宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
情報漏洩またはデータ漏洩とは、組織内から意図せずにセンシティブなデータが公開されてしまった場合に発生します。データ漏洩は、デジタルデータの漏洩、インターネットで送信できるものと USBメモリやHDDドライブなどの物理的データの両方のパターンを指します。
・デジタルデータの情報漏洩:クラウドサービス上などのインターネットにあるデータが漏洩
・物理的データの情報漏洩:USBメモリやHDDドライブなど物理的に管理してるデータが漏洩
ここでは、データ漏洩が発生する原因と、データ漏洩の深刻度合、発生を防ぐ対策方法について詳しく説明します。
情報漏洩(データ漏洩)とデータ侵害の違い
まず冒頭でも紹介しましたが、データ漏洩は、情報漏洩とも日本では使われています。
データ漏洩(情報漏洩)とデータ侵害という用語は、同じ意味で使用されることがよくありますが、同じ意味ではありません。データ漏洩(情報漏洩)とデータ侵害の主な違いは、データ漏洩は、過失、見落とし、脆弱性によって、意図せず個人情報などのセンシティブデータが公にさらされた場合に発生するのに対し、データ侵害は、サイバー犯罪者により許可なく個人情報などのセンシティブデータにアクセス、盗難、使用された場合に発生することです。
データ漏洩は、意図的に発生するデータ侵害とは異なり、通常、悪い意図なく、偶然に発生します。データ漏洩(情報漏洩)やデータ侵害を、自宅の不法侵入に置き換えて考えてみましょう。データ漏洩(情報漏洩)は、ドアに鍵をかけるのを忘れたり、侵入者が最初に探すであろう玄関マットの下に予備の鍵を置いたりすることで、鍵の場所がわかり侵入されてしまうことです。一方、データ侵害は、誰かが強制的に玄関を開けたり、窓を壊したりして、窃盗を犯すことです。どちらのシナリオでも、家は強盗に遭ってしまいますが、それが起こる方法が異なることです。
これが情報漏洩(データ漏洩)とデータ侵害の違いになります。
情報漏洩(データ漏洩)が発生する原因とは
データ漏洩(情報漏洩)は、安全に保存していないパスワード、ソーシャルエンジニアリング攻撃によって自らデータを公開してしまったり、ソフトウェアの脆弱性、またUSBなどデバイスを落としてしまうなどの紛失によって発生する可能性があります。
安全でないパスワードの保存方法
パスワードを安全に保存しないなどのパスワードの保管が不十分な管理だと、データ漏洩の原因となる可能性があります。安全でないパスワードの保存には、スプレッドシートや付箋にパスワードを保存することなどが挙げられます。パスワードの保存方法が安全でないと、付箋の置き忘れや、スプレッドシートを間違った個人と誤って共有することで、第三者の目についてしまい、個人情報などのデータ漏洩が起こりうる可能性があります。
ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリング攻撃は馴染みない人もいるかと思いますが、簡単に説明すると、なりすましメールなどが有名です。
フィッシングや CEO 詐欺などのソーシャルエンジニアリング攻撃も、データ漏洩の主な原因です。ソーシャルエンジニアリングとは、サイバー犯罪者がメール、テキストメッセージ、電話などで被害者を心理的に操作して、何かを行ったり、個人情報を提供したりさせることです。サイバー犯罪者は、友人、家族、同僚、上司など、被害者が知っている人を装うことがよくあります。被害者は、知っている人と接触していると信じているため、サイバー犯罪者に個人情報などのセンシティブデータを送信してしまい、情報漏洩の原因となる可能性があります。
ソーシャルエンジニアリングは、外部攻撃のように一見、見えますが、被害者が誰かになりすましてるのに気づかず騙されて機密情報を提供する場合にのみ、この種の攻撃は成功します。被害者が個人情報を引き渡すと、サイバー犯罪者はこの情報漏洩を悪用してデータ侵害を引き起こしていきます。
