2018年3月21日、アメリカFacebookが5000万人ものFacebook利用者のデータが不正利用されたと明らかにし、世界中を震撼させました
これは正確には不正アクセスによる情報漏洩ではありませんが、多くの人が「情報」に対する認識を改める契機として受け止めています。

被害規模の大小を問わず情報漏洩が発生してしまう昨今、企業はどのようにこれを防いでいけばいいのでしょうか。
また、もし実際に情報漏洩を起こしてしまったらどのような処理が必要になってくるのでしょうか。
そもそも、守るべき情報とはどこからどこまでを指すのでしょうか。
今回は具体的な事例を絡めて解説していきたいと思います。

目次

1.そもそも情報漏洩とは?
2.「情報」のボーダーライン
3.情報漏洩のスタートは何があるのか
4.損害は金額だけではない
5.発覚している情報漏洩はほんの一部
6.企業を支える1人として知るべき「情報漏洩の保険」
7.情報に携わるなら知るべき情報セキュリティマネジメント試験の意義
8.変化する時代に即した情報管理のあるべき姿

そもそも情報漏洩とは?

情報漏洩および情報流出に対する理解を深めるために、まずは先ほどのFacebookの例を詳しく見てみましょう。

事の発端は2014年ごろに、とある情報コンサルティング会社が開発したアプリにあります。
このアプリを利用してFacebookに投稿したユーザー、あるいはこのアプリを利用した投稿に「いいね!」をしたユーザーの情報が不正利用されたのですが、実はこの情報の流れ方自体は、アプリの制作時に想定されていたものでした。

言い換えると、Facebook上の仕様として【データの可搬性】の名のもと、公に運用されていたのです。
現在ではFacebookのポリシーも変更され、このようなデータ収集が可能なアプリはないとされていますが、それでもこの情報が2016年の大統領選に不正利用された可能性があることや、Facebookが実名登録を旨とするSNSであることなどから、ユーザーは多大な危機感を抱くこととなり、センセーショナルな話題として世界を席巻しています。

一方で国内の事例に目を向けると、2018年4月14日、全国でプレミアム・アウトレットを展開している三菱地所がメールマガジン配信用に会員登録として保管していたID/パスワードを、合わせて27万人分流出させていたことを発表しました。
これを発見したのは外部のセキュリティエンジニアで、原因はいまだ調査中ですが、不正アクセスであるとの見方が強いです。

このように大きな情報漏洩の他、2018年4月時点だけでも数多くの情報漏洩事例があり、またその手口も多様化しています。
セキュリティ対策に力を入れているであろう大企業であっても問題の発覚が絶えず、やはり万全な対策などは存在しないものである、と改めて実感させられます。

「情報」のボーダーライン

さて、いきなりですが次の8項目の中で、個人情報に含まれるものはどれでしょうか。

①ユーザーID
②名前
③生年月日/性別
④住所
⑤電話番号
⑥メールアドレス
⑦パスワード
⑧クレジットカード情報

「個人情報」としてのボーダーはさまざまで、また個人情報の基準となる認定プログラムによって各委員会などの定める機関で多少異なってきますが、もしこの記事を読んでいる方がセキュリティに携わっているのなら、「全て」と答えてほしい質問です。

一般的には、①ユーザーIDまでは保護すべき個人情報と定めていないことも多いのですが、情報リテラシーの低い人物がよくユーザーIDを少し変えただけのものをパスワードとして利用している現状を考えれば、十分に辞書形攻撃の道具としてとらえることができます。

過去の裁判の判例において2004年に発生したYahoo!BBの個人情報漏洩事件では、裁判にて氏名や住所なども保護すべき個人情報だと示されました。
結果として、1人あたり6000円の損害賠償を命じたという重要な判決にもなっています。

また、当サイトでも以前紹介していますが、2014年のベネッセコーポレーションの顧客情報流出事件では、個人情報は「不正利用されずとも流出そのものが被害である」との考え方が示され、ベネッセ側の実質勝訴となった高裁判決に対して最高裁が破棄を命じ、大阪高裁に差し戻す決定が昨年10月に出るなど、個人情報保護に関して企業が果たすべき責任というのは大きくなっています。

技術的な方面から情報漏洩事件の歴史を見てみると、2016年1月、情報セキュリティ業を営む株式会社アークンが自社の顧客情報を不正アクセスによって抜き取られたのみならず、この事実を公表されたくなければ金を支払え、と恐喝までされるという事件が起きました。

