情報漏洩の原因と対策について解説 情報漏洩が及ぼす影響とは?
- INDEX
-
どれだけ大きな情報漏洩事故が発生しても、なくなることのない企業や自治体での情報漏洩事故。これらは氷山の一角にすぎません。
2015年、世界的に1,673件の情報漏洩事故や事件が発生し、7億700万件以上のデータが流出したとされています。
これだけの情報漏洩が日々発生しているにもかかわらず、なぜ、いまだに企業や自治体での情報漏洩はなくならないのでしょうか。
企業からの情報漏洩事例
企業からの情報漏洩が注目されるようになったのは、2000年代初頭のことです。それまでの攻撃はウイルスや企業情報システムのハッキングで、情報漏洩は多くはありませんでした。
情報漏洩が目立ってきた理由は2つあります。1つは企業の情報システムがインターネットに接続され、攻撃しやすくなったこと。もう1つは企業が持つ個人情報の金銭的価値が高まったことです。ブラックマーケットが形成され、容易に売買できるようになりました。
2000年代初頭はIT、デパート、鉄道など、日本を代表する大企業の情報漏洩事件が発覚しました。世間を驚かせたのは情報漏洩の代償です。約590万人の顧客情報漏洩があったIT企業は、1人あたり4,500円の慰謝料と金券500円を配布しています。5万人分の個人情報漏洩が発生したエステ企業は、1人あたり3万5000円を支払っています。
企業からの情報漏洩事件は時代とともに悪質化し、現在では標的型攻撃による情報漏洩や内部不正による情報漏洩が多くなり、多くの企業でその対策が急がれています。
情報漏洩の事例(企業)
| 発覚時期 | 企業 | 流出情報・件数(推計) | 原因 | 補償金額 のみの概算 |
|---|---|---|---|---|
| 2016年 | 旅行会社 | 顧客の名前、住所、パスポート番号、電話番号など約790万件 | 標的型攻撃 | 不明 |
| 2015年 | 某機構 | 基礎年金番号、氏名、生年月日の3項目から成る個人情報、住所など約125万件 | 標的型攻撃 | 2億 |
| 2014年 | 電機S社 | 社員の年収、住所など約760万件 | 不正アクセス | 9億 |
| 2014年 | 教育B社 | 子供や保護者の住所や氏名、電話番号、子供の性別や生年月日など約2,895万件 | 不正持ち出し | 200億 |
| 2013年 | 通信Y社 | IDが抽出されたファイル最大2,200万件 | 不正アクセス | 不明 |
| 2011年 | 電機S社 | 自社ゲームのネットワークサービス利用者の氏名や住所、電話番号など約743万件 | 不正侵入 | 2兆 |
| 2009年 | 証券MU社 | 顧客の氏名、住所、電話番号、生年月日、職業、年収区分、勤務先情報など約49,000件 | 不正アクセス | 5億 |
情報漏洩が企業や自治体に与える影響
企業や自治体で情報漏洩が発生した場合の損害賠償金額(慰謝料)は、業種や漏洩数によりさまざまで、1人あたり数千円から数万円とされています。
さらに、信用失墜、業績低下、株価などにもネガティブな影響を与えます。
2015年の情報漏洩に関するインシデントは以下の通りとなり、一件当たり3億円の損害賠償額とされています。
| 漏洩人数 | 496万0063人 |
|---|---|
| インシデント件数 | 799件 |
| 想定損害賠償総額 | 2541億3663万円 |
| 一件当たりの平均漏洩人数 | 6578人 |
| 一件当たりの平均損害賠償額 | 3億3705万円 |
| 一人当たりの平均損害賠償額 | 2万8020円 |
