「情報漏えいの原因」になる、3タイプの“危ない”従業員:セキュリティ担当者が今すぐ実施すべき対策をESETが指南
情報漏えい事件が発生する背景には、外部から受けるサイバー攻撃の他に「内部犯行」も実は多く存在する。また、内部犯行にも「故意」だけではなく、「従業員の軽率な行い」が原因になることも多い。あらためてセキュリティ担当者には、「内向き対策」の重要性が問われている。
企業にとって、セキュリティの最大の脅威は「外的なもの」と思われがちだ。しかし近年、多くの企業は、研修を受けたはずの「信頼している従業員」も重大な脅威となり得ることを思い知らされている。スロバキアのセキュリティ企業 ESETが2017年5月26日(現地時間)、同社の公式ブログで「情報漏えいの原因になる3タイプの従業員」を取り上げて解説し、対策方法を紹介した。以下、内容を抄訳する。
セキュリティ分析企業のHaystax Technologyが最近公開した調査結果によると、企業の74%が、「自社は内部の脅威に対して弱い」と考えており、セキュリティ担当者の56%は「この1年で、内部の脅威が頻出するようになった」と回答した。
ESETでは、このような情報漏えいの原因になる従業員のタイプを以下の3つに分類した。
- 「行動が雑」な従業員
- 「不注意または怠慢」な従業員
- 「悪意がある」従業員
(1)「行動が雑」な従業員
情報漏えいリスクにおいて、「行動が雑」な従業員は、悪意ある攻撃者と同じくらい大きな被害を受ける可能性がある。英国のノーフォーク、サフォーク、ケンブリッジシャーの地方自治体では、2014〜2015年に160件以上の情報漏えい事案が発生したが、その主因は人的ミスだったという。例えば携帯電話の紛失、手紙や書類の宛名間違いから、機密データを収めたファイルキャビネットをそのまま売却してしまったなどがある。
また、2016年に米国の保険会社 Federal Deposit Insurance(FDIC)では、元社員が「悪気なく、うっかり」、機密データを私物のストレージデバイスにコピーしたことを発端に、重大な情報漏えい事件に発展した。
これらの事例を振り返ると、前述したHaystaxの調査で74%の企業が「従業員の過失による情報漏えい」を特に懸念している事実も驚きではない。「明日は我が身」だからだ。
(2)「不注意または怠慢」な従業員
米Googleが2013年に行った調査では、ブラウザ「Google Chrome」が表示した延べ2500万回の警告のうち、その70.2%は(ユーザーの技術的知識不足などの理由から)「無視されていた」ことが分かった。同社はこの対策として、「警告メッセージの文言を分かりやすく修正した」経緯がある。
2017年現在も従業員の不注意や怠慢による情報漏えい事案は頻発している。統合ヘルスケア基盤を展開するSt. Joseph Health Systemは2012年、セキュリティ設定の単純なミスから、私たちの最高機密情報になり得る「医療記録」がオンライン上で丸見えになってしまっていた。
(3)「悪意がある」従業員
残念ながら前述した人的ミスだけではなく、従業員による「悪意ある行動」も情報漏えいの多くの原因となる。一般従業員だけでなく、多くの情報へアクセス権がある「特権ID/特権ユーザー」も内部犯行の温床になりやすいとされている。
英国の通信規制当局 Ofcomでは、2016年に元職員が6年間にわたって、サードパーティーのデータをこっそりと膨大に集めていたことが発覚した。また、英国の小売り大手Morrisonsも2014年、待遇に不満を抱いた社員が10万人近くの従業員の個人データをネット上にアップロードしていたことが発覚した。
企業/セキュリティ担当者が取るべき対策
フォレンジックツールを展開するNuixが2016年に行った委託調査では、データ保護の最大のリスクは「人の行動」とした回答率が93%に上った。情報漏えいによる金銭的および信頼性の被害を防ぐために、企業やセキュリティ担当者がすぐ取れる内部脅威対策は以下の通りである。
- 従業員の啓発
全ての従業員に、自分の行動の潜在的影響や、情報漏えいにつながるうっかりミスを防ぐ「方法」を周知する。IT担当者だけでなく、全従業員に対して適切なトレーニングを提供する必要がある。
- 情報を安全に保つ
データを暗号化する理由はたくさんあるが、中でも情報漏えいの防止は重要な理由の1つだ。暗号化やアクセス制御などの対策が的確にされていなかったために、故意/うっかりを問わず、情報へ「アクセスできてしまった」、ファイルを「コピーできてしまった」ことになる。
- データと行動の監視
個々の従業員のコンピュータ利用と行動に「目を光らせる」。的確に監視する体制によって、異例な行動やリスクのある行動の認識と特定が可能になる。BYOD(Bring Your Own Device:私物デバイスの業務利用)の展開についても慎重に対処し、監視かつコントロールする必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 内部関係者による情報漏えいを繰り返さないためにできること
ベネッセコーポレーションでの顧客情報漏えい事件を受け、情報処理推進機構(IPA)は2014年7月10日、内部関係者の不正による情報漏えいを防止するため、あらためてセキュリティ対策を見直すよう呼び掛けた。 - パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説
次世代ファイアウォール製品を販売するパロアルトネットワークスは、壁を守るだけではなく内部にも脅威があるとする性悪説を基にした、「ゼロトラスト・ネットワーク・セキュリティ」のポイントを解説した。 - 2014年に露見した三つの重大課題とは、ラックが今年のサイバー事件、事故を総括
内部不正が起きる日本ならではの理由は? 国家間のサイバー攻撃における本当の目的は? ラックが2014年の総括を行った。 - 犯罪者の「否認」に対応するには
決して人ごとではないサイバー犯罪。犯罪者に対しても“性善説”で考えていいのでしょうか? プロの犯行に対抗するために、私たちができることを考えます(編集部)