セキュリティ対策

2024年3月8日2024年3月11日

ランサムウェアに感染したら？対策方法とは -ランサムウェアあれこれ 3-

「ランサムウェアに感染したら？対策方法とは」アイキャッチ画像（パソコンをウイルスから保護するイメージ）

この記事では、ランサムウェア攻撃の具体的な被害事例を通じて、被害に遭った場合の影響と対処法について触れながら、最後に、ランサムウェア対策の基本となるポイントを紹介します。この記事を通じて、ランサムウェアの脅威に対する理解を深め、基本的な対策を講じることの重要性を学んでいただければ幸いです。

ランサムウェア攻撃の被害事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局（NSA）が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

2021年10月には、日本国内の医療機関がランサムウェア攻撃によって被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。

主に企業・団体に向けたサイバー攻撃の被害として、ランサムウェアでの被害がありますが、令和4年上半期以降、高い水準で推移しています（棒グラフ参照）。

企業・団体等におけるランサムウェア被害の報告件数の推移

被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重恐喝（ダブルエクストーション）の割合が多く、手口を確認できたもののうちの約8割を占めている。また、データを暗号化せずに対価を要求する「ノーウェアランサム」による被害も新たに確認されました。感染経路としては、前年と同様、脆弱性を有するVPN機器等や、強度の弱い認証情報等が設定されたリモートデスクトップサービスが原因となる事例が多かった（円グラフ参照）。

ランサムウェア被害の感染経路

2023年7月4日、国内物流組織がランサムウェア攻撃を受け、名古屋港の統一ターミナルシステムに障害が発生し、7月6日夕方の作業完全再開までのあいだ業務が一時停止する事態になりました。本件は、サイバー攻撃により港湾施設が操業停止に追い込まれた国内初の事例と報じられています。

この事件を受け、国土交通省は、安全で安定的な物流サービスの維持・提供に資することを目的として、対策等検討委員会を設置しました。2023年9月に公開された調査資料「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」によれば、感染経路はVPN機器からの侵入が有力とされています。そして主な原因として、「保守作業に利用する外部接続部分のセキュリティ対策が見落とされていたこと」「サーバ機器およびネットワーク機器の脆弱性対策が不十分であったこと」などが挙げられています。

ランサムウェアによる被害の影響

ランサムウェア攻撃を受けた場合、企業への被害の影響は、以下のようなものがあります。

身代金による金銭の損失

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかの選択を迫られます。身代金を支払った場合、その金額は数百万円から数億円に上ることもあります。また、身代金を支払ったとしても、データが復旧できないこともあるため、金銭的な損失は避けられません。

事業での業務が停止

ランサムウェア攻撃により、企業のシステムやデータが暗号化され、業務プロセスが停止することがあります。これにより、本来行われる業務が滞るため、生産性が低下します。業務が停止している期間が長引けば、競争力の低下や市場シェアの減少も懸念されます。

顧客の喪失

ランサムウェア攻撃により、顧客データが漏洩した場合、顧客の信頼を失い、顧客を喪失する可能性があります。また、攻撃によるシステムの停止や業務の遅延などによって顧客に損害を与えた場合、損害賠償請求を受ける可能性もあります。

影響範囲

ランサムウェア攻撃は、企業の規模や業種を問わず、あらゆる企業が標的となる可能性があります。また、攻撃対象は、企業のITインフラや業務システム、顧客データなど、多岐にわたります。そのため、攻撃を受けた場合の影響範囲は、企業によって大きく異なります。

莫大なコストの発生

ランサムウェア攻撃による被害コストは、身代金の支払い以外にも、システム復旧や顧客対応など、多岐にわたります。そのため、被害コストは数千万円から数億円に上ることもあります。

ランサムウェアに感染したら

マルウェア感染（特にランサムウェア感染）に気づいた場合、以下のステップに従って対処することが重要です。

ネットワークの切断：インターネットの接続を切断し、感染を広げないようにします。感染がネットワーク内に広がるのを防ぎ、攻撃者の操作を制限します
コンピュータのシャットダウン：感染したコンピュータを即座にシャットダウンし、データへのアクセスをブロックします。これにより、攻撃者がデータの暗号化を続行するのを防ぎます
被害状況の報告：インシデント対応チームや情報セキュリティの担当者にすぐに報告し、被害の詳細を共有します。早急な対応が感染拡大を防ぎます
バックアップの確認：バックアップからデータを復旧できるよう、バックアップを確認し、感染前のデータのコピーが利用可能であることを確認します
身代金の支払いはしない：攻撃者に身代金を支払わないようにしましょう。身代金を支払っても、データの復号が保証されないことがあります
ランサムウェアの種類を特定：攻撃されたランサムウェアの種類を特定し、解析情報をセキュリティ専門家に提供します。これにより、未来の攻撃を防ぐための情報が得られます
ノーモアランサム（No More Ransom）：ランサムウェアの解除ツールが提供されている場合、それを利用してデータを復号化します。ノーモアランサムは、解除ツールを提供するプロジェクトの一例です

これらの手順は、マルウェア感染に対処する基本的な対処手順です。セキュリティ対策の実施においては、セキュリティ専門家のアドバイスや組織内のポリシーに従うことも重要です。

ランサムウェアの対策方法

ランサムウェアの基本的な対策は、以下のとおりです。

【システム管理者側での対策】

標的型攻撃メール訓練の実施
定期的なバックアップの実施と安全な保管（別の場所での保管推奨）
バックアップ等から復旧可能であることの定期的な確認
OS、各種コンポーネントのバージョン管理、パッチ適用
認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）
適切なアクセス制御および監視、ログの取得・分析
シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認
攻撃を受けた場合に想定される影響範囲の把握
システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

【ユーザ側での対策】

不審なメールに注意し、容易にリンクをクリックしたり添付ファイルを開いたりしない
適切な認証情報の設定（多要素認証の有効化・パスワードの設定）
OSおよびソフトウェアを最新の状態に保つ
データを定期的にバックアップしておく
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
セキュリティアップデートの通知を設定する
不審なアクティビティを検出した場合には、社内へ報告する

