정보 보안 사고는 무엇입니까?
5 건, 대책, 대책 등의 모든 요약

情報セキュリティ事故とは、外部からのサイバー攻撃や不正アクセス、内部不正による情報漏洩などを指します。デジタル化や通信手段の発展によって、企業だけでなく個人でもコンピュータやネットワークの利用が日常的に行われるようになりましたが、これに伴い情報セキュリティ事故の発生が増加しています。

情報セキュリティ事故が起きてしまうと自社はもちろんですが、その影響の範囲は取引先、顧客、さらに二次被害にあう可能性のある第三者にまで及びます。情報セキュリティ事故の防止は、企業における重要課題です。これらを防ぐための第一歩として、事故の原因や対策方法を理解することが肝要です。

情報セキュリティ事故が発生する原因にはどのようなものがあるのでしょうか。大きく分けて、外部要因と内部要因に分けられます。外部要因はいわゆる「サイバー攻撃」と呼ばれるもので、内部要因は主に従業員などの故意や過失によって生じます。

〈外部からの攻撃によるもの〉

●マルウェア感染

フィッシングメールや悪質な偽サイトなどさまざまな感染経路から、マルウェアが仕掛けられたファイルなどをダウンロードして感染が広がります。近年猛威をふるうサイバー攻撃「ランサムウェア」もマルウェアの一種です。

●不正アクセス

부적절하게 ID 및 비밀번호를 얻으십시오脆弱性を突いてハッキングするなどの手口で、システムやデータベースに侵入し、データの改ざんや情報の窃取を行います。

● DOS 공격

많은 양의 데이터를 보내 서버 또는 웹 사이트에 액세스를로드하여 액세스를 차단하고 네트워크 실패를 유발합니다 대상 회사는 사회적 피해뿐만 아니라 재정적 손상을 입을 것입니다

●サプライチェーン攻撃

ビジネスにおける企業間のつながりを悪用したサイバー攻撃の手法です。セキュリティ対策のレベルが低い子会社や取引先などの脆弱性を突いて「踏み台」とし、ターゲットの企業などに侵入します。

〈内部の故意または過失によるもの〉

●情報漏洩

従業員が不正に機密情報や個人情報にアクセスし、外部に流出します。転職の際に持ち出して悪用する場合もあります。

●アカウントの乗っ取り

社内のネットワークの管理者など権限を持つ人のアカウントを盗み出し、管理者になりすましてデータの窃取や改ざんなどを行います。

●メール誤送信

メールアドレスや添付ファイルを間違えるメールの誤送信によって、機密情報や個人情報が外部に流出します。メールマガジンなどの設定ミスにより、すべてのメールアドレスが閲覧できる状態になるケースもあります。

●紛失・盗難

컴퓨터 및 스마트 폰과 같은 장치의 손실 또는 도난 또는 USB 메모리와 같은 스토리지 미디어情報漏洩が発生します。個人情報が入った記憶媒体を紛失するケースは特に多く、たびたびニュースなどにも取り上げられています。

情報セキュリティ事故が発生すると、事故そのものの被害だけでなく、顧客や取引先などにも被害が拡大する恐れがあります。金銭的な被害に加え、信用を損なうこともあります。

大規模な被害が生じるサイバー攻撃

サイバー攻撃による情報の漏洩、紛失、あるいは改ざんなどの情報セキュリティ事故が生じると、自社だけでなく取引先の企業やその顧客などに被害が及ぶ可能性があります。さらに、インターネットを通じてまったく無関係の第三者にも被害が拡大する恐れがあります。
企業は関係先への連絡、謝罪はもとより、情報拡散の防止、保全対策など、復旧活動に奔走する必要があります。その費用は事故の規模に比例して大きくなり、損害賠償などによって会社が存続の危機にさらされる可能性も考えられます。社会的な信用を失い、最悪の場合は事業免許の取り消しに至ることもあります。

業務の停止などによる経済的損失

マルウェア악의적 인 프로그램 (일반 용어)에 의해 공격이 이루어 지거나 회사 내의 과실로 인해 중요한 암호가 유출되면 비즈니스 자체가 중단 될 수 있습니다 오늘날 네트워크 인프라가 마련되어 있으면 전자 메일 전송 및 리셉션 중지 및 웹 페이지가 닫히는 것이 영향을 미칩니다 이로 인해 원래 비즈니스 활동을 통해 달성 한 이익을 얻을 수 없기 때문에 큰 손실이 발생합니다
事故を起こした企業は、迅速に事故の原因究明をしなければなりません。そのうえで対策費用、改善費用といったコストがかかり、経済的な負担も大きくのしかかってきます。