ソフトウェアの脆弱性
ソフトウェアの脆弱性とは、サイバー犯罪者が悪用できるソフトウェアコードの欠陥です。サイバー犯罪者は、ソフトウェアの脆弱性を悪用して、ネットワークに不正アクセスしたり、センシティブデータを盗んだり、マルウェアに感染させたりします。マルウェアは、サイバー犯罪者がユーザーをひそかに調査したり、キー操作を追跡したりするなど、さまざまな目的で使用する悪意のあるソフトウェアのことを指します。
新しいアップデートが利用可能になったときにユーザーがすぐにソフトウェアを更新しないと、悪意のあるアクターがソフトウェアの脆弱性を利用し、データ漏洩の原因となる可能性があります。なので、アップデート更新可能などのお知らせがツールのポップアップなどから表示されたらなるべく最新版にアップデートをすることをおすすめします。
もちろんすべてがすべて、新しいバージョンのソフトウェアがよいとは限らないので新しいバージョンが出たら実際にアップデートした人のレビューなどを確認してからがよいでしょう。
デバイスやメモリドライブの紛失
過去に市の役員がUSBメモリを紛失し、市民の個人情報が紛失するなどといったニュースも耳にしますね。会社から持ち帰ったUSBメモリやメモリドライブなどの端末を公共の場所に置き忘れたり、落としてしまうことで第三者によってデータが情報漏洩してしまいます。
このような情報漏洩のリスクを避けるために、USBメモリやデータドライブの持ち出しを外部に禁止したり、データの一部にアクセス制限をかけるなどの対策が必要になります。またはパスワードマネージャーのようなセキュリティが万全なクラウドタイプなどのものに切り替える方が安全です。
データ漏洩の深刻度とは?
データ漏洩(情報漏洩)は、ID の盗難、データ侵害、その他の標的型サイバー攻撃につながり、さらに多くの情報を流出させる可能性があるため、非常に深刻になる可能性があります。組織にとって、データ漏洩は、評判の低下、著しい金銭的損失、法的責任をもたらす可能性があり、信頼不足によりパートナーや顧客との将来のビジネスチャンスを危険にさらす恐れがあります。
情報漏洩を発見したら、すぐに食い止められるよう管理しておくのが大切です。
言うまでもなく、データ漏洩または情報漏洩は、組織にコンプライアンス上の問題を引き起こし、しばしば多額の罰金や補償金が発生する可能性があります。
なので個人はもちろん、企業であれば、そこのコンプライアンス回りを特に気を付ける必要があります。
個人や組織が情報漏洩を防ぐ対策方法
基本的には情報漏洩を防ぐ対策は同じですが、個人と組織によって多少異なるので、その対策方法を個人や組織がデータ漏洩を防ぐ方法をいくつかご紹介します。
個人がデータ漏洩を防ぐ4つの対策方法
個人で使っている個人情報の情報漏洩を防ぐ対策方法を紹介します。
以下の4つの対策が個人情報の漏洩を防ぐ予防に繋がります。
-
- 強力でユニークなパスワードを使用する
-
- オンラインアカウントで MFA を有効にする
-
- ソーシャルエンジニアリング攻撃を見分ける方法を学ぶ
-
- ソフトウェアを常に最新の状態に保つ
1. 強力でユニークなパスワードを使用する
すべてのオンラインアカウントを、強力なパスワードで保護する必要があります。強力なパスワードとは、16 文字以上で、大文字と小文字、数字、記号を組み合わせたパスワードです。パスワードを作成する際は、確実に常に長くて複雑なものにするために、パスワードジェネレーターを使用するのが最善です。
2. オンラインアカウントで MFA を有効にする
多要素認証 (MFA) は、ほとんどのオンラインアカウントで有効にできるセキュリティ対策です。MFA では、ユーザー名とパスワードに加えて、1 つまたは複数の認証形式を提供する必要があります。データ漏洩で認証情報が流出したとしても、MFA で追加の認証を要求され、サイバー犯罪者は提供できないため、アカウントへのログインを防ぐことができます。