基本的な対策こそが重要

ランサムウェアはRaaSの登場などによる犯罪のビジネス化により、攻撃のハードルが下がったことで、高度な技術力を持たなくても攻撃者が参入しやすくなり、攻撃の数は増えるかもしれません。しかし、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

ランサムウェア攻撃は、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。
※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」および「石油」の14分野を特定している。

たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。ランサムウェア攻撃への備えとして、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

Security Report TOPに戻る
TOP-更新情報に戻る

2023年7月24日2023年10月4日

安全なスマホ利用を目指して
-学生必見！8つのセキュリティ対策とは-

スマホは私たちの日常生活に欠かせない存在になっています。SNS、友達や親との連絡、勉強、エンターテインメント、ニュースのチェック、ゲーム、さらにはショッピングや支払いまで、さまざまな活動がスマホ1台でできるようになりました。その一方で、スマホの便利さは悪意ある人々にも利用されています。そこで、セキュリティ対策が重要になってきます。ここでは、スマホのセキュリティ対策について解説します。個人情報やプライバシーの保護、オンラインの脅威から身を守る方法を学びましょう。

スマホのセキュリティ対策の必要性とは

まず、なぜスマホのセキュリティ対策が必要なのでしょう？
スマホは便利なツールですが、危険も存在します。

主に以下の3つのリスクが挙げられます。

スマホの紛失または盗まれるリスク

スマホには、持ち主やその知人の名前や住所、連絡先などの個人情報が保存されています。万が一スマホが盗まれたり、紛失したりした場合、その情報が悪意のある人の手に渡る可能性があります。そのことで、身に覚えのない買い物やプライバシーの侵害といった被害につながる可能性があります。

ウイルスが仕込まれるリスク

サイバー攻撃者などによって、ウイルスやスパイウェアといった悪意あるソフトウェア（マルウェア）が、あなたのスマホに仕込まれてしまった場合、個人情報を盗み取られたり、データを破壊されたりする可能性があります。

サイバー攻撃などによる個人情報漏洩リスク

スマホを使用してネット上で買い物をする場合や、オンラインバンキングを利用する場合、サイバー攻撃によって個人情報や銀行口座の情報がハッカーによって盗まれてしまう可能性があります。

スマホには個人的な情報、例えば電話番号やメールアドレス、写真、そしてアプリのログイン情報などが保存されています。こうした情報が悪意ある人々に盗まれると、あなた自身や友人や家族を巻き込んだトラブルにつながる可能性があります。そのため、スマホのセキュリティ対策は必要です。では、情報漏洩などの被害から身を守るためには、何をすれば良いのでしょうか。

スマホに必要な8つのセキュリティ対策

1.スマホのパスワードおよびロックの設定を行う

スマホのセキュリティを強化する最初のステップは、パスワードを設定することです。パスワードには、他人があなたのスマホにアクセスできないようにするために、強力なパスワードを選びましょう。また、他の人に知られないようにしましょう。それぞれのアカウントごとに違うパスワードを設定し、それらを定期的に更新することが推奨されます。パスワード管理アプリというものを利用すれば、複数のパスワードを安全に管理することが可能です。また、顔認証、指紋認証、パスコードやパターンなどのロックを設定して、自分以外の人がスマホを操作できないようにしましょう。

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。安全なパスワードの作成条件としては、以下のようなものがあります。

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること

(5) 類推しやすい並び方やその安易な組合せにしないこと

引用元：安全なパスワード管理（総務省）https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

2.不審なアプリやリンクに注意する

スマホには多くのアプリがありますが、安全であると信頼できないサイトやSMSなどからのアプリをダウンロードしないようにしましょう。公式のアプリストア（Google PlayやApp Store）からのみアプリをダウンロードすることをお勧めします。また、メッセージやメールで届いたリンクを開く前に、送信元が本当に信頼できるかどうかを確認しましょう。フィッシング詐欺（※）やマルウェアから身を守るために、注意深く行動しましょう。

※フィッシング詐欺とは、悪意のある攻撃者が信頼性のある組織のふりをして個人情報を盗もうとする行為です。これは普通、メールやメッセージを通じて行われます。その内容は、あなたのパスワードをリセットするためのリンクであったり、重要な通知があるので見てほしいといった内容であったりします。こうしたリンクをクリックすると、あなたの情報が盗まれる危険性があります。また、見知らぬ番号からの電話にも警戒しましょう。特に、個人情報を求めるような場合には注意が必要です。

3.OSやアプリを定期的にアップデートする

スマホのOS（オペレーティングシステム）やアプリのアップデートは重要です。これらのアップデートは新機能の追加だけではなく、セキュリティの脆弱性を修正するためのものであることも多いため、新たな脅威から守るためにも、定期的に更新を実施することを推奨します。

4.Wi-Fiの安全性を確認する

公共のWi-Fiを利用するときには注意が必要です。公共の無料Wi-Fiは便利ですが、常に安全とは限らず、利用者の個人情報が漏洩してしまうなどの危険性があります。個人情報を送信するようなアプリやウェブサイトにアクセスする際には、自分のモバイルデータ通信を使用するか、パスワードが必要なプライベートネットワークを利用しましょう。また、公共のWi-Fiを使用する場合は、より安全なVPN（仮想プライベートネットワーク）を利用することも検討してください。

5.SNS（ソーシャルネットワーキングサービス）でのプライバシー設定を行う

SNSは重要なコミュニケーション手段ですが、プライバシーの保護も必要です。以下のポイントに気をつけましょう。

a. プライバシー設定の確認: プライバシー設定を確認し、プライバシーにかかわる個人情報を一般公開にせず、友達やフォロワーとの共有範囲を制限しましょう。個人情報や位置情報など、他人に知られては困る情報を公開しないようにしましょう。

b. 友達やフォロワーの選択: 友達やフォロワーを受け入れる際には、信頼できる人々に限定しましょう。知らない人や怪しいアカウントからのリクエストには注意し、受け入れないようにしましょう。

c. 投稿文の慎重な管理: 投稿には慎重になりましょう。個人情報や個人的な写真をむやみに公開しないようにし、誹謗中傷をしたり、プライベートな写真を投稿したりするのは控えましょう。一度公開した情報や写真は、後で取り消すことが難しいため、慎重な判断を行いましょう。

