情報漏洩の原因とは? ランキングや企業に必要な対策を解説
情報漏洩は、様々な原因によって発生します。情報漏洩が発生すると、企業に損害が発生する可能性もあるため、原因を把握して適切な対策を行わなければなりません。セキュリティ対策の重要性を感じている企業は、少なくないのではないでしょうか。
本記事では、原因別の情報漏洩の発生件数のランキングや、内部要因・外部要因で発生する情報漏洩のパターン、企業に必要な情報漏洩対策について解説します。
情報漏洩とは、機密情報や個人情報、顧客情報などが社外に不正に流出すること
情報漏洩とは、機密情報や個人情報、顧客情報などが社外に不正に流出することです。情報漏洩が発生すると、社会的信用の喪失による売上低下や、損害賠償、罰則の適用、株価の下落など、企業に様々な損害を発生させるリスクがあります。
また、情報漏洩が発生すると、担当者がその調査や社外対応、再発防止策の検討などに労力と時間を割くことになり、業務負担を増大させる点にも、注意しなければなりません。企業の存続を脅かす可能性もあるため、適切な対策が必要です。
情報漏洩における原因別の発生件数ランキング
情報漏洩の原因には様々な種類があり、発生件数の多い原因は東京商工リサーチのWebサイト「2024年上場企業の「個人情報漏洩・紛失」事故 過去最多の189件、漏洩情報は1,586万人分」で公表されています。上位を占める4つの要因とその内容は、下記の通りです。
| 順位 | 項目(構成比) | 内容 |
|---|---|---|
| 第1位 | ウイルス感染・不正アクセス(60.3%) | ランサムウェアなどによる第三者からのサイバー攻撃により個人情報にアクセスされ、情報漏洩したケース |
| 第2位 | 誤表示・誤送信(21.6%) | メール送信時のCC、BCCへの誤入力、システムの誤設定といったヒューマンエラーで情報漏洩が発生したケース |
| 第3位 | 紛失・誤廃棄(10.5%) | 保存しておくべき書類を紛失したり、誤った方法で廃棄してしまったりするなど、個人情報の不適切な取り扱いによって情報漏洩が発生したケース |
| 第4位 | 不正持ち出し・盗難(7.4%) | 従業員や出向者、退職者などによって不正に情報が持ち出され、情報漏洩につながったケース |
内部要因で発生する情報漏洩のパターン
内部要因による情報漏洩は、様々なミスや不正行為によって引き起こされます。ミスによる情報漏洩にも複数のパターンがあるため、企業の内部に潜むリスクを認識し、適切な従業員教育を講じることが重要です。
内部要因で発生する情報漏洩の主なパターンとしては、下記の4点が挙げられます。
| 項目名 | 具体例 |
|---|---|
| 機器の誤操作 | 宛先のメールアドレスの間違い、誤ったファイルの添付、BCC・CCの設定誤り |
| 記録媒体の紛失 | USBメモリやモバイルデバイスなど、持ち運び可能な記録媒体の紛失 |
| 管理ミス | 権限設定の誤り、廃棄時のデータの処理忘れ |
| 意図的な内部不正 | 従業員が自身の立場を悪用して情報を盗み出し、転職して同業他社に流出させるケース |
機器の誤操作
内部要因による情報漏洩は、誤操作によって発生することがあります。例えば、宛先のメールアドレスを間違えたり、誤った添付ファイルを送信したりするメールの誤送信によって重要な情報が意図せず外部に公開されるケースがあります。
受信者以外のメールアドレスを非表示にするBCCの設定にしなければならないのに、誤って送信先全員のメールアドレスが表示されるCCなどに設定して、メールアドレスが漏洩する事態などにも注意しなければなりません。
- 併せて読みたい
記録媒体の紛失
記録媒体の紛失も、情報漏洩の内部要因のひとつです。USBメモリやモバイルデバイスなど、持ち運び可能な記録媒体を紛失した場合、悪意のある人に拾われてしまうと、保存されている様々な情報が漏洩する可能性があります。機密情報や個人情報が流出したら、場合によっては企業に多額の損失を与えかねません。
管理ミス
内部要因による情報漏洩は管理ミスによって発生することもあります。例えば、権限設定の誤りにより、本来アクセスできないはずの人が機密情報にアクセスできてしまうことがあります。また、パソコンなどを廃棄する際に、保存されているデータを適切に処理せずに廃棄してしまい、外部に情報が漏洩してしまうケースにも注意が必要です。
データだけでなく、重要書類をシュレッダーで処理せずに捨ててしまい、情報漏洩につながるケースもあります。
- 併せて読みたい
意図的な内部不正
