DX(デジタルトランスフォーメーション/以下:DX)を推進するうえで、必ず突き当たる壁がセキュリティリスクに関する問題です。

近年、クラウドシステムを利用した情報のオンライン化や、リモートワークが拡大する一方、セキュリティシステムの整備が追いついておらず、「情報漏えい」が発生するリスクは高まるばかりです。

情報漏えいは企業の規模に関係なく、いつでも発生するリスクがあり、一度起こってしまうと、信頼の低下など企業にとって甚大な被害に繋がる可能性があります。

そこで今回は、注意喚起の意味を込めて、2022年に実際に発生した情報漏えいに関する3大ニュースをご紹介します。

事例を取り上げるだけでなく、このような事態がなぜ起こったのかや、考えられる対策についても解説してまいりますので、貴社のDX推進に関わるセキュリティリスクへの対策として参考にしてください。

DX推進によるセキュリティ上のリスク

DX推進はデータとデジタル技術を活用し、顧客や社会により良い価値を提供することによって市場での競争優位性を得るために、業務の効率化や新しいビジネスモデルの創出を目指します。

今後のデジタル社会を生き抜いていくためには必要不可欠な施策であり、企業の規模や業界を問わず取り組みべき課題だと言えます。

しかし、現代ビジネスにおいてそれと同等か、場合によってはそれ以上に重要になってくるのが、セキュリティ対策です。

2018年に経済産業省から発表されたDXレポートを契機に、日本でも多くの企業が自社の状況や計画に合わせて、事業や業務プロセスのデジタル化などといったDX推進を行ってきました。

とはいえ、同レポートにおいて警鐘が鳴らされた「2025年の崖」を乗り越えるために着実にDXを進める企業は一部であり、多くの企業が「自社には関係ない話」と政府の呼びかけと、一部企業で進んでいたDX推進の流れを傍観していたというのが日本の現状でした。

ところが、新型コロナウイルスの感染拡大により、これまでDXに消極的だった企業を含めて、多くの企業が強制的にDXを進めていかなければいけない状況になってしまいました

その典型的な例が、コロナ禍に政府から要請された出勤者の大幅削減への協力やリモートワークの推進です。

その他にも、コロナによる消費動向の変化や取引先の体制の変更などに伴って、様々な面でこれまでにはない対応が十分な準備期間もない中で迫られました。

本来であればDXを推進する前に、デジタル情報の取り扱いに関して十分に検討し、事前に対処しておくべきセキュリティ問題が山のようにあります。

  • 第三者からのコンピュータへの侵入や攻撃、データ流出や改ざんのリスク
  • クラウドデータの脆弱性
  • 社員へのセキュリティに対する意識向上の教育
  • 業務上の情報流通の仕組みを精査・問題への対処

これだけの準備をしていたとしても、それだけで安全とは言い切れないのが、現代のインターネットを介したセキュリティの難しさです。

しかし、それにもかかわらず、今の日本の現状を見るとコロナ禍などの影響によって多くの企業が、急激にデジタル化への対応やリモートワークの整備を迫られた結果、その対策だけで精一杯になっています。

そして、セキュリティリスクへの対応は後回しになっているのです。

このことを裏付けるかのように、セキュリティリスクの中でも特に重大な「情報漏えい」に該当する事故の発生件数は、新型コロナウイルスの感染が拡大した2020年以降、急激な増加傾向にあります。

ちなみに、2021年の情報漏えい・紛失事故の発生件数は、過去最多を記録しています。

2022年情報漏えい3大ニュース

前述の通り、コロナ禍をきっかけとしたリモートワークなどDX施策の広がりに比例して、情報漏えいの発生件数は2020年を境に急激に増加しました。

前年を上回り過去最高となった2021年に引き続き、2022年も多くの情報漏えいや情報の紛失事故が発生しました。

ここでは、中でも特に印象に残る情報漏えいにまつわるニュースを3つご紹介します。

SNKRDUNK|不正アクセスによる270万件の情報漏えい

情報漏えいが発生する原因として最も多いのが、外部からの不正アクセスやウイルス感染です。

まずは十分な不正アクセスの対策を講じていなかったことが災いし、多大な被害を及ぼす可能性があった事例をご紹介します。

「SNKRDUNK(スニーカーダンク)」は、スニーカーをオンライン上で売買できるECサイトで、株式会社SODAが運営しています。

2022年6月7日、「SNKRDUNK」のデータベースに不正アクセスがあったことが発覚。確認を行った結果、顧客の個人情報270万件が漏えいしている可能性が判明しました。

