「情報漏えい」は、漏えいした情報の内容にもよりますが、大きなマイナスイメージを抱かせるトラブルです。一企業から発生した情報漏えいの場合は、顧客の個人情報や、企業側の機密情報などが漏えいするケースがありますが、どちらにしても企業にとっては多大な損失になります。
こうした情報漏えいが企業にとって、どのような影響を及ぼすのでしょうか。実際に合った事例を交え、具体的な影響をご紹介するとともに、なぜ情報漏えいしてしまったのかという原因・対策についても見てみましょう。
増加する情報漏えいの発生件数
情報漏えいの発生件数は年々増加傾向にあり、企業が取り扱う顧客の個人情報をはじめ、情報資産の扱いには最大限の配慮をしなくてはなりません。
JNSA(日本ネットワークセキュリティ協会)の2018年の個人情報漏えいインシデントの分析結果では、インシデント(事件)発生件数が443件にのぼります。その中で実際に情報漏えいした人数は561万人を超え、インシデントによる損害賠償総額は2,684億円という大きな額になりました。
いかに個人情報や機密情報という「情報資産」が貴重なものであるかがわかります。
情報漏えい事故が及ぼす企業への影響
情報漏えいが起こると、企業にどのような影響を及ぼすのかを解説します。
まず、直接的な被害から見てみましょう。
情報の悪用
漏えいした情報の内容にもよりますが、顧客の氏名・住所・電話番号など個人を特定できるような情報である場合、なりすましや勧誘などに悪用されるおそれがあります。さらに、クレジットカード情報など決済に関連した情報が流出した場合には、自分の知らないところでカードが利用されたり、多大な請求がきたりする可能性もあるでしょう。
個人情報ではなく、未発表の製品に関連した情報など企業の機密情報であっても、自社の預り知らぬところで情報の横流しなど悪用されるかもしれません。
業務の一時停止
情報漏えいは非常に重大な過失のため、対応のために通常業務を続けることが難しくなります。商品開発やサービス改善などの事業がストップし、マスコミへの対応、顧客への対応などに追われます。
事後対応費用
クレジットカード悪用など費用が発生するような情報漏えいの場合、その対応にあたるための費用がかかります。また、業務がストップしてしまった分の売り上げ低下や、顧客対応にあたるための費用がかかる可能性もあるでしょう。
続いて、情報漏えいが起こったことによる間接的な被害について見てみましょう。
損害賠償1件あたりの損害賠償額
JNSA(日本ネットワークセキュリティ協会)の「2018年情報セキュリティインシデントに関する調査報告書」によると、1件あたりの賠償額平均は6億3,767万円にのぼり、膨大な賠償額になります。
機会損失
「情報漏えいした会社」として、企業としての信用低下を招いてしまいます。その結果、取引先がなくなったり、事業縮小を余儀なくされてしまったりと、事業が順調ならば得られたかもしれない利益を失ってしまいかねません。
行政指導
業務改善命令が出されるなど、自治体や政府による行政指導が行われます。こちらは広くニュースなどで報道される内容のため、さらに機会損失の場面が広がる可能性があるでしょう。
業務効率の低下
「情報漏えいした会社」というレッテルを張られ、従業員のモチベーション低下につながります。信頼とともに人材をも失ってしまう可能性があります。
このように、ひとたび情報漏えいが起こると企業にとってマイナスになることばかりが起こります。情報漏えいは、それだけ重大な過失ということです。
情報漏えいの事例で見る企業のリスク
ニュースなどで報道されている情報漏えい事件は、有名な大企業だけではなく、中小企業へのサイバー攻撃なども含まれています。
たとえば、過去に実際起きた情報漏えい事件として挙げらるのが
象印ユーザーサービス株式会社
2019年、象印マホービン株式会社のグループ会社で、「象印でショッピング」というECサイトを運営していましたが、第三者による不正アクセスを受け、お客様の個人情報であるお名前、住所、メールアドレス、電話番号等、最大28万件強が流出しました。
幸い実際の被害には至っていない様ですが、流出したメールアドレスに偽装サイトのリンクが設置されたメールが配信され、そこではクレジットカード情報を搾取する様な仕組みになっており、危うく甚大な被害が発生していたかもしれません。
株式会社ヨシハラシステムズ
2020年、同社が運営する宅配クリーニングサービス「せんたく便」に対し、SQLインジェクションという攻撃が仕掛けられ、5万8千強のクレジットカード情報が流出しました。
同サービスの利用者は、自身のクレジットカードで身に覚えのない請求が発生していないか確認する必要がありました。また、万が一の事を考え、クレジットカードの利用停止、カードの変更、それにかかる公共料金の引き落とし先の変更など、多大な労力をお掛けする事になりました。