出典:日本ネットワークセキュリティ協会 2015年個人情報漏えいインシデント概要データ【速報】
このように、企業や自治体での情報漏洩の被害は計り知れないものがあります。
損害賠償の他にも、慰謝料の請求や、被害者の会が結成され、訴訟に持ち込まれると弁護士費用もかかります。株主代表訴訟に持ち込まれることもあります。
損害はブランドの失墜にもつながり、取引の停止、ビジネスチャンスの喪失、顧客離れなどが発生する場合も少なくありません。
参考:2014年の企業での情報漏洩事故の例
直接的なコスト
お客様へのお詫びとして200億円のほか、対応する社員の人件費、弁護士費用、裁判費用など、事後対応費用として追加で100億円。合計で306億円の対応コストがかかっています。
業績への影響
信用失墜、事業基盤毀損、業績低下のほか、主柱事業の会員数26%減といわれています。損害賠償額、
その後の対策費用
>
情報漏洩対策コスト
であり、情報漏洩対策は企業や組織において必須の課題といえます。
情報漏洩の主な原因
企業や自治体での情報漏洩の主な原因は、内部不正によるものや、人的ミス、利用者の教育不足によるものなど、多岐に渡ります。
主な原因:内部不正による持ち出し、ウイルス感染、誤操作、USB・スマホの紛失、不正アクセス、管理ミスなど
「IT」が不可欠になっている反面、適切な対策がされていないと、組織にとって危険であり大きなリスクとなります。
情報漏洩が起きてしまう原因となる3つの課題
では、なぜ企業や自治体での情報漏洩は起きてしまうのでょうか。
それは、3つの課題がきちんと解決できていないからです。
①コストに関する課題
| 対策したいこと | 導入製品 |
|---|---|
| PCやソフト等の資産管理 | A社のソフトウェア |
| PC操作ログ管理 | B社のソフトウェア |
| ウイルス・マルウェア対策 | C社のソフトウェア |
| USB等のデバイス制御 | 予算不足 |
| 暗号化・ファイル利用制限 | 予算不足 |
色々な対策のために製品を導入したいけれど...
高コスト
予算が足りない
②運用に関する課題
たかが、PC管理のために何台のサーバが必要?
何種類のソフトを導入しなければならないの?
運用非効率
時間と人手が足りなくて、実質運用できていない
③ノウハウに関する課題
色々な対策はしているけれど...
次々と現れる脅威に対策が追いつかない
ノウハウ不足
ノウハウがなくてどう対策したらいいかわからない
情報漏洩対策のためには、企業や組織として行わなければならないことがたくさんあります。しかし、これらの課題から見るようにコストや工数がかかるため、後回しにされてしまいがちです。
結果として、情報漏洩が発生するたびに部分的な対策を行うこととなり、十分な情報漏洩対策が行われていません。
AssetView で、3つの課題をすべて解決
情報漏洩対策のソフトは、各社からさまざまなものが提供されています。
しかし、その時々の要件にあわせて異なるメーカーの製品を導入すると、重複した管理や機能ごとのバージョンアップなど、運用コストや工数が増すばかりです。
さらに、情報漏洩の原因には、内部不正や外部からの攻撃など、さまざまな要因があり、その対策も単一のものではなく、複数の機能を組み合わせて行うことが必要です。
AssetView は、マイナンバーセキュリティ対策、標的型攻撃メール対策、内部不正対策、自動暗号化、紛失・盗難対策など、さまざまな脅威に対し、豊富な機能を組み合わせることで統合的な対策が行えます。
対策が不十分というお客様には、AssetView が今必要とされている情報漏洩対策の進化をお手伝いします。
ソリューションを統合管理
低コスト、高効率!
