データで読み解く情報漏洩の実態と対応策

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

データで読み解く情報漏洩の実態と対応策

2009/12/15


 情報漏洩はどのように生じるのか?またそれぞれの漏洩の形に応じてどのように事後対応をすればよいのだろうか?今回は、一般にどのような情報が、どのように漏洩しているのか、それがどのようにして発見され、どのような対応がとられているのかを、IPA調査による情報漏洩の統計情報によってまずは見ていこう。そのあと、漏洩のタイプ別に事後対応の要領を簡単に紹介していく。

情報漏洩後の対応


1

統計情報で知る情報漏洩の状況

1-1

何がどのように漏洩しているのか

 IPAでは「情報漏洩インシデント対応方策に関する調査報告書(2007年)」に情報漏洩事例についての調査分析結果を公表している。これは2002年から2007年に日本国内で起きた情報漏洩事故・事件を対象にした調査である。内容は個人情報漏洩に限定するものではなく、企業活動等で使用される経営情報等の組織が保有する情報全般についての漏洩事例を含んでいる。調査事例は153件、そのうち民間企業が69.3%、公共団体が17.6%、学校が13.1%である。 まずは何が漏洩したのかを見てみよう。

  個人情報がほとんどを占めるが、一般情報、公共性の高い情報もそれぞれかなりの漏洩事例があることがわかる。

図1 漏洩情報種別
図1 漏洩情報種別
資料提供:IPA

コラム:漏洩情報の種別に関する対応ポイント

 個人情報とは、顧客や取引先、社員など個人に関する情報だ。これに関しては個人情報保護法に準拠した対応が必要だ。
 公共性の高い情報とは、発電所や通信設備などの社会の重要なサービス、社会の安全に関する情報のことだ。これについては内容に応じて関係者・監督官庁に報告したり、報道機関等に対して情報を開示したりする必要が生じる。
 一般情報には、企業秘密や取引先情報などが含まれる。取引先等の情報が含まれる場合は取引先に報告し、その意向に沿った対応を行う。企業機密などの重要な情報が含まれる場合は、その内容に応じた経営判断が必要になる。


 続いて、どのように漏洩したのかを見てみよう。

図2 漏洩態様分類
図2 漏洩態様分類
資料提供:IPA

 漏洩態様(タイプ)には次の6種類がある。

(1)

紛失・盗難:PCや情報媒体(USBメモリ等)を電車内や店舗等に置き忘れたり、それらが入ったカバンをひったくられたり、置き引き、車上荒らし等による盗難にあったりしたことにより、情報の紛失や漏洩をしてしまうタイプ。なかには請負業者に送ったCD-ROMが輸送中に紛失したといった事例もある。

(2)

Winny/Share等への漏洩:Winny/ShareなどのP2Pファイル交換ソフトを導入した自宅PC等のウイルス感染により、自宅に持ち帰っていた会社等の機密データを流出させてしまうタイプ。会社用のメールを自宅メールに転送していたためにメール情報を漏洩したケースもある。

(3)

誤送信・Webでの誤公開等:BCCで送信すべきメールを誤ってCCで送信してしまったり、メールアドレスを間違えて別の人に送信してしまったりというのが誤送信のケース。Webでの誤公開にはWebで誤って非公開情報を公開してしまったり、Webサイトの脆弱性により非公開情報が参照できてしまったりするケースなどがある。

(4)

内部犯行:社内DBから顧客情報を取り出して転売したり、不正アクセスによってデータを持ち出したりするケース。大規模な漏洩事件につながることがあり、名簿業者等に顧客名簿が販売されてしまうケースもある。

(5)

不正アクセス:ID/パスワードの不正利用によって情報を他サイトに掲示されたり、Webアプリケーションの脆弱性を利用して非公開情報を第三者にとられたりするケース。

(6)

不正プログラム:ウイルスに感染したPCが不正操作されてPC内の機密情報が第三者に送信されてしまったり、機密情報をWebサイトに掲載されたりするなどのケースがある。

 これに加え、組織内の従業員がブログや自分のWebページで組織の機密情報などを掲載してしまったり、掲示板に社内情報を記入してしまったりという、「風評・ブログ掲載」((7))も情報漏洩の1つのパターンとして考えられる。
 なお、同調査のIPA分析結果によると、タイプ別の二次被害の発生しやすさがわかる。

図3 二次被害につながりやすい漏洩態様分類
図3 二次被害につながりやすい漏洩態様分類
資料提供:IPA

 特に内部犯行の場合と不正プログラムによる場合とが、二次被害を引き起こしやすい。

セキュリティ情報局にご登録頂いた方限定で「データで読み解く情報漏洩の実態と対応策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩後の対応/データで読み解く情報漏洩の実態と対応策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩後の対応」関連情報をランダムに表示しています。

情報漏洩後の対応」関連の特集


情報漏洩対策は必須だが、万一の際の対応も大切。想定される事件をカギに、対応の原則や、漏洩元を調査する…



情報漏洩対策をしていないPCが悪意のある者に渡ったら…。そうなる前に社外持ち出し時のルール策定や保護…


「その他エンドポイントセキュリティ関連」関連の製品

超高速秘密分散ソリューション 「SYMPROBUS Divide API」 【アクモス】 接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
電子ファイルを解読不能な断片に超高速で分散するクラウドAPIサービス。暗号化とは異なり、断片ファイルが漏えいしても解読は不可能。DR対策や複数人認証にも応用できる。 デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。

「その他エンドポイントセキュリティ関連」関連の特集


 2012年9月20日、情報処理推進寄稿(IPA)では、未知の脆弱性などの検出を目的としたセキュリテ…



  “なんとなく”でき上がった「マルウェア対策のツリー図」の「なんとなく」を解消するための問題点は、…



カード情報は現状どう取り扱われているのか?データをひもときつつ、他業種でも参考にできるPCI DSS…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003290


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