そして驚くべきことに、この脅迫状が届くまで、アークンは情報が流出していることに気づいてすらいませんでした。

餅は餅屋と言いますが、セキュリティ業界の専門家であるべき企業にもかかわらず攻撃を受け、その上、その流出に気づいたのが犯人からの脅迫状という顛末です。
これは一見するとお粗末にも見えますが、それ以上に、プロであってもこうした攻撃を100%防ぐのは難しい、という事実を示唆しています。

BtoB/BtoCの業態にかかわらずすべての企業組織が、これらの事例を対岸の火事としてとらえずに、個人・法人等の情報に対する意識を高めていく必要があるのではないでしょうか。

情報漏洩のスタートは何があるのか

こうした情報漏洩の入り口としてもっとも多いのが、マルウェアや不正アクセスなどによるサイバー攻撃です。

抜き取られた情報は、悪意ある第三者によって売買されたり恐喝のネタにされたり、搾取されたアカウントによるサービスの不正利用などに用いられます。

対策としては、とにかく自社サービスのセキュリティを担保することです。
常に最新情報の収集と改善のサイクルを回し続け、自社のセキュリティ状況を最新の状態にしておくことが欠かせません。
一般的な会社には、営業や事務など多くの仕事があるかと思いますが、この「自社のセキュリティを担保する」という仕事はセキュリティ担当者にしかできない仕事であり、腕の見せ所でもあります。

次に多いのが、社内にいる人物、あるいは社内にいた(辞めた)人物が、在籍中に知りえた情報を悪用し自社に損害を与えたり、転職先である同業他社への手土産として持ち出したりするケースです。

これは内部の人物による情報漏洩ですので、防ぐためには社員や関係者への情報リテラシー教育を徹底することが一番です。
また並行して、入社時や機密情報を扱う際に、その取扱いに関する強固な契約を結ぶ、という手段も有効です。

どういった行動が情報流出に当たるのかを明確にすることで、流出の代償やデメリットを強く意識させ、心理的に歯止めをかけるという効果があります。
情報リテラシー教育と心理・法的圧力の両面から情報流出を防ぐための順法精神を育てていきましょう。

損害は金額だけではない

冒頭のFacebookの場合、情報が不正利用されたというニュースが駆け巡ったその日だけで、株価が7%近くも暴落し4兆2500億円もの資金が吹き飛び、最終的には8兆円以上の時価総額が下落しています。

しかし、被害はそれだけではありません。
多くのユーザーがサービスの根幹である実名登録に危機を感じ、今後の成長さえも鈍化させかねないような状況なのです。
また、株式会社アークンの事例のように情報セキュリティ業を営んでいる会社が情報を漏洩されてしまった場合は、補償費用だけでなくそのブランドにも傷がつきます。

こうした状況から自社に対する信頼を回復させるには、どうしたらいいのでしょうか。

情報漏洩処理のモデルプランは、
発覚→調査→補償→対策→報告
という順になります。

一般的には【補償】がもっとも周囲から注目されがちです。
確かに漏洩させてしまった情報の持ち主たちに対しての補償も大事なのですが、同等以上に重要なのが情報流出に対する【調査】です。

具体的には
 「なぜ情報流出が起こってしまったのか」
 「その目的とは何なのか」
 「流出した情報はどんな扱いをされる可能性があるのか」
これらをしっかりと調査したうえで、今後の【対策】に至るまでをきちんと整理し、発表するということを指します。

これは信頼回復への第一歩であると同時に、情報流出の手段や手口について身をもって経験した会社の義務でもあります。

ちなみに2018年1月、九州商船株式会社から「非常に質が高い」として情報セキュリティ界隈をざわつかせた不正アクセス事例に関する調査報告書が発表されました。

九州商船が受けた不正アクセスの内容は、結果としては仮想通貨のマイニングを目的としたもので、最終的に情報流出の形跡は無いと結論づけられたのですが、 
 「なぜ不正アクセスが発生してしまったか」
 「このアクセスの目的をマイニングだと断定した根拠は何か」
 「この結論に至るまでにどのような情報の解析が必要だったか」
 「今後に向けての対策」
などが非常に細かく記載されており、その質の高さが評価されました。

セキュリティに携わる人はもちろん、そうでない人でも一度は目を通してもらいたい報告書であると考えます。
 「ここまで詳しく公表する意味があるのか」
 「ぼやかされている部分があるのではないか」
など、若干の難点もありますが、セキュリティ情報を社会全体で共有する、という点においては非常に有用であり、見本となるべき報告書の1つであることは間違いありません。

発覚している情報漏洩はほんの一部

三菱地所プレミアム・アウトレットの情報流出でもそうでしたが、情報の流出が判明するのは外部からの通告によるものがほとんどだといえます。
裏を返せば、ある程度の期間は流出に気づかれることなく情報を悪用できるという事だともいえます。

