法人のお客さまに起こりがちな状況
情報セキュリティ対策は、いつ起こるかわからない災害に備えるのと同じように、しばらく何も起こらない日々が続くと徐々に「もう大丈夫なのでは?」と思いがちです。
このような気のゆるみからセキュリティ意識が薄まってしまうために、思わぬところでインシデントが発生しがちなのも、よくあるパターンです。
たとえば
「うっかり、送信先を間違えて重要情報を他社に送ってしまった」
「いつの間にか社内サーバがspamメールの踏み台にされていた」
というような、ちゃんと確認・対策していれば防げていたかもしれないようなインシデントでも、重要な情報が漏えいしてしまえば多大な損害を引き起こすことになります。
このような損害は、事前に対策を検討・実施しておくことで、ある程度リスクをコントロールすることが可能です。
本記事では情報漏えい事故の原因と、その対応策についてご紹介します。
情報漏えいの原因の3分の2は「うっかりミス」。ただし漏洩人数は不正アクセス原因が多い
日本ネットワークセキュリティ協会(JNSA)の調査によると、いわゆる“うっかりミス”によって情報漏えいが発生した割合は約3分の2を占めます。
特に割合が大きいものを挙げると「紛失・置忘れ」が26.2%、次いで「誤操作」が24.6%となり、この2つだけでも全体の半分を占めています。
3番目に来るのが「不正アクセス」であり、約20%の情報漏えいの原因が、この不正アクセスに由来するようです。
逆に、いわゆるPlatform as a Service(PaaS)の場合はAWS はインフラ、OS、およびプラットフォームを運用するのに対し、ユーザーはエンドポイントにアクセスしてデータの管理、アセットの分類、IAM ツールでの適切な権限の適用についてのみ責任を負うことになります。
一方、流出した個人情報の漏えい人数をみると、インシデントトップ10の実に8件が「不正アクセス」原因となっています。
同調査によれば、特にここ数年は不正アクセスによる情報漏えいが増加傾向にあり、企業は社内のヒューマンエラーの防止と並行して不正アクセスに対する危機意識も高まっている状況です。
企業で起こりがちな情報漏えいのパターンと対策例
同調査結果を基に、情報漏えいのパターンと対策方法を考えてみます。
これらがしっかりとルール化され、社員ひとりひとりが順守する意識を持っているか、あわせてシステム面において十分な安全性が担保されているかについて、ぜひご確認ください。
(1)メールの送り先間違い
一番典型的な情報漏えいのパターンといえます。
メールのやり取りは極めて日常的に発生する業務であることにより、集中力を欠いた状態でも“何となく”できてしまうことと、最近のメーラーでは、デフォルトで実装されている「宛先の自動補完機能」が働くことによって、たとえば「Ao」まで打った段階で「A社の青井(Aoi)さん」に送るつもりが「B社の青木(Aoki)さん」に補完され、そのまま気付かず送信してしまうケースなどがあります。
<対策>
個人情報や重要情報を含むメールの場合は、指差し確認など意識的に宛先をチェックするほか、可能であれば、2名以上での宛先チェックを行うようなルールを策定しましょう。メーラーに送信前の宛先チェック機能が搭載されていれば、それを利用するのも手です。
(2)添付ファイル間違い
これも良くあるパターンといえます。
宛先などとは異なり、いったん添付してしまうとファイル名しか見えなくなってしまうため、気づきにくいのが難しいポイントとなります。
特に個人情報は、ファイルそのものにパスワードをかけたり、パスワード付きのZIPファイルなどに圧縮したりすることが一般的ですが、後者のファイル圧縮後は、中身のファイル名すら確認できない状態です。
<対策>
パスワードの設定を行い、そのパスワードで開けること、及び圧縮ファイルは中身のファイルが壊れていないか開いて確認することまでを、一連の流れにしましょう。
(3)標的型攻撃メール
いわゆるマルウェアが添付されたメールなどが代表的です。
以前は、英文メールだったり、送り元が全く知らない人からだったりと、見るからに怪しいメールが多かったのですが、最近はEMOTETに代表されるように攻撃手法/偽装方法が巧妙になりつつあり、感染した端末のメーラーにある情報やメール文などを元に自然な文章を生成するようになるなど、偽装工作のレベルが上がってきています。
<対策>
メールに由来するヒヤリハット例の蓄積・共有と、それによって起こった損害についての教育を行い、むやみに心当たりのないメールを開かないよう啓蒙しましょう。
(4)書類の紛失
社内・社外問わず、人が原因の情報漏えいのパターンとしては非常にメジャーです。
重要書類を取り扱っている時に他の作業を依頼され、そちらに気を取られている間にどこかに行ってしまうパターンや、打ち合わせ終わりに立ち寄った飲食店に置いてきてしまったなど、書類が見つかったケースを含めると、働いていると一度は見たことがあるかと思います。
<対策>
机やキャビネットの整理整頓、及び個人情報を記載した書類の施錠管理などを徹底しましょう。
さらには、そもそも社外に持ち出す必要がないものは持ち出さないよう、書類取り扱いのルールを定め、順守させましょう。
(5)フィッシングサイト
ここ数年で攻撃が増えてきた印象のあるパターンです。
銀行口座やWEBサービスの正規ページだと思ったら、実は悪意を持った人間が作った「本物そっくりのサイト」で、知らずにログイン用のIDとパスワードを入れてしまい、後日そのアカウント情報でログインされ情報を抜かれる、などのケースが多く見受けられると思われます。
<対策>
