ベルフェイスデモ体験 アスクルサイト ハッピーのInstagram

ブログ・お知らせ

2022.03.13 怖い話⑩「人的要因」

センター長、中村です。

 

1位:ランサムウェア、2位:標的型攻撃、3位:サプライチェーン攻撃。

これは「情報セキュリティ10大脅威 2022(組織)」(情報処理推進機構:IPA)の、上位3位です。

今回は、5位の「内部不正による情報漏えい」、10位の「不注意による情報漏えい」について調べてみました。

どちらも流行りのマルウェアや脆弱性を利用した攻撃ではなく、

 

“人的要因”による情報漏えいです。

 

参考にしたのは、主にIPA「情報セキュリティ10大脅威2022解説書」です。

 

「内部不正による情報漏えい」は会社の身内(在職者・退職者)による漏えいです。

悪意を持った従業員、退職者が会社組織の保管する情報を不正に持ち出し、営利目的で外部に公開する、転職先へ持ち込むといったケースです。

漏えいした情報の重要性によっては会社に経済的な損失を与える場合もあり得ます。

 

IPAは実例として次のものを上げています。

携帯電話キャリアに属していた元社員が、同業者へ転職する際にネットワーク技術に関する技術を不正に持ち出し、逮捕された。会社は10億円の損害賠償請求を求めている。

IT系企業の元従業員が業務委託を受けていた証券会社の顧客のアカウントを利用し、顧客になりすまして有価証券を売却し、その被害総額は約2億円となった。

 

手口としては、会社から与えられたシステムのアクセス権を悪用して情報を盗み出します。

退職者が、在職中のアカウントを使用してこれを行うことも考えられます。

こういった情報は、USBメモリやメール、個人利用が可能なクラウドストレージサービス、スマホ、そして紙媒体を利用して外部に持ち出します。

 

「不注意による情報漏えい」は、組織の情報管理規定の不備や従業員の情報リテラシー(知識・理解力・利用能力)の低さ、不注意による漏えいです。

 

通販業者が自社の会員顧客情報で利用する顧客のID、パスワードを誤って渡すべきではない業務委託先へ渡した例や、メール送信の際にBCCに指定すべきメールアドレスをCCにしてしまい、メールの誤送信をした例。自社のホームページ上の顧客が特定できる形で誤って公開した例があります。

またUSBメモリや書類の紛失もこれに当たります。

 

じゃあどうすべきか、

 

「内部不正による情報漏えい」に関しては、

システム利用者のアクセス権の登録・変更・削除に関する手順を定めて運用すること。

重要な情報が保管されている場所への入退出管理、USBメモリ等の外部記憶媒体の利用制限を行うこと。

不正者に対する懲戒処分を規定した就業規則の整備を行うこと。従業員との間で秘密保持誓約書などを作成すること。

システム操作履歴を記録管理しているということを、従業員に周知すること。

上記のことが重要とされています。

 

「不注意による情報漏えい」に対しては、

情報システムに対しての理解度を上げること。

特定の担当者へ業務が集中しないような体制を構築すること。

基本的なルールが守られているか定期的に監査し、これを見直すこと。

そして、メール誤送信対策や記憶媒体の暗号化などで予防対策をします。

 

そして2つの脅威に共通する対策は、情報セキュリティポリシーに基づいた情報モラル、セキュリティ意識の教育、合わせて情報リテラシーの向上になるのだと考えます。

 

例えば、

Aさんは、複数のシステムで同じパスワード使いまわしをして、これを忘れないように付箋紙に書いてパソコンに貼っていた。

AさんのID・パスワードを”盗み見た”Bさんが、Aさんとしてシステムへログインし、顧客リストを出力し、名簿買取業者へ転売した。

「不注意」と「不正」が同居している例です。

 

怖いですね。“人的要因”による情報漏えい。

 

「2018年情報セキュリインシデントに関する調査報告書」では、情報漏えいの原因は「紛失・置忘れ」「誤操作」「不正アクセス」が70%を占めているそうです。

 

ウイルス対策ソフトもUTM(統合脅威管理)も、「人的要因」を防ぐことは困難です。

 

情報セキュリティポリシーを社内規定として確立し、周知と教育を行い、ルールとシステムで情報漏えいインシデントを防ぐ。

ここを目指すべきだと考えています。

 

当社がテレビで取り上げられます。

実践する『 Kond Style=新しい働き方』の取組みをぜひご覧ください!

番組名:『北のビジネス最前線』

放送局:HBC北海道放送

放送日時:2022年3月20日(日曜日) 6:30~6:45

※放送日時・内容は予告なく変更される場合があります。あらかじめご了承ください。