情報セキュリティ事故への正しい対応方法とは？
求められる企業の責任と役割について

情報セキュリティ事故の防止は、経営上の重要課題です。情報セキュリティ事故が起きてしまうと、どのような影響が広がるのでしょうか。自社はもちろんですが、その影響の範囲は取引先、顧客、さらに二次被害にあう可能性のある第三者にまで及びます。トラブルごとの問題点や対処法を見ていきましょう。

業務そのものが停止する可能性も

マルウェア（悪意あるプログラムの総称）による攻撃や、社内での過失によって重要なパスワードが漏れてしまった場合など、業務そのものが停止してしまう可能性があります。ネットワークによるインフラが整っている今日では、メール送受信の停止、Webページの閉鎖などの影響が直接的に生じます。これでは、本来の事業活動で得られるはずの利益が得られず、大きな損失を被ることになります。
事故を起こした企業は、迅速に事故の原因究明をしなければなりません。そのうえで対策費用、改善費用といったコストがかかり、経済的な負担も大きくのしかかってきます。

大規模な被害が生じるサイバー攻撃

サイバー攻撃によって情報の漏えい、紛失、あるいは改ざんが生じると、自社だけでなく取引先の企業やその顧客などに被害が及ぶ可能性があります。さらに、インターネットを通じてまったく無関係の第三者にも被害が拡大する恐れがあります。
企業は関係先への連絡、謝罪はもとより、情報拡散の防止、保全対策など、復旧活動に奔走する必要があります。その費用は事故の規模に比例して大きくなり、損害賠償などによって会社が存続の危機にさらされる可能性も考えられます。社会的な信用を失い、最悪の場合は事業免許の取り消しに至ることもあります。

人為的ミスを事前に防ぐことはできる？

社内の過失の場合は、「メールの送信先を間違えた」「誤った資料を添付した」「重要な情報をうっかり削除した」など、ケアレスミスであることがほとんどです。そこで、取り返しのつかない重大事に至らないよう、普段から情報管理を徹底するという意識を高く持ち、従業員一人ひとりが気をつけることが重要です。見直しが必要となる基本的な行動には以下が挙げられます。

• メールの送信前はダブルチェックを徹底
• ファイルやドキュメントを定期的に整理
• 重要な情報へのアクセス権限を設定

しかし、どれだけ注意していても人為的なミスをなくすことは困難です。十分気をつけていても、集中力の低下したタイミングなどで、ヒューマンエラーが発生しないとは限りません。そこで、メールの誤送信防止ツールなどを導入し、備えを万全にしておくことが、安心かつ賢明な判断ということになります。

情報セキュリティ対策で最優先すべきこと

情報セキュリティ対策で何を優先しなければならいのか、それは組織や状況によって異なります。例えば、運営するサービスに対するサイバー攻撃が行われた場合、重要なシステムがダウンして多くの利用者に影響を与えるものと、重要なサービスではなく利用者への影響が少ないものとでは、優先順位が異なります。また、影響の大きさと同時に緊急性の高いもの、例えば頻度の高い操作に不可欠なサービスが利用できない場合は、早急な対応が求められます。

これらのさまざまな要因を踏まえ、自社で情報セキュリティ事故が起こった場合に何を優先すべきかを、組織全体の視点から事前に見極める必要があります。被害を最小限に食い止めるための対策は、一つではありません。あらゆる事態を想定し、対策を講じることは重要な経営課題なのです。

情報セキュリティ事故も実にさまざまなものが発生していますが、ここ数年の脅威の種類に変化は見られません。IPA（独立行政法人 情報処理推進機構）が毎年公開している「情報セキュリティ10大脅威」を見ると、そのことがよくわかります。その2022年版と2023年版の上位5位を以下に挙げてみましょう。

脅威の種類は固定し順位のみが変動

上の表を見てもわかる通り、順位に変動はあるものの脅威の種類は同じです。ただし、手口は複雑化・巧妙化しており、従来の対策では防ぐことが困難という状況も起きています。

ランサムウェアは2021年から3年連続で1位にランクインしており、近年は被害が大幅に拡大しています。感染したパソコンをロックしたり、ファイルを暗号化したりして、身代金（ランサム）を要求するマルウェアの一種です。暗号化だけでなく、窃取した情報を公開すると脅して金銭を要求する「二重脅迫」や、さらなる攻撃や利害関係者に連絡するなどと脅す「四重脅迫」といった手口が登場するなど、年々巧妙化しています。

「標的型攻撃による機密情報の窃取」は、メールやWebサイトを通じて、不正な動きをするプログラムを侵入させ、機密情報の搾取やシステムの破壊などを行います。主な手口として取引先を騙った偽メールや、日常的に利用するウェブサイトを悪用するなどがあります。
「サプライチェーンの弱点を悪用した攻撃」は、ビジネスにおける企業間のつながりを悪用したサイバー攻撃の手法です。セキュリティ対策のレベルが低い子会社や取引先などの脆弱性を突いて、目的のターゲットに侵入します。

