みなさんは、どのようなセキュリティ対策をされていますか?
ITが発達した現代では、サイバー攻撃などによる情報漏洩が問題になっています。
しかし、情報漏洩の原因はサイバー攻撃によるものだけではありません。
「使用しているパソコン・スマホなどにロックをかけておらず、紛失と共に情報漏洩する」・「パスワードの書いてある紙を机の上に置いたままにする」など不注意や気の緩みなど人的要因による情報漏洩もたくさんあります。
今回は、実際におこった情報漏洩の問題・原因・対策方法などを紹介します。
情報漏洩は、企業の信頼を失墜させる大きな原因です。
IT担当者だけでなく、従業員全員がセキュリティ対策の意識を高く持つことが重要です。
情報漏洩の実例
サイバーセキュリティ.comによると2017年に起きた情報漏洩の実例はこのようになります。
日付 法人・団体名 漏洩原因 漏洩内容・詳細・二次被害(悪用)など 2017/12/13 大阪大学 サイバー攻撃 約8万人の情報が登録されていたデータベースへ1ヶ月半のサイバー攻撃が発生。その後海外のIPを経由し不正アクセス。6万9,549名分の情報がダウンロードされている事を確認。 2017/10/30 GMOインターネット株式会社 不正アクセス 同社が手掛けるサイト売買仲介サービス「サイトM&A」にて、個人情報合計1万4,612件が流出。原因は外部からのサイバー攻撃による可能性が高いとのこと。流出情報には「氏名、住所、生年月日、電話番号、メールアドレス」が含まれていた。 2017/10/24 NHK 委託先従業員による紛失 放送受信料の決済情報が記録された個人情報、約3,300人分の書類を紛失。流出した情報は「氏名、住所、メールアドレス、電話番号、クレジットカード情報」など。 2017/10/11 株式会社アドウィック 不正アクセス 同社の管理サーバが不正を受け、サービス利用者の個人情報「氏名や電話番号、メールアドレス・医療機関の予約時間等」の約60万件という大規模流出。 2017/10/4 TOKYO MX 不正アクセス 流出した個人情報はサービスの利用等に使われた氏名やニックネーム、メールアドレスなど。クレジットカード情報などの漏洩は確認されていない。 2017/10/2 ブラザー販売株式会社 メール誤送信 応募者に対して案内メールを送信する際に、担当者が誤って全員のメール情報を共有状態にして送信。流出した情報は、985名分のメールアドレス。クレジットカードや銀行口座等の情報漏洩は無いとのこと。 2017/8/29 ジェネシス・イーシー株式会社 不正アクセス 漏洩したカード情報は最大で9,458件。漏洩したカード情報の内訳には、「クレジットカード番号、有効期限、セキュリティコード」といったセンシティブ情報が含まれており、既に一部のカードで不正被害が確認されている。 2017/8/22 株式会社エイチ・アイ・エス 不正アクセス 首都圏発の国内バスツアーにサイトから予約を行い参加した顧客情報が流出。サイトリニューアル時のデータ移行作業において、誤って個人情報を含むデータが残ってしまい、今回の不正アクセスでダウンロードが行われてしまったことが原因。 2017/8/8 大阪府富田林市役所 元市職員による持ち出し 市役所内の人事担当者のIDやパスワードを不正に入手し、市役所内の同僚の懲戒処分や人事情報を盗取、コピーして自宅に持ち帰る。犯行は2015年~2017年までの約2年間で430回とのこと。 2017/7/25 株式会社ゴゴジャン 不正アクセス 自社が運営する投資関連サイト「fx-on」にて情報流出。カード決済システムに不審なソフトウェアが潜入しており、このソフトウェアが原因で情報流出が行われた可能性が高いとされている。 2017/7/17 マネースクウェア・ジャパン株式会社 不正アクセス マネースクウェア・ジャパン株式会社が運営する外国為替証拠金取引サイト「M2JFX」において、不正アクセスによる情報漏洩が起きたことが判明。また、今回の不正アクセス以外に「2016年7月から11月にかけて攻撃を受け続けていた」という衝撃的な事実が判明。2016年中に合計11万2,364件の個人情報が流出した可能性があるとのこと。 2017/7/12 常磐興産株式会社 不正アクセス 福島県のレジャー観光施設「スパリゾートハワイアンズ」を運営する、常磐興産株式会社は、ショッピングサイト「ハワイアンズモール」が不正アクセスを受け、一部のクレジットカード情報が最大で6,860件流出したと発表。このうち、約700万円の不正な買い物が確認されているという。 2017/7/10 日産化学工業 不正アクセス 日産化学工業株式会社が運営するウェブサイトの一部が、第三者による不正アクセスを受け、同サイトの問い合わせフォームに入力された個人情報、約4,500件が外部へ流出した可能性があることがわかった。 