DX(デジタルトランスフォーメーション)を推進するうえで、必ず突き当たる壁がセキュリティリスクに関する問題です。
近年、クラウドシステムを利用した情報のオンライン化や、リモートワークが拡大する一方、セキュリティシステムの整備が追いついておらず、情報漏えいが発生するリスクは高まるばかりです。
情報漏えいは企業の規模に関係なく、いつでも発生するリスクがあり、一度起こってしまうと、信頼の低下など企業にとって甚大な被害に繋がる可能性があります。
そこで今回は、注意喚起の意味を込めて、過去に発生した情報漏えいに関する3つのニュースを紹介し、このような事態がなぜ起こったのかや、考えられる対策についても解説します。
DX推進に関わるセキュリティリスクへの対策として、どうぞ参考にしてください。
DX推進によるセキュリティ上のリスク
DX推進はデータとデジタル技術を活用し、顧客や社会により良い価値を提供することによって市場での競争優位性を得るために、業務の効率化や新しいビジネスモデルの創出を目指します。
今後のデジタル社会を生き抜いていくためには必要不可欠な施策であり、企業の規模や業界を問わず取り組みべき課題だと言えます。
しかし、現代ビジネスにおいてそれと同等か、場合によってはそれ以上に重要になってくるのが、セキュリティ対策です。
2018年に経済産業省から発表されたDXレポートを契機に、日本でも多くの企業が自社の状況や計画に合わせて、事業や業務プロセスのデジタル化などといったDX推進を行ってきました。
しかし、同レポートにおいて警鐘が鳴らされた「2025年の崖」を乗り越えるために着実にDXを進める企業は一部であり、多くの企業が「自社には関係ない話」と政府の呼びかけと一部企業で進んでいたDX推進の流れを傍観していたというのが日本の現状だったのです。
ところが、新型コロナウイルスの感染拡大により、これまでDXに消極的だった企業を含めて、多くの企業が強制的にDXを進めていかなければいけない状況になってしまいました。
その典型的な例が、コロナ禍に政府から要請された出勤者の大幅削減への協力やリモートワークの推進です。
その他にも、コロナによる消費動向の変化や取引先の体制の変更などに伴って、様々な面でこれまでにはない対応が十分な準備期間もない中で迫られました。
本来であればDXを推進する前に、デジタル情報の取り扱いに関して十分に検討し、事前に対処しておくべきセキュリティ問題が山のようにあります。
- 第三者からのコンピュータへの侵入や攻撃、データ流出や改ざんのリスク
- クラウドデータの脆弱性
- 社員へのセキュリティに対する意識向上の教育
- 業務上の情報流通の仕組みを精査・問題への対処
これだけの準備をしていたとしても、それだけで安全とは言い切れないのが、現代のインターネットを介したセキュリティの難しさです。
しかし、それにもかかわらず、今の日本の現状を見るとコロナ禍などの影響によって多くの企業が、急激にデジタル化への対応やリモートワークの整備を迫られた結果、その対策だけで精一杯になっています。
そして、セキュリティリスクへの対応は後回しになっているのです。
このことを裏付けるかのように、セキュリティリスクの中でも特に重大な「情報漏えい」に該当する事故の発生件数は、新型コロナウイルスの感染が拡大した2020年以降、急激な増加傾向にあります。さらに、その後も発生件数は増え続け、現在でも件数としては過去最高を更新し続けているのが現状です。
情報漏えい事例3選
前述の通り、コロナ禍をきっかけとしたリモートワークなどDX施策の広がりに比例して、情報漏えいの発生件数は2020年を境に急激に増加しました。
前年を上回り過去最高となった2021年に引き続き、2022年も多くの情報漏えいや情報の紛失事故が発生しました。
ここでは、中でも特に印象に残る情報漏えいにまつわるニュースを3つご紹介します。
SNKRDUNK|不正アクセスによる270万件の情報漏えい
情報漏えいが発生する原因として最も多いのが、外部からの不正アクセスやウイルス感染です。
まずは十分な不正アクセスの対策を講じていなかったことが災いし、多大な被害を及ぼす可能性があった事例をご紹介します。
「SNKRDUNK(スニーカーダンク)」は、スニーカーをオンライン上で売買できるECサイトで、株式会社SODAが運営しています。
2022年6月7日、「SNKRDUNK」のデータベースに不正アクセスがあったことが発覚。確認を行った結果、顧客の個人情報270万件が漏えいしている可能性が判明しました。
漏えいした可能性がある情報は以下の通りです。
- 氏名
- 生年月日
- メールアドレス
- 住所
- 電話番号
- 購入情報
- 口座情報
- パスワード
株式会社SODAの内部調査の結果、この顧客情報の流出は、不正リクエストに反応してしまうシステムの脆弱性が原因であることが判明しました。
その後、同社は、個人情報保護委員会に本件に関して報告し、警察署に対しても第一報と被害相談を行いました。
また、被害の拡大防止に向けて次のようなシステム・セキュリティ強化策を行うことを発表しました。
引用:不正アクセスによるお客さま情報漏えいに関するお詫びとご報告(08.23追記)/SNKRDUNK公式ホームページ
- 社内及び外部機関による定期的な脆弱性診断の実施
- 不正アクセスに対する監視システムの導入及び監視体制の強化
- アプリケーションの脆弱性を検知する静的解析を開発手順へ導入
SODAの報告によれば、結果的に本事案に関する個人情報の不正流失・利用などの被害は確認できていないものの、顧客の大切な情報が漏えいした可能性があるという本事案は決して軽視できるものではなく、企業に対する信頼を失いかねない事態となりました。
