「情報漏えい」とは企業や組織が守るべき個人情報などのデータが外部に漏れてしまうことである。
-
「情報漏えい」の原因
-
情報漏えい・紛失 原因別内訳
外部要因:マルウェア感染など
内部要因:社内関係者による機密情報の不正な持ち出しなど
東京商工リサーチよると、2023年の情報漏えい・紛失事故のうち、外部要因の「ウイルス感染・不正アクセス」が一番多く、
次いで内部要因の「誤表示・誤送信」の人為的な要因である。
株式会社東京商工リサーチ
2023年の「個人情報漏えい・紛失事故」が年間最多件数175件、流出・紛失情報も最多の4,090万人分
https://www.tsr-net.co.jp/data/detail/1198311_1527.html
-
「情報セキュリティ10大脅威 2024」
しかし、IPAの調査で公表された、「情報セキュリティ10大脅威 2024」では、内部要因も複数存在しています。
IPAの「情報セキュリティ10大脅威 2024」
| 順位 | 「組織」向け脅威 | 要因分類 |
| 1 | ランサムウェアによる被害 | 外部 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 外部 |
| 3 | 内部不正による情報漏えい等の被害 | 内部 |
| 4 | 標的型攻撃による機密情報の窃取 | 外部 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 内部 |
| 6 | 不注意による情報漏えい等の被害 | 内部 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 外部 |
| 8 | ビジネスメール詐欺による金銭被害 | 外部 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 外部/内部 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | – |
IPA 独立行政法人 情報処理推進機構
情報セキュリティ10大脅威2024
https://www.ipa.go.jp/security/10threats/10threats2024.html
このことからも、情報漏えいを防止するためには、外部要因と内部要因の、両方の視点から対策を行うことが重要になってくることがわかる。
-
情報漏えいの原因:外部要因
-
情報漏えいの原因:内部要因
-
情報漏えい対策の見直し
・マルウェア
・標的型攻撃
・不正アクセス
・ゼロデイ攻撃
・従業員による情報の持ち出し
・不注意や誤操作
・システムを最新の状態に更新
常に最新のバージョンを意識する
・アカウント管理の見直し
権限の削除や停止の実施、且つアクセス権限の付与を必要最小限に保つ
・社内教育を実施する
従業員のITリテラシー向上
ISMS(情報セキュリティマネジメントシステム)では、
一般的には社長などの経営陣を指すトップマネジメントのリーダーシップが必須となる。
トップマネジメントのリーダシップが、情報セキュリティ方針と情報セキュリティ目的を確立する。
こちらを読まれている方々に、ITリテラシーが低い方はいないと思われるが、一般的な中小企業では、まだまだITリテラシーが浸透していない企業はたくさんある。
従業員のITリテラシー向上と適切なセキュリティ対策の運用を両立することが今後の中小企業の課題になってくるのではないだろうか。