最近は、顧客からの問合せ、見積依頼、発注依頼、アフターサービスなどでWebサイトを活用したり、ネットショップを運営したりする企業が増えており、それに伴い顧客情報、取引情報、更にはクレジットカード情報などをインターネットを利用してアクセスできるサーバに保管することも多くなってきています。
実は、そこには情報セキュリティ面での脅威と脆弱性(弱いところ)があり、十分な対策を施していないと、重要情報が流出して顧客からの信頼を損ね、経営にとって大きなダメージを受けることになりかねないことを認識しておかなければなりません。
今や、中小企業であってもサイバー攻撃のターゲットになっているので、いざという時の対策はすべての企業で必要であることを理解して下さい(丸吉日新堂株式会社がアノニマスからサイバー攻撃を受けた被害状況)。
しかし、昨今のサイバー攻撃の事例を見ると、もはや完全に防御することは不可能と言っていいかと思います。なぜなら、標的攻撃型メールを受信した場合、ウイルスが仕込まれた添付ファイルを開いたり、悪意を持ったWebサイトに誘導するURLをクリックするのを完全に避けることができないくらい、手口が巧妙になっているのです。また、自社のWebサイトで利用しているソフトウエア、ミドルウエア、プログラミング言語、外部Webサービスなどに脆弱性がある場合は、それをトリガーとして不正アクセスされ、情報が搾取されるケースも多く見受けられます。現在は、ネットショップのみならずWebサイトを制作するために、様々な部品やツールを利用 することが多いため、脆弱性を完全に取り除くことは難しく、常に何らかの穴がある状態で運用しているという実態を受入れなければなりません。
そこで、サイバー攻撃を受けるなどのインシデントが発生した場合に、どのような対応をとればいいのかについて、3回に分けてご紹介させて頂きます。
今回の前編では「情報漏えいパターン」とその防衛策について取り上げます。
- 盗難・紛失
不注意によるもの、狙われて起きる場合などがありますが、ルールを定めて安易な持出しをさせないように したり、持出し時に強度の高い暗号化を施すことで、盗難・紛失が起きても情報漏えいにつながることを阻止できたりします。
- 誤廃棄・誤送信・Webでの誤公開等
いずれも不注意によるものですが、手順を明確にし、それを周知・徹底することでリスクを低減することが可能です。
- 内部不正
2014年ベネッセで起きた事故がこれに該当します。USBメモリ等を技術的に使えなくするといった対策だけで はなく、教育や委託先(ベンダー)との契約条項で意識付けを促すことや、操作ログの取得とその確認で早期 に発見するなどの対策が求められます。
- 不正プログラム
2015年日本年金機構で起きた事故は、メールに添付された不正プログラム(マルウエア)によって、個人情報が 外部に大量に漏洩しました。標的型攻撃メールの添付ファイルを開いたり、悪意のあるWebサイトに誘導されて 感染したりするケースが多いのですが、ウイルス対策ソフトが機能せず、手口も巧妙になってきていることから 防御が難しいのが実情です。
- 不正アクセス
不正プログラムがバックドア(コンピュータの裏口)を作って、そこから不正に侵入したり、ソフトウエアや ミドルウエアの脆弱性を悪用して進入したりするケースが、見受けられます。対策としてはデータベース等への アクセスやそのログをチェックして早期に検出することが求められます。
- SNSやブログ等への掲載
本来、公表すべきでない情報を公開してしまうことで漏えいが起きてしまいます。投稿して構わない内容かを各自 が適正に判断できることと、公開設定に関する知識を得ることが必要です。そのためには、従業者に対する教育や 就業規則、守秘義務契約等で意識付けを行うことが重要です。
情報漏えいの主なパターンは以上ですが、完全に防御することは不可能と言っても言い過ぎではありません。従って、インシデントが起きてからの対応も必要です。次回は、「情報漏えい事後対応の5つのポイント」についてご紹介致します。
著 佐藤 雅英