情報漏洩の原因と対策|対策に活かしたい2022年の原因ランキングを紹介!
連日のように報道されている情報漏洩事故。自社の情報セキュリティを強化するためにも、情報漏洩の原因を把握して対策に役立てたいと考えている企業担当者は少なくないはず。
そんな方に向け、2022年に発生した情報漏洩の原因ランキングを紹介!原因からわかる情報漏洩事故の傾向や防止対策も解説していきます。
情報漏洩の現状・リスク
情報漏洩とは、個人・法人の管理下にある顧客情報 / 機密情報などが外部に漏洩 / 流出してしまうこと。2023年1月に公開された株式会社東京商工リサーチの調査によれば、2022年に発生した情報漏洩事故は165件。2021年の137件を上回り、調査開始以来の過去最多を更新しています。
画像出典:株式会社東京商工リサーチ
情報漏洩事故が発生するとどうなるのか?まずは、個人情報を1件でも漏洩させた場合、個人情報保護法にもとづいた報告義務があります。それだけではありません。情報漏洩は報告義務以外にも、当事者にさまざまな損害をもたらすリスクがあるのです。
- 情報漏洩に対する罰則・罰金(法人は1億円以下)
- 情報漏洩した本人への説明・損害賠償
- 社会的信用の失墜
- 受注低下による営業利益減
- 業務停止・システム復旧などのかかるコスト
個人情報 / 営業上の機密情報
上述したように、情報漏洩の対象となるのは「個人情報」と「営業上の機密情報」です。ただし、個人情報漏洩には報告の義務があるのに対し、営業上の機密情報にはそれがありません。社会的な影響を与えない限り、機密情報の漏洩に関しては公表したくないという企業も少なくないでしょう。
つまり、情報漏洩事故の発生件数は、公開されている調査結果よりも「ずっと多い」可能性があります。なぜ情報漏洩が発生したのか。原因を把握してしっかり対策を講じていかなければなりません。
2022年に発生した情報漏洩の原因ランキング
それでは、右肩上がりで増加する情報漏洩の発生原因とはなにか。2022年に発生した情報漏洩の原因ランキングは、1位「ウイルス感染・不正アクセス」2位「誤表示・誤送信」3位「紛失・誤廃棄」4位「盗難」です。それぞれを簡単に解説しておきましょう。
画像出典:株式会社東京商工リサーチ
ウイルス感染・不正アクセス
全体の55.1%と、情報漏洩事故原因の半数以上を占めているのが「ウイルス感染・不正アクセス」などのサイバー攻撃です。情報漏洩原因の大きな割合 / 件数を占めるという以外に、被害が拡大しやすいことも「ウイルス感染・不正アクセス」の特徴。
たとえば、ウイルス感染・不正アクセスを原因とする情報漏洩事故は、91件発生していますが、1件平均の情報漏洩人数は「89,978名」にもおよびます。メール、フィッシングサイトを踏み台にする、ネットワーク / システムの脆弱性を狙うなど、侵入経路や情報を盗み出す手口はさまざまです。
関連記事:サイバー攻撃とは?攻撃者の目的・近年の動向・攻撃の種類・手口・対策を解説!
