サプライチェーン攻撃の事例と対策|国内外の被害から学ぶ企業がすべきこと
catfish_admin
経営リスクナビ
パソコンの情報漏洩 原因と対策|外部攻撃と内部要因からリスクを整理
catfish_admin
企業のパソコンからの情報漏洩は、事業継続を脅かす重大なリスクです。サイバー攻撃の巧妙化やテレワークの普及により、その原因は外部・内部を問わず多様化しています。効果的な対策を講じるには、まず漏洩経路を網羅的に理解することが不可欠です。この記事では、パソコンから情報が漏洩する主な原因を外部要因と内部要因に分けて体系的に解説し、それぞれに必要な対策を明らかにします。
情報漏洩の主な原因と傾向
漏洩原因の分類:外部要因と内部要因
情報漏洩の原因は、攻撃者の意図や発生メカニズムの違いから、外部要因と内部要因の2つに大別されます。外部からの攻撃と内部のリスク、双方を理解し対策を講じることが不可欠です。
| 要因区分 | 説明 | 具体例 |
|---|---|---|
| 外部要因 | 悪意を持つ第三者が、組織のネットワークやシステムへ侵入し情報を窃取する行為。 | サイバー攻撃、不正アクセス、マルウェア感染 |
| 内部要因 | 組織内部の関係者が関与して発生する情報漏洩。悪意の有無は問わない。 | メールの誤送信、PCの紛失・盗難、従業員による意図的な情報持ち出し |
公的データで見る情報漏洩原因の内訳
公的な調査データを見ると、情報漏洩の主な原因はサイバー攻撃と人的なミスの両方が大きな割合を占めていることがわかります。東京商工リサーチや情報処理推進機構(IPA)の調査では、外部からの高度な攻撃だけでなく、組織内部の管理体制や従業員の不注意が情報漏洩を引き起こしている実態が明らかになっています。
公的データから見る主な漏洩原因
- ウイルス感染・不正アクセス: 外部要因によるサイバー攻撃で、漏洩原因の過半数を占めることが多い。
- 誤表示・誤送信: 内部要因の中でも、注意不足によるヒューマンエラーが常に高い割合で発生している。
- 情報の不正持ち出し・盗難: 従業員や退職者による内部不正や、PC・記憶媒体の紛失も増加傾向にある。
したがって、情報漏洩対策は技術的な防御と内部の人的統制の両輪で進める必要があります。
実際にあったパソコンからの情報漏洩事例
パソコンの紛失や盗難は、大量の顧客情報や機密データが一度に危険に晒されるため、深刻な情報漏洩事故に直結します。例えば、営業社員が業務用PCを紛失し、数千名規模の個人情報が漏洩するリスクに直面した事例や、数万件の顧客情報が保存されたPCが盗難に遭い、社会問題となったケースがあります。これらの事例は、パスワード設定だけでは不十分であり、物理的な紛失・盗難そのものを防ぐ対策と、万一の事態に備える仕組みが重要であることを示しています。
パソコン紛失による情報漏洩への対策例
- データレスPC(シンクライアント)の導入: 端末にデータを保存しない仕組みを構築する。
- ディスク全体の暗号化: 端末内のデータを暗号化し、第三者が読み取れないようにする。
- リモートワイプ機能の導入: 遠隔操作で端末内のデータを消去できる仕組みを整備する。
【外部要因】サイバー攻撃
マルウェア感染(ランサムウェア等)
マルウェア(悪意のあるソフトウェア)感染は、企業の事業継続を脅かす深刻な外部脅威です。特に近年は、データを暗号化して身代金を要求するランサムウェアの被害が拡大しています。感染すると基幹システムが停止し、業務が完全に麻痺する可能性があります。攻撃者は身代金を要求するだけでなく、盗んだデータを公開すると脅す「二重恐喝」の手口も用います。
