尼崎事件に見る情報漏えい対策の“いろはのい” 増えている流出ルートは？（1/3 ページ）

[谷井将人，ITmedia]

　兵庫県尼崎市で起きたUSBメモリ紛失事件。あえて好意的に捉えるならば、普段ITとは無縁の仕事をしている人々にも情報漏えいの恐ろしさを広く知らしめてくれた事例ともいえる。

　ここで一度、情報漏えいが起きるルートをおさらいしておこう。尼崎市の事件を受けて情報セキュリティへの意識が向上している今のうちに、どんな行為が情報漏えいにつながるのかが分かれば、対策方針が立てやすくなる。

　今回は、経済産業省が管轄する情報セキュリティの専門機関「情報処理推進機構」（IPA）でセキュリティ分析を担当する佐川陽一さんに、よくある情報漏えいのルートについて聞いた。

特集：非IT企業がいま知りたい「情報セキュリティのキホン」

2022年に入ってから、不正アクセスやマルウェア「Emotet」による被害が相次いでいる。非IT企業はセキュリティ対策が甘い場合もあることから攻撃のターゲットになりやすく、近年では中小企業を足掛かりに大企業へ攻撃を仕掛ける「サプライチェーン攻撃」も身近な問題になってきた。 本特集では、近年発生しているサイバー攻撃の中でも非IT企業に特に大きな打撃を与えたものについて、実例や手口を噛み砕いて解説。こうした被害を防ぐための対策方法を、基礎から示していく。

電子機器の紛失、置き忘れ、盗難

　尼崎市の事案は典型的な電子機器の紛失だった。委託業務の作業担当者が、個人情報が入ったUSBメモリを持ったまま飲食店で酒を飲み、USBメモリをなくしている。

　6月には他にも大阪府門真市で、SDカードの紛失があった。紛失する可能性としては、他にも社用携帯電話を落とした、PCを電車に置き忘れた、カバンごと置き引きに遭ったなどさまざまなパターンが考えられる。

＜関連記事：今度はSDカード紛失、大阪府門真市　データはほぼ消去済み＞

IPAの佐川陽一さん（セキュリティセンター セキュリティ対策推進部 セキュリティ分析グループ 主任研究員）

　「一般論として、何といっても、USBメモリって一番大きい脅威なのかもしれません。中小企業を中心に技術的にUSBメモリを禁止していない企業が残っていますので、クラウドに並んで注意していかなければならないポイントです」（佐川さん）

　今回の件で、Twitterなどでは「クラウドを使えばいいんじゃないか」という意見が上がっていた。一つの方策として考えられるが、クラウドにすれば安全というわけではない。

　クラウドの場合、近年では設定ミスで個人情報などが意図せず一般公開されてしまう事例が何件も報告されている。

　人間である以上ミスは起こり得るため、ミスを減らす仕組みづくりや、問題発生時の対応マニュアルの整備などが重要だ。