巧妙化するマルウェア / 増加する標的型攻撃
従来のサイバー攻撃は、ハッカーのスキル誇示に代表される愉快犯的なものが少なくありませんでした。しかし、近年では特定の個人・法人を狙った「金銭目的の標的型攻撃」が増えており、マルウェアや不正アクセスの手口も巧妙化しています。
たとえば、データを盗み出した上で暗号化 / ファイルロックしてしまうランサムウェアは、一度システムに侵入されると復旧が困難。ウイルスの侵入を遮断し、不正アクセスされないよう、システム側の対策や仕組みを整備していく必要があります。
誤表示・誤送信
情報漏洩原因の26.0%を占めるのが、「誤表示・誤送信」などのヒューマンエラーです。具体的には、システムの設定ミスなどを原因に、情報が公開された状態になってしまうことが誤表示。メールやFAX送信をミスし、意図せず情報漏洩させてしまうことが誤送信です。
ヒューマンエラーを原因とする「誤表示・誤送信」は、大規模な情報漏洩につながる可能性があるため要注意。事実、JFRカード株式会社では190万人分もの顧客データが誤送信されており、2022年最大の情報漏洩人数となっています。
紛失・誤廃棄
全体の15.1%を占める「紛失・誤廃棄」も、ヒューマンエラーを原因とした情報漏洩事故です。データ保存されたUSBメモリー / PCの置き忘れ・紛失や、データが参照できる状態での廃棄だけではなく、紙文書の紛失・誤廃棄も含まれます。
FAXの誤送信も含めれば、紙文書を原因とした情報漏洩事故が少なくないことがお分かりでしょう。情報漏洩を防止するには、電子データだけでなく、紙文書の情報もしっかり管理していく必要があるのです。
盗難
全体の3.0%と割合は少ないものの、従業員や退職者による盗難を原因とした情報漏洩事故も発生しています。ただし、割合が少ないからと軽視してはいけません。盗難を原因とした情報漏洩は、むしろ「営業上の機密情報」を対象にしている場合が多いと考えられるからです。
画像出典:IPA「企業における営業秘密管理に関する実態調査2020」
盗難を企てる人物を事前に特定することは困難ですが、予防策を講じておくことは可能です。具体的には、セキュリティポリシー・ルールの策定 / 徹底、アクセス権限の設定、ログ管理の徹底など。万一の事故に備え、システム利用者との間で秘密保持契約を締結しておくことも重要です。
情報漏洩原因の約44%は人為的ミス・犯罪
半数以上を占める「ウイルス感染・不正アクセス」に目を奪われてしまいがちですが、情報漏洩原因の41%は人為的ミス。盗難も含めれば、人的要素による情報漏洩は、実に44%におよびます。
人為的ミスを原因とした情報漏洩をなくすには、相互チェック体制の構築、ツール導入などが考えられるものの、それだけでは不充分。時間をかけて、従業員のITリテラシー、セキュリティ意識を高めていく工夫が必要です。
情報漏洩の原因となった媒体・標的ランキング
どこから情報漏洩したのか?情報漏洩の原因となった媒体ランキングは、予想通り最多を記録した「社内システム・サーバ」が1位でした。悪意ある第三者の標的になった媒体については公表されていませんが、不正アクセスによる多くの情報漏洩事故原因から考えて、こちらも最多は社内システム・サーバでしょう。
|
情報漏洩の原因媒体 |
件数 |
構成比 |
|
社内システム・サーバ |
76件 |
46.0% |
|
PC端末 |
60件 |
36.3% |
|
書類 |
22件 |
13.3% |
|
記録メディア |
6件 |
3.6% |
社内システム・サーバ以外では、PC端末(パソコン)からの情報漏洩が60件発生していること、情報漏洩原因の13.3%は紙媒体(書類)であることに注目です。サーバだけではなく、PCで業務する個人のセキュリティ対策、紙媒体の扱いが重要であることを裏付けています。
関連記事:サーバーセキュリティ対策の重要性|想定される脅威・対策・有効なソリューションを紹介!
情報漏洩事故の業界別ランキング
2022年に情報漏洩事故を公表したのは150社。これを産業・業界別に分類した場合のランキング1位は、43社の製造業でした。
グラフを見てもわかるように、製造業、サービス業、情報・通信業の件数がやや多い程度で、さまざまな業種でまんべんなく情報漏洩事故が発生。ハッカーに狙われるような業界ではないから大丈夫、企業規模の小さい自社は大丈夫などと油断してはいられないのです。
画像出典:株式会社東京商工リサーチ
2022年の主な情報漏洩事故事例とその原因
ここまでで紹介してきた情報漏洩の原因・傾向は、2022年に発生した主な情報漏洩事故事例とも符合します。具体的には、原因で多いのはウイルス感染・不正アクセス、次いで誤表示・誤送信です。
また、明確な被害が確認されていない事故も少なくない一方、実害が生じているケースも。クレジットカードの不正利用という被害が生じてから情報漏洩が発覚したという事例も発生しています。以下は、漏洩人数の多い順に並べた、情報漏洩事故事例です。
|
会社名 |
産業・業種 |
原因 |
漏洩人数 |
概要 |
|
JFRカード 株式会社 |
小売 |
誤送信 |
1,913,854人 |
グループ共用データベースに 対象外の会員情報を送付 |
|
森永製菓 株式会社 |
製造 |
不正アクセス (ランサムウェアの疑い) |
1,648,922人 |
複数サーバへの不正侵入。 オンラインショップ利用者の 個人情報がロックされていた |
|
株式会社 メタップスペイメント |
サービス |
不正アクセス (SQLインジェクション / バックドア設置) |
460,988人 |
アプリの脆弱性を突いたサイバー攻撃 |
|
トヨタコネクティッド 株式会社 |
製造 |
誤表示 |
290,019人 |
委託先のミスにより 「T-Connect」ユーザーの情報が 漏洩した疑い |
|
リスクモンスター 株式会社 |
情報・通信 |
誤表示 |
250,000人 |
サーバのネットワーク誤設定で、 ユーザー情報が検索エンジンに表示 |
|
ワコム株式会社 |
製造 |
不正アクセス |
149,483人 |
オンラインショップへの不正アクセス / 改ざんでクレジットカード情報含む 個人情報が流出 |
|
トヨタコネクティッド 株式会社 |
製造 |
紛失・誤破棄 |
140,000人 |
「T-Connect」ユーザーの 利用申込書を紛失・誤破棄 |
|
株式会社 ニトリホールディングス |
小売 |
不正アクセス |
132,000人 |
不正に入手したID / パスワードを使った なりすましログイン発生、 個人情報が閲覧された可能性あり |
参照元:株式会社東京商工リサーチ
関連記事:個人情報漏洩の防止対策|情報流出原因や被害事例、企業・従業員別の対策を解説!