これは、世の中には膨大な量の情報が世界中で日々更新され続けているためで、その中で情報流出を発見するためには、不正アクセスの痕跡を発見するか、世界中に分散しているデータを詳細に調べなければならないからです。

しかし現実的に、そのような調査は不可能だといえるでしょう。
そのため、外部からの通告で気づく割合が多くなってしまうのです。

2016年に日本ネットワークセキュリティ協会(JNSA)から発表された「情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」では、過去10年の情報漏洩件数等が紹介されており、インターネット上にて収集されただけでも情報漏洩事例の公開が1日あたり5件以上あるとされています。

これはもちろん国内だけの情報で、IBMが発表している「IBM X-Force Threat Intelligence Index」の国外における情報漏洩の記録を加味すれば、さらに件数が跳ね上がります。
ユーザーIDの流出だけなら、1日に10~数100件もの流出があると見てよいでしょう。

また、統計的には、発見されている情報流出は10パーセント未満だという数字もあります。「BREACH LEVEL INDEX」が作成している情報漏洩インデックスデータベースにて実際に発見および報告されている件数と漏洩データになっているデータとの乖離からも明らかです。

セキュリティ担当者はこのことを常に意識し、いつ狙われてもおかしくない、という事を忘れないようにしましょう。

企業を支える1人として知るべき「情報漏洩の保険」

一度情報漏洩を起こしてしまうと、【調査】や【補償】、【対策】が必要になります。

しかし、高度に専門的なセキュリティのプロがいるような会社でなければ、この工程を自社内だけで完結することは極めて難しいといえます。

そのため、セキュリティコンサルタントを招聘し指示を仰ぐことになるのですが、この依頼料も含めて全ての費用を合わせると、小さな企業であれば致命傷となりかねないほどの膨大な金額になりかねません。

これを防ぐためにあるのが、情報漏洩に対する保険です。

保険のシステムにもよりますが、流出させてしまったデータの補償にかかる費用からコンサルタント料までをカバーしてくれるものが一般的で、万が一の際の最後の砦となり得ることでしょう。

サイバー攻撃リスクの向上に伴い、現在ではさまざまな損害保険会社からこの類の保険が出ていますので、普段から付き合いのある保険会社に聞いてみるといいかもしれません。

情報に携わるなら知るべき情報セキュリティマネジメント試験の意義

このサイトでも以前紹介したことのある情報セキュリティマネジメント試験ですが、情報リテラシーに関する非常に興味深い問題が多数出ていることで有名です。

この試験は「マネジメント」という言葉のとおり、部門を監督するものとして必要な考え方や知識を問うもので、実際に部下が情報流出をさせてしまったときの対応など、あまり想像したくない状況に関する問題もあります。

どのくらいひどい状況下に関するものかは過去問などを見てもらえればわかるのですが、ここで重要なのは「その問題は実際に起こりうる事例の延長線上にあるものだ」ということです。

外部からの攻撃による情報流出だけでなく、内部の人間による情報流出を防ぐという観点からも非常に役立つ問題ばかりですので、受験を視野にいれるのも良いでしょう。

変化する時代に即した情報管理のあるべき姿

毎日のようにゼロデイ攻撃が発見され、「完璧かつ万全なセキュリティなどない」と言われる現代。
これは決して誇張ではなく、どんなに対策していたとしても絶対大丈夫という事はありません。

また、規模が小さいからという理由も対策を怠る理由にはなりません。
どんなに小さい会社であってもそこは取引先などの個人情報の宝庫ですし、むしろセキュリティが甘いこともあるので格好の的ともいえるでしょう。

 「うちはどこどこのソフトを入れているから問題ない」
 「うちなんか狙ったってどうにもならないだろう」
…こんな考えをしているところに、いきなり攻撃を受けて情報を流出させてしまったら、あっけにとられているうちに廃業を迎える、という事も大いに起こりえます。

常にどのようにして防ぐか、あるいは起きてしまったらどうすればいいか、という事をシミュレーションしつつそれに応じた準備を進めていかなくてはなりません。

こうした対策というのは、本来的には経営者の義務ですが、多忙や詳しくないなどの理由で経営者が策定することが不可能な場合も存在します。
そのような時に、社内で唯一サポートできるのがセキュリティ担当者なのです。

セキュリティ担当者は情報資産の管理だけをしていれば良い、という時代はすでに終わりました。
今のセキュリティ担当者に求められていることは、常に未知の脅威をにらみながら、いかにそのリスクを減らしていくかを考え「会社を守る」ための大きな存在になること。

自社の名前が明日の流出リストに載らないためにも、今日から考え始めることが必要です。