情報流出に企業が気づかない理由
以前、IPA(独立行政法人情報処理推進機構)から配信されている、情報セキュリティ10大脅威 2024(https://www.ipa.go.jp/security/10threats/10threats2024.html )について触れました(*)。組織における脅威でも、3位「標的型攻撃による機密情報の窃取」、4位「内部不正による情報漏えい」、9位「不注意による情報漏えい等の被害」と、情報漏えいに関する脅威がランクインしています。今回は、情報漏えい(流出)についてご紹介したいと思います。
* https://www.securebrain.co.jp/blog/2024/0319/
1.なぜ情報漏えい(流出)が発生するのか?
まず、なぜ情報漏えいが発生するのでしょうか。大きく分けて4つほどの原因があります。
・マルウェア感染・不正アクセス
・メールなどの誤表示・誤送信
・紙の書類やUSBメモリなどの情報媒体の紛失・誤廃棄
・不正に持ち出す「盗難」
もっとも多いのが「ウイルス感染・不正アクセス」で、こちらは外部からの攻撃によるものです。次に「メールなどの誤表示・誤送信」や「書類の紛失」、そして「盗難」と続きますが、これらは人為的なミスや、内部不正となります。
半分は個人レベルで対策を講じるべきですが、外部からの攻撃によるものは、組織として対策を考える必要があります。特に、以下の2点においての対策が必要になります。
・PCなどにおけるマルウェア感染
業務に利用しているPCが、不正なメールの添付ファイルやリンクをクリックすることでマルウェアに感染し、社内のネットワークに広がることで、企業の情報を外部に流出させる。
・Webアプリケーションへのサイバー攻撃
SQLインジェクションや不正ログインで、Webアプリケーション内の顧客情報などを不正に取得されるような攻撃。
2.なぜ情報漏えい(流出)の発見が遅れるのか?
このような攻撃があるということを多くの担当者は理解していると思います。しかし、漏えいに関しての発見は、他社や一般の利用者からの申告により発覚するケースがよくあります。なぜ、情報漏えいの発見が遅れてしまうのでしょうか?様々な要因が考えられますが、大きく分けて2つ、発見する仕組みをすり抜けられてしまっている場合と、そもそも発見する仕組みを整えられていない場合の2通りが考えられます。発見する仕組みをすり抜けられてしまっている場合については、設定しているルールやセキュリティの仕組みがそもそも不十分である場合と、未知の攻撃・事態などで防ぐことが難しい場合があります。いずれも発見する仕組みをすり抜けてしまっているため自身で情報漏えいに気づくことは困難です。
そもそも発見する仕組みを整えられていない場合では、発見する仕組みが存在していないため自ら発見することは不可能です。また、不正アクセスなどの発覚後に、情報漏えいの有無に関しては不明であるという報道もあります。これは、不正アクセスなどの攻撃による影響範囲などの調査に時間を要するということが考えられます。
3.情報漏えいに関する対策を考える
情報漏えいに関して、どの様な対策が必要になるでしょうか。人的なミスによるものに関しては、情報セキュリティ10大脅威においても、個人レベルでの対策や認知が必要と触れましたが、情報漏えいにつながる原因の半分程度は、個人レベルでの対策を講じる必要があります。企業として情報セキュリティのルールを制定し、所属する社員に対するルールと必要な情報リテラシー、モラルの教育を行う必要があります。また、組織としては、顧客情報を含む機密情報の取り扱いなどを、常に見直しを実施していく必要があります。
組織としては、Webアプリケーションに関しては、外部からの攻撃を避けるためにも、脆弱性を残さないように常時管理をする必要があります。また、社内PCなどにマルウェアが感染してしまった場合においては、影響範囲を速やかに把握する仕組みを構築することが求められます。どちらについても、自社でいち早く気づき、対策を講じる準備を整える必要があります。
脆弱性を作らないという観点では、Webアプリケーションにおいては、Webサーバで利用するOSやアプロケーションなどのバージョンを常に最新に保つことや、提供するWebアプリケーション自体の脆弱性診断を適切に行う必要があります。さらに、社内で利用PCにもウイルス対策ソフトの導入やOSやアプリケーションの最新のパッチを適用するなどが必要です。また、自社で発見し影響範囲を調べる仕組み作りとしては、EDR(Endpoint Detection and Response)の導入などが効果的です。また、既に漏えいしてしまっている自組織の情報が存在しないかを調査することで、自社のシステムへの不正ログインなどへの対策を行うことも有効です。
セキュアブレインでは、脆弱性という観点からは、技術者による脆弱性診断の他、日々自動的にWebサイトの診断が可能な「GRED Webセキュリティ診断 Cloud」を提供しています。特に、「GRED Webセキュリティ診断 Cloud」は、日次、週次で脆弱性の診断を自動的に実施します。脆弱性については、日々新しいものが確認されており、脆弱性の発生から犯罪者による攻撃までが短期間になってきています。日々チェックをすることで、いち早く脆弱性を確認・対策を講じることができる体制つくりの支援が可能となっています。
また、社内PCがマルウェア等に感染してしまった場合、EDRの導入が効果的です。EDRとは、社内ネットワークに接続されたPCやサーバーなどの「エンドポイント(端末)」を監視し、マルウェアなどのサイバー攻撃を検知する仕組みのことです。ただ、運用体制も構築する必要がありますが、セキュアブレインでは、EDRとSOCサービス(Security Operations Center)を連携したソリューションも提供しています。EDRによりマルウェア感染の経路を追跡し、感染したPC やマルウェアの検体を高速に特定することで企業・組織を防御します。 本サービスによりサイバー攻撃の状況把握と迅速な対策が可能になり、セキュリティ担当者の負担を軽減することが可能です。
さらに、セキュアブレインでは、企業漏えい情報調査サービス「RiskINTサービス」の提供もおこなっています。CyCraft社のRiskINTサービスは、ご依頼頂いた企業・組織に関する認証情報・アカウント情報などがダークウェブなどで売買されているかを探索し、レポートにまとめて提供するサービスです。このレポート結果に示される重要度が高いセキュリティリスクを参考にすることで、お客さま自身で被害を未然に防ぐための対策をとることが可能になります。
この数日においても、大手企業における情報漏えいに関してのニュースが流れてきますが、狙われるのは大手だけではなく、対策が十分に講じられない中小企業も含まれます。自社の対策が十分なのか、またもし被害にあった場合に、どのような対応ができるのか、見直してみてはいかがでしょうか?
Webサイト自動脆弱性診断サービス「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html
エンドポイントへのサイバー攻撃を監視するSOCサービス
https://www.securebrain.co.jp/products/soc/index.html
企業漏えい情報調査サービス「RiskINTサービス」詳細ページ
https://www.securebrain.co.jp/products/riskint/index.html
セキュアブレイン製品・サービスのお問い合わせはこちらからお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