これらの対策もすべて1つのサーバーで管理が可能です。
続いて、「AssetView」シリーズについて、さらに深く理解していただくために、上記の項目ごとに記載されている各種機能の仕組みをそれぞれ簡単に説明します。
IT資産管理ソフト「AssetView A」
IT資産管理とは、パソコンやサーバー、ネットワーク機器などの物理的なデバイスの管理と、デバイス内のOSやソフトウェアのバージョン情報、それぞれのライセンスを管理する仕組みです。
社内のデバイスの情報を自動で収集するだけでなく、アンケート機能などを用いて、より詳細な情報の収集と一元管理をすることができます。
実際にIT資産管理が行われていない場合、退職者のノートパソコンが倉庫に眠っていて、必要なソフトウエアもインストールされているのに、新しくパソコンもソフトも購入してしまうような無駄が発生します。
IT資産管理ソフトである「AssetView A」であれば、物理的なデバイス=ハードウェア資産の管理だけでなく、パソコン内部のソフトウェアやライセンスの管理が可能であり、無駄に新しいパソコンを買ったり、ソフトウェアのライセンスを買い足したりするようなことを防止できます。
また、OSやデバイスのスペック情報も収集できるため、明らかに古いパソコンを廃棄したり、新しいパソコンに切り替えたりすることで、社内全体の物理的な意味でのスピードアップも期待できます。
PC操作ログ管理ソフト「AssetView M」
PC操作ログ管理とは、従業員がパソコンで業務を行う際の操作をシステム的にログ(記録)を取得し、操作ごとにアラートを出したり、必要に応じて管理者に通知したりする仕組みです。
自動的にパソコンの操作ログを取得、追跡が可能となり、管理する側は目的ごとに検索条件を保存しておくだけでPC操作ログの監視や管理、検索ができるようになります。ファイルの操作を追跡できることから、情報漏洩が発生した場合のファイル流出経路の判明にも役立ちます。
また、パソコン上のほぼすべての操作を記録できることから、テレワーク時の業務管理にも役立てることが可能であり、同時にテレワークでも社内やオフィスにいるのと同じレベルで安心・安全に仕事をすることができます。
その他、Webフィルタリングも可能なことから、業務に関係のないブラウザの閲覧を防ぐとともに、悪質なURLにアクセスして何らかのウイルスに感染した場合の原因を特定することも可能です。
ウイルス対策・エンドポイントセキュリティ「AssetView Vplus」
ウイルス対策とは、ウイルスやマルウェア全般への対策となる仕組みです。ウイルスやマルウェアに関する情報や対策を常に最新の状態にしておくことで、既存のマルウェアやウイルスによる被害を最小限にすることができます。
セキュリティ対策や統合管理の中でも、ウイルス対策・マルウェア対策は技術的な意味でも一般の方では対策しきれない分野と言えます。現実問題として、情報システム部やセキュリティ担当がいない業界や業種において、「セキュリティ対策をしているつもり」になってしまっているケースが多く存在しており、実質的にセキュリティホールだらけの状況で日々の業務を行っていることがあります。
今まで、サイバー攻撃による被害を受けなかったのは奇跡であると考えることもできますが、実際は既にサイバー攻撃による被害を受けているのに、その被害を検知できていない可能性もゼロではありません。
AssetView Vplusであれば既知の脅威から、最新の脅威も検知可能であり、セキュリティに関する不安を解消するとともに、実効性や有効性の高いセキュリティ対策となります。
デバイス制御「AssetView G」
デバイス制御とはUSBメモリや外付けHDD/SSDなど、物理的なデバイスを制御する仕組みです。AssetView Gを利用すればUSBデバイスの使用を管理・制限できるようになり、情報漏洩や内部不正によるリスクを最小限にできます。仕組みとしても、完全にUSBメモリの使用禁止から、必要に応じて許可することもできるため、業務に支障が出ないような形でセキュリティを強化することができます。
ファイル制御・暗号化「AssetView K」
ファイル制御・暗号化とは、ファイルの利用制限、アクセス権の設定、暗号化による情報漏洩を防止する仕組みです。ファイルそのものが暗号化されるため、仮にファイルが流出したとしても、情報が漏洩しない仕組みになっています。ファイルの追跡や後から設定を変更、ファイルを削除することも可能なため、機密情報や個人情報を日常的な業務および作業で使う場合でも安心です。
