第8回 内部情報漏えい対策の常識(前編):知ってるつもり?「セキュリティの常識」を再確認(1/3 ページ)
情報漏えいの主なルートといえるのが内部からによるものだ。個人情報保護法の全面施行を控え、このリスクを小さくするためにやっておかなければならない対策は何だろうか。
情報漏えい事件の現状
企業の情報漏えい事件、特に、個人情報の流出を伝えるニュースが聞こえてこない日はない。本稿の作成中にも、某大手通信系の企業が2万件を越える個人情報を漏えいしたと報じられた(関連記事)。
これら事件は頻繁に報じられるため、それぞれの事件報道に対する印象は薄れつつあるのかもしれない。しかし、事件を起こした当事者の立場で考えた場合、漏えい事件が発生した場合のダメージは大きなものであり、今や企業としての存続を脅かすほどのリスクとなっている。具体的にどの程度のダメージが発生するのか? 日本ネットワークセキュリティ協会(JNSA)が2004年に公表した報告書によれば、表1の通りである。
| 2002年 | 2003年 | 備考 | |
|---|---|---|---|
| 漏えい事件数 | 62件(55件) | 57件(51件) | 括弧内は被害者数が判明している事件数 |
| 損害賠償総額 | 189億2201万円 | 280億6936万円 | ― |
| 最大損害賠償額 | 90億円 | 71億1990万円 | ― |
| 平均損害賠償額 | 3億4403万円 | 5億5038万円 | 被害者数が判明している漏えい事件による平均 |
| 総被害者数 | 41万8716人 | 155万4592人 | ― |
| 最大被害者数 | 10万人 | 56万人 | ― |
| 平均被害者数 | 7613人 | 3万482人 | 被害者数が判明している漏えい事件による平均 |
| 表1●個人情報漏えい事件の比較表(2002/2003 年)出典:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会 | |||
損害賠償額について平均5.5億円余りという統計が出ており、前年度(2002年)の3.4億円から大きく増加している。実際には、損害賠償費用に加えて訴訟費用などの事故対応費用も発生する。さらには、企業イメージの低下による悪影響も発生すると考えられる。4月からの個人情報保護法の全面施行を控え、このリスクを可能な限り小さくするために、我々が今やっておかなければならない対策は何だろうか。
情報漏えいの原因は?
情報漏えいへの対策を考えるにあたり、その原因や流出経路を知ることは有用である。前出のJNSAの報告書によれば、それぞれ表2、表3のような統計が得られている。
| 情報漏えい原因 | 比率 | 情報漏えい原因 | 比率 |
|---|---|---|---|
| 誤操作 | 18% | 盗難 | 7% |
| 設定ミス | 16% | 不正アクセス | 4% |
| 管理ミス | 12% | 置き忘れ | 2% |
| 情報持ち出し | 9% | その他 | 11% |
| 内部犯罪 | 9% | 不明 | 5% |
| バグ/セキュリティホール | 7% | ― | ― |
| 表2●情報漏えい原因(2003年)出典:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会 | |||
表2の情報漏えい原因は「主に外部要因による漏えい」と「主に内部要因による漏えい」に分類できる。
・主に外部要因による漏えい
外部要因による情報漏えいは、社外に存在する脅威(クラッカー、泥棒)によって引き起こされる。このタイプの情報漏えい原因として「バグ/セキュリティホール」「不正アクセス」「盗難」が考えられる。
・主に内部要因による漏えい
内部要因による情報漏えいは、社内ユーザーによって引き起こされる。原因としては、「誤操作」「設定ミス」「管理ミス」「置き忘れ」といった過失によるものや、「情報持ち出し」「内部犯罪」のような悪意を伴ったものがある。
表2の比率から「主に内部要因による漏えい」が66%を占めることがわかる。今求められているのは「主に内部要因による漏えい」に対する対策だと言えるだろう。
| 情報漏えい経路 | 比率 | 情報漏えい経路 | 比率 |
|---|---|---|---|
| Web経由 | 20% | PC本体 | 11% |
| E-Mail経由 | 17% | FTP経由 | 2% |
| FD等可搬記録媒体 | 14% | その他 | 4% |
| 紙媒体経由 | 14% | 不明 | 18% |
| 表3●情報漏えい経路(2003 年)出典:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会 | |||
情報漏えい経路としては、「Web経由」「E-Mail経由」「FTP経由」に見られるように電子データが漏えいする場合と、「FD等可搬記録媒体」「紙媒体」「PC本体」のように物理的なものが持ち出されて漏えいする場合がある。ただし、「FD等可搬記録媒体」「PC本体」については、それらの内部に記録された電子データが漏えいしているとも考えられる。従って、「電子データの漏えい」への対策を行う必要があるといえる。
以上をまとめると、「社内ユーザーが扱う電子データの漏えい対策」が求められていることは疑いがない。以下、内部情報漏えいへの対策について紹介する。
まずはリスクアセスメントから
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。