情報漏洩を防止するには?企業の対策
情報漏洩の原因と傾向は理解できた。では、情報漏洩を防ぐにはなにをするべきなのか。知りたい企業担当者の方に向け、基本となる情報漏洩の防止対策を企業、個人に分け、簡単に解説しましょう。
まず、企業としてやるべきことは、情報セキュリティの基本方針となる「セキュリティポリシー」を策定すること、それを周知徹底させることです。IPAのガイドラインを参考にしながら、以下の4点を策定しましょう。
- 基本方針・・・情報セキュリティに対する基本的な考え方
- 運営方針・・・セキュリティ対策の実務方針、利用者教育・研修の実施方法
- 対策規定・・・具体的なセキュリティ対策、ソリューション導入時の指針
- 対策手順・・・ソフトウェア / ハードウェアの管理規定、アウトソーシング先の管理規定
情報漏洩を防止するため、企業が守るべきサーバの具体策も簡単に紹介します。
基本的には「サーバ本体の対策」「ネットワーク・通信の対策」「インシデント発生後の対策」の3つです。
|
サーバ本体の対策 |
セキュリティパッチ適用 管理者権限の設定見直し 不要アカウントの削除 不要アプリ / サービスを削除 ID / パスワード管理の厳格化 サーバのログ管理 / 分析 |
|
|
ネットワーク・通信の対策 |
ファイアウォール / IPS / IDS / WAF(EPP) |
|
|
インシデント発生後の対策 |
エンドポイントセキュリティ (EPP / EDR) |
EPPはウイルス / 不正アクセスを防止 EDRは発生したインシデントを特定して遮断、 対策を提案する どちらもサーバ / 端末を集中管理する |
従業員が心がけたい情報漏洩対策
個人がやるべき情報漏洩対策は、組織の方針であるセキュリティポリシーを理解し、ポリシーにしたがって行動することが原則です。特に、人為的ミスをなくすためには「ネットワーク接続」「外部デバイス接続 / 社内デバイス持ち出し」「メール利用」という3つのルールを遵守する必要があります。
もちろん、自身が利用するPC端末の管理も必須。具体的には以下の4点を継続的に実施しましょう。
- OS / アプリケーションをアップデートして常に最新の状態を保つ
- OS標準のファイアウォールをON
- 推測されにくいパスワード設定
- セキュリティソフト導入
セキュリティソフトに関しては、組織の担当者が選定したものを導入することになります。
関連記事:パソコンのセキュリティ|重要性・対策・設定・おすすめセキュリティソフトを紹介!
情報漏洩の原因と対策を紹介しました
連日のように報道されている情報漏洩事故。自社の情報セキュリティを強化するためにも、情報漏洩の原因を把握して対策に役立てたい。そんな企業担当者の方に向け、2022年に発生した情報漏洩の原因ランキングや、原因からわかる情報漏洩事故の傾向や防止対策も解説してきました。
情報漏洩の原因が、主に外部攻撃によるもの、人為的ミスによるものの2つに分類できることが把握できたのではないでしょうか。このうち、人為的ミスによる情報漏洩は、研修・教育などで発生リスクを低減できますが、外部攻撃はそうはいきません。
常に巧妙化・悪質化が進む外部攻撃に対抗するには、最新情報を収集して新たな脅威を知り、適切な対策を講じていく必要があります。