不正アクセスのリスクは、ECサイトを運営している企業だけではなく、オンラインでサービスを提供している企業や、リモートで業務を進めているすべての企業が抱えています。
株式会社SODAの事案におけるセキュリティ対応の課題は、主に次の2つです。
- 不正なリクエストに対するレスポンスにデータベース内のデータが含まれていた
- 事前に不正アクセスを防ぐためのツールであるWAF(Web Application Firewal:WEBアプリケーショの脆弱性をついた攻撃へ対するセキュリティ対策のひとつ)が導入されていなかった
不正アクセスのリスクを減らすためには、定期的な脆弱性の診断、不正アクセスをブロックするツールの導入、不正アクセスの監視体制の強化などを実施することが重要です。
不正アクセス被害にあった企業が事後的に行った対応は、本来であれば「被害に遭う前に」行うべきものであったと考えられるため、自社のセキュリティを考える際の他山の石としてください。
And Doホールディングス|退職者の不正持ち出し
情報漏えいは外部からの不正アクセスだけではなく、社員やパートナー企業など内部の故意による犯行で発生する場合もあります。
いくら外部からのセキュリティを強化したところで、内部で犯行を起こさせない仕組みを設計しなければ、セキュリティ対策は万全とは言えません。
東京証券取引所プライム市場の所属企業である株式会社And Doホールディングスは、不動産販売大手「ハウスドゥ住宅販売」事業を展開しています。
And Doホールディングスで発生したのが、まさに内部のスタッフによる情報漏えい事件です。
同社の子会社で支店長を務めていた元従業員が、退職に際して64件の個人情報や営業資料を転職先の不動産会社にメールで無断送信。さらに、外部サーバーにデータをアップロードして、転職先のパソコンでダウンロードした疑いで逮捕されました。
この事件の原因としては、個人の判断で社内情報を無断に持ち出せてしまうなどセキュリティ体制が脆弱であったことに加えて、会社や社会への迷惑を考えることができない、個人のモラルの低さがあったと考えられます。
同社はホームページで「従業員に対するコンプライアンスの徹底および社内管理体制の強化により、再発防止に努めてまいります。(引用:当社子会社の元従業員の不正行為について/&DO HOLDINGS公式ニュースリリース)」とのコメントを発表しました。
内部の人間が意図的に情報を持ち出そうとするケースを、完璧に防ぐことは極めて困難ではありますが、不正による情報漏えい対策として効果的な方法として以下のようなものがあります。
- 端末やデータベースのアクセス制限
- 従業員が働きやすい環境の整備
- セキュリティマニュアルの作成
- 定期的なリテラシーテストによるコンプライアンス強化
内部からの情報漏えいを防ぐためのセキュリティ対策としては、持ち出しにくくするシステムの設計だけではなく、経営者や従業員など、情報を扱う「人」の意識を強化していく必要があるでしょう。
尼崎市|46万人の個人情報が入ったUSBを飲食店で紛失
ヒューマンエラーによる情報漏えいは、故意だけでなく、不注意による操作ミスなど過失が原因で発生する場合もあります。
ヒューマンエラーをゼロにすることは事実上不可能なので、エラーが起きても情報漏えいが発生しにくい体制を構築する必要があるでしょう。
また、大切なデータを預かり、管理することへの担当者の意識も大きな問題です。
その意識が書けていた結果、起きてしまった事案として顕著な例をご紹介します。
2022年6月、兵庫県尼崎市から給付金事務を委託された企業の関係社員が、データ移管作業のためUSBメモリに必要な情報を入れてカバンに保管したまま、飲食店に立ち寄り、USBメモリごとカバンを紛失したことが判明しました。
USBメモリの中には、全市民の住民基本台帳の情報(約46万人)、住民税に関わる税情報(約36万件)、給付金に関する情報(約7万世帯)など、あまりにも多くの情報が入っていたため、各メディアでも重大なニュースとして取り上げられました。
尼崎市は、この事件が起こった原因として次の3点を挙げています。
- 受託者がデータ持ち出しの際、運搬方法を含む具体的手法について尼崎市に許可を得ておらず、同市も持ち出しに際しては許可を得るべき旨を徹底していなかった
- データを持ち運ぶ際、運送会社のセキュリティ便などを利用せず個人が持ち歩いた
- 重要な機密データであるUSBメモリを持ったまま飲食店に立ち寄った
また、今後の対応について尼崎市は、次の3つを徹底するように発表しました。
- USBメモリーなど電子記録媒体を持ち出す場合は運搬方法を含め許可を得る仕組みの導入
- データを暗号化するなど、情報セキュリティ対策の実施
- 複数人での配送や運送会社のセキュリティ便などの利用
企業や団体にとって重要な情報データを扱う際には、「うっかりミスをして情報を漏えいしてしまった」と釈明するだけでは済まされません。
信頼を失うことで企業や団体の不利益になるだけでなく、尼崎市のケースのように、市民や顧客の個人情報が流出してしまえば、重大な被害に繋がる場合があります。
個人情報を扱う重要性を1人ひとりが認識して業務にあたることは当然ですが、組織としても個人に任せるのではなく、エラーが発生しないルールや仕組みを設計して運用することが重要です。
The post 【DXセキュリティ】情報漏えい事件に見る原因と企業が取るべき対策 first appeared on DXportal.
