情報漏洩
情報漏洩(じょうほうろうえい、もしくは、じょうほうろうせつ)とは、内部に留めておくべき情報が何らかの原因により外部に漏れてしまうことを言う。
概要
編集情報漏洩とは、言葉の通りにとらえれば諜報活動による国家機密の漏洩も含まれるが、現代において情報漏洩と言えば外部の人間が対象の情報セキュリティの不備を突いたり、または秘密情報にアクセス可能な内部の人間が外部に漏らすことを指す。ネットワークがインフラレベルに普及したこともあり、SNSなど公開場所も増えた上一度公開するとデジタルタトゥーとして残るため、現代においては情報漏洩とその対策の重要度は大きい。
対象も国家や大企業などの大きな組織に限らず、中小企業から個人まで広がった問題となっている。
また内部告発も行為そのものは情報漏洩だが、通常は内部告発を情報漏洩と呼ぶことは少ない。
主に狙われる情報
編集窃取者の目的は、悪意や利益を求めるだけではなく、新情報を得たいといった興味本位まで非常に広い。
主な原因
編集攻撃者は、常に対象の隙を狙っている。いわゆる下記に挙げたサイバー攻撃のイメージが強いがそれだけではなく人為的なミスややり忘れ、癖なども含まれる。
サイバー攻撃等によるもの
編集情報管理に対する認識の甘さによるもの
編集- 設定ミス。未公開に設定すべきものが公開設定になっていた、など。
- パスワード設定の甘さ。想像されやすいパスワードが設定されていたことで、簡単に管理者権限を得られる状態になっていた、など。
- 業務データの外部への持ち出し
- 業務用パソコンの私用
- 私用するパソコンで業務データの取扱
- 記憶メディアの消去が不十分だった
事例
編集- ファイル共有ソフトでの漏洩とコンピュータウィルス感染
- 警視庁国際テロ捜査情報流出事件 - 公安警察(警視庁公安部)
- 李春光事件
- 官公庁における機密データの漏えい - 2013年7月に環境省、復興庁、農林水産省、国土交通省、厚生労働省で発生した情報漏洩[1][注釈 1]
- 日本年金機構における情報漏洩 - データ入力を委託された外部企業による外国企業への再委託(違反行為)問題や、年金管理システムサイバー攻撃問題など。
- 雇用調整助成金等オンライン受付システムで発生した問題
- 携帯電話通話記録窃盗事件
- 通信会社における外国スパイによる機密情報の不正入手
- ベネッセ個人情報流出事件
- 2019年神奈川県HDD転売・情報流出事件
- LINEにおける個人情報漏洩や外国政府による傍受疑惑と国外サーバでの利用者データの保管や外国企業による閲覧など
- 鹿児島県警内部告発事件
情報漏洩対策
編集ウィキペディアはオンライン百科事典であって、マニュアルではありません。 |
主なものとして、次のような対策が挙げられる。もちろんこれらがすべてというわけではないため、取り扱う情報の重要度に応じて取り扱いを柔軟に変えるなどの運用を検討する必要がある。
- 基本として、使用OSなどのセキュリティアップデートは欠かさず行う。
- 上記に関連して、メーカーサポート切れのソフトは可能な限り早く切り替える。セキュリティアップデートに限らず、セキュリティ関連の最新の技術の対応なども後期のソフト程対応している。
- 侵入検知システムの利用
- 個人情報や機密情報の外部持ち出しや外部サーバでの保管の禁止など、職場における業務データ管理の徹底
- 職場内のパソコン画面が窓側に向かない・覗き見防止フィルターの利用
- PC・スマートフォンなどの情報機器利用におけるポリシーの設定。ポリシーに適合しない私用パソコンをみだりな持ち込み・業務利用を禁止するなど
- Webサイトの改ざんを検知するシステムを取り入れる
- 機密度による物理的・論理的な隔離。高い機密情報が含まれるフォルダへのアクセス権限を絞ったり、物理的なサーバーが存在する部屋は許可された人員のみ入室可能にする、など。
- 不要になった記憶媒体は、故障品であっても消去処理を行う。場合によっては、物理的破壊も行う
関連項目
編集脚注
編集注釈
編集出典
編集- ^ “Googleドライブなどのクラウドストレージを使う際のセキュリティ対策”. サイバーセキュリティ情報局 キヤノンマーケティングジャパン株式会社 (2020年3月24日). 2023年7月31日閲覧。