漏えいした可能性がある情報は以下の通りです。

  • 氏名
  • 生年月日
  • メールアドレス
  • 住所
  • 電話番号
  • 購入情報
  • 口座情報
  • パスワード

株式会社SODAの内部調査の結果、この顧客情報の流出は、不正リクエストに反応してしまうシステムの脆弱性が原因であることが判明しました。

その後、同社は、個人情報保護委員会に本件に関して報告し、警察署に対しても第一報と被害相談を行いました。

また、被害の拡大防止に向けて次のようなシステム・セキュリティ強化策を行うことを発表しました。

  • 社内及び外部機関による定期的な脆弱性診断の実施
  • 不正アクセスに対する監視システムの導入及び監視体制の強化
  • アプリケーションの脆弱性を検知する静的解析を開発手順へ導入
引用:不正アクセスによるお客さま情報漏えいに関するお詫びとご報告(08.23追記)/SNKRDUNK公式ホームページ

SODAの報告によれば、結果的に本事案に関する個人情報の不正流失・利用などの被害は確認できていないものの、顧客の大切な情報が漏えいした可能性があるという本事案は決して軽視できるものではなく、企業に対する信頼を失いかねない事態となりました。

不正アクセスのリスクは、ECサイトを運営している企業だけではなく、オンラインでサービスを提供している企業や、リモートで業務を進めているすべての企業が抱えています。

株式会社SODAの事案におけるセキュリティ対応の課題は、主に次の2つです。

  • 不正なリクエストに対するレスポンスにデータベース内のデータが含まれていた
  • 事前に不正アクセスを防ぐためのツールであるWAF(Web Application Firewal:WEBアプリケーショの脆弱性をついた攻撃へ対するセキュリティ対策のひとつ)が導入されていなかった

不正アクセスのリスクを減らすためには、定期的な脆弱性の診断、不正アクセスをブロックするツールの導入、不正アクセスの監視体制の強化などを実施することが重要です。

不正アクセス被害にあった企業が事後的に行った対応は、本来であれば「被害に遭う前に」行うべきものであったと考えられるため、自社のセキュリティを考える際の他山の石としてください。

And Doホールディングス|退職者の不正持ち出し

情報漏えいは外部からの不正アクセスだけではなく、社員やパートナー企業など内部の故意による犯行で発生する場合もあります。

いくら外部からのセキュリティを強化したところで、内部で犯行を起こさせない仕組みを設計しなければ、セキュリティ対策は万全とは言えません。

東京証券取引所プライム市場の所属企業である株式会社And Doホールディングスは、不動産販売大手「ハウスドゥ住宅販売」事業を展開しています。

And Doホールディングスで発生したのが、まさに内部のスタッフによる情報漏えい事件です。

同社の子会社で支店長を務めていた元従業員が、退職に際して64件の個人情報や営業資料を転職先の不動産会社にメールで無断送信。さらに、外部サーバーにデータをアップロードして、転職先のパソコンでダウンロードした疑いで逮捕されました。

この事件の原因としては、個人の判断で社内情報を無断に持ち出せてしまうなどセキュリティ体制が脆弱であったことに加えて、会社や社会への迷惑を考えることができない、個人のモラルの低さがあったと考えられます。

同社はホームページで、次のようなコメントを発表しました。

「従業員に対するコンプライアンスの徹底および社内管理体制の強化により、再発防止に努めてまいります。」

引用:当社子会社の元従業員の不正行為について/&DO HOLDINGS公式ニュースリリース

内部の人間が意図的に情報を持ち出そうとするケースを、完璧に防ぐことは極めて困難ではありますが、不正による情報漏えい対策として効果的な方法として以下のようなものがあります。