6.アプリの権限設定を確認する

スマホのアプリは、個人情報やデバイスへのアクセスを要求する場合があります。アプリをインストールする前に、そのアプリが何の情報にアクセスする必要があるのかを確認しましょう。例えば、料理のレシピアプリであるのに位置情報へのアクセスを要求してくるといった、必要のない権限を要求してくるアプリには注意し、不要な権限を持つアプリを削除しましょう。

7.バックアップをとる

あなたのスマホが盗まれたり、壊れたりして情報が突然失われてしまった場合でも、重要な情報を守るために、定期的にバックアップをとっておくことを推奨します。

8.アンチウィルスソフトの利用

アンチウイルスソフトを利用することで、ウイルスやスパイウェアといったマルウェアからスマホを守れます。

まとめ

スマホは便利なツールであり、私たちの日常生活では欠かせないものとなっています。だからこそ、個人情報などを狙う悪意を持った攻撃者のターゲットになる可能性があります。そのため、自分の身を守るためにも基本的なセキュリティ対策の方法を理解することが重要です。学生の皆さんは、以下のポイントを守りながらスマホのセキュリティを強化しましょう。

1.　スマホのパスワードおよびロックの設定を行う
2.　不審なアプリやリンクに注意する
3.　OSやアプリを定期的にアップデートする
4.　Wi-Fiの安全性を確認する
5.　SNSでのプライバシー設定を行う
6.　アプリの権限設定を確認する
7.　バックアップをとる
8.　アンチウイルスソフトを利用する

これらの対策方法はあくまで例です。普段からセキュリティに注意し、安全に利用しましょう。また不安を感じたら身近な友人や保護者に相談することも大切です。本記事が、スマホを利用するすべての人々にとって、自分と自分の大切な人々を守り、より安全なスマホライフを送るために役立つ情報提供となれば幸いです。

2023年6月16日2024年4月12日

ChatGPTとセキュリティ
-サイバーセキュリティの観点からみた生成AIの活用と課題-

2022年11月にOpenAIによって公開された生成AI「ChatGPT」の利用者は、リリース後わずか2か月で1億人を突破しました。2023年になってからもその勢いは止まらず、連日のようにニュースで取り上げられ、人々の注目を集め続けています。ChatGPTを含めた生成AIは、今後のビジネスにおいて重要な役割を果たし、企業の競争力にも関わってくると考えられます。本記事では改めてChatGPTとはいったい何なのか？そしてサイバーセキュリティの観点からみたインパクトとリスクについて解説します。

ChatGPTとは？

ChatGPTとは、端的に言えば「人間が作った質問に自然な文章で回答を返してくれる、OpenAIが開発した人工知能システム」のことです。ChatGPTの主要機能は「人間同士の対話を模範すること」であり、その得意とするところは、「人間が自然と感じる回答の生成」です。

応答してくれる言語については、主要なものに対応しており、日本語で問いかけた場合は日本語で回答が返ってきます。

ChatGPTの返答イメージ

なぜそのようなことが可能かというと、人間の脳の神経回路の構造を模倣した「ニューラルネットワーク」を利用*1しており、大量のウェブページ、ニュース記事、書籍、社交メディアの投稿など、多様なテキストを学習しているからです。つまり膨大なデータで学習し、人間の脳を模倣した処理によって、人間が使う自然な言葉で、入力した言葉に対して回答を返してくれるのです。

多種多様な生成AI

生成AI（ジェネレーティブAI）とは
生成AIとは、学習したデータをもとに、画像・文章・音楽・デザイン、プログラムコード、構造化データなどを作成することができる人工知能（AI）の総称です。近年は様々な組織から多種多様な生成AIが開発、リリースされており、日進月歩の進歩を遂げています。なお、ChatGPTの「GPT」は「Generative Pre-trained Transformer」を意味しており、Gは生成を意味するGenerativeです。

ChatGPTは2023年6月現在、2つのバージョンが存在しています。2022年の11月に公開された無料で利用できるChatGPT3.5というバージョンと、2023年3月に公開された有償での利用が可能なChatGPT4というバージョンです。ChatGPT4は3.5に比べて事実にもとづく回答の精度が40％向上しているとされている他、いくつかの機能が追加されています。

また、人工知能チャットボットとしてはChatGPTの他にも「Google Bard」、「Microsoft Bing AI」「Baidu ERNIE」その他様々なモデルが登場しています。他にも文章や画像から生成する画像生成AIとして「Midjourney」や「Stable Diffusion」、音声から文字起こしを行うChatGPTと同じOpenAIの「Whisper」といったものもあります。最近では、MicrosoftがWindows11へ「Windows Copilot for Windows 11」というChatGPTを利用した対話型のアシスタンスの導入を発表しています。

こうした生成AIにはカスタマーサービスでの利用、ソフトウェアの作成やメール文章の作成から、ちょっとした日常生活の疑問の解決、様々なビジネス上のシナリオ作成からテストまで、幅広い活用の幅があります。


種類	提供元	サービス名	URL
文章生成AI	OpenAI	ChatGPT	https://openai.com/blog/chatgpt
文章生成AI	Google	Bard	https://bard.google.com/
文章生成AI	Microsoft	Bing AI	https://www.microsoft.com/ja-jp/bing?form=MA13FJ
文章生成AI	Baidu	ERNIE	https://yiyan.baidu.com/welcome
画像生成AI	Midjourney	Midjourney	https://www.midjourney.com/home/?callbackUrl=%2Fapp%2F
画像生成AI	Stability AI	Stable Diffusion	https://ja.stability.ai/stable-diffusion
画像生成AI	OpenAI	DALL·E	https://openai.com/dall-e-2
文章生成AI （文字起こし）	OpenAI	Whisper	https://openai.com/research/whisper
音声生成AI	ElevenLabs	Prime Voice AI	https://beta.elevenlabs.io/