意図的な内部不正によって、情報漏洩が発生するケースもあります。従業員が自身の立場を悪用して情報を盗み出し、転職して同業他社に流出させるケースなどが主な例です。情報処理推進機構(IPA)のWebサイト「情報セキュリティ10大脅威 2024」によると、内部不正は組織向けの脅威の中でも3番目に挙げられていて、前述した東京商工リサーチの調査でも漏洩・紛失した個人情報の平均人数が最多であったと報告されていたため、十分な警戒が必要です。
- 併せて読みたい
外部要因で発生する情報漏洩のパターン
情報漏洩は、内部要因だけでなく、外部要因によっても発生します。外部からの攻撃は多様化しているため、どのようなパターンがあるかを抑えて、適切な対策を打つことが重要です。外部要因によって発生する情報漏洩には、主に下記の4つのパターンがあります。
| 項目名 | 概要 |
|---|---|
| マルウェアへの感染 | ウイルスやトロイの木馬、ランサムウェアなど、悪意のあるプログラムへの感染 |
| 標的型攻撃による不正アクセス | なりすましメール、水飲み場攻撃、サプライチェーン攻撃などの方法で特定の企業や組織を狙い撃ちにする攻撃 |
| 脆弱性を利用した不正アクセス | システム上に存在するセキュリティの弱点を突いてシステムに侵入し、データを盗み出す方法 |
| 通信の傍受や覗き見 | セッションハイジャックやリプレイ攻撃による通信の傍受や、物理的に画面をのぞき見る方法によって情報を盗み取る方法 |
マルウェアへの感染
情報漏洩の代表的な外部要因の1つは、マルウェアへの感染です。マルウェアとは、ユーザーの意図に反して不正な動作を行うプログラムの総称です。代表的な種類としては、他のプログラムに寄生して増殖するウイルスや、安全なプログラムを装って侵入するトロイの木馬、ランサムウェアなどが挙げられ、それぞれ異なる手法で端末やシステムに悪影響を及ぼします。
マルウェアは、メールの添付ファイルや不正なWebサイト、USBメモリなど、様々な経路で侵入します。マルウェアの侵入を許すと、下記のような深刻な被害が発生しかねません。
- マルウェアによる主な被害例
-
- データを暗号化し、利用不能にする
- 個人情報や機密情報などを外部に送信する
- 悪意のある第三者がリモート操作を行えるように秘密裏にプログラムを仕掛ける
- 他の端末へ感染を拡大させる
例えばランサムウェアは、感染した端末内のデータを暗号化し、その解除と引き換えに金銭を要求するマルウェアです。ランサムウェアの感染によって企業の業務が停止するケースもあり、仮に身代金を支払ってもデータの復旧が保証されるわけではなく、情報が複製され外部に流出するリスクもある悪質な手口です。
マルウェア対策には、セキュリティソフトの導入と定期的なスキャン、ファイルの自動バックアップ、メールの添付ファイルチェック、従業員への注意喚起といった多面的な対策が求められます。
- 併せて読みたい
標的型攻撃による不正アクセス
外部要因による情報漏洩は標的型攻撃によって引き起こされることがあります。標的型攻撃は、特定の企業や組織を狙い撃ちにして行われるサイバー攻撃です。攻撃者は、企業の業種や業務内容、関係企業の情報などを事前にリサーチした上で、巧妙な手口を用いてシステムへ侵入しようとします。主な手口としては、下記の3つが挙げられます。
| 名称 | 手口 | 発生する被害 |
|---|---|---|
| なりすましメール | 取引先や上司など、信頼できる相手を装ったメールを送信し、リンクのクリックや添付ファイルの開封を促す | ログイン情報・機密情報・顧客情報などの窃取や、社内ネットワークへ侵入するためのバックドアの設置 |
| 水飲み場攻撃 | 従業員が日常的にアクセスするWebサイトにマルウェアを仕込み、訪問者の端末を感染させる | マルウェア感染、機密情報・顧客情報などの窃取、社内システムへのバックドア設置 |
| サプライチェーン攻撃 | 取引先や外注業者など、標的企業の関連企業のセキュリティを突破してから、関連企業を経由して正規の通信を装って標的企業に侵入する | 関連企業と標的企業でのマルウェアの感染、機密情報・顧客情報などの窃取、関連企業の信頼性の低下 |
これらの攻撃は、ウイルス対策ソフトやファイアウォールでは防ぎきれないことも少なくありません。企業側では、メールフィルタリングやアクセス制御の強化に加え、従業員へのセキュリティ教育、関連企業へのセキュリティ要件提示など、関係者全体での対応が求められます。
- 併せて読みたい
脆弱性を利用した不正アクセス
外部要因による情報漏洩の中には、システムやソフトウェアのセキュリティ脆弱性を悪用するケースも見られます。攻撃者は、脆弱性と呼ばれる、システム上に存在するセキュリティの弱点を突いてシステムに侵入し、データを盗み出します。
脆弱性が見つかると通常はベンダーからセキュリティパッチが配布されるため、攻撃を受けるリスクはパッチを適用していれば軽減できます。しかし、パッチを適用しなかった場合、対処は困難だといえます。