2017/7/3 日本年金機構 職員による持ち出し 職員1名、元職員1名により加入者情報約400件が漏洩。2017年6月29日、大阪府警が2名を逮捕。 2017/6/22 メルカリ 設定不備 キャッシュサーバの切り替え作業において、通常はキャッシュされないよう設定されていた個人情報が残ってしまう状態になっていた。 2017/6/8 NEXON システム不具合によるメール誤送信 ユーザーへのメルマガ配信において、システムの不具合によりメールの誤送信が発生し、大量のメールアドレスが流出。 2017/5/23 InterFM897 不正アクセス WEBサーバへの不正アクセスにより、リスナー2,728人分の個人情報が流出。プレゼント応募者データの個人情報がTwitter上に投稿されていたことで判明。 2017/5/8 東京電力 メール誤送信 福島復興本社において、福島第一原子力発電所の現状に関する報告するメールを送る際、互いの個人情報(氏名・メールアドレス)を知りうる状態で送信していた。 2017/4/25 ぴあ株式会社 不正アクセス 運営を受託しているバスケットボール「Bリーグ」のチケットサイトに不正アクセスがあり、個人情報約15万件(内クレジットカード情報約3万2,000件)が流出。
クレジットカードの不正利用は379件、約880万円の被害が判明。(2017年5月8日時点)2017/4/20 スタッフサービス 元社員による持ち出し 同社の元社員が在職中に、派遣登録者1万5,368人分の個人情報を外部に持ち出し。 2017/4/13 総務省 不正アクセス 政府統計システムの一種である「地図による小地域分析(jSTAT MAP)」において不正アクセスが発生し、これまでに公表された統計情報及びサイト登録者約2.3万人分の個人情報が流出 2017/4/11 東洋商事株式会社 不正アクセス 業務用食品のネットスーパー「東商マート」が不正アクセスを受け、クレジットカード情報含む顧客情報が一部流出。 2017/3/24 株式会社ジェイアイエヌ 不正アクセス 眼鏡ブランド「JINS(ジンズ)」のオンラインストアにおいてApache Struts2の脆弱性を悪用した不正アクセスが発生し、保有していた顧客情報118万8,355件が流出。 2017/3/15 沖縄電力 不正アクセス サイト上で提供している「停電情報公開サービス」へ不正アクセスがあり、一部コンテンツの改ざん及び顧客情報の流出があったと発表。 2017/3/14 ヤマサちくわ SQLインジェクション オンラインショッピングサイトに不正アクセス(SQLインジェクション攻撃)が発生し、クレジットカード情報を含む顧客情報9,426件が流出。 2017/3/14 日本郵便 不正アクセス 「国際郵便マイページサービス」サイトにおいて発生した不正アクセスにより、登録していた顧客情報(メールアドレス)29,116件と、サイト上で作成した送り状1,104件が流出した可能性があると発表。 2017/3/10 法政大学 不正アクセス 学内ネットワークが外部からの不正アクセスを受け、保持していたアカウント情報4万3,103件が流出した可能性があると発表。 2017/3/10 東京都 不正アクセス 東京都が管理するインターネット経由で都税納付を行える「東京都税クレジットカードお支払サイト」において不正アクセスが発生し、利用者のクレジットカード情報67万6,290件が外部へ流出。 2017/3/8 日本貿易振興機構(JETRO) 不正アクセス 外部からの攻撃を受け、一部情報が消去される事件が発生。消去された情報の中には、過去に同サイトへ登録した利用者のメールアドレス2万6,708件が含まれており、これらが窃取された可能性がある。 2017/2/22 Flavor 不正アクセス 同社が運営する家具・インテリア通販サイト「Re:CENO公式オンラインショップ」において発生した不正アクセスにより、顧客情報1万7,085件が流出。 2017/2/16 静岡県湖西市 職員による作業ミス ふるさと納税事務において、本人のマイナンバーとは異なる他者のマイナンバーを記載した通知著を送付していたことを公表。 2017/2/16 GMOメイクショップ 元従業員による持ち出し 元従業員により顧客情報を含む3万2,800件の営業関連データの持ち出しがあったことを公表。 2017/1/27 ロングランプランニング 不正アクセス データベースへの不正アクセスが発生し、舞台関連のチケット申し込みフォーム等を利用した顧客の情報が流出。 2017/1/13 クラウドゲームス 不正アクセス WEBサーバに対し不正アクセスが行われ、過去に同社サービスを利用した顧客情報の一部が流出 2017/1/6 ネルケプランニング 不正アクセス 運営する公式HPにおいて不正アクセスが発生し、会員向けサービスに登録された個人情報が流出した可能性があることが分かった。 2017/1/6 太陽日酸 サイバー攻撃 過去にサイバー攻撃を受け、従業員(退職者含む)の個人情報1万1,105件が流出した可能性のあることを公表。
