過去1年で認知した情報セキュリティ・インシデント
2018年3月27日、日本情報経済社会推進協会(JIPDEC)とアイ・ティー・アール(ITR)は、共同で実施した調査「企業IT利活用動向調査 2018」の一部を速報として公開しました。同調査は今年1月、従業員50人以上の国内企業に勤務するIT/情報セキュリティ分野の役職者を対象に行ったもので、693名から有効回答を得ています。
主な調査項目として、「過去1年間で認知した情報セキュリティ・インシデントの種類」をはじめ、「セキュリティ・リスクの重視度合い」、また「働き方改革」への取り組み方や「GDPRへの対応」など、この1年の間に情報セキュリティ担当者の関心が高まっている分野も採り上げられています。それでは、そのポイントを抽出してみましょう。
情報セキュリティ・インシデントを定点観測
同調査では「過去1年間に認知した情報セキュリティ・インシデントの種類」を定点観測しており、結果から直近の傾向を読み取ることができます。まず個々の内容以前に、「インシデントは経験していない」の数字を見ると、前回(2017年)より微増の29.6%に止まりました。
つまり、7割を超える企業が過去1年間で、何らかのインシデントを認知したことになります。加えて、内部不正による個人情報の流出、USBメモリの紛失、なりすましメールの受信といった事案は、もともと表面化しづらい性質もあり、経験していないと答えた企業も、発生を認知できていない可能性が残る点は留意した方が良さそうです。
増加するセキュリティ・インシデントは?
企業が認知したセキュリティ・インシデントの種類では、「社内PCのマルウェア感染」(27.3%)が例年通り最多を維持し、「スマートフォン、携帯電話、タブレットの紛失・盗難」「個人情報の漏えい・滅失」などが上位に位置しています。
今回の調査で、“特徴的なインシデントとして増加傾向がある”とされたのが、「公開サーバー等に対するDDOS攻撃」「個人情報の漏えい・滅失(内部不正による)」、そして「外部からのなりすましメールの受信」の3点。
「公開サーバー等に対するDDOS攻撃」は、Webサーバーなどに対する不正なアタックの増加で、2020年の東京五輪に向けた“攻撃の予兆”と分析していました。そして特に危険な兆候として、赤枠で示されたのが残りの2つです(図1)。
図1. 過去1年間に認知した情報セキュリティ・インシデントの種類(経年変化)
“内部犯行”による個人情報の漏えいが漸増
個人情報が漏えいする原因として、企業のWebサイトへの不正アクセスがよくニュースになりますが、実際は内部から流出する情報量の方が多いとされています。過失によるUSBメモリの紛失やPCの設定ミス、メール送信の誤操作といった“悪意がない”流出、そしてもう一つは、従業員などの不正による持ち出しです。
特定非営利活動法人 日本ネットワークセキュリティ協会が2017年6月に公開した「情報セキュリティ・インシデントに関する調査報告書 ~個人情報漏えい編~」によると、2016年の漏えい原因のうち、「不正アクセス」は14.5%。一方、「管理ミス」と「誤操作」「紛失」を合わせると62.6%に達し、「不正な情報持ち出し」と「内部犯罪・内部不正行為」の合計が7.7%という結果を読み取ることができました。(図2)。
図2. 個人情報の漏えい原因の比率
出典: 日本ネットワークセキュリティ協会 「情報セキュリティ・インシデントに関する調査報告書 ~個人情報漏えい編~」
個人情報の不正持ち出しは“割がいい仕事”?