「テレワーク等のニューノーマルな働き方を狙った攻撃」も未だに上位にランクインしています。テレワーク用ソフトや公衆無線LAN、自宅のWi-Fi機器など、リモート接続の脆弱性を狙われ、ウイルス感染や情報漏洩が発生しています。
また、上位に「内部不正」がランクインしていることはショッキングな事実ですが、過失だけでなく故意による情報セキュリティ事故も考えられることを認識しておきましょう。

先ほど、人為的なミスについてはある程度気をつけることが重要という話をしましたが、外部からの不正アクセスに関しては、その手口が巧妙化するにつれ、人間によるチェックだけでは容易に防ぐことが難しくなっています。そこで活用したいのが、さまざまなセキュリティ対策ツールです。

セキュリティ対策ツール活用のすすめ

マルウェア攻撃の場合、侵入の防御や検知を行う不正アクセス防止ツールが活躍してくれます。万が一侵入された場合は、被害のあった端末をネットワークから切り離すなどの対策を行うことも可能です。最近は、AI解析など次世代の手法を駆使したセキュリティソフトも登場しています。

内部不正については、セキュリティ教育や罰則の規定をしっかり行うことはもちろん、事故や異常を通報しやすい体制を整えておくことも大切です。また、情報持ち出しの手段にはUSBメモリがよく使われますが、そうしたデバイスの利用制御、あるいはクラウドの利用制御などを、セキュリティ対策ツールによって行うことも欠かせません。

標的型攻撃に対しては、偽メールが起因となることが多いため、とにかく送信元が不明なメールは開けないことを徹底することが重要です。これも従業員に対するセキュリティ教育がポイントになってきます。また、このような標的型攻撃メールに備えた模擬のメールによる訓練も行うとよいでしょう。

テレワークなどを狙った攻撃に対して

自宅のWi-Fi機器では、パスワードが推測しやすいものに設定されているなど、攻撃を受けやすい状態であることが考えられます。また、カフェなどに設置された無料の公衆無線LANに似せて攻撃者が偽物を設置し、誤って接続した利用者のパソコンに対して攻撃を行うケースもあります。そこで、テレワーク勤務者はそのリスクを理解し、Wi-Fiのパスワード設定を定期的に見直すなど、確保すべきセキュリティレベルに応じた対応が求められます。

しかし現実問題として、すべてのテレワーク勤務者がこれを徹底するのは難しいでしょう。そこで管理者（企業）が、テレワーク端末における無線LANの脆弱性への対策を行う必要があります。勤務者の対応が不十分であることを踏まえて、暗号化やVPN（仮想専用回線。特定の人だけが利用可能な専用のネットワーク）環境の整備、マルウェア対策などを強化することが重要です。

ここからは情報セキュリティ事故の一例を紹介します。具体例を知ることで、よりリアルに対策の重要性を認識いただけるのではないでしょうか。

紛失による「情報流出」

まずは、従業員の気の緩みが引き起こしてしまった管理ミスの事例を紹介します。
地方自治体（市）から業務委託を受けていた事業者の従業員が、住民の情報の入ったUSBメモリを外部に持ち出し、立ち寄り先で鞄ごと紛失するという事故が起きました。USBメモリは暗号化されており、情報が流出したという事態には至りませんでした。市はこの事故を重く受け止め、データの持ち出しに対する規制の徹底、高い安全性を確保した搬送方法の導入、個人情報保護の重要性を周知するなどの対策に取り組みました。

事件やニュースになった事例

次に、事件や大きなニュースになった内部不正による情報漏洩の事例です。
ある通信会社を退職した従業員が、新サービスに関する情報を不正に持ち出し、ライバル会社に転職しました。機密情報を漏らしたとして、不正競争防止法違反の疑いで逮捕されたという事件が発生しました。
これは「手土産転職」と言われる内部不正による情報漏洩で、「情報セキュリティ10大脅威」の4位にランクインされています。正規の権限を付与されている従業員による故意の持ち出しは、通常のアクセス制御などで防ぐことは困難です。同社は情報管理の再強化や退職予定者のアクセス権限の停止と利用権限の強化、利用ログの監視システム導入などを実施しました。

また、大手自動車メーカーでは、子会社に取り扱いを委託していたユーザー向けのサービスに関連する個人情報が、約10年間外部から閲覧できる状態になっていたことが判明し、大きなニュースになりました。個人情報保護委員会は同社に対して問題点を挙げ、「適切な従業員教育の実施」「適切なアクセス制御の実施」「委託先に対する適切な監督」などを求めました。

