~外部からの情報漏えい指摘を防ぐために今できる対策とは~
情報漏えいインシデントの発生件数は年々減少している
2018年6月、JNSA日本ネットワークセキュリティ協会は、2017年に発生した個人情報漏えいインシデントに関する情報をまとめた、調査報告書を発表しました。
2017年 情報セキュリティインシデントに関する調査報告書
https://www.jnsa.org/result/incident/
この調査によると、情報漏えいインシデントの発生件数は、2012年の2,357件をピークに減少傾向にあり、2017年には386件まで減少していると報告されています。
インシデント件数が減少傾向にある理由について、同じ調査報告書の2016年版で、以下のように分析されています。
1つ目は、公務や金融・保険業などの業種でインシデントの発生件数も大幅に減少していることから、特定業種で適切な情報漏えい対策が進められた結果が出ているという推測です。
2つ目は、紙媒体によるインシデント件数が大きく減少している点に着目し、業務のクラウド化やペーパーレス化など、IT化が進んだことの影響が指摘されています。
適切な情報漏えい対策が取られた結果が、インシデント件数の減少として、数字にあらわれていると見ることができます。
情報漏えいの発生件数は本当に減少しているのか?
JNSAが行った調査は、企業や団体がインターネットで公表した情報漏えいインシデントの情報を収集して、分析したものです。
そのため、インシデントの件数は「情報漏えいインシデントの発生を把握し、外部に公表した件数」である点に注意が必要です。
「発生を把握したものの、外部に公開されていない情報漏えい」や、「そもそも情報漏えい自体を把握できていないケース」は反映されていないため、情報漏えいインシデントの発生件数すべてが減少していることを示す材料ではありません。
事実、JNSAの調査報告書でも、紙媒体による情報漏えいは減少している一方で、インターネット経由の情報漏えいは増加傾向にあることが指摘されています。
マルウェアや標的型攻撃など、インターネットを通じたサイバー攻撃の手法は年々巧妙化しているため、すでに情報漏えいが発生していても、認識できていない可能性があります。
報告されているインシデント件数は減少しているものの、その件数は全体を表している訳ではないと捉えたほうが現実的でしょう。
外部からの指摘で情報漏えいに気づくケースも少なくない
実際に、個人情報の漏えいが発生していることを把握できておらず、外部からの指摘によってはじめて漏えいの事実を認識する事例も少なくありません。
2014年に公表された、ベネッセコーポレーションの個人情報流出事件もその一つです。
情報漏えい発覚のきっかけは、ベネッセコーポレーションの同業他社から、ダイレクトメールが届き始めたことに不信感を抱いた顧客から「情報が漏洩しているのではないか」という問い合わせが急増したことでした。調査の結果、情報の持ち出しは、事件発覚の半年以上前から行われていたことが判明しましたが、その時点では把握することができていませんでした。
また、2018年6月に発生したプレミアムアウトレットの会員情報流出も、報道機関からの指摘が発覚のきっかけであったと報じられています。
指摘を受けた時点で、24万件のメールアドレスとパスワードの情報がインターネット上に公開されていたことが判明しました。
詳細な調査を行った結果、会員情報の流出が発覚する1年以上前から、Webサーバーへの不正アクセスによって複数回データを抜き取られていましたが、攻撃を検知できていませんでした。
代表的な事例をあげましたが、このようなケースは氷山の一角であり、発生原因が内部からの不正な持ち出しか、外部からの攻撃かにかかわらず、情報漏えいそのものに気づいていないケースが相当数あると思われます。
対策をしていてもなぜ情報漏えいに気づくことができないのか?
なぜ、大規模な情報漏えいが発生していても、把握することができないのでしょうか。
個人情報の管理が適切に行われていないことが、理由の一つとしてあげられます。
個人情報の適切な取扱いは、企業の責任として求められており、重要であることは言うまでもありません。
企業は個人情報保護ポリシーを定めているものの、適切かつ継続的に運用していくことは容易ではないのも現実です。
情報漏えいを防ぐためには、運用ルールを徹底すると同時に、システムによる対策を行う方法が一般的です。
たとえば、社外への情報持ち出しを防止するために、USBメモリなど外部媒体の使用を許可制にしたり、インターネットストレージサービスなどへの接続を禁止したりして、システムで対策する方法があります。
また、外部からのサイバー攻撃を防ぐための対策として、ファイヤーウォールや侵入検知システムを導入する方法もあります。
単に情報の取り扱いがずさんなケースも存在しますが、多くの組織では、情報の出入り口に着目した情報漏えい対策が行われています。
しかし、顧客ニーズの変化によって日々変化する業務や、不測の事態で発生する非定形業務などに対応するために、属人的な業務効率化が行われているケースは多く、シャドーITとも呼ばれています。
一時的な非定形業務の増加や、属人的な運用によって常に変化する社内業務のすべてを、システムで対策することは困難であることから、潜在的な漏えいリスクを常に抱えています。
出入り口の対策には、「網の目」から漏れてしまうリスクが存在し、万が一漏えいが発生した場合にも、検知することが難しいのが実情です。
その結果として、情報漏えいが発生している事に気づかないケースが発生してしまうのです。
情報漏えい対策の側面から求められるより厳密な個人情報管理
外部からの指摘によって情報漏えいが発覚することは、管理のずさんさを連想させるため、イメージの悪化に直結します。
出口対策だけでは万全でないとすると、どのような情報漏えい対策が考えられるのでしょうか。
各個人が個人情報保護ポリシーを正確に理解し、個々の業務に落とし込んだ上で、適切な取扱を行うことが理想ですが、現実的ではないため、やはりシステムによる運用を検討すべきでしょう。
まずは、「どこにどのような個人情報がどれだけ存在しているか」を常に把握することが最優先です。
管理ルールが存在していても、適切に管理されていない個人情報が存在している可能性があり、同じように漏えいの危険があります。
また、適切に管理されていない個人情報は、漏えいが発生しても把握が難しいのが実情です。
万が一、情報漏えいの発生を外部から指摘された場合、自社の保有している情報と一致するかを確認する必要がありますが、どこにどのような情報が保存されているのかが把握できていない場合、情報を精査すること自体が困難です。
適切な管理の第一歩として、各ユーザーのPCや共有フォルダ、外部記憶メディアなどに保管されている個人情報を定期的に棚卸しし、リストアップするとともに、削除すべきファイルは削除することが、情報漏えいの対策として有効です。
また、社内のPCや共有フォルダに存在する個人情報を自動検出し、暗号化や削除などを行うことができる個人情報漏えい対策ソリューションも存在します。
個人情報の棚卸しをシステム化することで、適切な個人情報管理と、効率的な運用を両立することが可能になります。