2017年の1年間でもこれほどの情報漏洩が起きています。
不正アクセスやサイバー攻撃のなどが原因で情報漏洩しているケースもあります。
しかし、第三者からの攻撃ではなく、メールの誤送信や従業員の書類持ち出しなどによる人的要因での情報漏洩のケースも少なくありません。
では、どような対策をすれば情報漏洩を未然に防ぐことができるでしょうか。
対策方法について解説します。
情報漏洩の対策方法
情報漏洩を未然に防ぐために、対策方法を説明します。
普段から情報漏洩の対策を徹底していれば、そのような事件を未然に防ぐことが可能です。
不正アクセスの攻撃方法
まずは、不正アクセスの攻撃方法について説明します。
総当たり攻撃
特殊なツール・プログラムを使って、IDやパスワードが当たるまでログインを繰り返します。
機会が自動的にログインを繰り返すので、簡単なパスワードに設定してると、すぐにセキュリティを突破されます。
なので、英字・数字を組み合わせてできるだけ長いパスワードを設定しましょう。
そのような対策をとることで、総当たり攻撃による不正アクセスを防ぐことが可能です。
辞書攻撃
辞書に記載されている単語を入力して、不正アクセスを試みる方法です。
例えば、「monkey」や「password」単語を入力していきます。
このような攻撃に対策するために、辞書には記載されていない単語をパスワードに設定しましょう。
不正アクセスへの対策方法
複雑なパスワードを設定する
セキュリティ強化の第一歩目はパスワードを複雑化して突破されないようにすることです。
「企業が使用するシステムにはすでに複雑なパスワードが設定されているのでは?」と思う人も多いでしょう。
確かに、企業が使用する重要なシステムには、強固なパスワードやセキュリティがかけられています。
しかし、従業員が使用するパソコンには単純なパスワードが設定されていることがあります。
なぜなら、使用する人がパソコンのパスワードを自由に設定できるルールを採用している企業が多いからです。
会社で使用するパスワードを安易なモノに設定してると、同じ職場の人や常駐している別会社の人が不正アクセスをして情報流失することもあります。
実際に内部の犯行による不正アクセスが原因で情報漏洩したケースもあります。
なので、従業員一人一人に推測されにく複雑なパスワードを設定するように普段から忠告しておくことが大切です。
以下のような安易なパスワードは、推測されやすいのでやめておきましょう。
・生年月日
・名前のイニシャル
・携帯電話の電話番号
・123456789(簡単な数字の羅列)
・qwerty(キーボードの並び順)
・dog cat(動物の種類)
・password(簡単な英単語)
・5982742390(法則性のない組み合わせだが、数字しか使用されていない)
生年月日や名前などをパスワードに設定するのは、特に危険です。
なぜなら、そのような個人情報はSNSなどで簡単に入手できるからです。
もし、生年月日や名前などをパスワードに設定している場合は、すぐに変更しましょう。
また、同じパスワードを使い回すのもやめておきましょう。
理由は、同じパスワード使い回した場合、他の媒体・ツールでもそのパスワードで不正アクセス可能性があるからです。
例えば、フェイスブック・ツイッター・インスタグラムなどSNSで同じパスワードを設定していたとします。
その場合、1つでもパスワードが突破され不正アクセスされると、他のSNSも不正アクセスされ被害が増加します。
不正アクセスされたとしても被害を増加させないために、同じパスワードを使いまわさないようにすることが大切です。
「パスワードを考えるのが面倒」という人はパスワード生成ツーツがおすすめです。
パスワード生成ツールは、有料ソフトを使いましょう。
フリーソフトも提供されていますが、セキュリティを高めるためにはセキュリティ会社が提供している安全性の高いソフトを使うのがおすすめです。
おすすめのパスワード生成ツールを紹介します。
1Password
このツールは、パスワード生成機能と管理機能の両方の機能を搭載しているツールです。
もちろん、複雑で強固なパスワードを生成することもできます。
特に優れている点は、このツールで複数のパスワードを管理できるところです。
フェイスブック・ツイッターなどSNSのユーザー名やパスワードを登録しておくことで自動的に入力されます。
