頻発する情報漏えい事件 その原因と対策(1) 〜組織内部の情報を守るために〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

頻発する情報漏えい事件 その原因と対策(1) 〜組織内部の情報を守るために〜

特集 特集

(1)多発する情報漏洩

 情報漏洩事件が後を絶たないようだ。しかもここ最近で特に増えたように見える。確かにひとつのセンセーショナルな犯罪は模倣犯を生むが、それだけが原因ではないだろう。

 大昔からあった機密情報の漏洩ではなく、ターゲットが個人情報、顧客情報というところに移ってきたのは90年代後半だ。ちょうどその時期、コンピュータの普及とともにネットワークがあまねく行き渡り、紙の名簿から電子名簿に管理が移行されてきた。一方でそのころから、売れないものをさらに売るためにマーケティングはさらに精密さを求められるようになり、とにかくどんな形でもあるニーズによって切り出された個人情報などが必要とされるようになってきた。結果として電子データの名簿が売れる市場ができてきたというわけだ。

 漏洩事例は98年くらいから表に出てくるようになる。その後年々増え続け、2003年では全国紙等で大々的に報道された事件だけで20件近くにもなっている。言ってみれば月に2件も大事件が起きているのだ。

 こうした漏洩は内部のスタッフによる犯行が多い。内部犯行の場合、そもそもアクセスする資格・権限を持っている人間が犯行に及ぶわけだ。生半可な対策ではこれは防げない。というよりも、今までのように外部からの不正アクセスや侵入だけを意識した対策では防げないだろう。

 いや、対策どころか、最近の事例を見てみると、「アカウント(ユーザID)とパスワードを共有していた」とか「そもそもアクセス制御を行っていなかったため、普通のアカウント(ユーザID)でも余裕でアクセスできた」など、信じられないようなずさんな管理が原因だったりするようだ。正確に言えばずさんな管理は「原因」であるわけではなくて、ほんとうに「原因」と言えるのはおそらく、その情報に触れることができる人が「どうせ誰も見ていない」と思ってしまった、ということだろう。人は誰も見ていないところならば大胆に犯罪的行為を犯す。誰も見ていないに等しい状況であれば、犯罪的行為へのハードルはどんどん低くなる。店番が居ない店で盗みをはたらくようなものなのだろう。盗んだ代物(個人情報など)もちゃんと買ってくれる市場があるくらいだし、実利的でもある。今はさすがに価格が下落しているようだが、それでも顧客情報名簿に100万とかいう値段が出ることもあるようだ。目の前にあって誰も見ていないファイルをこそっと持ち出すだけで100万円、というわけだ。返すのが困難な借金をしてしまうような事情(性格の弱さ、生活など)を持つ人にとっては、これは耐え難い誘惑だろう。

 次いで多いのが単なる取り扱いのミスだ。意外にこれも多い。

 ここ1年に起きた主な事例を見ても、紛失していたりミスで公開したり第三者に渡してしまったりという事例も少なからずあるようだ。情報の管理や運用に人間が絡んでいる以上、ミスによる事故は避けられない。人間のミスは無くせないからだ。

 単なるミスならまだしも、無知が原因となることもある。無知が原因で設定が足りていなかったとか、無知のせいで不必要なポートを開けていたとかもあるだろう。あるいはもっと簡単に言えば、ファイルが単にディレクトリリストで見えてしまっていたとか、そういう類の事例も多い。(管理上の問題や人的ミスというのが漏洩の原因としては最も多い、というアンケート結果もあるようだ。 https://www.netsecurity.ne.jp/article/1/12800.html

 一方でコンピュータをめぐる仕事環境を見ていると、必要な機材や費用があれば、普通の都会地ならどこででも仕事ができるようになってしまっている。これまでのようにオフィスで無理やり決着させなくても良いわけだ。オフィスでメールを送受信するとか、オフィスで印刷するとか、それすらも必要ない。逆に言えばそれだけ、ちょっとしたミスが漏洩などに直結する可能性が高くなっているとも言える。その一方でそうしたミスをカバーする仕組み、ひとつひとつのPCを保護するような仕組みの導入はあまり進んでいない。


【執筆:園田道夫】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×