重要情報を回送する過程で、紛失・行方不明となった場合や、業務手順や情報公開のリスク管理が不十分だったことなど、企業責任の管理ミスによっても情報漏洩が発生します。
盗難
車の中に置いておいたパソコンの盗難や、事務所荒らしなど、パソコンやUSBメモリーなど、情報が保存されている機器を盗難されることによって情報漏洩が発生します。
設定ミス
人為的な設定ミスによって起こったシステムの脆弱 性などが狙われ、企業のサーバや情報システムに不正にアクセスされて重要情報が漏洩してしまいます。インターネット は世界中に つながっていますので、不正アクセスは世界 中の悪意を持った攻撃者から実行される可能性があります。
内部犯罪・内部不正行為
社員や 派遣 社員など企業内部の社員が、悪意を持って重要な情報を不正に取得し、情報漏洩が起こる事があります。
不正な情報持ち出し
社外へ の持ち出しが禁止されている情報を社員や派遣 社員、 退職者、 ベンダーなどが、顧客訪問 先や 自宅 で使用するためにルールを破って不正に持ち出し、持ち出し先から漏洩が発生するケースかあります。
バグ・セキュリティホール
OSやアプリケーションなどのバグ・セキュリティホールによってWebなどの重要情報が漏洩するケースがあります。OSやア プリケーションの開発はバグがないように実行され市場に出るわけですが、ユーザーに 使用されてからバグが発 覚するケースがあります。バグがセキュリティ不足の原因となり重要情報の漏えいにつながるセキュリティホールになる可能性があります。
目的外使用
企業は取得した個人情報を業務の目的に対してのみ使用可能とし、目的外の使用はしないことになっています。企業が取得した個人情報を当初の目的以外の用 途に使用した場合、個人情報の漏えいとみなされます。
ワーム・ウイルス
ワーム・ ウイルスの感染によって、企業の意図に反してメールなどが発信され、重要の情報の漏えいが起こるケースがあります。
まとめ
情報漏洩は、企業にとって大きな脅威であり、その原因を分析することは重要です。情報漏洩が起こる可能性がある原因は、企業の状況によって異なりますので、自社の業務内容や業務フローの現状を分析し、情報漏洩が起こる可能性がある原因を見極 め対 策を考えていきましょう。
グループ会社のサイバーマトリックス株式会社でセキュリティ情報をTwitterで呟いてます!