なので、パスワードを入力する手間を省くことが可能です。
ダウンロードURL:https://1password.com/downloads/
Keeper
こちらのツールもパスワード生成機能と管理機能の両方の機能を搭載しています。
機能的には1Passwordとほとんど同じです。
このツールの優位点は、スマホ・タブレットなどにパスワード情報を共有することができます。
スマホ版では、指紋認証の機能も搭載されており、より一層セキュリティが強化されているのが特徴です。
ダウンロードURL:https://keepersecurity.com/ja_JP/download.html
LastPass
使いやすさと機能性の両方を兼ね備えたツールです。
OSはMac・Windows以外にLinuxにも対応しています。
また、ブラウザもChrome・Firefox・IE・Safari・Operaなど幅広く対応しています。
登録しているパスワード情報は、クラウドで管理するので、パソコンやハードディスクが壊れても情報が紛失することはありません。
なぜなら、そのような機器が破損してもクラウドで管理しているので、データを復旧することができるからです。
ダウンロードURL:https://www.lastpass.com/ja
このようなツールでパスワードを生成して管理することでパスワードを突破される可能性が低くなります。
このようなツールを活用してセキュリティを強化しましょう。
不正アクセスの有無を確認する方法
次は、不正アクセスの有無を調べる方法を紹介します。
ログイン履歴を確認する
システムによってはログインした場所や日時を調べることができます。
覚えのない場所や日時でログインしていれば不正アクセスされている可能性が高いです。
ログインアラートを確認する
ログインするたびにメールやプッシュ通知が来るようにするのもおすすめです。
このように設定しておくと、不正アクセスされた場合、すぐに気づくことができます。
多くのネット銀行・証券ではこのような対策がされています。
不正アクセスされたときの対処方法
不正アクセスされたときは、すぐに使用しているパスワードを変更しましょう。
また、他の媒体やツールで同じパスワードを設定している場合は、そのパスワードも変更することが必要です。
サイバー攻撃の種類
コンピューターウイルス
ウイルス・ワーム・トロイの木馬などコンピューター内に保存されている情報を盗むウイルスがあります。
このようなウイルスに観戦してしまうとログイン情報だけでなく、他にも重要な情報が流失してしまいます。
サイバー攻撃の対策方法
サイバー攻撃の対策方法を説明します。
OS・ソフトウェアの状態を最新にしておく
OS・ソフトウェアは必ず最新の状態にしておくことが重要です。
なぜなら、OS・ソフトウェアの技術者達がセキュリティの甘い部分(セキュリティホール)を改善しているからです。
ハッカー達は、セキュリティの甘い部分(セキュリティホール)を必ず狙ってきます。
新しいバージョンが発表されたら、できるだけ早く更新するようにしましょう。
また、すでにインストールしているアプリケーションにもセキュリティの甘い部分(セキュリティホール)が存在する可能性があります。
日頃使用しているアプリケーションの更新も忘れないようにしましょう。
怪しいメール・添付ファイルは開かない
出どころのわからない不審なメール・添付ファイルを開くことでウイルスに観戦することがあります。
なので、見覚えのない宛先からのメールは見ないようにしましょう。
どうしても添付ファイルなどを開く場合は、ウイルスの有無を確認するためにスキャンしてから開くことが大切です。
ブラウザのセキュリティ設定をオンにする
ハッキング目的で制作されたWEBサイトは、そのWEBサイトを訪問しただけでウイルスや不正なプログラムを勝手にダウンロードします。
使用するブラウザのセキュリティを高めていれば、悪意のあるサイトを訪れるとアラートで警告され、ウイルスに感染することを不正でくれます。
ウイルス対策ソフトをインストールする
ウイルス対策ソフトをインストールすることで、ほとんどのウイルスの侵入を防ぐことが可能です。
パソコンを購入した段階でウイルス対策ソフトがすでにインストールされている場合もあります。
そのような場合は、最新バージョンのウイルス対策ソフトが提供されたら、すぐにアップデートしましょう。
アップデートしないまま放置しておくと、対策されていない最新のウイルスに感染する危険があります。
最新バージョンが提供されていないか常にチェックすることが重要です。
また、ウイルス細作ソフトがインストールされていないパソコンを使用している場合は、すぐにインストールしましょう。
ウイルス対策されていないパソコンを使用するのは、非常に危険です。
