情報漏洩が起きた場合の損害賠償とは?
2018年にJNSA(日本セキュリティ・ネットワーク協会)が発表したデータによると、個人情報がセキュリティインシデントによって流出した場合、1件あたりの被害総額は平均で6億3,767万円でした。 個人情報はダークウェブで名簿業者への売却・犯罪行為への悪用・クレジットカード情報を利用しての不正送金など利用価値が高く、一度でも情報漏洩が起きると大きな影響を及ぼします。 また、近年ではターゲット企業を直接狙わず取引のある中小企業を足掛かりにして、ターゲット企業の情報盗取を行うサプライチェーン攻撃も増加しています。
犯罪者は技術と知識を向上させており、年々セキュリティツールを導入して情報資産を守る仕組みを強化している大企業よりもセキュリティレベルの落ちる中小企業を狙った方が、目的を達成できる可能性が高いと判断しているからです。 2020年にはNTTドコモ・楽天・イオン銀行など、多くの企業で情報漏洩が発生しており各企業は情報漏洩に関する警戒心を強めています。
一度でも情報漏洩が発生した場合は取引停止に追い込まれる他、自社のセキュリティ対策の不備で取引先が情報漏洩した場合は損害賠償を求められます。 自社と取引先の情報資産を守るためにも、情報盗取に対する対策強化が必要です。
情報漏洩の影響
想定されるリスク | 実損害 | |
内容 |
|
|
情報漏洩が起きる脅威の種類とは?
IPAが発表した2020年に社会的に影響が大きかった情報漏洩の脅威の種類をご紹介します。 個人ではスマートフォン決済の不正利用がトップで、キャッシュレス化の推進に不安が残る形となりました。 2020年に起きたドコモ口座での情報漏洩事件もスマートフォンを利用した電子決済サービスで、被害総額は約3,000万円近くに上っています。
一方、企業のトップはランサムウェアによる被害でした。 ランサムウェアは攻撃の予兆も無く突然使用していたシステムやデータファイルが操作不能となり、元の状態に戻す代わりに多額の身代金を要求する非常に強力なサイバー攻撃です。 ここ数年の変化はクラウドサービスの利用拡大で、RaaS(Ransomware-as-a-Service)と呼ばれるランサムウェアをサービスとして提供する形が増加した点です。
数千円~数万円の使用料金さえ支払えばランサムウェアを手に入れられるため、技術力や知識が無い者からの攻撃リスクが増大します。 つまり、所属企業に不満を持つ現役社員がランサムウェアを仕掛けても不思議ではないということです。 ユーザー行動を可視化する環境整備を行い抑止力を上げる他、内部漏洩をした場合に個人が請求される損害賠償を伝え、「人生を棒に振るう行為」だと意識させることも一つの手段です。
情報セキュリティ10大脅威 2021
個人 | 攻撃や被害の特徴 | 企業 | 特徴・攻撃の種類 | |
1位 | スマートフォン決済の不正利用 |
| ランサムウェア |
|
2位 | フィッシング詐欺 |
| 標的型攻撃 | |
3位 | ネット上の誹謗中傷 |
| テレワークを狙ったサイバー攻撃 | |
4位 | メール・SMSを狙った脅迫詐欺メール | サプライチェーン攻撃 |
| |
5位 | クレジットカードの不正利用 | ビジネスメール詐欺による金銭被害 |
| |
6位 | インターネットバンキングの不正利用 |
| 内部漏洩 |
|
7位 | インターネット上での個人情報流出 |
| 予測不可能なIT機器の故障に伴う業務停滞 | |
8位 | フェイクアラート |
| クラウドサービスの不正アクセス |
|
9位 | スマートフォンの不正アプリ |
| ヒューマンエラーによる情報漏洩 |
|
10位 | インターネットサービスの不正ログイン |
| 脆弱性対策情報の公開に伴う悪用増加 |
情報漏洩事件が多発している3つの理由
犯罪者の攻撃が多様化している点とヒューマンエラーの多発が原因です。
犯罪者の攻撃が多様化
社内ネットワークへの侵入やサイバー攻撃を完全に防ぐことは困難な状況です。 犯罪者の技術や知識向上に伴い、サイバー攻撃やマルウェアを見極めることが難しくなっているからです。
例えば、WindowsのPowershellを用いたファイルレス・マルウェアはファイアウォールを回避できるだけでなく、ファイルのインストールや実行ファイルを保存する必要がありません。 そのため、デスク内の痕跡を消すことができます。
他にもフィッシング詐欺でのMITB攻撃もユーザーが使用しているPCには正規の画面が表示されており、PCが乗っ取られていることに気付きません。 そして、ビジネスメール詐欺では利用頻度の高いエクセルやワードを活用し、ユーザーの警戒心を緩めることに成功しています。