3. ソーシャルエンジニアリング攻撃を見分ける方法を学ぶ
フィッシング攻撃などのソーシャルエンジニアリング攻撃は、データ漏洩の一般的な原因であるため、身を守るためにそれらを見分ける方法を学ぶ必要があります。注意すべきソーシャルエンジニアリングの特徴には、いきなり個人情報の要求、迅速に対応しなければならないという脅し文句、ネガティブな結果を引き起こすなどの脅してくることがしばしばあります。ソーシャルエンジニアリングに気付きやすいほど、この種の詐欺に巻き込まれる可能性は低くなります。なので、普段からどのようななりすましメールや詐欺の事例があるか確認して予防をしましょう。
4. ソフトウェアを常に最新の状態に保つ
ソフトウェアのアップデートは、性能をアップグレードし新機能を追加するだけではなく、既存のセキュリティ脆弱性にパッチを適用します。デバイスのオペレーティング システム (OS) またはアプリケーションで新しいアップデートが利用可能であることに気付いたら、すぐに更新します。可能であれば、自動更新を有効にしておけば、ソフトウェアが古くなっていないか毎回心配する必要がありません。
組織がデータ漏洩を防ぐ方法
組織で扱っている個人情報の情報漏洩を防ぐ対策方法を紹介します。
以下の3つの対策が個人情報の漏洩を防ぐ予防に繋がりますので実践しましょう。
- 最小特権の原則の実施
- パスワードマネージャーに投資する
- 従業員にサイバーセキュリティ教育をする
1. 最小特権の原則の実施
最小特権の原則とは、業務に必要なネットワーク、アカウント、データへのアクセス権のみを従業員に与え、それ以上のアクセス権を与えないというサイバーセキュリティの概念です。人的ミスによりデータ漏洩が起こることが多いため、特定の役割に必要な特権のみを従業員に許可するのが最善です。最小特権に従っていれば、従業員がエラーを犯しても限られた量のデータしか漏洩しません。不必要に広範な特権を与えていた場合は、はるかに多くの情報が漏洩します。そうなってしまった時の損害も多いのでこの最小特権の原則に従うことはかなり友好的な対策です。
2. パスワードマネージャーに投資する
ビジネス版のパスワードマネージャーは、従業員によるアカウントパスワードの作成、管理、安全な保存を支援するサイバーセキュリティソリューションです。また、ビジネス版パスワードマネージャーにより、IT 管理者は従業員のパスワードに対するセキュリティ対策や管理をよりよく見通せるようになり、MFA の使用などのセキュリティポリシーを強制できるようになります。パスワードマネージャーは、パスワードがベストプラクティスに合致し、アカウントが常に保護されていることを保証するのに役立つため、データ漏洩を防ぎやすくなります。
3. 従業員にサイバーセキュリティ教育をする
侵害の 74% の原因は人的要素であるため、従業員にサイバーセキュリティのベストプラクティスについて教育することがとても重要です。一般的なサイバー脅威、それらの見分け方、被害を避ける方法を従業員に定期的に教育します。従業員のサイバーセキュリティ意識が高まるほど、データ漏洩の原因となるエラーを上手く回避できるようになります。
まとめ:データ漏洩・情報漏洩に対し保護できる状態を保とう
個人も組織も、常にデータ漏洩・情報漏洩の影響を受ける可能性があるため、データ漏洩を防ぐために必要な対策を講じることが重要です。データ漏洩を防ぐための措置を講じることは、漏洩の原因を軽減するのに役立つだけでなく、全体的なセキュリティ状況を改善し、他のサイバー脅威のリスクも軽減することに繋がります。
パスワードマネージャーを使用して、情報漏洩の対策するのも1つの対策としておすすめです。
Keeperでは Keeper Password Manager の 30 日間無料パーソナルトライアルまたは 14 日間のビジネストライアルを開催しているので、気になる方はお試しください。