情報漏洩(じょうほうろうえい、もしくは、じょうほうろうせつ)とは、内部に留めておくべき情報が何らかの原因により外部に漏れてしまうことを言う。

概要

編集

情報漏洩とは、言葉の通りにとらえれば諜報活動による国家機密の漏洩も含まれるが、現代において情報漏洩と言えば外部の人間が対象の情報セキュリティの不備を突いたり、または秘密情報にアクセス可能な内部の人間が外部に漏らすことを指す。ネットワークがインフラレベルに普及したこともあり、SNSなど公開場所も増えた上一度公開するとデジタルタトゥーとして残るため、現代においては情報漏洩とその対策の重要度は大きい。

対象も国家や大企業などの大きな組織に限らず、中小企業から個人まで広がった問題となっている。

また内部告発も行為そのものは情報漏洩だが、通常は内部告発を情報漏洩と呼ぶことは少ない。

主に狙われる情報

編集

窃取者の目的は、悪意や利益を求めるだけではなく、新情報を得たいといった興味本位まで非常に広い。

  • 国家機密情報
  • 企業の人事や財務状況、設計データや製作中製品などの未公開情報
  • メディア作品や、エンターテインメント系の公開前情報。ただし機密情報として狙われるのは公開前または未公開情報のみで、公開済のものはその限りではない。
  • 個人のクレジットカード番号や銀行口座番号などの資産に関わる情報
  • 個人の携帯電話やPC、クラウドストレージなどにアップロードされたプライベートな情報。画像や動画に限らず、通話ログや電話帳など保存されたデータはすべて対象になりうる。

主な原因

編集

攻撃者は、常に対象の隙を狙っている。いわゆる下記に挙げたサイバー攻撃のイメージが強いがそれだけではなく人為的なミスややり忘れ、癖なども含まれる。

サイバー攻撃等によるもの

編集

情報管理に対する認識の甘さによるもの

編集
  • 設定ミス。未公開に設定すべきものが公開設定になっていた、など。
  • パスワード設定の甘さ。想像されやすいパスワードが設定されていたことで、簡単に管理者権限を得られる状態になっていた、など。
  • 業務データの外部への持ち出し
  • 業務用パソコンの私用
  • 私用するパソコンで業務データの取扱
  • 記憶メディアの消去が不十分だった

事例

編集

情報漏洩対策

編集

主なものとして、次のような対策が挙げられる。もちろんこれらがすべてというわけではないため、取り扱う情報の重要度に応じて取り扱いを柔軟に変えるなどの運用を検討する必要がある。

  • 基本として、使用OSなどのセキュリティアップデートは欠かさず行う。
  • 上記に関連して、メーカーサポート切れのソフトは可能な限り早く切り替える。セキュリティアップデートに限らず、セキュリティ関連の最新の技術の対応なども後期のソフト程対応している。
  • 侵入検知システムの利用
  • 個人情報や機密情報の外部持ち出しや外部サーバでの保管の禁止など、職場における業務データ管理の徹底
  • 職場内のパソコン画面が窓側に向かない・覗き見防止フィルターの利用
  • PC・スマートフォンなどの情報機器利用におけるポリシーの設定。ポリシーに適合しない私用パソコンをみだりな持ち込み・業務利用を禁止するなど
  • Webサイトの改ざんを検知するシステムを取り入れる
  • 機密度による物理的・論理的な隔離。高い機密情報が含まれるフォルダへのアクセス権限を絞ったり、物理的なサーバーが存在する部屋は許可された人員のみ入室可能にする、など。
  • 不要になった記憶媒体は、故障品であっても消去処理を行う。場合によっては、物理的破壊も行う

関連項目

編集

脚注

編集

注釈

編集
  1. ^ 環境省復興庁農林水産省国土交通省厚生労働省でクラウドストレージにおけるファイル共有設定のミスにより、内部のメールやファイルが誰でも見られる状態となっていた。これらの情報には各省庁の機密データだけでなく、医療機関の患者情報など、個人情報も含まれていたことが当時、問題視された。

出典

編集
  1. ^ Googleドライブなどのクラウドストレージを使う際のセキュリティ対策”. サイバーセキュリティ情報局 キヤノンマーケティングジャパン株式会社 (2020年3月24日). 2023年7月31日閲覧。

外部リンク

編集
  NODES