マルウェア感染への主な対策
- エンドポイント保護製品の導入: ウイルス対策ソフト等を導入し、マルウェアの侵入を検知・駆除する。
- 従業員教育の徹底: 不審なメールの添付ファイルを開かない、怪しいURLをクリックしない等の基本動作を徹底する。
- オフラインバックアップの取得: ネットワークから物理的に切り離した場所にデータのバックアップを保管する。
- インシデント対応体制の構築: 感染を検知した際に、迅速にネットワークを遮断し被害拡大を防ぐ体制を整備する。
不正アクセス(脆弱性、ID・PW攻撃)
不正アクセスは、システムの設計上の欠陥である「脆弱性」や、甘いID・パスワード管理の隙を突いて発生します。修正プログラムが提供される前の未知の脆弱性を狙う「ゼロデイ攻撃」は防御が極めて困難です。また、他サービスから流出した認証情報リストを用いてログインを試みる「パスワードリスト攻撃」も頻発しており、オンラインストア等で顧客情報が流出する事故が多発しています。
不正アクセスへの主な対策
- 脆弱性管理の徹底: OSやソフトウェアを常に最新の状態に保ち、セキュリティパッチを速やかに適用する。
- 多要素認証(MFA)の導入: IDとパスワードに加えて、SMS認証や認証アプリなどを組み合わせ、アカウントのセキュリティを強化する。
- パスワード管理の強化: 複雑で推測されにくいパスワードの設定を義務付け、使い回しを禁止する。
標的型攻撃(フィッシング、BEC)
標的型攻撃は、特定の企業や個人を狙い、周到に準備された手口で情報を窃取する巧妙な攻撃です。取引先や公的機関になりすましたメールで偽サイトに誘導し、IDやパスワードを盗む「フィッシング詐欺」が代表的です。また、経営幹部になりすまして偽の送金指示を出す「ビジネスメール詐欺(BEC)」も深刻な被害をもたらします。攻撃者は社内のやり取りを事前に調査し、受信者が信用しやすい文面で騙そうとします。
標的型攻撃への主な対策
- メールフィルタリングの導入: 不審なメールをシステムで検知し、従業員に届く前に隔離・警告する。
- 定期的な不審メール対応訓練: 偽の標的型攻撃メールを用いた訓練を実施し、従業員の対応能力を向上させる。
- 送金プロセスの厳格化: メールでの指示のみで送金を行わず、電話等で本人確認を行うルールを徹底する。
サプライチェーンの弱点を突く攻撃
サプライチェーン攻撃は、自社を直接狙うのではなく、セキュリティ対策が手薄な取引先や関連会社を踏み台にして侵入する攻撃手法です。多くの企業が連携して成り立つ現代の供給網(サプライチェーン)の弱点を突くため、自社の対策だけでは防ぎきれません。例えば、部品供給会社のシステムが停止し、自社の工場稼働に影響が出るケースや、ソフトウェア開発委託先経由で悪意のあるコードが納品物に混入するケースがあります。
サプライチェーン攻撃への主な対策
- 取引先のセキュリティ評価: 新規・既存の取引先に対し、情報セキュリティ体制に関する監査やアンケートを実施する。
- 契約によるセキュリティ要件の明記: 取引基本契約書などに、遵守すべきセキュリティ基準を盛り込む。
- 委託先からの納品物の検査: ソフトウェアなどを納品される際は、脆弱性やマルウェアの有無を検査する。
【内部要因】人的ミス・不正
誤操作・設定ミス(メール誤送信等)
どれほど注意していても、人間の注意力には限界があるため、誤操作や設定ミスといったヒューマンエラーによる情報漏洩は後を絶ちません。メールの宛先間違いや、クラウドサービスの共有設定ミスなど、日常業務に潜むリスクが原因となります。