JIPDECとITRによる報告でも内部不正によるインシデントの認知率は、日本ネットワークセキュリティ協会のデータ(7.7%)とほぼ同等のパーセンテージを示していますが、2年前からは6.7%から8.3%、そして今回は10.8%と増加傾向である点に警鐘を鳴らしています。
内部不正による情報漏えいは、外からの不正アクセスに比べ件数自体は少ないとしても、より深刻な被害が出る可能性が大です。不正行為者は、“転売価値が高い”より詳細な個人情報の在り処を知っていますから、短時間で根こそぎ搾取されてしまいます。不正アクセスに比べ、内部からの持ち出しは発覚しにくいため、対応の遅れも懸念されるでしょう。
内部からの情報流出が多い背景には、日本の“企業文化”もありそうです。多様なバックグラウンドを持つ人が混在する海外に比べ、日本企業は従業員の“素性”を把握しやすいとされており、悪意のない流出を含めて、内部に対する管理が疎かになりがちという点は、否定できないのではないでしょうか。
喫緊の課題になったビジネスメール詐欺
「企業IT利活用動向調査 2018」に戻ると、「外部からの成りすましメールの受信」が、今回は15.9%に達し、従業員規模別のいずれのレベルでも認知率は上がりました。5,000人以上の大企業では20%を超え、50~299人の中小企業でも13%前後に達しています(図3)。
図3. 外部からの成りすましメールの受信に対する認知率:
出典 JIPDEC/ITR「企業IT利活用動向調査 2018」
今回の調査とほぼ同じ時期に、「日経コンピュータ」誌(2018年3月15日号)が、国内上場企業50社を対象に行ったアンケートによると、全体の63.6%が詐欺メールを受信し(「分からない」を含めると68.1%)、36.4%は返信した経験があると回答しました(同45.5%)。そして2社が実際に被害に遇い、誤ってお金を振り込んだと答えています。
ビジネスメール詐欺は、2010年代半ばから海外で猛威を振るい、2017年秋に国内の大手企業の被害が公表されてから、にわかに関心が高まったことは周知の通りです。海外にも拠点を持つ企業を中心に警戒を強めていますが、サプライチェーンの中心を成す大企業から中堅企業、そしてよりガードが緩い中小企業へ標的を移す手口は、他のサイバー攻撃と同様、成りすましメールも例外ではありません。
漸増するリスクに警戒心は高まるが…
もう一度、「過去1年間に認知した情報セキュリティ・インシデントの種類」のリストを見てみましょう(図1)。増加傾向として赤マークが付いた「個人情報の漏洩、滅失(内部不正による)」と「外部からの成りすましメールの受信」に限らず、「個人情報の漏えい、滅失(人為ミスによる)」、「USBメモリ、記録媒体の紛失」、そして1位の「社内PCのマルウェア感染」も前年に比べて増加しています。
一方、「セキュリティ・リスクの重視度合い」を聞いた結果(図4)では、「標的型のサイバー攻撃」と「内部犯行による重要情報の漏えい・消失」に対しては、3割以上の企業が「極めて重視しており、経営陣からも最優先で対応するように求められている」と答え、「重視しており、セキュリティ課題の中でも優先度が高い状況」を加えると、いずれの項目でも6割を超えています。
図4. セキュリティ・リスクに対する重視度合(経年変化)
2つの設問を並べてみると、マルウェアや情報漏えい、攻撃メールなどのセキュリティ・リスクは増える一方、リスクに対する企業の重視度合いも増していることが分かります。言い換えると、警戒心を高めていても、攻撃の増加、先鋭化に追いつかないとも読み取れそうです。
当面の“一手”は内部からの情報流出防止の強化
安全対策への意識は上がっても、セキュリティ・リスクの認知率が下がらない要因はいくつか考えられますが、まず内部からの情報漏えい(不正、人為ミスを含め)に対する管理体制の不備が挙げられるでしょう。
例えば、メールセキュリティ対策。情報漏えいの原因の多くを占める社内PCのマルウェア感染も、フィッシングや攻撃メールに含まれた添付ファイルが発端となるケースは後を絶ちません。また、人為的なミスも多発しており、2017年秋には、ある企業が会員に当てたキャンペーンの案内メールを、1,000件近いメールアドレスが閲覧できる状態で誤送信してしまった事案も報告されていました。
比較的新しい手口である巧妙なビジネスメール詐欺に対しても、社内システムに攻撃メールチェック機能、例えば、迷惑メール対策、メール無害化、ファイル無害化などの機能が整備されていれば、被害に遭う可能性は少なくなります。
「働き方改革」への対処は?
