トピックス 2020.11.13 油断と過信がセキュリティ事故の元！セキュリティ対策をしても事故が無くならないのはなぜ？

セキュリティ事故の原因を見てみるとサイバー攻撃など防ぎきれない外部からの攻撃が原因のこともありますが、多くを占めているのが人的ミスによるものです。

今回の記事では、システムやソフトウェアの力に頼るのではなく、私たち一人ひとりが意識してリスクを回避するための方法についてご紹介します。

日本ネットワークセキュリティ協会のセキュリティ被害調査ワーキンググループによる調査によれば、2017年の個人情報漏洩の原因のトップ10は下記のようになっています。

● 第1位：誤操作
● 第2位：紛失・置き忘れ
● 第3位：不正アクセス
● 第4位：管理ミス
● 第5位：不正な情報持ち出し
● 第6位：盗難
● 第7位：設定ミス
● 第8位：内部犯罪・内部不正行為
● 第9位：バグ・セキュリティホール
● 第10位：ワーム・ウイルス

これを誤操作、紛失・置き忘れ、管理ミス、設定ミスなどの人的ミスが多くを占めていることがわかります。

全体からの比率で見てみると、人的ミスが原因となっているセキュリティ事故は80%近くをも占めているのです。

それでは実際に人的ミスが原因でどのようなセキュリティ事故が過去発生しているのかいくつか事例をご紹介します。

2014年電気通信事業者から1321人分の住所、氏名、メールアドレスが漏洩する事件が発生していますがその原因は、個人情報が格納されたPCの紛失によるものでした。

同じく2014年、電気通信事業者が自社のサービス利用者最大378人について、個人情報がインターネットで閲覧可能な状態となったことを公表しましたが原因はサービス担当者の操作ミスにありました。

また、2013年には生命保険会社にて延べ約5万8千人分の個人情報の記載された帳票が紛失、誤破棄されていたことが判明。

うっかりミスだけでなく、悪意ある人的要因を加えるとさらにその件数、被害は増えます。

2014年に教育関係事業で起きた事例では、関連会社の派遣社員がスマホに個人情報のデータをコピーして持ち出したことにより発生し、情報の流出元となった企業は、賠償金として200億円がかかったといいます。

人的ミスを根本的に無くすためには、技術的な対策を行う以外に3つのアプローチが必要となります。

社員の教育はもちろん、人的ミスを無くすためには関連企業や派遣社員等にも情報セキュリティに関しての徹底した教育の実施が求められます。

情報セキュリティを守るためのルールを作り、ルールを作った後は周知、確認プロセスまで含めたルールの整備を実施します。一度ルールを作って運用が開始した後も継続的に改善を行っていくことが重要です。

教育、ルール作りなどの活動を通して、最終的には企業活動に関わる全ての人に情報セキュリティについての意識付けを行い、各人が対策を怠らないことが必要です。

システムやソフトウェアでミスを軽減する仕組みを導入することにより、それぞれの小さな問題の原因に対しては効果を出すことができますが、人的要因によるセキュリティ事故の根本的な廃絶は意識を変えてルールを徹底することでしか実現できません。

外部からの攻撃よりも、人的要因によるミスの方が多いセキュリティ事故。

「事故」という言葉が表す通り、悪意を持った人物がいなくてもトラブルは起きてしまいます。

教育やルール作り、意識の変革という、情報を扱う人を変えることがセキュリティ事故を防ぐ一番の方法です。

【関連リンク】

・2017年情報セキュリティインシデントに関する調査報告書【速報版】第1.0版（NPO　日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ、長崎県立大学情報システム学部情報セキュリティ学科）https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_ver1.1.pdf

・情報漏えい被害｜発生原因ワースト10と実施すべき4つのルール・対策（マカフィー）
https://blogs.mcafee.jp/data-breach-measures

・情報漏洩の原因を徹底解析！原因と結果から学ぶ意識改革（ノートンLifeLock）
https://japan.norton.com/leakage-cause-1462

TEXT：セキュリティ通信 編集部
PHOTO：iStock