セキュリティの
学び場

情報漏えいとは

情報漏えいとは外部に知られてはいけない個人情報や企業の機密情報が外部の第三者に漏れてしまうことを指します。企業などの組織においては、情報資産の取り扱い方法やシステムの機密性の不備などで発生します。近年のコンピュータやインターネットの利用拡大に伴い、大規模な情報を速く・正確に扱えるようになった反面、情報漏えいが発生した時の被害も大きくなっています。

情報漏えいの影響

情報漏えいが発生した場合、漏えいした情報の所有者である個人・企業は当然のこと、情報漏えいを起こした組織・個人にも多大な影響があります。

漏えいした情報の所有者に対する影響

アカウントの乗っ取り・不正使用

個人のショッピングサイトやSNSのID・パスワードが漏えいした場合、アカウントの乗っ取りやクレジットカードなどの不正使用が発生します。

プライバシーの侵害

クラウドサービスなどにアップロードされているプライベートな写真などの個人情報が意図せず公開され、個人のプライバシーが侵害されます。

営業秘密の漏えい

組織の機密情報が漏えいした場合、公開前の新製品情報やイベント情報が公開され、競合他社に対し不利な状況に置かれてしまいます。

情報漏えいを起こした組織が受ける影響

社会的信用の低下

情報漏えいを起こした企業として社会的信用が低下し、顧客離れを引き起こし、ひいては業績が悪化するおそれがあります。

損害賠償の支払い

漏えいした情報が個人情報や他社の情報だった場合、損害賠償を支払わなければならない場合があります。

対応コストの支払い

情報漏えいに対応するために通常業務を一時停止することになり、人や時間などのリソースを対応コストとして奪われることになります。

情報漏えいの原因と対策

情報漏えいの原因は故意または過失による人的ミスとサイバー攻撃に大別されます。

人的ミスの原因と対策

人間が行う以上、誤操作や意識の低さ等によって情報漏えいが起きる可能性があります。人的ミスによって発生する情報漏えいの代表的なものを次にあげます。

・紙や記憶媒体等の情報資産の紛失・盗難

・メール・送信フォーム等、電子機器からの情報資産の誤送信

・居酒屋やSNS等の部外者がいる場所での機密情報の公言

これらの原因に対する対策としては、情報資産の取り扱いルールを定め、それを遵守するための教育を行うことが挙げられます。また、DLPなど、仕組みによる情報資産の保護も重要です。

サイバー攻撃の原因と対策

コンピュータを用いたシステムを利用している場合、内外のネットワークからサイバー攻撃を受ける可能性があります。情報漏洩につながるサイバー攻撃と対策をいくつか紹介します。

・マルウェアを送り込み情報を窃取する攻撃

・Webサイトの脆弱性を狙った攻撃

・OSやソフトウェアの脆弱性を狙った攻撃

・クラウド基盤等の設定ミスを狙った攻撃

これらの攻撃に対する対策としては、ウイルス対策ソフトやWAFなどのセキュリティソフトを導入することや、使用するOS・ソフトウェアを常に最新版にすることが挙げられます。

また、Webサイトの脆弱性、OSやソフトウェアの脆弱性、クラウド基盤などの設定ミスに対しては、それぞれWebアプリケーション診断、プラットフォーム診断、クラウド診断等により脆弱性を洗い出し、未然に対策をとることが重要です。