はじめに
情報漏洩はデータの流出やそのデータの悪用だけでなく、企業の信頼や個人のプライバシーを脅かす重大なリスクです。本コラムでは、情報漏洩の原因と対策について詳しく説明します。国内や海外支社など、事例を通じて実際の事件やケースを取り上げながら、セキュリティ対策の重要性を紹介していきます。
【1】企業情報漏洩や個人情報流出の増加や原因
デジタルアーツ株式会社が集計した、2020年から2022年の国内組織における情報漏洩やセキュリティインシデントに関するデータによると、2022年の国内セキュリティインシデントの総数は1,031件で、前年の697件と比べて約1.5倍に増加しました。
2021年に最も多かったインシデントは「不正アクセス」でしたが、2022年は「マルウェア感染」が383件で最も多い原因となりました。それに続いて「誤操作や設定の不備」によるインシデントが159件、「紛失・盗難」が156件、「不正アクセス」が150件となりました。
(引用:デジタルアーツ株式会社「[2023年1月公開]過去3年分の国内セキュリティインシデント集計」※対象組織による公開報告書およびマスメディアによる報道資料を基に集計 https://www.daj.jp/webtopics/960/)
グラフからも明らかなように、2021年から2022年にかけて「マルウェア感染」と「紛失・盗難」の件数が著しく増加していることが分かります。
また、日本情報経済社会推進協会(JIPDEC)とITRによる「企業IT利活用動向調査2023」によれば、「従業員によるデータ、情報機器の紛失・盗難」が34.1%を占め、次いで「マルウェア感染」が27.7%と先のデジタルアーツ株式会社が集計したデータと同様に紛失や盗難、マルウェア感染に関連するインシデントが目立ちます。
(引用:JIPDEC/ITR「企業IT利活用動向調査2023」)
海外拠点を含む日本企業のセキュリティ管理者不足
NRIセキュアテクノロジーズ株式会社の『企業における情報セキュリティ実態調査』によると、『セキュリティ対策に従事する人材が足りている』と考える日本企業の割合はわずか6.4%であり、これは米国や豪州の約89%と比べて非常に低い水準です。この人材不足の影響から、『国内子会社・グループ会社のセキュリティ対策状況を把握している』と回答する企業の割合も73%程度と低く、さらに海外に拠点を持つ企業では56%と4割が対策を把握できていない状況です。
日本のセキュリティ対策人材の不足は深刻な問題であり、これが国内の関連子会社や海外拠点のセキュリティ状況にも直接的な影響を与えています。このような状況では十分なセキュリティ対策が取れず、情報漏洩やセキュリティリスクが増大する可能性があります。
(参考:NRIセキュアテクノロジーズ株式会社 NRI Secure Insight 2022)
【2】情報漏洩が起こった事例
国内での情報漏洩事例
【事例1:電気機器業A社】
2023年、自社のファイルサーバーへの不正アクセスがありました。
この件は、同社のネットワークに第三者からの不正アクセスがあったことが確認されたものであり、社内での調査の結果、ファイルサーバーの一部データが不正に読み出された可能性が判明しています。
海外子会社の拠情報漏洩事例
【事例1:大手食品B社】
2022年、B社のシンガポールにある子会社が、身代金要求型のマルウェアである”ランサムウェア”のサイバー攻撃を受けたことが明らかになりました。B社の子会社のデータを盗み取り、インターネットの闇サイト上で近日中に公開すると脅迫していることが確認されています。
【事例2:出版業C社】
2021年C社は台湾にある海外子会社のサーバーが不正なサイバー攻撃の対象となり、データの削除や暗号化などの被害が発生しました。
これらの事例から情報漏洩は企業にとって大きな損失や評判への悪影響をもたらす可能性もあります。従って、組織は情報漏洩を予防するために適切な対策を講じる必要があります。
【3】情報漏洩対策について
基本的な情報漏洩対策
情報漏洩対策の基本として、適切なIT資産管理を実施することが、情報漏洩や不正アクセスといったセキュリティリスクを最小限に抑えることに繋がります。
1:セキュリティ意識の向上
従業員全体に対して情報セキュリティの重要性を教育し、定期的なトレーニングや啓発活動を行うことで、社内のセキュリティ意識を高めることが求められます。
2:アクセス制御と権限管理の強化
重要なデータを保有している端末はIT資産管理などのツールを利用し、PCの管理と状況把握、また情報漏洩が起こらないためのセキュリティ対策の実施が必要です。またサーバーなどのシステム側にも必要最小限の権限を与えたり、パスワードポリシーの導入などセキュリティを強化するための技術的な手段も検討するべきです。
3:データの暗号化とバックアップ
データが漏洩した場合でも、暗号化されていれば不正利用を防ぐことができます。また、定期的なデータバックアップを実施することで、データの復旧や被害の最小化が可能となります。
4:セキュリティ監視体制の整備
セキュリティインシデントの早期発見と対応は、情報漏洩の被害を最小限に抑えるために欠かせません。セキュリティ監視ツールの導入や定期的な監査を通じて、異常なアクティビティや攻撃の検知、対応の迅速化を図る必要があります。
海外拠点がある企業(日系グローバル企業)のIT資産管理
先に述べたように企業で保有しているIT資産の状況を把握・管理しておくことは、情報漏洩対策において国内拠点・海外拠点問わず重要です。しかし海外に拠点を持つ企業では、時差や言語、物理的な距離の問題やセキュリティ人材の不足などが原因で、適切な監視や管理が困難な場合もあります。
そういった課題に対して、国内主導で管理するためにクラウド型のサービスが適しています。
参考までに弊社のクラウドサービス『ISM CloudOne』では日・中・英の3カ国語に対応しており、現地のIT担当者でもスムーズに管理できます。さらに、グループ企業を一括で管理できる機能があるため、現地にセキュリティ対策管理者が不在な場合でも、管理対象企業のセキュリティ状況を簡単に一覧で確認することができます。
【4】海外まで広がっているサプライチェーン
ここまで情報漏洩対策について、国内や海外関連子会社のセキュリティ対策状況の把握が重要と述べてきましたが、把握しなくてはならないのは関連子会社だけに留まらないかもしれません。
例えば、大手電気機器メーカーは2020年に同社のネットワークが第三者による不正アクセスを受け、大量の個人情報及び企業機密情報が漏洩した可能性があると発表しました。これは同社の業務パートナーである海外の企業を標的にしたサプライチェーン攻撃であり、その影響は多くの企業に及びました。
このようなサプライチェーン攻撃は近年増加しており、企業にとって大きなリスクとなっています。2023年4月に改定されたサイバーセキュリティ経営ガイドラインにもあるように、サプライチェーンのセキュリティを強化するためには、経営者が自社のみならず業務パートナーとの情報共有や監視体制の強化など、関連子会社と同じようにセキュリティ状況にも目を配り、また必要に応じて対策を講じるように検討してもらうことも重要です。
(参考:経済産業省「サイバーセキュリティ経営ガイドラインVer 3.0」)
【5】まとめ
情報漏洩は企業や個人にとって大きな被害をもたらす可能性があるため、常に情報セキュリティを意識し、予防策を講じることが重要です。また、海外拠点を持つ企業は国内のみに限らず、海外まで目を向けたIT資産管理を重視し、セキュリティを強化することが求められます。安全かつ信頼性の高いビジネス環境を確保するために、情報漏洩対策を怠らず継続的に取り組んでみてはいかがでしょうか。