情報漏えいの現状と対策 第2回 企業が犯しがちな誤った対応とは | ScanNetSecurity
2024.04.20(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

情報漏えいの現状と対策 第2回 企業が犯しがちな誤った対応とは

 2009年になっても、ファイル共有ソフトによる情報漏えいが相変わらず世間を騒がせている。そんな中、ファイル共有ソフトの定点観測を行っていることでも知られるネットエージェント社が「情報漏えい対応ガイド」を1月5日に公開した。

特集 特集
 2009年になっても、ファイル共有ソフトによる情報漏えいが相変わらず世間を騒がせている。そんな中、ファイル共有ソフトの定点観測を行っていることでも知られるネットエージェント社が「情報漏えい対応ガイド」を1月5日に公開した。

 情報漏えいの危機感自体は多くの経営者に認知されていると言えよう。しかし、同社社長でもある杉浦 隆幸 氏によれば、危機意識が一般化したことで、多くの誤った対処法も一般化しつつあるという。本稿では、企業の経営者や管理層が、情報漏えいの初動対策でしでかしてしまいがちな典型的なパターンについて迫る。

●情報漏えいを起こした場合に、逐一すぐに何度も公表してしまう

 「情報漏えい」をキーワードにニュースを検索すれば、最近の情報漏えい事件だけでも想像以上に大量の記事がヒットする。こうした記事、つまり「ある情報漏えい事件」がニュースとして取り上げられ、報道されるには当然いくつかの過程を経ているわけだが、中には「同じ事件」なのに「複数回登場」しているケースも存在する。

 Winnyでの情報漏えいは、情報漏えいに対しての新鮮さ、驚きといった感覚が麻痺してしまうほど頻繁に起こっている一般的な事件である。企業・団体等に「公表」の必要性ある場合でも、通常なら一回の会見やリリースのみで終了としてしまうことも可能で、ましてや皆が忘れた頃になってわざわざ同じ話題を取り上げるといったような所謂ネガティブキャンペーン、単純に企業イメージを落とすような行為を行うことは、普通はしない。

 何かが明らかになる度に逐次報告し、その「誠実さ」によって信頼を得た(回復した)モデル事例もあるにはあるが、それが可能であったのは、まだ情報漏えい事件が珍しい時代に、経営トップが広告塔として率先して(倒産も覚悟で)行っていたからであろう。ところが現在ではWinnyでの情報漏えいなどさして珍しい話題ではなく、またそれによって倒産の危機に直面するような、ダメージの大きな情報の漏えいも実際は少ない。であるならば、できることならすぐに過ぎ去って忘れて欲しいと考えるのが心情というものである。第三者に与えるネガティブな情報は一回きり、そして多くの人が見逃すぐらい小さな波紋で収まる方が良いに決まっている。

 その為には、どこかで連鎖を断ち切ればいい。Winnyでの情報漏えいについてよくあるパターンを例に取り、対応の手順を考えてみよう。

─事件の発生─

1.内部の者が企業や政府の個人情報や機密情報を持ち帰る。
2.その者やその家族がWinnyやShareを自宅で使用する。
3.その者やその家族のPCが「暴露ウイルス」に感染する。
4.漏えい者やその家族が「暴露ウイルス」に感染したままWinnyやShareを使い続ける。
5.「暴露ウイルス」によってネットワーク上に個人情報や機密情報がアップロードされる。

─事件の発覚─

6.漏えいファイルコレクターが漏えいファイルのダウンロードに成功する。
7.コレクターがShareや他のP2Pネットワークにそのファイルを「輸出」する。
8.漏えいの事実を他に知らせる。
 >> 漏えいファイルコレクターが2ちゃんねるなどの特定の掲示板に書き込む
 >> 政府から漏れている情報が提供される
 >> 第三者から連絡が入る
 >> 匿名のFAXが到着する
 >> 取引先から連絡が入る

─企業側の対応─

9.漏えいしている情報を入手する。(入手漏れがないか注意!)
10.漏えいした情報が何なのかを確認する。(メールデータの添付のチェック漏れ注意)
11.上層部に報告する。
12.対応を決める。
13.被害者に謝罪と情報漏えいの事実を連絡する。
14.一般に公表する必要がある場合は公表する。(Webサイト上、記者会見を開くなど)

─マスコミ側の対応─

15.記者が記事にする。
16.記事が新聞やニュースサイトに載る。

─事件の拡大─

17.漏えい情報がさらに拡散し、二次被害が拡大する。

 これが一般的な流れなのだが、実はこの流れを違えると問題が大きくなることが多い。

 漏えいの事実があった時点で公表を決め、記者会見を実施。何が漏れたのか未だ十分に把握できていない状況で記者につっこまれ、新聞やニュースサイト等を見た被害者から連絡が入る。その連絡を元に漏えい情報を入手して確認し、はじめの報告より実際の被害者が多かったため再度公表。その間に情報をShareなど他のP2Pネットワークに「輸出」され、更に被害者に再度謝罪……。

 このように順番が逆転すると、当事者である被害者からのクレームと不信感が増大する。被害者の中には公表したことが被害を広げ、二重三重の被害者になってしまうことを知っている者もいるのだ。

 少なくとも金融関係の企業は、金融庁の方針により、WinnyなどのP2Pによる情報漏えいに関しては公表しなくても良いとされており、こうした内容をきちんと把握していれば安易に公表したりせず冷静な対応を取ることも可能だ。

金融機関における個人情報保護に関するQ&A(平成19年10月1日)
http://www.fsa.go.jp/common/law/hogo_qa/02-1.pdf
※この資料は(問V-6)では「公表せよ」と書いてあるので、例外事項の記述(問V-15)まできちんと読む必要があります。

●安全な環境を手に入れるために

 まず、予め申し上げたいのは…

【執筆:ネットエージェント株式会社 杉浦 隆幸】

【関連記事】
情報漏えいの現状と対策 第1回 最近の情報漏えい
https://www.netsecurity.ne.jp/7_12988.html

【関連リンク】
ネットエージェント株式会社
http://www.netagent.co.jp/
情報漏えい対応ガイド【Winny・share 編】
http://www.netagent.co.jp/pdf/na_p2psec_guide0901r2.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×