株式会社横浜銀行
2021年、同行が発信したメールの誤送信により、顧客4万件強の氏名や口座情報が流出しました。暗証番号の流出は無い為、大事には至らなかったものの、行員のたった一通のメールの誤送信で、巨額の補償が発生する大事件に発展する可能性がございました。
この様に、大企業や中小企業など問わず、企業は常に情報漏えいのリスクを抱えており、一歩間違えれば多額の損害賠償事件に発展しうる事がお判りいただけたのではないでしょうか。
情報漏えいが起こる要因
なぜ情報漏えいが起こるのか、情報漏えいの要因について見てみましょう。大きく分けると外部からの攻撃と、内部の人的ミスに分ける事ができます。
外部からの攻撃
- ゼロデイ攻撃
- フィッシング
- ランサムウェア
- APT 攻撃(APTグループ)
- コマンド&コントロール(C&C)
- インジケーター オブ コンプロマイズ
- DDoS攻撃(Bot net)
- 辞書攻撃、ブルートフォース攻撃
- ダークウェブ
内部の人的ミス
- 紛失や置忘れ
- 誤操作
- ルール違反
- インサイダー脅威
- セキュリティ管理のルールが煩雑
外部からの攻撃は、上記に挙げた通り、様々な攻撃の種類があり、外部対策にウイルス対策ソフトの導入だけでは防ぎ切ることはできません。こうした外部攻撃による情報漏えいは、大規模な漏えいに繋がりやすく、強力な対策が必要です。
ウイルスやマルウェアに攻撃されない様、セキュリティソフト導入し、こまめなアップデートはもちろんですが、WAFを導入したり、VPNを活用するなど、複数の施策を講じる事も検討すべきでしょう。
次に、内部の人的なミスについてです。
機密情報などが入ったUSBなどのデバイスをどこかで置きっぱなしにしてしまう、メール送信時に誤ってファイルを添付してしまったなど、情報漏えいしてしまうさまざまな「うっかり」が日常で起こり得ます。
中には、こうした情報が高く売れることから、売買または悪用目的で情報を入手しようとする人もいます。
尚、昨今の感染症対策の流れを受け、従業員の働く環境は大きく変わり、テレワークを導入する企業が急激に増えました。それに伴い、企業における情報漏えいのリスクが増大していると考える方も増えています。
このことから、こうした情報漏えいやセキュリティ対策に対する考え方として、「ゼロトラストモデル」に注目が集まっています。
ゼロトラストモデルとは
「ゼロトラスト」とは、直訳すると「信用がゼロ」という意味です。つまり、「何も信用をしない(安全ではない)」ということ。
ネットワークセキュリティにおいて絶対的な安心はないという意味で、どのような強固なセキュリティ網を張っても、すべての通信を疑うことを前提とした考え方を指します。
従来のセキュリティは「境界型セキュリティ」と呼ばれ、この境界線を強化するセキュリティ対策でした。しかしこの場合、すでにファイアーウォールやIPS/IDSの内側に入り込んでいる内部犯の犯行には対策ができないこと、いったん境界線を突破されるとその後は無力であることなどの問題点がありました。
ゼロトラストは、境界線の内外を設けることなく、ネットワーク上のどこで何が起こるかがわからない、絶対的なセキュリティはないという考えです。だからこそ、広域をカバーした対策をとれるのが特徴です。
ゼロトラストモデルを採用した Google Workspace
Googleのグループウェア Google Workspace は、こうしたゼロトラストモデルを採用しセキュリティ対策を施しており、テレワークや外部攻撃にも適応した環境を提供しています。
具体的にはSSOや2段階認証など、クラウドを活用するうえで必要なセキュリティ対策を利用する事ができます。
働く環境が各個人異なる環境に変わり、従来型のセキュリティ対策ではカバーできない事が増えてきました。ゼロトラストモデルを採用したGoogle Workspace は、新しい働き方の中で、企業の効率性とセキュリティ対策を同時に提供できるベストな選択肢だと私たちDSKは考えています。
まとめ
情報漏えいを防ぐため、多くの社員の意識改革を最初から行うのは時間や手間がかかります。ゼロトラストモデルを採用したGoogle Workspace を活用すれば、新しい働く環境に合ったセキュリティ対策を講じる事ができるでしょう。
ただし、企業規模によっては他ツールとの連携や、運用の定着化などに思いの他、ハードルがある場合があります。DSK(株式会社電算システム)では、こうした企業様向けに、Google Workspace の導入サポートを扱っており、多数の実績があります。
Google Workspace のセキュリティ体制のご紹介から無料のご相談まで承っておりますので、是非一度お声かけ下さいませ。
- カテゴリ:
- Google Workspace
- キーワード:
- Google Workspace