主な誤操作・設定ミスの例
- メール誤送信: 宛先間違い、CCとBCCの設定ミスにより、関係者外への情報送付やメールアドレスリストを流出させる。
- ファイル共有設定のミス: クラウドストレージのアクセス権限設定を誤り、本来非公開の情報を誰でも閲覧できる状態にしてしまう。
人的ミスを防ぐための対策例
- メール誤送信防止ツールの導入: 送信前に宛先や添付ファイルを確認するポップアップを表示させる。
- クラウド設定の自動監査: アクセス権限の設定に不備がないか、ツールを用いて定期的にチェックする。
- ダブルチェック体制の構築: 大量・機密情報の送信時には、複数人での確認を義務付ける。
PC・記録媒体の紛失や盗難
テレワークの普及によりPCやUSBメモリを社外に持ち出す機会が増え、紛失・盗難のリスクは高まっています。電子媒体には膨大な情報を保存できるため、一度の紛失が甚大な被害につながります。飲食店への置き忘れや車上荒らしなど、日常的な場面で発生しており、パスワード設定だけではデータを抜き取られる危険性があります。
紛失・盗難への主な対策
- 物理媒体の暗号化: PCのハードディスクやUSBメモリ自体を暗号化し、パスワードがなければ中身を読み取れないようにする。
- データレスPC環境の構築: データを端末に保存せず、常にサーバー上で処理するシンクライアント方式を導入する。
- モバイルデバイス管理(MDM)の導入: 紛失したスマートフォンやPCを遠隔でロックしたり、データを消去したりする仕組みを導入する。
従業員による内部不正行為
正規の権限を持つ従業員が意図的に情報を持ち出す内部不正は、外部からの攻撃よりも検知が困難です。動機は金銭目的のほか、会社への不満や個人的な利益のためなど様々です。「動機」「機会」「正当化」の3要素が揃うと不正が発生しやすいとされています。
内部不正を防止するための対策
- アクセス権限の最小化: 従業員には、業務上必要最小限のデータへのアクセス権限のみを付与する。
- アクセスログの監視: 誰が・いつ・どの情報にアクセスしたかの記録を監視し、不審な操作を検知する。
- 機密保持契約の締結: 入社時・退職時に機密保持に関する誓約書を取り交わし、不正行為が法的な罰則対象となることを認識させる。
- 良好な職場環境の整備: 公正な人事評価やコミュニケーションの活性化により、従業員の不満を減らし不正の動機を抑制する。
不適切な情報管理・廃棄プロセス
情報のライフサイクルにおける管理・廃棄プロセスに不備があると、予期せぬ情報漏洩につながります。機密書類をシュレッダーにかけずに廃棄したり、PCをデータ消去が不完全なまま売却したりすることで、第三者の手に情報が渡る危険性があります。
不適切な情報管理・廃棄の例
- 機密文書をシュレッダー処理せず、一般ゴミとして廃棄する。
- PCやサーバーを廃棄する際、データ消去や物理的破壊を行わず、初期化のみで処分する。
- 廃棄を委託した業者が、不適切な処理を行い情報が流出する。
情報漏洩を防ぐには、情報資産の管理規定を策定し、廃棄時にはデータ消去証明書を発行できる専門業者に委託するなど、厳格なルール運用が求められます。
見落としがちな退職時の情報持ち出しリスクと予防策
退職予定の従業員が、転職先での利用などを目的に顧客リストや技術データ等を不正に持ち出すケースは、企業が見落としがちな重大リスクです。このリスクを防ぐためには、退職プロセスにおける体系的な対策が不可欠です。
