第1回【QTnet特別企画】7割が人による流出「ビジネスマンなら誰でも情報漏えいのリスクあり」

  • 本記事は2018年9月のメールマガジン配信記事です。

【今回のテーマ】
第1回「いま中小企業に必要な情報セキュリティ」
さて、今回からセキュリティの専門家にインタビューして得た貴重なお話をみなさまへ発信していきます。1回目は「いま中小企業に必要な情報セキュリティ」について。
個人情報漏えいという言葉は、よく耳にするけど、何が原因で起きて、その対策をどうとるべきかを知っている人は、少ないのではないでしょうか?
長崎県立大学情報システム学部に開設された国内唯一の情報セキュリティ学科の小松文子(こまつ・あやこ)教授は、経済産業省の「サイバーセキュリティ経営ガイドライン」の作成メンバーを務めるなど、情報セキュリティ分野の第一人者。
教授へのインタビューをもとに、企業がとるべきセキュリティ対策とは何かをお伝えします。

1. 情報漏えいの7割はヒューマンファクタが原因

情報セキュリティの重要性が叫ばれる時代でありながら、企業や公的機関の個人情報漏えいが後を絶たない。 日本ネットワークセキュリティ協会(JSNA)の2016年の調査によると、個人情報漏えい人数は1,396万5,227人、インシデント(事件・事故)件数は468件、想定損害賠償総額は2,788億7,979万円に上る。原因としては、管理ミス(34.0%)、誤操作(15.6%)、紛失・置き忘れ(13.0%)など、ヒューマンファクタ(人的要因)が主体となっているものが実に72%を占めるという。

情報漏えいの7割はヒューマンファクタが原因

小松教授は「情報漏えいの原因は、ヒューマンファクタによるものが高い傾向は昔から変わりません。
このことから分かるように、技術面の整備だけでは情報漏えいは防ぐのは難しいのです。
対策をとるのも人であり、不正をするのも人です。人の意識が高くなければ解決に向かいません」と語る。

2. 内部不正を生み出す3つの要因と対策

ヒューマンファクタによるインシデントの中には、内部不正がある。小松教授よると、内部不正は「動機・プレッシャー」「機会」「正当化」の3つの要因がそろった時に起きやすいという。
例えば人事に不満を持った「動機・プレッシャー」のある従業員が、不正行為の実行が可能な「環境(機会)」にいて、会社が悪いというように自分勝手な理由付けで「正当化」してしまうことで発生しやすいとしている。

内部不正を生み出す3つの要因と対策

小松教授は「企業として内部不正を防止するには、この3つの要因を低減することが大切です」と話す。 具体策として(1)組織の在り方(2)社内教育(3)専門機関 の活用―を挙げている。

  1. 組織の在り方とは、セキュリティ責任者はIT部門の現場スタッフではなく、部門の係長・部長(管理職)または役員を最高情報セキュリティ責任者(CISO)とすること。
    権限がある管理職または役員が責任を持つことで方針が明確になり、社内全体に情報セキュリティ対策が共有できる。
  2. 社内教育の構築とは、従業員に対して情報漏えいすると、どういう被害やデメリットが生じるかを具体的に説明するプログラムを作成する。過去の事例を挙げながら、社内のルールに違反することを教え込むことで、不正の動機や機会を低減させることができる。
  3. 専門機関の活用とは、情報セキュリティ対策の支援機関にある無料ツールを活用する。
    例えば情報処理推進機構(IPA)では、自社の情報セキュリティの状況を自己診断できる無料のWebツールがあるほか、情報漏えいの脅威を知る啓発動画3つのかばん」や被害を受けた時の報告用のフォーマットもある。各機関のツールを取り入れることで、それを参考にして各社に合わせたセキュリティ対策ができる。

3. メールによる標的型攻撃のターゲットは中小企業

メールによる標的型攻撃のターゲットは中小企業

ヒューマンファクタによるもの以外で気を付けないといけないのが、サイバー攻撃の一種で特定の組織や個人をターゲットにする標的型攻撃である。サイバーセキュリティ業界をリードするシマンテック社が2016年に調査したデータによると、標的型攻撃が狙う65%が中小企業だという。

標的型攻撃の中でもメール攻撃は、添付ファイルや記載されたURLへの誘導によってパソコンにウイルスを感染させるものだ。中小企業は大企業との取り引きが多いため、攻撃する側はまずは中小企業を狙って、大企業の情報を不正に取得するなど中小企業を踏み台にしているという。

小松教授は「『秘密情報がないから大丈夫』という考えを持った中小企業もあり、大企業と比べるとセキュリティ対策が遅れています。このため標的型攻撃の被害者になる一方で、大企業にも損害を与える加害者にもなりえるんです」と警告する。

対策としては(1)メールセキュリティの実施 (2)組織の外部インターネットへの閲覧制限 (3)ログ(コンピューターの利用状況やデータ通信記録)の監視が必要だと語る。

また、このほかに「中小企業は自社のみならずサプライチェーンのビジネスパートナーやシステム管理などの委託先を含めたセキュリティ対策の徹底が必要です」と指摘する。

4. サイバーセキュリティは経営問題

経済産業省は11月16日、独立行政法人情報処理推進機構と協力し、「サイバーセキュリティ経営ガイドライン」の改訂を発表。サイバーセキュリティは経営問題であり、対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけ「投資」と捉えることが重要とうたっている。

サイバーセキュリティは経営問題

改訂に携わった小松教授は「今の時代は急速な技術の進歩に、人の意識がついていっていないのが現状です。いわば想像力が欠如しているため、情報がもれることが、どういうことになるのかが分かっていないんです」と指摘する。

2014年、通信教育の大手企業では、委託先の社員による漏えいが表面化した。
これにより約3500万人の顧客情報が流出。図書カードや電子マネーギフトによるお詫びの費用は136億円に及んだ。2009年、大手証券会社でも社員による流出が明るみに。
約148万人の顧客情報を不正に持ち出したこの事件では、約5万人に1万円のギフト券を送付。
およそ5億円の損失となった。冒頭でお伝えしたように「情報漏えいの7割はヒューマンファクタによるもの」。ビジネスマンであれば誰もが情報流出のリスクを背負っているといえる。

小松教授は「サイバー攻撃は高度化、巧妙化しており、情報漏えいを100%防止するのは難しい。
だからとって、何も手を打たないと企業が倒産の危機に直面する事態に陥りかねない。
いま、問われているのは経営者がリーダーシップをとって積極的にセキュリティ対策に取り組む実行力なんです」と語った。

あとがき

お話によると情報漏えいの約70%がヒューマンファクタ(人的要因)とのこと。
その中でもデータを故意に持ち出す内部不正によるものだけでなく、誤操作や置き忘れ、紛失など「うっかりミス」による流出が多いのだそう。
「置き忘れてしまった」「間違ってデータを消してしまった」などのうっかりミスは最新のセキュリティソフトだけで防ぐことは難しい気がします。
うっかりミスだったとしても情報が流出した場合、莫大な損害を出してしまうケースも。

「ビジネスマンの誰もが情報流出のリスクを背負っている」社員ひとり一人がこの意識を持つことが重要なことなのだとわかりました。