セキュリティの
学び場

今回の解説ニュース

FAXの誤送信が原因で、個人情報が漏洩してしまったということです。機微な情報を何らかの方法で送信する際に、セキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、新型コロナウイルスに感染した患者165名の記者発表用資料を報道各社にFAXで送信する際に、誤って患者の個人情報を含む別資料を送信してしまったもので、報道機関から連絡があり発覚したということです。社会的な混乱が落ち着かない状況で、極めて機微な個人情報が漏洩してしまったことになります。

個人情報とは、生存する個人に関する情報で、氏名、生年月日など特定の個人を識別することができる情報です。改正個人情報保護法では、指紋データ、パスポートや運転免許証などの番号も「個人識別符号」として「個人情報」にあたることが明記されました。

インシデントが発生した原因として、FAXする際は通常、ダブルチェックをしていましたが、当日はダブルチェックせずに送信してしまったということです。運用ルールが形骸化してしまった結果、本来のセキュリティ対策が機能せず、インシデントが発生してしまった今回の脆弱性は「人の弱さ」に原因があったということになります。

重要情報の電子化やシステムのオープン化のメリットとデメリット

重要情報の電子化やシステムのオープン化については、メリットとデメリットの両方があります。理由は、セキュリティは利便性とのトレードオフになる場合があるからです。具体的な内容について説明します。

インターネットやメールの利便性については説明不要ですね。ただし、最近はメールを使う機会も減ってきており、ビジネスでもチャットやSNSなどでコミュニケーションを取る人も増えてきました。

一方で、SNSを悪用したセキュリティインシデントも増えてきました。特定の組織に対して標的型攻撃を行う際に、SNSの情報から従業員と思われる人をマルウェアに感染させて、組織のネットワークへ侵入を試みる事例が発生しています。

標的型攻撃とは、特定の個人や組織を狙った極めて巧妙に作りこまれたサイバー攻撃です。攻撃者は事前に標的となる個人や組織について情報を収集するため、一般的なセキュリティ対策を行っていても、攻撃の被害を完全に防ぐことは困難な場合があります。

ちなみに、国内の重要インフラが海外と比較してサイバー攻撃の被害が少ないのは、システムがオープン化されていないことも理由の一つでもあると言われています。

メールで重要情報を取り扱う際のセキュリティ対策

メールで重要情報を取り扱う際のセキュリティ対策の一つとして、DLPが挙げられます。

DLPとは、Data Loss Preventionの略で、データ損失防止 と訳されます。今までは主にユーザを監視することでセキュリティ対策が行われていましたが、DLPではデータそのものを監視することによって、人為的なミスで発生する機密情報の漏洩を防ぐことが可能です。

FAXの送信でも使われているダブルチェックはメールでも有効なセキュリティ対策の一つですが、属人的であるが故に運用ルールが形骸化してしまったり、二重化したチェックでも漏れが発生してしまう場合があります。誤送信チェックのクラウドサービスもありますが、チェック自体は人手によって行われる場合が多く、結果的に機密情報を含んだメールが送信させれてしまう可能性があります。

DLPは、特定のキーワードやドキュメントの文書構成によって、送信されるファイルが機密情報であるかどうかを判断します。Gmailでは、DLPの機能が使えるエディションがありますので、興味のある方は試してみてもいいかもしれません。Gmailでは、クレジット カード番号、マイナンバー、パスポート番号などの機密情報の漏洩を防いでくれるということです。

いずれにしてもDLPに限らず、セキュリティ対策の仕組化によって、可能な限り属人性を排除することで、安定したセキュリティ対策を実施しましょう。