また、前項のデバイス制御と組み合わせることで、USBメモリの制御とファイルの暗号化という形で、さらに安心・安全にデータを取り扱うことができるようになります。
個人情報検索ソフト「AssetView I」
個人情報検索とは、従業員が利用するデバイス内のデータやファイルに個人情報および機密情報が含まれるかどうかを検索、管理する仕組みです。こちらも日常的に個人情報を業務や作業で利用する場合におすすめであり、従業員のうっかりミスや操作ミスで個人情報が意図しない場所に放置されることを防ぎます。
前項のファイル暗号化と組み合わせることで、放置されたとしても暗号化で開けない、逆に個人情報検索によって放置されているデータを把握できるので、よりセキュリティ性を高めることができます。
不正PC遮断「AssetView S」
不正PC遮断とは、社内ネットワークや社内の基幹システムに不正に接続しているパソコンや機器を検知し、遮断する仕組みです。サイバー攻撃による被害を減らすだけでなく、従業員の私物のパソコンなど、許可していないデバイスからのアクセスを防ぐことにつながります。インストール認証とMACアドレス認証によって社内ネットワークへの接続を管理できることから、何らかの形でログイン情報が奪われた場合でも社内ネットワークへの不正ログインを防ぐことが可能です。テレワークに対応する必要がある場合でも安心・安全に社内ネットワークへアクセス、必要なデータやファイルを使って業務や作業を行うことができます。
逆に言えば、不正PC遮断の仕組みを導入していない場合、外部から社内ネットワークに不正アクセス・不正ログインされてしまう可能性は非常に高く、情報漏洩やさらなるサイバー攻撃の被害・リスクが増大してしまいます。
脆弱性対策・PC更新管理「AssetView P」
脆弱性対策とは、セキュリティパッチの適用、OSやソフトウェアのアップデートを一元管理する仕組みです。サイバー攻撃やウイルス・マルウェアはOSやソフトウェアの脆弱性を利用するものも少なくないことから、OSやソフトウェアを最新の状態に保つだけでも被害やリスクを少なくすることができます。
しかし、パソコンが何十台、何百台とある場合、OSやソフトウェアのアップデート・バージョン管理が行き届かなくなる可能性は高く、管理しきれないことで最新の状態に保てなくなるような状況も少なくありません。また、社内独自の基幹システムやその他のソフトウェアとの兼ね合いから、まずは検証を行った上でアップデートしなければ業務に支障が出ることもあります。
AssetView Pであれば、アップデートの検証を行った後、業務に支障が出ない任意の時間帯に遠隔でアップデートすることができるため、ネットワークの負荷の問題も解決しながら、脆弱性対策を行うことができます。
セキュリティがよくわからない、不安があるならAssetViewシリーズによる統合管理がおすすめ
情報システム部の設置やセキュリティ担当の配置がなされていない場合、セキュリティがよくわからない、もしくはセキュリティに不安がある状況と言えます。DXの推進や働き方改革も含めて、企業や組織に求められることが増えれば増えるほど、セキュリティリスクが増大する時代であることを考えると、「わからない・知らない」という理由のみでセキュリティ対策を行わないのは非常に危険です。
極端なことを言えば、情報漏洩や内部不正の他、データの改竄・データの削除が行われてしまえば、たとえ被害者であったとしても、被害を受けた企業や組織が責任を取らなくてはなりません。たとえるなら、個人情報を印刷した紙のリストを金庫にも倉庫にも入れず、監視カメラも設置しないような誰でも入れる場所に置いておけば、企業や組織の責任になるのは明白であるとわかるでしょう。
これらのことから、セキュリティがよくわからない、セキュリティに不安があるなら、ぜひともAssetViewシリーズによる統合管理を行うことをおすすめします。
統合管理のメリット
統合管理を行うと他にもこんなメリットがあります。
サーバー統合
ライセンス費用、保守費用、
運用コストを削減
管理ツールの一本化
製品選定、導入作業、
運用工数の効率化
窓口の一本化
サポート/契約/営業窓口
など、業務負担を削減
AssetView なら、コスト削減をしながら統合的な情報漏洩対策が行えます。