無数に存在するAIの画像 — 無数に存在するAI
出典：Harnessing the Power of LLMs in Practice: A Survey on ChatGPT and Beyondより引用

ChatGPTとサイバー攻撃

このような幅広い活用を期待されているChatGPTですが、一方でサイバー攻撃においても悪用が注目されてしまっているという側面もあります。

ChatGPTのサイバー攻撃での悪用を考えるときに、まず考えられるのはフィッシング攻撃における悪用です。ある調査では「見慣れたブランドであれば安全なメールだと思っている」という人が44％いると報告されています。そのような人が被害にあいやすい、「もっともらしく見える、文面に不自然なところのない一見して信ぴょう性の高い文面」を、攻撃者はChatGPTを利用して簡単に作り出すことができます。加えて、攻撃者が標的の普段利用している言語を解さず、そこに言語の壁が存在したとしても、これもやはりChatGPTを利用することで容易に乗り越えることが可能となります。このような精巧なフィッシングメールを、攻撃者はこれまで以上に少ない労力で大量に生成可能となります。

また、ChatGPTにマルウェアで利用できるような悪意のあるコードを生成させようと検証する動きがあり、ダークウェブ上では前述のフィッシングでの悪用を含めて、活発な調査、研究が進められているという報告もあります。このような言語的、技術的なハードルの低下は、ノウハウのない人間でも攻撃の動機さえあれば、ChatGPTを利用することで簡単にサイバー攻撃が実行できてしまうという脅威につながります。

ChatGPTの活用におけるその他のセキュリティ課題

ChatGPTに対するセキュリティの観点からの懸念点は、他にもあります。

情報漏洩リスク

業務上知りえた機密情報や、個人情報をChatGPTに入力してしまうリスクです。ChatGPTに送信された情報は、OpenAIの開発者に見られてしまったり、学習データとして使われたりして、情報漏洩につながってしまう可能性があります。2023年3月末には、海外の電子機器製造企業において、ソースコードのデバッグや最適化のためにChatGPTにソースコードを送信してしまったり、議事録を作ろうとして会議の録音データを送信してしまったりという、情報漏洩が報道*2されています。

正しくない情報の拡散リスク

ChatGPTは過去に学習した情報を利用して回答しているため、間違った情報や意図的に歪められた汚染情報、セキュアではない情報にもとづいた返答をしてしまう可能性があります。また、蓄積情報についても大部分が2021年までの情報とされており、回答が最新情報とは限らない点にも注意が必要です。例えば最新の脆弱性情報について質問しても、間違っていたり、古い情報で回答をしてしまったりする可能性もあります。

ChatGPTのセキュリティ課題

ChatGPTのセキュリティでの活用

ここまでセキュリティの観点からChatGPTのリスクに注目してきましたが、ChatGPTは応答学習型のセキュリティ教育や、セキュリティの疑問に答えてくれるセキュリティボットの開発、インシデント発生時のセキュリティアシストや、脅威動向の把握など、セキュアな社会構築への貢献も期待されています。また、OpenAIからもAIを活用したセキュリティに関する「OpenAI cybersecurity grant program」という最大100万ドルの助成金プログラムを開始すると発表がされています。このことからも、AIを用いたサイバーセキュリティの強化や議論促進が今後進展していくものと考えられます。

基本的な対策こそが重要

AIとサイバー攻撃について述べてきましたが、気を付けないといけないのは、ChatGPTがなくても、攻撃者もマルウェアも既に存在しており、脆弱性があればそこを突いて攻撃が行われるのだということです。ChatGPTはあくまでサイバー攻撃の補助として悪用されているだけであり、ChatGPT自体が脅威なのではありません。危険なのはChatGPTではなく、サイバー攻撃を行う者や、脆弱性を放置するなど対策を怠ることです。

今後、ハードルが下がったことで、技術力の低い攻撃者が参入しやすくなり、攻撃の数は増えるかもしれませんが、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。個人情報の漏洩や正しくない情報の拡散といったリスクについても、セキュリティポリシーの遵守や、きちんと情報の裏付けを取る（ファクトチェック）といった基本的な行動規範がリスクを緩和してくれます。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。いたずらに怖がるのではなく、基本的なセキュリティ対策を踏まえたうえで、上手にAIと付き合っていくことが必要ではないでしょうか。

Security Report TOPに戻る
TOP-更新情報に戻る

2022年10月28日2024年3月13日

備えあれば憂いなし！サイバー保険の利活用

サイバー攻撃による被害は増加の一途をたどっています。一般社団法人日本損害保険協会の調査によると、国内企業の約4割以上がサイバー攻撃被害に対する不安を抱えています。そのような不安に備える「サイバー保険」をご存じでしょうか。本記事ではサイバー攻撃を受けた場合に発生するコスト・損失に触れつつ、サイバー保険について解説し、セキュリティ対策の見直し方法についてご紹介いたします。

他人事ではない！増加するサイバー攻撃による被害

サイバー攻撃による被害は増加の一途を辿っており、昨今は企業規模・業界問わず被害に遭う可能性があります。

国内では特にパソコンに保存したファイルやハードディスクを暗号化して、身代金を要求する不正プログラムである「ランサムウェア」による感染被害が多発しています。企業・団体等におけるランサムウェア被害として、令和４年上半期に都道府県警察から警察庁に報告のあった件数は114件であり、令和２年下半期以降、右肩上がりで増加しています。

【企業・団体におけるランサムウェア被害の報告件数の推移】

【サプライチェーンの脆弱性を悪用した攻撃の事例】のサムネ — 出典：警察庁（令和4年9月15日）「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/

実際、一般社団法人日本損害保険協会の調査*3によると、国内企業の多くはコロナ渦でテレワークの導入が進んでおり、サイバー攻撃を受ける可能性について約4割の企業が「高まった」と回答しています。しかし同時に4割以上の企業がサイバーリスク対策における課題について「現在行っている対策が十分なのかわからない」と回答しており、リスクの高まりを認識しながらもセキュリティ対策への自信のなさがうかがえます。