「企業IT利活用動向調査 2018」では、政府が推進する「働き方改革」も調査項目に加わっていました。結果は「働き方改革が経営目標として掲げられている」と答えた企業の比率が、2017年の26.8%から34.2%に増加しています。
今回の速報では、各論としてテレワークと在宅勤務の環境整備を問う項目があり、セキュリティの関連には言及していませんが、働き方改革の推進はセキュリティ・リスクの増大と隣り合わせである点を忘れてはなりません。
人為的なガードには限界がある
テレワークの拡がりは、ノートPCやスマートフォンを使って企業の機密情報をやり取りしながら仕事をするシーンの拡大につながります。今となっては、大量の顧客情報を暗号化もせずに、PCに入れたまま持ち歩くという会社は少ないでしょう。
しかし、情報端末と内部データを慎重に扱ったとしても、人為的な方法では限界があることは、今回の調査でも指摘されている通りです。端末にある個人情報の可視化、安全に保管するための暗号化、不要なデータは完全に削除できる情報管理システムは不可欠です。
働き方改革を背景に、メールを外部でも頻繁に利用する環境が広がりつつありますが、この点も注意が必要です。特にクラウドサービスを使うメールは、どこにいてもアクセスできて使いやすいのですが、利便性と引き換えに不正アクセスのリスクも増します。個人情報の漏えいやビジネスメール詐欺を誘発する危険性も忘れてはなりません。
もう一つの留意点は“GDPR”
今回の調査で、EU(欧州連合)の域内に事業拠点や顧客を持つ企業153社に対して、「GDPR(General Data Protection Regulation:EU一般データ保護規則)」への対応を聞いたところ、約4割が「GDPRを初めて知った」、または「存在は知っているが、勤務先がどのような対応をとっているか知らない」という深刻な結果が出ていました(図5)。
図5. EUのプライバシー規制(GDPR)への対応状況:
出典 JIPDEC/ITR「企業IT利活用動向調査 2018」
GDPRは、短くまとめると“2018年5月に発効されるEUの個人情報保護に関する規則”です。目的は、EU加盟国28カ国とアイスランド、リヒテンシュタイン、ノルウェーを加えたEEA(欧州経済領域)に住む市民の個人情報を守ることで、情報の域外への移転や処理に対して、厳しい規制があります。
遠いヨーロッパの話ではない
GDPRを意識しなければならない理由は、決して遠い外国の話ではなく、日本企業にも影響が及ぶからです。GDPRが適用されるのは、EEAに拠点や関連会社、提携先を持つグローバル企業だけではなく、域内に商品、サービスを提供している事業者も含まれます。
例えば、ネットショッピングやアプリを使ったオンラインサービスなどで、EEA市民の個人情報を取得する場合、事業拠点やサーバーが日本にあっても適用外にはなりません。ここに当てはまる日本企業は多いのではないでしょうか。
個人情報の種別と制裁金は覚えておきたい
日本の個人情報保護法に比べ、GDPRは“個人情報”の定義が広い点にも注意が必要です。住所氏名や電話番号、メールアドレスだけでなく、IPアドレス、Webサイトでユーザー識別などに使われる「Cookie」などのデータ、そして“身体的、遺伝的、経済的、文化的などの要素に関して固有性を示す情報”なども、個人情報に該当します。
もう一つの留意点はペナルティ。GDPRの取り決めに違反した企業に対しては、最大で前年の全世界での総売上の4%か、2,000万ユーロ(1ユーロ130円として26億円)のうち多い金額という制裁金が課せられます。このような点を加味すると、多くの日本企業で個人情報を扱うシステムの再整備、プライバシーポリシーの見直しなどの対応が必要になると思われます。
やアプリを使ったオンラインサービスなどで、EEA市民の個人情報を取得する場合、事業拠点やサーバーが日本にあっても適用外にはなりません。ここに当てはまる日本企業は多いのではないでしょうか。