このように情報セキュリティ事故に対する社会や人々の関心は高く、事件が及ぼす影響も計り知れないものとなりました。

相次ぐ「ランサムウェア」による攻撃

2023年に入って被害が拡大している「ランサムウェア」の事例を紹介します。
6月上旬、大手文具メーカーが、同社グループの情報システムに対してランサムウェアによる攻撃を受けたことを発表しました。基幹系の会計システムをはじめとする複数のシステムおよびパソコンで被害が生じました。
顧客や従業員に関する個人情報約186万件が流出した可能性があるとして、対象者への通知を行いました。実際には情報漏洩の可能性は低いとしつつも、不正アクセスの防止策を講じるとともに、適切な情報管理に対して外部の専門家と検討し、継続的な強化を実施するとしています。

また、同時期に大手製薬会社でもグループ会社のサーバーが暗号化されるというランサムウェアの被害を発表しました。同社では全社対策本部を設け、外部の専門家から助言を受けながら調査・復旧の対応をするとしています。

多発するマルウェア「Emotet」の脅威

最後は、視点を変えて、ひとつのマルウェアが多くの事故事例を引き起こしているケースを紹介します。2014年に初めて確認され、現在も被害が多発しているのが、Emotetというマルウェアです。

ある通信販売サイトでは、従業員に貸与したパソコンがこのマルウェアに感染しました。顧客のメール情報が流出し、その情報をもとに、ウイルスが含まれた不正メールが多数送信されました。ほかにも多くの会社のパソコンがEmotetの攻撃を受け、Zipファイルの転送や、なりすましメールの送信といった被害が報告されています。

Emotetはこれまでにも収束が報じられる一方で、すぐに活動再開が確認されており、常に新しい手口で攻撃を仕掛けてくるという特徴もあります。今後も警戒と対策を十分に行うことが必要です。

情報セキュリティを強化する仕組みの導入

ここまで述べてきたさまざまな事例から、情報セキュリティの重要性は十分認識いただけたのではないでしょうか。
社内の情報セキュリティを向上させるには、どのようなツールの導入が必要なのか。多くの製品やサービスがあるため、どれを選んでいいか迷うという方もいるでしょう。その際に判断の基準となるのが、業務フローをスムーズにしてくれるかという視点です。

情報セキュリティと業務効率化の両立

例えば、メルマガなど大量のメールの送信時に、宛先に誤ってCcを選択してしまっても、自動的にBccに変換することができれば、個人情報の流出を防ぐことができます。また、添付ファイルの暗号化をし忘れた際も、自動で暗号化してくれれば情報漏洩のリスクを減らすことができます。このように手間をかけることなくセキュリティ事故を防止できるかどうかは、ツール選びの重要なポイントです。単にメールの誤送信などを防ぐだけではなく、業務効率化にも有効かという点に注目しましょう。ビジネス上の信頼を失墜させるリスクを減らすとともに、業務効率の向上にもつながります。

さらに、そのツールが外部からの脅威に対しても備えが行き届いていれば、より万全です。近年はなりすましなど悪質なメールが巧妙化しているため、そうとは気づかずに返信してしまうことも考えられます。しかし、重要度の高い個人情報や機密情報などが含まれたメールを自動的に感知・通知してくれる機能があれば、ダブルチェックと同様の効果を得られ、情報漏洩を未然に防ぐことができます。
また、社内ネットワークへの不正なアクセスを感知し、自動的に遮断する機能が備わっていれば、ウイルス感染などの脅威から社内ネットワークを守ることも可能となります。

これまでは従業員の情報セキュリティに対する意識を高めるための工夫や、複数人による確認作業など、手間を増やすことでセキュリティの強化を図ってきました。しかし、時代はデジタル化によって急激な変化を遂げ、今や人が手間をかけることなく、情報セキュリティの対策が可能となっています。より高度化・複雑化するサイバー攻撃を防ぎ、情報をそして会社を守るためのツール導入はもはや待ったなしの状況といえるでしょう。

ここまで、情報セキュリティ事故の具体例を見ながら、企業としての正しい対処法などを紹介してきました。すでにご存じのように、コンピュータウイルスは年々新しいものが登場し、サイバー攻撃の手口も巧妙化しています。これまで安全だった情報セキュリティ対策が、これからも安全だとは限りません。また、人為的なミスによる事故も、「まさか」と思うようなタイミングで起きます。企業の経営者としては、社内外のさまざまな脅威に対して、しっかりと備えておくことが大切です。

私たちサクサは、こうした情報セキュリティ対策において、みなさまのお役に立ちたいと考えています。中堅・中小企業の課題解決を支援する「SAXA-DXサービスプラットフォーム」により、新たなサービスを提供してまいります。ぜひ、お気軽にお問合せください。