特に中小企業の場合は、セキュリティに対する知識や対策に必要な資源が限られているため、原因の特定や対策の実施が困難なケースも少なくありません。こういった背景からサプライチェーン上の脆弱な企業を狙われ、サプライチェーン全体が被害を受ける事案も見受けられます。

サイバー攻撃の被害を受けてしまうと、個人情報の漏えい、機密データの改竄、サーバ停止やシステムの破壊などが発生する可能性があり、事業継続に影響を与えかねない脅威となります。

国内で発生したサイバーインシデント事例

2022年に国内で起こったサイバー攻撃の事例は以下の通りです。

**【国内サイバーインシデント事例】**
年月	被害概要	原因
2022/1	県の災害情報管理システムから津波に関する緊急速報メール大量送信*2	プログラム設定ミス
2022/3	アニメ製作会社が不正アクセスを受け複数の人気番組の放映スケジュールに影響*3	システム障害
2022/3	代行申請企業の従業員がEmotetに感染し、情報漏洩となりすまし被害*4https://jp-ac-info.jp/info20220317/	マルウェア感染
2022/3	国内メーカーホームページへの不正アクセスによりメールアドレス流出（約1万件）*5https://www.be-s.co.jp/notice/4168	SQLインジェクション
2022/5	比較情報サイト運営等を行う企業がクラウドサービスの設定ミスにより最長6年間個人情報を不用意に公開（約5,000件）*6https://www.a-tm.co.jp/news/29297/	クラウド設定ミス
2022/5	国内人材情報企業の資格検定申込サイトに対する海外からの攻撃でメールアドレス流出(約29万件)*7	SQLインジェクション
2022/8	組合直売店のネットショップ専用パソコンがEmotetに感染して顧客氏名やメールアドレス等流出（約50,000件）*8	マルウェア感染

【サプライチェーンの脆弱性を悪用した攻撃の事例】

2022年3月1日に国内大手自動車メーカーの部品仕入先企業が同社の外部取引先企業との専用通信に利用していたリモート接続機器の脆弱性をきっかけとして不正アクセスを受け、この影響により自動車メーカーが国内全14工場28ラインを停止させる事態となったこのサイバー攻撃は大手企業を狙ったサプライチェーン攻撃とみられる*9

データ侵害発生時にかかるコスト

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。復旧コスト自体も年々増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。実際にデータ侵害による平均総コストの内、システム復旧や顧客の再獲得などにかかった割合は38%にものぼるとのことです。

【4つのカテゴリ別データ侵害の平均総コスト(単位:100万米ドル)】

サイバー攻撃を受けた場合に生じる費用・金銭的損失

サイバー事故が発生した際に生じる費用は大きく分けて3つあります。

企業の経営者はこういったサイバー攻撃により発生する費用を未然に防ぐため、以下のようなガイドラインなども参考にしつつ、企業の追うべき責任について理解しておくことが重要です。

【参考情報：ガイドライン】
・一般社団法人日本経済団体連合会
　「サイバーリスクハンドブック　取締役向けハンドブック日本版」
・内閣官房内閣サイバーセキュリティセンター（NISC）
　「サイバーセキュリティ関係法令Q&A ハンドブック Ver1.0」

サイバー保険とは

前述のような費用を包括的に補償する役割を果たすのが「サイバー保険」です。
保険に加入することで、最悪の事態が起きた場合でも幅広い補償とサポートがうけられることで事業活動継続の命綱となります。（※補償の内容はサービスによって異なります。）

サイバー保険の加入率は海外では増加傾向にあり、米国の企業で5割近く、英国では約4割に上る*10とのことです。これに対して、日本国内では大企業・中小企業共に加入率は１割以下との報告*11がありますが、サイバーセキュリティを取り巻く状況を鑑みると、今後国内でも認知・普及が広まっていくことが考えられます。

サイバー保険の有効性

これまで見てきたようにサイバー攻撃によるリスクは、金銭的損害、機会損失、信用失墜などがあります。事業活動継続のためには、こういったリスクに対してどう対処していくかをリスクの影響度や深刻度などに応じて自身で判断する必要があります。

**【主なリスク対策方法】**
リスク対策の種類	概要	対策例
リスクの回避	リスクの発生確率を低くする	・外部からのアクセスを許可しない・物理的にもシステム接続を不可能にする・クレジットカード情報などの個人情報を保存しない・収集しない
リスクの低減	リスク発生による影響を小さくする	・通信の暗号化の強度を高くする・認証機構を堅牢にし、セキュアな多要素認証を強制する
リスクの移転	リスクの影響を第三者に移す	サイバー保険への加入
リスクの受容	リスクの発生を認め、何もしない	対策をしない

万が一の金銭的な損失に備え、自社ではなく保険会社という他者に補償させるという「リスクの移転」手段の1つとして有効なのが、サイバー保険です。

今一度セキュリティ対策の見直しを

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT^® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

またBBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security Report TOPに戻る
TOP-更新情報に戻る

2021年5月24日2024年2月26日

中小企業がサイバー攻撃の標的に！
Webサイトのセキュリティ対策の重要性
―個人情報保護法改正のポイント―

2022年（令和4年）4月1日に改正個人情報保護法（令和2年改正法）の全面施行が予定されています。いま、攻撃者にとって格好のターゲットとなるWebサイトを狙ったサイバー攻撃は、大企業のみならず中小企業も狙われており、サイバーセキュリティに対する意識が低いなどセキュリティ課題が明らかになっています。本記事では、個人情報保護法改正の全面施行に向け、改正点を解説し、最新のサイバー攻撃の種類と手口、セキュリティ対策を改めて整理します。

contents

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べ*3によれば、2020年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは88社、漏洩した個人情報は約2,515万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2020年は社数では最多、事故・事件の件数は2013年に次いで過去2番目に多い水準となっています。

改正個人情報保護法への対応

個人情報の保護においては、2022年（令和4年）4月1日に改正個人情報保護法（令和2年改正法）の全面施行が予定されています。また海外でも法の整備が進んでおり、日本企業と関連性の深いところでは、例えば8月にブラジル個人情報保護法（LGPD）、2022年6月頃にタイ個人情報保護法（PDPA）の施行があります。多くの組織にとって、自組織やサプライチェーン内の関係組織かを問わず、国内外における個人情報保護体制の整備・見直しが必要であり、改正個人情報保護法への対応は重要課題の一つといえるでしょう。