普段からセキュリティや情報盗取に関しての意識を高めることを求められるだけでなく、被害を防ぐには攻撃を見極める知識が必要です。 ただし、在宅勤務やテレワークの導入で、対面指導によって知識を高める取り組みが難しくなりました。 ビデオ会議でどこまで切迫感や危険性を訴えられるかが焦点となっていますが、効果が見えづらいセキュリティ対策に時間・コストを優先的に避ける企業はさほど多くないのが現状です。
今後しばらくは現在定められている組織内のセキュリティポリシーに基づいた行動の徹底、不審なメールが届いたら上司や同僚に相談など、個人で判断する機会を無くすことが大切です。
クラウドサービスでの設定ミス
2020年秋頃から楽天・イオン銀行・PayPayなど、顧客管理システムSalesforce上での情報漏洩が相次いで発表されています。 いずれの事件もSalesforce側の不備ではなく、ユーザー側のアクセス権の設定ミスだったため、内閣サイバーセキュリティセンター(NISC)は各企業に設定の見直しを行うよう注意喚起する事態になりました。
Salesforceでの情報漏洩事件で浮かび上がったのが、ユーザー側のセキュリティ意識への希薄さです。 責任共有型であるクラウドは、ベンダーが提供している製品をサービスとして利用します。 つまり、ユーザーはベンダー側が定めるルールやポリシーに基づいた行動をしなくてはいけません。
ベンダーの役割は通信障害が起きないよう、システムを安定的に稼働させることです。 一方、ユーザーはサービスの中身を把握し、どのような設定を行えば利便性と安全性を両立できるか考えることが求められています。
全てを自由にカスタマイズできたオンプレミスとは考え方を変え、今後は「責任を共有している」という意識でクラウドサービスを利用することが必要です。クラウドサービスの設定ミスによるセキュリティ不備には今後も十分に注意をし、多要素認証の実現が出来るSaaS管理のソリューションなどを導入しましょう。
一人ひとりのセキュリティ意識向上が必要
情報漏洩の原因の多くはヒューマンエラーに起因するものです。 仕事の多忙化や気の緩みで対策できたセルフケアを怠った結果、犯罪者に情報盗取を許しています。 単一パスワードの使い回しによるアカウント情報のハッキング、外出先でのデバイス機器紛失、メールの誤送信など、注意していれば防げた情報漏洩です。
犯罪者は企業が年々セキュリティ対策を強化していることを理解しており、対策が行き届いていない企業を徹底的に狙ってきます。 攻撃の被害を最小化するためには、一人ひとりが情報漏洩が起きた場合の被害の大きさを痛感しなければなりません。 特に新型コロナウイルス感染の影響により多くの企業で売上確保が厳しくなっており、情報漏洩が一度でも起きた場合は間違いなく今後のビジネスが大変厳しい状況に追い込まれます。
組織全体で機密情報や個人情報を守る必要性を再度認識し、情報漏洩を意識しながら日々の業務に打ち込んでいくことが求められます。
情報漏洩を防ぐための3つのセキュリティソリューションを紹介
IDaaS(Identity as a Service)、EDR(Endpoint Detection and Response)、UEBA(User and Entity Behavior Analytic)を紹介いたします。
IDaaS
IDaaSとは、クラウドサービスのアカウント情報管理に加え、各種認証機能やシングルサインオンなど多彩な機能を搭載するクラウド版AD(ActiveDirectory)です。 IDaaSを導入することで未使用アカウント発生による不正アクセスを防ぐだけでなく、煩雑なパスワード管理からの解放を実現します。 クラウドサービスへの本格的な移行を決断する企業が増加していることから、提供しているサービスの種類も増えており自社に合ったサービスを見つけやすくなっています。
IDaaSの機能
機能・特徴 | 期待される効果 | |
シングルサインオン |
|
|
アクセス管理 |
|
|
認証機能 |
|
|
プロビジョニング |
|
|
EDR
EDRはスマートフォンやノートPCをエンドポイントと定め、端末内のセキュリティ監視を行うセキュリティソリューションです。 マルウェアや端末内の異変を感知した場合はマルウェアを素早く管理し、被害を最小限に抑えます。
また、脅威が侵入した経路の把握・分析機能も備えており、二次災害の発生を防ぐことが可能です。 サイバー攻撃の予防に加え、端末内の被害を最小化する機能も兼備したセキュリティソリューションです。
EDRの特徴
- 攻撃の予防・最小化に抑える機能を兼備
- 未知のマルウェアにも対応
- ユーザー行動を可視化し、内部漏洩を抑止
- 感染経路の特定
UEBA
機械学習とAIを活用して、内部脅威やなりすましによる情報漏洩を防ぐソリューションです。 ユーザーの通常行動とデバイス機器・アプリケーション・ネットワーク機器の情報をリンクし、異変や脅威があった場合はすぐに検知します、 行動の把握や対策が難しい内部犯行の脅威を軽減するソリューションとして、注目されています。