不正行為やリムーバブルメディアで情報漏えいの被害が拡大――2009年のトレンド
日本ネットワークセキュリティ協会の報告書によれば、リムーバブルメディアや不正アクセス、内部犯行が関係するインシデントで大きな被害が発生しているという。
2009年に発生した個人情報が漏えいする事故や事件(以下、インシデントとする)にはどのような特徴が見られるのだろうか――。日本ネットワークセキュリティ協会(JNSA)のセキュリティ被害調査ワーキンググループが取りまとめた「2009年度 情報セキュリティインシデントに関する調査報告書」では、インシデントの発生要因と漏えい経路、被害規模などの関係について分析している。
JNSAは毎年、報道された個人情報の漏えいインシデントの集計と分析を行っており、今回で8回目となる。2009年のインシデント件数は前年比166件増の1539件で、過去最高だった。漏えい人数は同152万人減の約572万人で、2年連続で減少した。JNSAによれば、漏えい人数が10万人を超える大規模なインシデントの発生が2008年より7件少ない12件となったことが影響したものだという。
最も漏えい人数の多いインシデントは、「内部犯行・内部不正行為」が原因となって148万6651人の情報が漏えいした金融・保険の企業でのケースだった。漏えい規模が2〜10位のインシデントでは14〜50万人の情報が漏えいし、その原因は「管理ミス」「目的外使用」「不正アクセス」「内部犯行・内部不正行為」となっている。
原因のトップは「管理ミス」
インシデント数に占める割合が高い原因の最多は、「管理ミス」の784件(50.9%)。2008年に比べて割合では約2.3倍に、件数では2.6倍に増加した。それ以外には、「誤操作」の369件(24.0%)、「紛失・置き忘れ」の122件(7.9%)、「盗難」の117件(7.6%)などが続く。全体の約9割が意図しない行為(ヒューマンエラー)によって生じたもので、現場からの広告や内部調査・内部監査などで発覚する場合が多いという。
「誤操作」「紛失・置き忘れ」「盗難」「不正な情報持ち出し」の件数は減少している。内部統制やコンプライアンスの意識の高まりを受けて、インシデントの発生を公表するケースが増えているため、これらの原因は減少傾向にあるとしている。
報告書では、内部統制やコンプライアンスの考え方が企業に浸透したことで、管理ミスがトップになったと推測する。担当者へのセキュリティ教育やヒューマンエラーを減らす手順、現場体制の整備に加え、「ヒューマンエラーは必ず起きる」という前提から被害拡大を防ぐ対策を併用することが望ましいという。
漏えい原因の比率。左は件数ベース、右は人数ベース。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」漏えい人数に占める割合をみると、「管理ミス」が45.6%で最多を占めた。「管理ミス」によるインシデント1件当たりの漏えい人数は3473.1人。2位は「内部犯行・内部不正行為」の29.1%。1件当たり12万7936.6人と「管理ミス」の約4倍であったが、2009年最大のインシデントを考慮する必要がある。また、「不正アクセス」は9.0%で、1件当たりは5万1628.9人。悪意による行為によって生じたインシデントほど、被害規模が大きい。
報告書では、「管理ミス」による個人情報の管理対策を実施していくとともに、発生確率が低いものの、大規模被害につながる「不正アクセス」への対策も優先順位を上げて取り組むべきと結論付けている。
被害規模の大きな漏えい経路はリムーバブルメディア
情報の漏えい媒体・経路別のトップは「紙媒体」(72.6%)で、「USBなど可搬記録媒体」(9.4%)、「電子メール」(7.0%)、「インターネット」(4.5%)が続く。「紙媒体」は2005年から連続でトップとなっているが、2007年まで減少傾向にあり、2008〜2009年は増加傾向にある。
漏えい人数に占める割合では、「USBなど可搬記録媒体」(60.4%)がトップである。「インターネット」(14.5%)、「紙媒体」(13.1%)、「PC本体」(4.0%)がそれに続く。インシデント1件当たりの漏えい人数は「その他」の3万4521.9人を筆頭に、「USBなど可搬記録媒体」が2万8339.8人、「インターネット」が1万3600.0人だった。「紙媒体」は690.1人。「その他」が突出しているのは、1件で35万人の情報が漏えいしたインシデントの影響であるという。
漏えい媒体・経路の比率。左は件数ベース、右は人数ベース。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」「紙媒体」が漏えい媒体・経路となったインシデントの9割は、1件当たりの漏えい人数が1000人未満であり、1〜10人未満のものが45%を占めていた。「USBなど可搬記録媒体」では1000人以上のインシデントの割合が半分以上となり、10万人以上のインシデントの比率も高い。電子データを取り扱う媒体・経路では、被害規模が大きくなる。
インシデント1件当たりの漏えい人数は、1〜10人未満が35.6%を占め、3年連続で増加した。1000人未満が全体の5分の4以上を占めている。これは近年まで企業や組織が見過ごしていた小規模なインシデントを把握し、積極的に公表するようになったためという。
1件当たりの漏えい人数区分と経年変化(件数ベース)。出典:日本ネットワークセキュリティ協会「2009年度 情報セキュリティインシデントに関する調査報告書」漏えいした情報の内容別では、「氏名」が1422件で最多となり、以下は「住所」(853件)、「電話番号」(511件)、「生年月日」(495件)、「職業」(204件)、「メールアドレス」(157件)、「性別」(119件)、「ID・パスワード」(13件)だった。漏えい数の多い内容の組み合わせは、「氏名+住所」(836件)、「氏名+電話番号」(499件)、「氏名+生年月日」(492件)、「氏名+住所+電話番号」(425件)、「氏名+住所+電話番号+生年月日」(256件)などであった。
企業や組織の情報の電子化が進んだことで、大容量の情報を手軽に扱えるようになった。しかし、ヒューマンエラーによる漏えいの危険性が高まり、悪質な行為で漏えいした場合では甚大な被害が発生する恐れがある。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。