個人情報保護法改正のポイント

個人情報保護法の主な改正点は以下のとおりです。

また、これら以外ではデータの利活用が促進されることもポイントです。この観点からは「仮名加工情報」について事業者の義務が緩和されることと、情報の提供先で個人情報となることが想定される場合の確認が義務化されることが定められました。企業のWebサイトでは利用者の閲覧履歴を記録する仕組みとしてCookieを使用し、デジタルマーケティング等に活用しているところも多いでしょう。Cookieにより取得されるデータは他の情報と照合するなどして個人の特定につながり得るため、保護を強化する声が高まっていたこともあり、改正個人情報保護法では取り扱いに慎重を期するよう求めています。

中小企業を狙ったサイバー攻撃

Cookieのみならず、Webサイトでは個人情報や決済情報など、様々な機密扱いの重要情報を取り扱っていることがあります。それらが漏洩する事故・事件が発生した場合、組織は金銭的損失や信用失墜に陥るだけでなく、個人情報の所有者（本人）から利用停止・消去請求があった場合には「情報資産」も失う可能性があります。

サイバー攻撃においてWebサイトが格好のターゲットであることはご存知のことでしょう。また、攻撃者に狙われるのは大企業ばかりではありません。経済産業省からの報告資料*4によれば、全国の中小企業もサイバー攻撃を受けていることが明らかになっています。というのも、中小企業の多くは大企業に比べてサイバーセキュリティに対する意識が低く、被害者になると考えていないことから攻撃を受けていること自体に気付いていなかったり、セキュリティに対する知識や対策に必要な資源が不十分であるために原因の特定や対策の実施が困難だったりするためです。

独立行政法人情報処理推進機構（IPA）が2021年3月に公開した「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」では、小規模Webサイトの運営およびセキュリティ対策、さらには脆弱性対策の実態を調査したアンケート結果とそれに対する見解が述べられています。

IPAが調査の中で、サイバー攻撃の対象となり得る、脆弱性を作りこむ可能性があるWebサイトの機能・画面を選定し、それらが実装されているかを確認したところ、「ユーザによるフォームの入力（問合せ、掲示板等を含む）」が56.5％、「サイト内の検索と結果表示」が36.9％、「ユーザへのメール自動送信」が36.9％、「入力された情報の確認のための表示」が34.6％で上位を占めました。なお、これらはWebサイトの規模の大小にかかわらず多くのWebサイトに共通して実装されている機能・画面であり、当社の脆弱性診断でも検査の対象となっているものです。

Webサイトのセキュリティ対策において、脆弱性を可能な限り作りこまない設計となっているか、脆弱性を発見するための情報収集や検査は実施しているか、対応するための体制や仕組みはあるか、といった事柄はとても重要になります。

中小企業がより危険視されているのは、こうした事柄を実現するための「人員が足りない」「予算が確保できない」といった課題（下図参照）があり、さらにセキュリティ対策に関する知識不足や、意識の甘さがあることからサイバー攻撃のターゲットになりやすいことが理由に挙げられます。また、脆弱性に関する知識についても、情報漏洩につながる危険性のある「SQLインジェクション」や「OSコマンドインジェクション」等について具体的な内容を知らないという回答が約50％～60％に上りました。

サイバー攻撃の種類と手口

サイバー攻撃は多種多様なものが存在しますが、最近では特に次のような攻撃が大きな問題となっています。

①　分散型サービス運用妨害（DDoS）攻撃
　　攻撃対象に対して複数のシステムから大量の通信を行い、
　　意図的に過剰な負荷を与える攻撃
②　ランサムウェア攻撃
　　データを暗号化したり機能を制限したりすることで使用不能な状態にした後、
　　元に戻すことと引き換えに「身代金」を要求するマルウェアによる攻撃
③　ビジネスメール詐欺
　　従業員や取引先などになりすまして業務用とみられる不正なメールを送ることで
　　受信者を欺き、金銭や情報を奪取する攻撃
④　Webサービスからの個人情報窃取
　　Webサービス（自社開発のアプリケーションや一般的に使用されているフレームワーク、
　　ミドルウェア等）の脆弱性を突いて、個人情報を窃取する攻撃
　　※前段で触れた、情報漏洩につながる危険性がある
　　「SQLインジェクション」や「OSコマンドインジェクション」もこれに分類されます。

それぞれの攻撃の目的および手口や対策の例を以下にまとめました。金銭的利益は攻撃目的の大半を占めますが、それ以外を目的とした攻撃も多数確認されています。その他代表的な攻撃や目的については、「サイバー攻撃を行う5つの主体と5つの目的」で参照いただけます。

Webサイトの脆弱性対策

改正個人情報保護法の全面施行に向けて、組織は個人情報をさらに厳格に管理する必要があります。前述のとおり、6か月以内に消去する短期保存データも「保有個人データ」に含まれるようになるため、例えば、期間限定のキャンペーン応募サイトなども今後は適用範囲内となります。公開期間は短くとも、事前にしっかりとセキュリティ対策の有効性を確認しておく必要があるでしょう。

情報の安全な管理を怠り流出させた場合、それが個人情報であれば罰則が適用される可能性があり、取引先情報なら損害賠償を要求されることが想定されます。また、ひとたびセキュリティ事故が起これば、企業の信用問題にも陥りかねません。

2021年3月にIPAが公開した「企業ウェブサイトのための脆弱性対応ガイド」では、脆弱性対策として最低限実施しておくべき項目として以下7つのポイントを挙げています。

（1）　実施しているセキュリティ対策を把握する
（2）　脆弱性への対処をより詳しく検討する
（3）　Webサイトの構築時にセキュリティに配慮する
（4）　セキュリティ対策を外部に任せる
（5）　セキュリティの担当者と作業を決めておく
（6）　脆弱性の報告やトラブルには適切に対処する
（7）　難しければ専門家に支援を頼む

