この記事をシェア
記事の内容
組織にとってセキュリティインシデントで最も重い「情報漏洩」。2024年も情報漏洩事件が多発しました。
今回は2024年の情報漏洩事件の発生傾向とともに、対策を解説します。
情報漏洩とは?
情報漏洩とは公開していない情報情報が意図せず外部に流出したり、不正アクセスなどにより、第三者にわたってしまうを指します。
対象となる情報は、組織や個人が保有するすべての情報になりますが、一般的に大きく問題になるのは、「機密情報」と「個人情報」です。
機密情報とは
機密情報として法律で定義されているのは営業秘密です。不正競争防止法により定められている「秘密として管理されていて、技術上または営業上の情報であり、公開されていない情報」を指します。
個人情報とは
個人情報は名前の通りで「生存する個人に関する情報で、個人を特定することができる情報」を指します。
営業秘密や個人情報は不正競争防止法や個人情報保護法により、漏えいした際に民事責任や刑事罰、行政処分などについての規定が置かれています。
2024年の漏洩事件の発生傾向
東京商工リサーチの調査では、
2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件(前年比8.0%増)で、漏えいした個人情報は1,586万5,611人分(同61.2%減)だった。
事故件数は調査を開始した2012年以降、2021年から4年連続で最多を更新した。漏えい・紛失人数は、100万人超えの大型事故が相次いだ2023年(合計4,090万8,718人分)から6割減少した。
との結果を発表しています。
情報漏洩の主な原因
情報漏洩の原因は大きく分けると、「外部要因」「内部要因」の2種類があります。
不正アクセスやマルウェア感染、通信の傍受など外部に起因する外部要因。
メールの誤送信や個人情報が入ったUSBの紛失、従業員による個人情報の不正な持ち出しなどが内部要因です。
各要因の特徴は以下の通りです。
ウイルス感染・不正アクセス
2024年の情報漏洩・紛失事故のうち、「ウイルス感染・不正アクセス」に起因した114件が最多で、6割を占めています。発生件数は2019以降、6年連続で最多を更新し続けており、2024年は初めて100件を超えました。特に大規模な流出事件につながりやすいのはこのケースです。
軽はずみなクリックや私用USBなどの機器によるウイルスの持ち込み、簡易的なパスワードが突破される人的原因もありますが、社内サーバーの脆弱性をついた不正アクセスなどの外部要因によるケースも数多く発生しています。
誤表示・誤送信
2番目に多かったのが「誤表示・誤送信」の41件です。
例えば、メール送信時の送信先、CCや、BCCの設定間違い、システムの誤設定などの人為的なミスで情報を流失させたケースです。
メールや郵送だけでなく、デモやプレゼン時、うっかり顧客情報の入った本番環境を表示してしまう…などリスクはいたるところに存在しています。
紛失・誤廃棄
3番目に多かったのがデータの「紛失・誤廃棄」で20件。
例えば、情報を紙で管理していた場合、その紙が紛失してしまったときに復元ができなくなります。
また、業務が属人化していた場合は担当者が退職したときに、企業としてどのように管理されているかが把握できないというケースも想像に難くありません。退職者のPCを初期化したことによる情報の紛失なども考えられます。
不正持ち出し・盗難
最後が「不正持ち出し・盗難」による流出で14件発生しています。
自己の利益を目的とした従業員による持ち出し、転職先での個人情報の利用などがこれにあたります。従業員のコンプライアンス意識や教育体制はもちろん、持ち出せてしまう環境を提供していた企業側にも原因があると言えます。
DX化によるデータ連携で幅広く情報の活用が進んだ背景もあり、一部のツールでの事故が連携先の他社のツールへ影響を及ぼすケースもありました。
ネクスタ・メイシにおける個人情報流出の対策
ここからはネクスタ・メイシを活用することで企業の情報漏洩の防止につながる機能を紹介します。
AWSのWAFにおける不正アクセス対策
インフラ面ではネクスタ・メイシはクラウドベンダーとして実績が高く、確かなセキュリティを誇るAWS(アマゾン ウェブ サービス)を利用しています。
また、WAF(ウェブアプリケーションファイアウォール)により、ウェブの脆弱性を利用した攻撃からアプリケーションを保護しています。一般的な攻撃をブロックするだけでなく、当アプリケーション独自のルールに基づいてトラフィックをフィルタリングすることにより、ウェブアプリケーションを外部の脅威から保護します。
二要素認証・SSOによる不正ログインを防止
通常のID・パスワードの認証に加え、ワンタイムパスワードを利用することで不正ログインを防止します。
ワンタイムパスワードの取得は、セキュリティ要件に応じてSMS(ショートメール)か2要素認証用アプリケーション(Google Authenticator, Authy 等)から選択することが可能です。
それ以外にも、IPアドレスによるログインの制限や認証された端末以外からログインがあった際は通知が来る仕組みも標準機能として提供しています。
組織管理による紛失・誤廃棄の防止
名刺などの個人情報を個人管理してしまうと、担当者が捨ててしまえば情報が消えてしまいます。エクセルなどの電子データで管理していても簡単に削除をすることができます。
ネクスタ・メイシでは誤削除の防止のため、2段階の削除フローを設けているほか、エクスポートによるバックアップを定期的に取得することで復元することが可能です。
アカウントの権限管理による不正持ち出し・盗難の防止
社内サーバーに保管したエクセルなどで個人情報を管理していた場合、USBなどの媒体を経由することで簡単にデータの持ち出しが可能です。加えて、システム関連部署に依頼しなければログの取得ができないケースがほとんどだと思います。
ネクスタ・メイシではエクスポート機能に権限を持たせることができるため、対象を絞り込むことが可能です。
また、エクスポートや外部ツールへのデータ送信履歴は管理者アカウントで確認できるため、「いつ」「誰が」「どんな」データを持ち出したのかを把握することができます。
ネクスタ・メイシには退職者設定もできるため、退職者のログインを停止しつつ、対象者の持つ名刺情報を維持する機能が備わっています。
まとめ
情報漏洩を防ぐためには、外部要因と内部要因それぞれへの対策が必要です。これらの対策は基本的なところは同じですが、取り扱う情報の重要度や業界によっても様々です。
まずは自社にどのようなセキュリティリスクが存在するかを認識し、適切な対策を実施していくことで組織のセキュリティ維持・改善していきましょう。