  • 端末やデータベースのアクセス制限
  • 従業員が働きやすい環境の整備
  • セキュリティマニュアルの作成
  • 定期的なリテラシーテストによるコンプライアンス強化

内部からの情報漏えいを防ぐためのセキュリティ対策としては、持ち出しにくくするシステムの設計だけではなく、経営者や従業員など、情報を扱う「人」の意識を強化していく必要があるでしょう。

尼崎市|46万人の個人情報が入ったUSBを飲食店で紛失

ヒューマンエラーによる情報漏えいは、故意だけでなく、不注意による操作ミスなど過失が原因で発生する場合もあります。

ヒューマンエラーをゼロにすることは事実上不可能なので、エラーが起きても情報漏えいが発生しにくい体制を構築する必要があるでしょう。

また、大切なデータを預かり、管理することへの担当者の意識も大きな問題です。

その意識が書けていた結果、起きてしまった事案として顕著な例をご紹介します。

2022年6月、兵庫県尼崎市から給付金事務を委託された企業の関係社員が、データ移管作業のためUSBメモリに必要な情報を入れてカバンに保管したまま、飲食店に立ち寄り、USBメモリごとカバンを紛失したことが判明しました。

USBメモリの中には、全市民の住民基本台帳の情報(約46万人)、住民税に関わる税情報(約36万件)、給付金に関する情報(約7万世帯)など、あまりにも多くの情報が入っていたため、各メディアでも重大なニュースとして取り上げられました。

尼崎市は、この事件が起こった原因として次の3点を挙げています。

  1. 受託者がデータ持ち出しの際、運搬方法を含む具体的手法について尼崎市に許可を得ておらず、同市も持ち出しに際しては許可を得るべき旨を徹底していなかった
  2. データを持ち運ぶ際、運送会社のセキュリティ便などを利用せず個人が持ち歩いた
  3. 重要な機密データであるUSBメモリを持ったまま飲食店に立ち寄った

また、今後の対応について尼崎市は、次の3つを徹底するように発表しました。

  1. USBメモリーなど電子記録媒体を持ち出す場合は運搬方法を含め許可を得る仕組みの導入
  2. データを暗号化するなど、情報セキュリティ対策の実施
  3. 複数人での配送や運送会社のセキュリティ便などの利用

企業や団体にとって重要な情報データを扱う際には、「うっかりミスをして情報を漏えいしてしまった」と釈明するだけでは済まされません。

信頼を失うことで企業や団体の不利益になるだけでなく、尼崎市のケースのように、市民や顧客の個人情報が流出してしまえば、重大な被害に繋がる場合があります。

個人情報を扱う重要性を1人ひとりが認識して業務にあたることは当然ですが、組織としても個人に任せるのではなく、エラーが発生しないルールや仕組みを設計して運用することが重要です。