IPアドレスを基に悪意あるサイトをブロックするといったWeb対策の機能を搭載したセキュリティ対策ソフトなどの導入を検討しましょう。
(6)クラウドサーバ利用時の不正アクセス
最近は小さな企業でも、スケーラビリティや冗長性の問題、物理サーバ導入に伴うコストの関係で、クラウド上にサーバを構築することが多くなってきました。
しかしこれは、クラウドベンダーが全てのセキュリティを担保するという意味ではなく、OSのセキュリティパッチの配信など、ユーザ側でセキュリティ保護を行う責任範囲があります。
クラウドにサーバを上げたからと言って安心してしまいサーバのセキュリティ保護をおろそかにしてしまうと、不正アクセスを許してしまうケースが発生しえます。
<対策>
PCだけでなくクラウドサーバについてもセキュリティ対策ソフトを適用し、総合的なセキュリティレベル向上を図りましょう。
情報漏えいは対策の網羅性が重要
どこから漏れたとしても、漏えいしてしまった情報の“重要度”は変わらず、甚大な損害を被ります。
したがって情報漏えいリスクについては「ここのセキュリティは固めたからひと安心」という性質のものではないのです。
大切なのは、これまでに挙げたようにPC・サーバ、人・ルール、全方位に対して網羅的な対策を施すことで、まず情報漏えいが起こらないようにすること、そして情報漏えいが起こってしまう前に、潜んでいる危険に気付けるようにすることです。
一方、網羅的に対策を行うにしても、その優先順位を決めなければなりません。
原則として、発生確率が高いところから対応するのが鉄則です。
自社のセキュリティ方針の策定、現状分析、優先順位の設定、対応方法の決定とシステムの検討、体制構築、運用と、ステップを踏みながらきちんと対策を進めることで、自社の運用形態を網羅的にカバーしたセキュリティ体制が構築できるようになります。
社会背景としてリモートワークが推進されている現在、どこにセキュリティリスクが潜んでいるか物理的に見ることも難しくなってきましたので、ぜひ自社のセキュリティ方針を見直してみてください。
効果的な対策を行うために考えるべきポイント
会社組織全体として望ましいセキュリティ体制を構築できているかどうかについては、次の3つの観点で見たときに、バランスよく構築できているかどうかで判断できます。
- (1)社内のガイドラインと作業ルールの策定
-
企業として、どのようなフローで業務を進めれば運用効率の低下を最小限に抑えながら、セキュリティインシデントを減らすことができるのかを検討し、ルールとして策定することが必要です。
方針は経営者などの組織上層部が示し、現場はどのようなルールであれば方針を遵守した運用となるか、双方向からの検討を行う必要があります。
- (2)業務フローを考慮したシステムと運用の設計
-
ルールが定まったら、現在の業務フローの中でどこにセキュリティリスクが含まれているのかを特定します。
セキュリティリスクが発見されたところは、業務フローの改善やシステムの導入によるリスク低減の方法を検討し、改善を行うことができます。
- (3)セキュリティに対する意識を高める教育
-
ルールが定められ、システムが堅牢になったとしても、実際に運用する人間のセキュリティ意識が低ければ簡単に情報漏えいは発生しえます。
ルールが構築された段階から、運用する人間全員が定期的なセキュリティ教育を受け「なぜこうするべきなのか」「なぜこれをしてはいけないのか」などについて、本質的な部分からの理解を得る必要があります。
これら3つの視点で、バランスよく(欠けることなく)実行していきましょう。
定期的なPDCAを回してセキュリティレベルの維持を
セキュリティに関わるルールを策定したとしても、日々状況が変化する現代では、一度作って終わりというわけにはいきません。
少なくとも年に1度は、ヒヤリハット事例を元にルールを見直して「運用にフィットしたルール」に調整したいところです。
また、ルールを基に運用する側が人間である以上、慣れやマンネリが発生しがちなので、定期的に新しい情報の提供を行うことで意識を再度高い状態に引き上げ、慣れた作業においてもリスクの有無を正しく判断できるようにしていきます。
さらに、セキュリティ対策ソフトも日々新しい製品の開発や既存商品の改善を行っています。
場合によっては現在利用しているサービスよりもより高性能なシステムやサービスが提供されている場合もあるので、ぜひ定期的な情報収集を行うようにしてください。
トレンドマイクロからのアドバイス
情報セキュリティチームの人員不足が悩みの種の企業においては、「オールインワン」のセキュリティ機能と「柔軟かつシンプルな管理体制」が必要といえます。
トレンドマイクロでは仮想化環境、クラウド環境にも最適なセキュリティを実装できるTrend Micro Cloud One - Workload Security™をご提供しています。
サーバ保護に必要な機能をオールインワン
ネットワーク層からOS、アプリケーションレイヤーまでを網羅したセキュリティ機能を実装。
サーバの多層防御を実現し今存在している脅威からサーバを守る他、AI技術を用いた機械学習型検索により、未知の脅威への対策を強化することができます。
多様なサーバ環境×統一したセキュリティを実現できる
物理・仮想・クラウドなど、多様なサーバ環境に対応しており、それらすべてに統一したセキュリティを提供することが可能です。
また、単一の一元管理されたクラウド型ソフトウェアで総合的な保護を提供し、複数ソフトウェア利用の必要性とこれに伴うコストを削減することも可能です。
スケーラビリティ、冗長性を担保しながらのセキュリティ体制構築に対する課題を抱えている事業者の方はぜひ一度ご相談ください。