脆弱性対策を行うためには、まずWebサイトに脆弱性が存在しているかを確認することから始めましょう。脆弱性診断を行い、Webサイトのセキュリティ状態をきちんと把握することで内包するリスクが可視化され、適切な対応を講じることが可能となります。また、Webサイトの安全性を維持するには、定期的な診断の実施が推奨されます。定期的な診断は、新たな脆弱性の発見のみならず、最新の攻撃手法に対する耐性の確認やリスク管理にも有効です。

セキュリティ対策を外部の専門業者に依頼する場合に、「技術の習得や情報の入手・選別が難しい」といった課題もあります。弊社では昨年8月に「テレワーク時代のセキュリティ情報の集め方」と題したウェビナーで、情報収集の仕方やソースリストのご紹介をしておりますので、ぜひご参考にしていただければと思います。

Webサイトは、いまや企業がビジネスを行う上で不可欠なツールの一つとなっている一方で、安全に運用されていない場合、大きな弱点となり得ます。脆弱性対策を行い、セキュリティ事故を未然に防ぐ、そして万が一攻撃を受けた際にも耐え得る堅牢なWebサイトを目指しましょう。

Security Report TOPに戻る
TOP-更新情報に戻る

2020年6月2日2023年11月1日

情報漏えいの原因と予防するための対策

サイバー攻撃の被害を受け、システムの機密情報等が漏えいする事故の件数は年々増加しています。実際に企業がデータ侵害などの被害を受けてしまい、機密情報等の漏洩が発生してしまうと、システムの復旧作業に莫大なコストがかかることになり、企業にとって大きなビジネス損失につなる恐れもあります。では、未然に事故を防ぐ対策はどのような方法があるのでしょうか。本記事では、情報漏えいの原因と予防策について解説します。

情報漏えいとは

情報漏えいとは、サイバー攻撃などによる不正アクセスや、ノートPCの紛失などによって、企業や組織の保有する外部に出てはいけない情報が漏れてしまうことです。個人情報漏えいが特に注目されますが、企業の営業情報や知的財産、機密情報など、漏えいする情報は多岐にわたります。

個人情報漏えい

インターネットの普及に伴い、Webサービスへの会員登録などで個人情報が大量に蓄積され、同時にノートPC･スマホ･USBメモリ等の記憶媒体の容量が増加、情報漏えいも大規模化しました。こうした社会の変化に対応し、2005年（平成17年）、「個人情報の保護に関する法律（個人情報保護法）」が施行されました。

個人情報保護法では、個人情報漏えいが発生した組織は、事実関係と再発防止策に関して、政府の個人情報保護委員会等に「速やかに報告するよう努める」とされており、業種によっては監督官庁への報告義務が課される場合もあります。

情報漏えいの重大度の違い

どんな情報が漏えいしたかによって漏えい事故の深刻度は異なります。「顧客の個人情報が○○件漏えい」といった報道の見出しを見かけますが、漏えいの件数以外にも、情報漏えい事故の重さ、深刻さを左右するポイントを挙げます。

・クレジットカード情報
被害に遭ったユーザーに金銭被害をもたらす可能性の有無という点で、漏えいした情報にクレジットカード情報が含まれていたかどうかは重要なポイントです。損害賠償等が発生した場合、クレジットカード情報が含まれていると被害者への賠償額がアップします。

・セキュリティコード
クレジットカード情報の名義人・カード番号・有効期限だけでなく、3桁のセキュリティコードを含むかどうかが事故の深刻さを左右します。被害に遭ったユーザーに金銭被害をもたらす可能性がより高くなるからです。

・パスワード
たとえばメールアドレスとセットでそれに紐付くパスワードも漏えいしていたとしたら事態はより深刻です。オンラインサービスなどに悪意の第三者が不正ログインできてしまうからです。

・平文パスワード
一般的にパスワードは、もしパスワードを記載したファイルが漏えいしても、第三者が内容を閲覧できないように暗号化して管理するのが常識です。しかし、稀に暗号化されていない平文（ひらぶん）のパスワードが流出する場合があります。こうなった場合、申し開きが全くできない最悪の管理不備のひとつとして、厳しい批判と鋭い糾弾の対象となります。擁護する人は誰もいなくなります。

・機微情報
信条（宗教、思想）や門地、犯罪歴等、さまざまな社会的差別の要因となる可能性がある情報を機微情報といいます。特に、各種成人病やその他疾病など、保健医療に関わる機微情報は医薬品のスパムメールや、フィッシングメールなどに悪用されることがあり、その成功確率を上げるといわれています。

以上のように、ひとくちに個人情報漏えいといっても、その重大さの度合いは異なり、社会やユーザーからの受け取られ方にも差があります。

弁解の余地もない真っ黒な管理状態ではなく、「不幸にも事故は起こってしまったが、打つべき予防対策は事前にしっかり打たれていた」と、ステークホルダーに理解されれば、ビジネスインパクトは限定的なものになる可能性もあります。

情報漏えいの原因

「ハッカーによるサイバー攻撃」「従業員による内部犯行」。情報漏えいが起こる原因としてすぐにこれらが思い浮かびますが、そういった悪意に基づく攻撃ばかりが情報漏えいの原因ではありません。

冒頭で挙げたPC･スマホ･USBメモリの不注意による紛失はいまも漏えい原因の多くを占めていますし、Webサイトのアクセス制限設定ミスで個人情報が見える状態になっていたり、開発中の会員管理システムのテストデータとして、うっかり誤って実在する個人の情報を使ったり等々、必ずしも悪意によるものではなく、管理不備やケアレスミスでも情報漏えいは発生します。

近年、クラウドコンピューティングが普及したことで、影響の大きい設定変更等の操作をブラウザからワンクリックで行うことが可能になりました。こうしたクラウドサービスの設定ミスによる情報漏えいも増加しています。

上場企業での情報漏洩件数は2年連続で過去最多を更新

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、機密情報等の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べによれば、上場企業とその子会社で起きた個人情報漏洩または紛失事故・事件件数は、2022年で165件となり、2021年から連続で過去最多を更新しました。