情報漏えいが発生する3つの原因

東京商工リサーチの調査によると、情報漏えいが発生する原因ベスト3は次の通りです。

  1. ウイルス感染・不正アクセス
  2. 誤表示・誤送信
  3. 紛失・誤廃棄

それぞれについて詳しく解説します。

ウイルス感染・不正アクセスによる情報漏えい

情報漏えいが発生する原因として、全体の49.6%と最も多いのが「ウイルス感染・不正アクセス」です。

従来型のサーバー攻撃による不正アクセスもいまだに発生していますが、不正アクセスの手口や技術はさらに巧妙になっています。

不正アクセスの主な手口は以下の通りです。

  • システムの脆弱性を狙い侵入
  • メールを利用したウイルス感染
  • 第3者が関係者になりすます
  • フェイクサイトを利用したフィッシング

このように巧妙化する不正アクセスに対しては、次のような対策が重要です。

  • セキュリティソフト導入
  • OSやソフトウェアなどのアップデート
  • フリーWi-Fi環境などを利用しない

これらの対策は、誰もが知っている「当たり前」の対策です。

しかし、多くの場合これらの対策を十分に取っていなかったため、重大な被害が発生しているのです。

不正アクセスによる情報漏えいは、発生後の対応も重要ですが、当然ながら「不正アクセスさせない」対策の方がはるかに重要です。

まずは不正アクセスが起きる原因を把握して、今できる対策をすぐに実施することが大切なデータと信頼を守ることに繋がるのです。

誤表示・誤送信による情報漏えい

情報漏えいの原因で2番目に多いのが「誤表示・誤送信」によるもので、全体の31.3%を占めています。中でも特に多いのが、メールの誤送信です。

メールは、宛先の予測入力や手軽にデータを添付できる便利な機能がある一方で、一度送信してしまうと取り消せないという最大のデメリットがあります。

そのため、うっかりミスによる情報漏えいが発生しやすくなっているのです。

誤送信による情報漏えいを防ぐには次の対策が有用です。

  • 送信前のセルフチェックを意識的に行う
  • 送信時の2段チェックを有効にする
  • 重要なメールは複数名で確認する
  • 送信後も一定の時間保留になる機能を活用する

このようにまずは1人ひとりがチェックを習慣化させて行くことが求められますが、措定上に重要なのは組織としていかに誤送信を防ぐ仕組みを作れるかという点です。

うっかりミスを減らすための機能や対策を有効活用すれば、ご表示・誤送信による情報漏えいを水際で防ぐことに繋がるでしょう。

紛失・誤廃棄よる情報漏えい

情報漏えいの原因で3番目に多いのが「紛失・誤廃棄」となっており、全体の約11.6%です。

具体的には、PCや記憶媒体を入れたカバンなどを電車の棚や飲食店へ置き忘れたり、誤って捨ててしまったメモリからデータが抜き取られたりといったケースが多くなっています。

現在のUSBメモリなどは小型ながら保存できる容量も多く、より気軽に持ち運びができます。

これは、複数のPCなどで作業しなければならない場合には便利である反面、常に紛失などのリスクを伴う状況にあるのです。

保存できるデータ量の多さは、同時に紛失した際に流失してしまう可能性のあるデータの多さでもあるのです。

こうした事案を起こさないためには、まずは1人ひとりが「重要機密のデータを気軽に社外に持ち出さない」「万が一持ち出す場合には最新の注意を払う」といった、基礎的なセキュリティリテラシーを持つことが重要です。

企業としても社員任せにせずに、研修を実施するなど社内全体でセキュリティ意識を高める施策を行うべきでしょう。

なによりも、紛失による情報漏えいを防ぐには、情報を持ち運ぶ際のルールや、記録媒体の取り扱い方法を厳密に取り決めておくことが重要です。

どれだけ1人ひとりが情報の取扱いに注意を払い、リスク対策をしたとしても、「うっかりミス」などのヒューマンエラーが起こる可能性は必ずあります。

こうした事故が起こってしまった場合、個人の責任ということでは済まされず、会社全体の責任問題になります。

まずは企業として、そうした「うっかりミス」を起こさせない、厳格な仕組みづくりが必要なのではないでしょうか。

まとめ

セキュリティリスクを考える上で重要な情報漏えいに関して、2022年に実際に発生したニュースを取り上げ、その原因と事故を防ぐために必要であった対策、さらには情報漏えいを起こさないためのポイントについて解説しました。

情報漏えいは一度発生してしまうと、関係各所に重大な迷惑や損失を与え、企業としての信頼を回復するのに長い時間がかかります。

情報漏えいを発生させないためには、外部からの不正アクセスへの対応も重要ですが、内部対応として日頃からのマニュアル作成、プロセス整備、仕組みの構築や社員全員の意識を向上させることがポイントとなってくるでしょう。

貴社がもし、現時点で情報漏えいの対策をなにもしていないのなら、今のうちからルールやポリシーを見直してみてください。

なお、DX推進に対する情報セキュリティのリスクは、情報漏えいだけではありません。そこで次回は、情報漏えい以外のセキュリティリスクについて解説します。

The post 【DXセキュリティ】情報漏えい3大ニュース|原因と対策【2022年版】 first appeared on DXportal.

情報提供元: DXportal
記事名:「 【DXセキュリティ】情報漏えい3大ニュース|原因と対策【2022年版】