次は、おすすめのウイルス対策ソフトを紹介します。
ウイルスバスタークラウド
ウイルス対策ソフトといえば、「ウイルスバスター」です。
WEBからのウイルスブロック数はダントツのナンバーワンを誇る優秀なソフトになります。
セキュリティソフトで7年間連続でトップを誇る売り上げを残すほどの人気。
Mac・Windows両方のOSに対応しています。
ダウンロードURL:https://www.trendmicro.com/ja_jp/forHome/store.html
McAfee
McAfeeを使用すれば、このソフト1つでいくつものデバイスを保護することが可能です。
パソコン・スマホ・タブレットなどインターネットに接続する電子機器をウイルスから守れます。
「パソコンを複数持っている、パソコン・スマホ両方の機器をウイルスから守りたい」という人におすすめです。
ダウンロードURL:https://www.mcafee.com/japan/home/pd/
Norton
Nortonは、サービスが充実していることで人気のあるセキュリティソフトです。
365日24時間チャット形式で相談することができます。
なので、夜中に急なトラブルが発生しても対応してもらうことが可能です。
また、購入して品質に満足できなければ、返金してもらえます。(利用してから60日間の場合)
ソフト自体もとても軽く使いやすいのがメリットです。
ダウンロードURL:https://jp.norton.com/products?inid=nortoncom_nav_products_homepage:homepage
カスペルスキー
このツールの特徴は、WEBカメラの覗き見を防ぐ機能が搭載されています。
最近は、WEBカメラを利用した犯罪が増加しています。
なので、WEBカメラにもセキュリティが必要です。
このツールを使用すれば、WEBカメラを悪用されることはありません。
また、近年被害が多発しているランサムウェアの対策も強化しています。
新しいウイルスにもいち早く対策するのがことソフトの特徴です。
ウイルスが侵入したときの対処方法
では、実際にウイルス侵入したときは、どのように対処すれば良いのでしょうか。
具体的な方法を説明します。
電源を切り・ネットワークから遮断する
ウイルスに侵入されていることがわかれば、すぐにパソコンの電源を切りましょう。
そして、ウイルスの被害を拡大させないために、他の機器とネットワークで接続している場合はすぐに切断するのが重要です。
ウイルスに感染したときは迅速な対応を心掛けましょう。
WEBカメラを映らないようにする
上記でも記述したように、ウイルスに感染するとWEBカメラも自由に操作されてしまいます。
なので、WEBカメラの映像が映らないように布やシールなどで覆って隠しましょう。
職員による情報の持ち出し
人的要因による情報漏洩で多いのが、職員による情報の持ち出しです。
仕事で使用する顧客の個人情報を職場から家に持ち帰ることで情報漏洩してしまうケース。
職員による情報の持ち出しの対策方法
セキュリティに対する意識を徹底させる
まずは、従業員のセキュリティ対する意識を向上させることが重要です。
定期的に研修や勉強会を開催するなど注意喚起しましょう。
また、各部署ごとにセキュリティ担当の人を配置するのがベストです。
会社用の携帯電話をプライベートで使用させない
会社で配布している携帯電話をプライベートで使用させないようにしましょう。
また、万が一紛失したときも情報漏洩を防ぐためにロックをかけておき、遠隔からでもデータが消去できるようにするのが大切です。
情報を持ち込ませない・持ち出さない制度を徹底する
最も大切なのが情報を持ち込ませない・持ち出さない制度を徹底することです。
スマホやUSBなどの電子機器は、会社で使用するパソコンのある部屋に持ち込ませないようにしましょう。
このような機器を持ち込ませないようにするには、仕事をする部屋と荷物を置く部屋を別々にすることが必要です。
荷物を置く部屋にカバンやスマホなどを置いて、仕事部屋にはほとんど手荷物のない状態で入室しましょう。
このようにすれば、帰るときもほとんど手荷物のない状態で帰らなければなりません。
なので、必然的に情報が記載されている書類などを持ち帰ることが不可能になります。
より厳格にするならば、入室時と退出時は手荷物のチェックをすれば情報漏洩するリスクをかなり低くすることが可能です。
まとめ
いかがでしたか?
情報社会の現代では、情報漏洩が企業の信頼を損ねる原因の1つです。
なので、情報漏洩しないように対策を常にとっておきましょう。
もし、情報漏洩した場合も費額を最小限にとどめれるように、あらゆる事態を想定しておくことが大切です。
今回紹介した対策方法などを参考にしてくささい。