TOP情報セキュリティ> 情報漏洩問題を振り返る
米国事例に学ぶセキュリティ
米国事例に学ぶセキュリティ

第1回:これまでの情報漏洩事件の原因を振り返る

著者:バーダシス  小宮 崇博   2007/5/1
1   2  3  次のページ
情報漏洩問題を振り返る

   本連載では企業として情報漏洩対策をどのような観点から講じればよいのか、導入事例を元にリスク管理ソリューションの導入効果を紹介していく。

   ここ数年、日本では個人情報や企業情報の漏洩事件が多数発生している。実際、内閣府の調査によると、公表されているだけでも企業の17.5%がなんらかの個人情報の漏洩もしくは毀損を経験しているという。

   では、どういったケースでこのような情報漏洩は起こるのであろうか。インターネット普及以前もしくは普及後でも、情報漏洩という事件は外部の人間がシステムに不正な手段で侵入し、情報を持ち出すことを指していると思われている。いわゆる不正アクセス事件である。

   しかし最近日本で起きた情報漏洩事件でも果たしてそうであろうか。実は原因を詳しく見てみると、必ずしもそうでないことを示している。それを分析してみたのが表1である。
事故、過失などによるもの
  • 盗難、紛失したPC、リムーバブルメディアから重要情報が抜き取られた
  • ファイル共有ソフトなどがインストールされた個人用PCに機密情報を入れて使用した結果、ウイルスなどにより情報が漏洩した
漏洩、毀損の意図を持った不正アクセスもしくは不正サービスへの情報入力の誘導
  • SQLインジェクションのような攻撃を受けた結果、情報が漏洩した
  • 最初から持ち出す意図を持ってデータにアクセスし、データを持ち出した
  • フィッシングサイトへの情報入力によって情報が漏洩した

表1:2005年以降の代表的な情報漏洩事件

   ここにもあるように、悪意のある者がネットワークを経由して遠隔の情報にアクセスするケースは、全体の割合からすれば非常に少ないのが現状である。


表にあらわれない情報漏洩事件の背後にあるもの

   ボットやSQLインジェクションのようなネットワーク経由の攻撃の総数は増加の一途をたどっているが、事件として取り上げられるものは氷山の一角である。それは、なぜ表にでてこないのだろうか。

   公表されない要因の1つとして、もし漏洩した個人情報が悪用された場合、企業は責任を問われ損害賠償を払うことがあげられるだろう。実際にWinnyによる漏洩事件を起こしたある企業では、事件を契機に情報漏洩対策の実施を発表している。

   このほかにも有名なISPで個人情報が流出したときには、1人当たり500円の金額を支払ったことがあるのは記憶に新しい。またある地裁レベルでの判決では、個人情報は6,000円になるとの判断もでている。


情報漏洩に対する企業の対策とその結果

   このような数字(具体的な金額など)は、この種の事故や事件が発生した場合のリスクの大きさの1つの指標と考えられる。このケースでは情報漏洩の原因として、権限のあるものによるデータベースへの意図的なアクセスにより、情報が漏洩したと考えられている。このISPのケースではデータにアクセスできる人間は100人以上いたが、事件後には58人まで削減されたそうだ。

   2006年に頻繁に発生した情報漏洩事件としては、P2PソフトのWinnyによるものがある。Winnyを使用している個人用PCで企業情報を取り扱ったため、Winnyをターゲットとしたウイルスなどにより情報が漏洩したというものである。このような同様の事件が多発した後、多くの企業で情報管理規定などを制定する動きが増加したのは記憶に新しい。

   ごく最近も、ダイレクトメールの印刷を一手に引き受けているある印刷会社の内部からクレジットカードの情報やその他の個人情報が持ち出され、カード情報が不正に利用されたという事件があった。この会社では適切に情報アクセスのログを取得しており、さらにビデオによる入退出管理を行っていたという。しかし社内のアクセス権限を持った者の不正漏洩は防げなかったのである。

   ある米国のソフトウェアベンダーの調査によると、こうした「権限者による不正なデータの持ち出し」は、全情報漏洩件数の実に7割にも及ぶという。したがって、いかに業務効率を下げることなく内部の情報アクセス権限を有しているものによる情報持ち出しを禁止するかが重要になってくる。

1   2  3  次のページ


Verdasys Inc. 小宮 崇博
著者プロフィール
Verdasys Inc.  小宮 崇博
外資ITベンダーにおいて一貫してプリセールスに携わる。サーバ、ストレージ、ネットワーク製品などの営業に従事する。また、統合運用管理ソフトウェアなどのソフトウェアの営業、構築にも従事していた。ストレージエリアネットワークなどのコミュニティでは多くの情報をコミュニティに提供している。


INDEX
第1回:これまでの情報漏洩事件の原因を振り返る
情報漏洩問題を振り返る
  なぜ、情報漏洩は止まらないのか
  リスク管理ソリューションとは