退職時の情報持ち出しを防ぐための具体的な手順は以下の通りです。
退職時の情報持ち出し予防策
- 退職意向表明時の対応: 退職の意向が示された時点で、重要情報へのアクセス権限を速やかに業務上必要な範囲に限定する。
- 退職日までの監視強化: 対象者のPC操作ログやデータアクセス履歴を重点的に監視し、不自然な大量ダウンロードなどがないか確認する。
- 退職時の手続き: 機密保持に関する誓約書を再度取り交わし、情報の不正利用が法的に罰せられることを改めて認識させる。
- アカウントの即時削除: 退職日をもって、社内システムやクラウドサービスに関するすべてのアカウントを速やかに削除・無効化する。
原因別に講じるべき情報漏洩対策
技術的対策(システム・ツールでの防御)
技術的対策は、サイバー攻撃や人的ミスをシステムによって自動的・強制的に防ぐための手段です。人間の注意力だけでは防ぎきれない脅威に対して、物理的な防御壁として機能します。
主な技術的対策の例
- エンドポイント保護 (EPP/EDR): PCやサーバーをマルウェアから保護し、侵入後の不審な挙動を検知・対応する。
- ファイアウォール/UTM: ネットワークの出入口を監視し、不正な通信を遮断する。
- データの暗号化: PC、サーバー、通信経路上のデータを暗号化し、万一盗まれても内容を読み取れないようにする。
- 誤送信防止ツール: メールの送信ボタン押下後に宛先確認画面を表示させ、うっかりミスを防ぐ。
- アクセス制御・ログ監視: 重要データへのアクセス権を厳格に管理し、不正なアクセスがないか常時監視する。
組織的対策(教育・ルールでの統制)
組織的対策は、情報セキュリティに関する社内ルール(ポリシー)を定め、それを全従業員に浸透させることで、組織全体のセキュリティレベルを向上させる取り組みです。優れたシステムも、使う人間の意識が低ければ意味を成しません。
主な組織的対策の例
- 情報セキュリティポリシーの策定: 会社として守るべき情報資産を定義し、その取り扱いに関する基本方針とルールを文書化する。
- 情報管理規程の整備: アクセス権限の管理、PCの持ち出し、パスワード設定など、具体的な運用手順を定める。
- 定期的なセキュリティ教育: 全従業員に対し、標的型攻撃の手口や社内ルールに関する研修を継続的に実施する。
- インシデント対応体制の構築: 情報漏洩が発生した際の報告ルートや各部署の役割を明確にした連絡網を整備する。
物理的対策(機器・媒体の管理)
物理的対策は、サーバーやPC、書類といった情報資産そのものが盗難・紛失に遭わないようにするための物理的な環境整備です。データは最終的に物理的な機器に保存されているため、この対策はセキュリティの土台となります。
主な物理的対策の例
- 入退室管理の強化: サーバールームなど重要な区画に、ICカードや生体認証による入退室制限システムを導入する。
- 監視カメラの設置: 重要なエリアや出入口に監視カメラを設置し、不正な侵入や持ち出しを抑止・記録する。
- 機器の施錠管理: PCやサーバーラックを物理的に施錠し、盗難を防止する。
- クリアデスク・クリアスクリーンの徹底: 退社時や離席時には、机の上に書類を放置せず、PC画面をロックするルールを徹底する。
対策実行の鍵:経営層への報告と予算確保のポイント
効果的な情報漏洩対策を進めるには、経営層の理解を得て十分な予算を確保することが不可欠です。セキュリティ対策は直接的な利益を生まないため、後回しにされがちですが、事業継続に関わる重要な経営課題であることを認識してもらう必要があります。