ここからは情報セキュリティ事故の事例を5つ紹介します。具体例を知ることで、よりリアルに対策の重要性を認識いただけるのではないでしょうか。

사례 1 : 중요한 데이터를 포함하는 USB 메모리 손실

지방 정부 (도시)가 의뢰 한 사업의 직원이 외부 거주자의 정보를 포함하는 USB 메모리 스틱을 가져 와서 정지시 가방을 잃어버린 사고가 발생했습니다 USB 메모리가 암호화되고 정보가 유출되지 않았습니다 시는 사고를 심각하게 받아들이고 데이터 수집에 대한 엄격한 규정, 매우 안전한 운송 방법 도입, 개인 정보 보호의 중요성에 대한 대중의 인식과 같은 조치를 취했습니다

事例2：従業員による情報の不正持ち出し

ある通信会社を退職した従業員が、新サービスに関する情報を不正に持ち出し、ライバル会社に転職しました。機密情報を漏らしたとして、不正競争防止法違反の疑いで逮捕される事件が発生しました。これは「手土産転職」と言われる内部不正による情報漏洩で、正規の権限を付与されている従業員による故意の持ち出しは、通常のアクセス制御などで防ぐことは困難です。同社は情報管理の再強化や退職予定者のアクセス権限の停止と利用権限の強化、利用ログの監視システム導入などを実施しました。

事例3：委託先の過失による個人情報漏洩

大手自動車メーカーで、子会社に取り扱いを委託していたユーザー向けのサービスに関連する個人情報が、約10年間外部から閲覧できる状態になっていたことが判明し、大きなニュースになりました。個人情報保護委員会は同社に対して問題点を挙げ、「適切な従業員教育の実施」「適切なアクセス制御の実施」「委託先に対する適切な監督」などを求めました。

事例4：相次ぐ「ランサムウェア」による攻撃

2023年6月上旬、大手文具メーカーが、同社グループの情報システムに対してランサムウェアによる攻撃を受けたことを発表しました。基幹系の会計システムをはじめとする複数のシステムおよびパソコンで被害が生じました。顧客や従業員に関する個人情報約186万件が流出した可能性があるとして、対象者への通知を行いました。実際には情報漏洩の可能性は低いとしつつも、不正アクセスの防止策を講じるとともに、適切な情報管理に対して外部の専門家と検討し、継続的な強化を実施するとしています。

사례 5 : 빈번한 맬웨어의 위협 "Emotet"

ある通信販売サイトでは、従業員に貸与したパソコンがこのマルウェアに感染しました。顧客のメール情報が流出し、その情報をもとに、ウイルスが含まれた不正メールが多数送信されました。Emotet は2014年に初めて確認され、現在も被害が多発しているマルウェア51583_52503

万が一、情報セキュリティ事故が起きてしまった場合には、迅速な対応が求められます。対応が遅くなるほど被害が拡大するため、事前に事故発生に備えて体制構築を行います。そのうえで、事故が起きた際には早急に上司や担当部門などに報告し、適切な処置を施すことが重要です。

●事故発生時の対応方法

事前に体制やルールを決めていても、実際に情報セキュリティ事故が起きると手順通りにはいかないこともあります。例えば、復旧のために業務をいつまで、どの範囲まで止めるのかなどの判断は、担当部署や担当者ではなく、経営者の判断が求められます。

情報セキュリティ事故を防ぐために必要な対策にはどのようなものがあるでしょうか。企業・個人でそれぞれにできる対策方法を以下にまとめました。

企業、個人でできる対策はいずれも日ごろから意識して行うことが重要です。特に、従業員への情報発信や研修の実施、適切なツールの導入は、リテラシーを高めて過失による事故の発生を減らすことに加え、生産性の向上にもつながります。

ここまで、情報セキュリティ事故の原因とそのリスク、情報セキュリティ事故の事例、企業および個人ができる対策方法などを紹介してきました。すでにご存じのように、コンピュータウイルスは年々新しいものが登場し、サイバー攻撃の手口も巧妙化しています。これまで安全だった情報セキュリティ対策が、これからも安全だとは限りません。また、人為的なミスによる事故も、「まさか」と思うようなタイミングで起きます。企業の経営者としては、社内外のさまざまな脅威に対して、しっかりと備えておくことが大切です。

サクサは、課題解決のための最適な提案を通して、中堅・中小企業のサポートをさせていただきます。ぜひお気軽にご相談ください。
また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。