- 併せて読みたい
通信の傍受やのぞき見
インターネット通信の傍受や、物理的に画面をのぞき見る方法によって情報を盗み取られるケースも、外部要因による情報漏洩の1つといえます。
例えば、無料で公開されている公衆Wi-Fiや暗号化されていないネットワークを利用してインターネットに接続すると、通信内容が第三者に傍受されるリスクが高まります。インターネット通信を傍受する際の代表的な手口は、下記の通りです。
| 手口 | 内容 |
|---|---|
| セッションハイジャック | 通信中にやりとりされるセッションIDを盗み取り、正規のユーザーになりすましてシステムにアクセスする |
| リプレイ攻撃 | 過去の通信内容を記録し、同じ内容を再送信することで認証を不正に突破する |
これらの攻撃を受けると、攻撃者はログイン後のユーザーとして活動できるため、保存されているファイルへのアクセス、データの改ざん・流出といった深刻な被害が発生しかねません。公衆Wi-Fiの利用制限などの対策を組織的に実行することが必要です。
- 併せて読みたい
情報漏洩への対策
情報漏洩を防ぐためには、原因に応じて様々な対策が必要になります。適切なソフトウェア・システムの導入だけでなく、従業員の意識も向上させなければなりません。主な情報漏洩対策としては、下記の3点が挙げられます。
| 項目名 | 概要 |
|---|---|
| セキュリティソフトの導入 | 不審な添付ファイルやメールを検出して標的型攻撃を防いだり、有害なWebサイトなどへの通信を制御したりすることが可能 |
| IT資産の把握と管理ルールの導入 | USBメモリやモバイルデバイスなどを用いたデータの持ち出しの制御、セキュリティソフトの導入やアップデートの適用の管理による攻撃リスクの軽減、リモートロック機能やログ監視によるインシデント発生時の迅速な対処が可能 |
| 従業員教育によるリテラシー向上 | 重要なデータの取り扱い、不審なメールの見分け方、内部不正を行った場合のリスクなど、基本的な知識を従業員に教育して情報漏洩リスクを低減 |
セキュリティソフトの導入
セキュリティソフトの導入は、情報漏洩に対する効果的な対策です。不審な添付ファイルやメールを検出して標的型攻撃を防いだり、有害なWebサイトなどへの通信を制御したりできます。また、データの持ち出しを管理する機能があるセキュリティソフトもあります。
攻撃手法は日々進化しているため、最新のセキュリティソフトを導入し、定期的なアップデートを行うことが重要です。
IT資産の把握と管理ルールの導入
情報漏洩の対策として、社内のすべてのIT資産を把握し、適切な管理ルールを設定することも重要です。適切なIT資産の管理ルールを導入すると、USBメモリやモバイルデバイスなどを用いたデータの持ち出しを制御することもできます。また、機器へのセキュリティソフトの導入やアップデートが行われているかを管理すれば、脆弱性を突いた攻撃のリスクを軽減することも可能です。
端末を紛失した場合のリモートロック機能や、ログ監視機能が搭載されている管理ツールを導入するとインシデントが発生した際の迅速な対処も可能になるため、IT資産管理ツールの導入も検討しましょう。
従業員教育によるリテラシー向上
従業員教育によってセキュリティリテラシーを向上させることも、情報漏洩を防止するために不可欠です。ミスや内部不正などの内部要因による情報漏洩は、従業員自身が知識を身に付けるだけで防げるケースもあります。定期的なセキュリティ研修を実施し、重要なデータの取り扱い、不審なメールの見分け方、内部不正を行った場合のリスクなど、基本的な知識を従業員に教育することが必要です。
従業員一人ひとりが、どのような場合に情報漏洩が発生するのかを把握し、セキュリティリテラシーを高めることで、内部からの情報漏洩を防げます。
- 併せて読みたい
IT資産の管理を万全にして情報漏洩を防ごう
情報漏洩の防止には、セキュリティソフトの導入やIT資産の管理、従業員教育が重要です。IT資産の管理を行う場合は、社内のすべての端末やソフトウェアなどを把握し、セキュリティ状態を常に最新に保つ必要があるため、その対応は簡単ではありません。IT資産管理に特化したツールを導入しましょう。
インターコムの「MaLion」シリーズは、社内のIT資産に関する情報収集や、アップデートの適用状況をひと目で確認できる情報漏洩対策・IT資産管理ツールです。セキュリティポリシーの設定や、ポリシー違反者への警告通知、外部デバイス・送受信メールの監視、ファイルアクセス・Webアクセスの監視機能などを搭載しているため、社内情報の漏洩を未然に防止できます。従業員に対する不正操作の警告表示などにより、社内のセキュリティ意識の向上を図ることもできます。
情報漏洩対策にお悩みの場合は、ぜひお気軽にお問い合わせください。