不正アクセスによる情報漏えい事故

もちろん、悪意ある攻撃も猛威を振るっています。ハッカーによるサイバー攻撃など、以前はアニメと映画の中だけのお話でした。しかし、不正アクセスによる情報漏えいが2010年以降増加し始めました。

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）が毎年行っている調査「情報セキュリティインシデントに関する調査報告書」によれば、それまでの攻撃と質が異なる攻撃、「標的型攻撃」が観測されはじめた2010年頃から、不正アクセスが原因となるサイバー攻撃は8年で20倍という伸びを見せています。ケアレスミスや管理不備への対策とは別の手を打つ必要があります。

漏えい原因における不正アクセスの比率

2010年	1.0 ％
2011年	1.2 ％
2012年	1.5 ％
2013年	4.7 ％
2014年	2.4 ％
2015年	not available
2016年	14.5 ％
2017年	17.4 ％
2018年	20.3 ％

情報漏えい事故が起こった後の対応方法

事故が起こった後の対応の善し悪しも、ユーザーや社会の受け取り方を大きく変えます。独立行政法人情報処理推進機構（IPA）は、情報漏えい事故が起こった企業や組織に向けて「情報漏えい発生時の対応ポイント集」を公開していますが、過去に個人情報漏えい事案に対処した経験がある練度の高いCSIRTチームが社内に存在でもしない限り、被害実態調査やその後の対策などは、専門セキュリティ企業に相談するのがもっとも安全で一般的な方法です。

セキュリティ業界では、セキュリティ緊急対応サービスに相談が来る曜日や時間に傾向があると言われています。それは、「金曜日の午後」「連休前の午後」です。つまり、事故は週前半または半ばに発生していたが、なんとか自分たちで解決できないかもがき苦しんだ後、最後の最後であきらめて、「休日を挟む前に」セキュリティ企業へ連絡をするからです。自分たちで精一杯手を尽くした努力も空しく諦めざるを得ないとは、身につまされる話です。

しかし、時間が経過すればするほど、調査に必要なエビデンスが失われることもあります。情報漏えい事故が起きたら、信頼できる専門企業にすぐ相談してください。

情報漏えい事故の報告書と収束までの流れ

専門セキュリティ企業の協力の元、デジタルフォレンジックによる原因や被害範囲などの調査が行われ、一定の社会的インパクトがある情報漏えいであれば、報告書を公開します。場合によっては記者会見を行い、調査分析のための第三者委員会が組織される場合もあります。

インシデントの全容を解明した報告書作成には数か月かかるかもしれませんが、その前にまず事件の概要、情報漏えい対象者の範囲や救済措置などについては、なるべく早く情報公開することが大事です。

速報第一報に限らず、情報漏えい事故の調査報告書に必要な項目は下記のとおりです。

・漏えいした情報の内容

・漏えい件数

・原因

・現在の状況

・今後の対策

重要なのは、速報公表まであまり時間をかけないことです。時間がかかるほど、どんなにその調査が合理的で必要なものであっても、SNSなどで「事故を隠そうとしたに違いない」といった、批判の対象となることがあります。

また、第一報につづく第二報では、内容の大きな修正があってはなりません。特に第二報で漏えい件数が大幅に増えていたりすると、「事故を小さく見せかけようとした」「初動対応に失敗した」などの誤ったイメージすら与えかねません。速報では、論理的に最大の漏えい可能性がある件数を、必ず記載してください。詳細な調査を待たずとも、速報で最大値推定を出すのは難しくありません。

企業側は、組織の透明性を確保しながら、とにかく誠意を見せることが重要です。たとえば報告書の「今後の対策」の欄に、どんな対策を実施するかという詳細を公表する必要はありません。しかし、大まかな予定であっても「いつまでに何々という対策を実施する」とマイルストーンを設置して計画を可視化することで、ステークホルダーやユーザーの心証は好転します。

情報漏えいを予防する対策

これまで述べてきたように、情報漏えいには性質の異なる複数の原因があり、原因毎に予防対策は異なります。

まずは従業員によるノートPCやUSBメモリの紛失などを減らすために、セキュリティリテラシーを向上させるアウェアネストレーニングが有効です。IPAが刊行する「情報漏えい対策のしおり」など、無料の教材や動画も多数公開されています。同時に、ノートPCやUSBメモリの管理規定も定めましょう。

また、近年増加しているAWSのようなクラウドサービスの設定不備による事故の対策として、設定ミスや、現在の設定のリスクを網羅的に検知するサービスも提供されるようになっています。

先に挙げた通り、不正アクセスによる情報漏えいは過去約10年で20倍という驚くべき増加を見せています。サイバー攻撃の侵入を許す穴がないかどうかを探す脆弱性診断や、脆弱性を利用してひとたび侵入された場合、何がどこまでできてしまうのかを検証するペネトレーションテストも、不正アクセスに対する極めて有効な対策方法です。

新しい社員の入社や退職など、組織は日々変化し、業務やシステム構成･Webアプリケーションも進化を続けます。昨日までは安全だったWebアプリケーションに、今日新しい脆弱性が見つかることもあります。上記に挙げた対策はいずれも一度実施したら終わりではありません。定期的に継続することで真の効果を発揮します。

そもそも事故が起きないことが一番素晴らしいことですが、せめて「事故は起こったものの打てる手はちゃんと打っていた」と言えるようにしておくべきです。

まとめ

・個人情報保護法では、個人情報の漏えいを起こした組織が講ずるべき措置が定められている。
・情報漏えい事故の深刻度は、漏洩した件数だけでなく、漏えいした情報の内容にも大きく左右される。
・情報漏えいは、悪意に基づく不正アクセスのほか、設定不備や管理上の不注意が原因で発生することもある。
・情報漏えい事故が発生したら、速やかに信頼できる専門セキュリティ企業に依頼するのが有効。
・情報漏えい事故に関する事実の公表は、組織の透明性を確保しながら誠意をもって臨むことが重要。
・情報漏えいの予防には、従業員のセキュリティリテラシー向上教育、クラウド設定不備の検査、脆弱性診断やペネトレーションテスト等の対策がある。

Security Report TOPに戻る
TOP-更新情報に戻る