情報漏えいの現状と対策 第2回 企業が犯しがちな誤った対応とは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

情報漏えいの現状と対策 第2回 企業が犯しがちな誤った対応とは

特集 特集

 2009年になっても、ファイル共有ソフトによる情報漏えいが相変わらず世間を騒がせている。そんな中、ファイル共有ソフトの定点観測を行っていることでも知られるネットエージェント社が「情報漏えい対応ガイド」を1月5日に公開した。

 情報漏えいの危機感自体は多くの経営者に認知されていると言えよう。しかし、同社社長でもある杉浦 隆幸 氏によれば、危機意識が一般化したことで、多くの誤った対処法も一般化しつつあるという。本稿では、企業の経営者や管理層が、情報漏えいの初動対策でしでかしてしまいがちな典型的なパターンについて迫る。

●情報漏えいを起こした場合に、逐一すぐに何度も公表してしまう

 「情報漏えい」をキーワードにニュースを検索すれば、最近の情報漏えい事件だけでも想像以上に大量の記事がヒットする。こうした記事、つまり「ある情報漏えい事件」がニュースとして取り上げられ、報道されるには当然いくつかの過程を経ているわけだが、中には「同じ事件」なのに「複数回登場」しているケースも存在する。

 Winnyでの情報漏えいは、情報漏えいに対しての新鮮さ、驚きといった感覚が麻痺してしまうほど頻繁に起こっている一般的な事件である。企業・団体等に「公表」の必要性ある場合でも、通常なら一回の会見やリリースのみで終了としてしまうことも可能で、ましてや皆が忘れた頃になってわざわざ同じ話題を取り上げるといったような所謂ネガティブキャンペーン、単純に企業イメージを落とすような行為を行うことは、普通はしない。

 何かが明らかになる度に逐次報告し、その「誠実さ」によって信頼を得た(回復した)モデル事例もあるにはあるが、それが可能であったのは、まだ情報漏えい事件が珍しい時代に、経営トップが広告塔として率先して(倒産も覚悟で)行っていたからであろう。ところが現在ではWinnyでの情報漏えいなどさして珍しい話題ではなく、またそれによって倒産の危機に直面するような、ダメージの大きな情報の漏えいも実際は少ない。であるならば、できることならすぐに過ぎ去って忘れて欲しいと考えるのが心情というものである。第三者に与えるネガティブな情報は一回きり、そして多くの人が見逃すぐらい小さな波紋で収まる方が良いに決まっている。

 その為には、どこかで連鎖を断ち切ればいい。Winnyでの情報漏えいについてよくあるパターンを例に取り、対応の手順を考えてみよう。

─事件の発生─

1.内部の者が企業や政府の個人情報や機密情報を持ち帰る。
2.その者やその家族がWinnyやShareを自宅で使用する。
3.その者やその家族のPCが「暴露ウイルス」に感染する。
4.漏えい者やその家族が「暴露ウイルス」に感染したままWinnyやShareを使い続ける。
5.「暴露ウイルス」によってネットワーク上に個人情報や機密情報がアップロードされる。

─事件の発覚─

6.漏えいファイルコレクターが漏えいファイルのダウンロードに成功する。
7.コレクターがShareや他のP2Pネットワークにそのファイルを「輸出」する。
8.漏えいの事実を他に知らせる。
 >> 漏えいファイルコレクターが2ちゃんねるなどの特定の掲示板に書き込む
 >> 政府から漏れている情報が提供される
 >> 第三者から連絡が入る
 >> 匿名のFAXが到着する
 >> 取引先から連絡が入る

─企業側の対応─

9.漏えいしている情報を入手する。(入手漏れがないか注意!)
10.漏えいした情報が何なのかを確認する。(メールデータの添付のチェック漏れ注意)
11.上層部に報告する。
12.対応を決める。
13.被害者に謝罪と情報漏えいの事実を連絡する。
14.一般に公表する必要がある場合は公表する。(Webサイト上、記者会見を開くなど)

─マスコミ側の対応─

15.記者が記事にする。
16.記事が新聞やニュースサイトに載る。

─事件の拡大─

17.漏えい情報がさらに拡散し、二次被害が拡大する。

 これが一般的な流れなのだが、実はこの流れを違えると問題が大きくなることが多い。

 漏えいの事実があった時点で公表を決め、記者会見を実施。何が漏れたのか未だ十分に把握できていない状況で記者につっこまれ、新聞やニュースサイト等を見た被害者から連絡が入る。その連絡を元に漏えい情報を入手して確認し、はじめの報告より実際の被害者が多かったため再度公表。その間に情報をShareなど他のP2Pネットワークに「輸出」され、更に被害者に再度謝罪……。

 このように順番が逆転すると、当事者である被害者からのクレームと不信感が増大する。被害者の中には公表したことが被害を広げ、二重三重の被害者になってしまうことを知っている者もいるのだ。

 少なくとも金融関係の企業は、金融庁の方針により、WinnyなどのP2Pによる情報漏えいに関しては公表しなくても良いとされており、こうした内容をきちんと把握していれば安易に公表したりせず冷静な対応を取ることも可能だ。

金融機関における個人情報保護に関するQ&A(平成19年10月1日)
http://www.fsa.go.jp/common/law/hogo_qa/02-1.pdf
※この資料は(問V-6)では「公表せよ」と書いてあるので、例外事項の記述(問V-15)まできちんと読む必要があります。

●安全な環境を手に入れるために

 まず、予め申し上げたいのは…

【執筆:ネットエージェント株式会社 杉浦 隆幸】

【関連記事】
情報漏えいの現状と対策 第1回 最近の情報漏えい
https://www.netsecurity.ne.jp/7_12988.html

【関連リンク】
ネットエージェント株式会社
http://www.netagent.co.jp/
情報漏えい対応ガイド【Winny・share 編】
http://www.netagent.co.jp/pdf/na_p2psec_guide0901r2.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×