経営層を説得するためのポイント
- リスクの可視化: 情報漏洩が発生した場合の損害賠償額、事業停止による損失、ブランド価値の低下などを具体的に試算して提示する。
- 他社事例の活用: 同業他社で発生した事故事例や、その経営への影響を引用し、対岸の火事ではないことを示す。
- 法的・社会的な要請の説明: 個人情報保護法などの法令や、取引先から求められるセキュリティ水準を満たす必要性を訴える。
- 費用対効果の提示: 対策にかかるコストだけでなく、それによって回避できる潜在的な損失の大きさを強調する。
よくある質問
Q. 自社のPCが情報漏洩していないか確認する方法は?
自社のPCが情報漏洩の起点になっていないかを確認するには、端末の操作ログやネットワーク通信の状況を監視し、不審な痕跡がないかを定期的にチェックする必要があります。
情報漏洩の確認方法
- ログの監視: PCの操作ログやサーバーへのアクセスログを確認し、深夜や休日など不自然な時間帯のアクセスや、大量のデータコピーがないかを調べる。
- 通信の監視: ファイアウォール等のログを確認し、マルウェアが潜む不正なサーバーとの通信が発生していないかをチェックする。
- セキュリティソフトの警告確認: ウイルス対策ソフトなどが発する警告や検知レポートを定期的に確認する。
- 専門家による診断: 専門のセキュリティ会社に依頼し、ネットワーク全体に脆弱性がないか、不正な侵入の痕跡がないかを診断してもらう。
Q. テレワーク環境で特に注意すべきリスクとは?
テレワーク環境では、オフィスの管理が及ばない場所で業務を行うため、特有のリスクに注意が必要です。特に、家庭内のネットワーク環境や個人のセキュリティ意識が、情報漏洩の直接的な原因となり得ます。
テレワーク環境における主なリスク
- 保護されていないネットワークの利用: 自宅のWi-Fiルーターの脆弱性や、公共の無料Wi-Fi利用による通信盗聴。
- 私物端末の業務利用(シャドーIT): セキュリティ対策が不十分な個人のPCやスマートフォンを業務に使うことによるマルウェア感染。
- 端末の紛失・盗難: 通勤や移動中だけでなく、自宅での空き巣などによる業務用端末の盗難。
- のぞき見: カフェや交通機関など、公共の場での作業中に第三者から画面をのぞき見される。
Q. 中小企業が最低限実施すべき対策は?
予算や人員が限られる中小企業では、まずコストを抑えつつ効果の高い基本的な対策から着実に実行することが重要です。以下の対策は、セキュリティの土台を固める上で不可欠です。
中小企業が優先すべき最低限の対策
- ソフトウェアの最新化: OSや利用しているアプリケーションに修正プログラム(パッチ)を速やかに適用し、既知の脆弱性を放置しない。
- パスワード管理の徹底: パスワードの使い回しを禁止し、長く複雑な文字列を設定するルールを徹底させる。可能であれば多要素認証を導入する。
- ウイルス対策ソフトの導入: すべての業務用PCに信頼できるウイルス対策ソフトを導入し、定義ファイルを常に最新の状態に保つ。
- 従業員への注意喚起: 不審なメールを開かない、安易にフリーWi-Fiに接続しないなど、基本的な注意点を定期的に周知する。
Q. 情報漏洩が発生した場合の初動は?
情報漏洩の発生またはその疑いを検知した場合、被害の拡大を最小限に抑えるための迅速かつ的確な初動対応が極めて重要です。パニックにならず、定められた手順に従って行動する必要があります。
情報漏洩発覚時の初動対応手順
- ネットワークからの隔離: 漏洩が疑われる端末のLANケーブルを抜く、Wi-Fiを切るなどして、直ちにネットワークから切り離す。(注意:原因調査のため、絶対に電源は切らない)
- 責任者への報告: あらかじめ定められた報告ルート(上長、情報システム部など)に従い、状況を正確かつ迅速に報告する。
- 事実関係の調査: いつ、誰が、どの情報が、どの範囲に漏洩した可能性があるのか、わかる範囲で情報を整理し、被害範囲の特定を進める。
- 外部への連絡: 状況に応じて、契約しているセキュリティ専門会社、弁護士、警察、個人情報保護委員会などの関係機関へ連絡する。
まとめ:パソコンの情報漏洩原因を理解し、総合的な対策を
本記事で解説したように、パソコンからの情報漏洩は、マルウェア感染や不正アクセスといった「外部要因」と、人的ミスや内部不正などの「内部要因」に大別されます。どちらか一方の対策だけでは不十分であり、システムの技術的防御、組織的なルール整備、そして物理的な管理を組み合わせた多層的な防御が不可欠です。まずは自社の現状を把握し、ソフトウェアの脆弱性、アクセス権限の管理、退職者の情報持ち出しリスクなど、どこに弱点があるかを評価することから始めましょう。情報漏洩対策は経営課題そのものであり、対策の実行には経営層の理解が欠かせません。自社だけで対応が難しい場合は、速やかに外部の専門家に相談することも検討してください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
