この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
「セキュリティ対策は万全…のはずが」人的要因でのミスを防ぐ自動化とは
ネットやテレビ、新聞のニュースに頻繁に並ぶようになった「セキュリティインシデント」「セキュリティ事故」「情報漏えい」「脆弱性」といったキーワード。インターネットやデジタル機器の発展により業務へのITの導入が進み、多大な恩恵とともに、大きなリスクも抱え込んだ状況を示しています。情報システム担当者は技術的なセキュリティ対処を実施し、セキュリティルールを作り、組織内のセキュリティ対策を必死に行っています。
それでも、情報セキュリティ事故は発生してしまいます。その要因を探っていくと避けることができない問題として、人的要因/ヒューマンエラーがトリガーとしてあげられます。人はミスをしてしまうものです。
しかし、それでもセキュリティ事故は避けたい。そんな際の解決策となるのが、セキュリティ対策に関する自動化です。
目次
セキュリティインシデント事例
近年のセキュリティインシデントの事例をいくつかご紹介します。要因は様々ですが、被害規模やインパクトの大きい問題が多数見られます。組織にとっては信頼性に関わる問題のため、当然ながらできるだけセキュリティインシデントは起こしたくないものです。さらには、問題発生時の対処についても近年は社会的な注目が集まる様になっているため、事例を認識して対策を練っておく必要があります。
FUJITSU製ファイル共有サービスの情報漏えい
2021年5月、富士通が提供するファイル共有サービスへの不正アクセスが発覚したことが発表されました。サービス利用時の認証機能に脆弱性が存在し、サイバー攻撃を受けたと見られます。
2021年8月時点で、官公庁を含む129組織で情報漏えいが発生していることが判明しています。被害を公表した中には、国土交通省の職員ら7万6000人分のメールアドレス、外務省の内部資料、成田国際空港、内閣サイバーセキュリティーセンター(NISC)なども含まれており、多くの個人情報、機密情報が漏えいした非常に規模の大きなセキュリティトラブルです。更なる被害状況の調査、原因と対策の追求、組織の体制強化などの対策が続いているとみられます。
大手ベンダー製のファイル共有サービスで発生した問題として、非常にインパクトが大きいセキュリティ事故のニュースです。参考:富士通株式会社「プロジェクト情報共有ツールへの不正アクセスについて(第二報)」
ランサムウェアによる被害
2020年11月、ゲーム大手カプコン(CAPCOM)でシステム障害が発生しました。状況を調査していくと、アメリカ現地法人のネットワーク機器がサイバー攻撃を受け、そこからデータを盾にとって身代金を要求するランサムウェアに感染。ランサムウェアによりデータが暗号化されたことによる障害であることが判明しました。さらには、攻撃を受けた端末に脅迫のメッセージも残されていたと発表しています。
攻撃者をなのる組織との身代金についてのやり取りにはコンタクトを取っていないとカプコンは発表しており、直接の金銭的な被害には繋がっていないようです。しかし、ランサムウェアに感染したことによりカプコンが保有するデータがサイバー犯罪者に取得されたとみられており、2021年1月12日時点で、15,649人の個人情報が流出していることが確認されています。参考:株式会社カプコン「不正アクセスに関する調査結果のご報告【第4報】」
プロジェクト管理ツールの設定漏れによる企業の人事採用情報他の情報漏えい
プロジェクト管理ツールとして人気のあるSaaS、Trello。2021年4月、その利用において、多数のユーザの重要な情報がWeb上に公開されることが指摘され、情報の流出も確認されました。その中には、企業が採用活動に利用していて、就職活動中の応募者の個人情報が漏えいしたものなどの機密性の高い情報も含まれたことから、大きなニュースとなりました。
このトラブルの原因は公開範囲の不適切な設定によるもので、Trelloの利用者が必要な公開範囲の設定を行わずに、安易に重要な情報を登録し公開してしまったことです。まさに、人的な要因によるセキュリティインシデントの一つの事例となってしまいました。参考:ATLASSIAN Blog「Trelloを安心して便利にお使いいただくために」
セキュリティインシデントと人的要因
上記に挙げただけでなく、情報漏えい事故は枚挙にいとまがないほどです。その原因を探っていくと、セキュリティルールを破った利用の仕方、データなどの破棄漏れ、メール誤送信など人的要因によるものが多くを占めることに気が付きます。
情報セキュリティインシデントの要因のうち、人的要因が最大の数を占めるとするデータも存在しています。NPO日本ネットワークセキュリティ協会の調査「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、紛失・置き忘れ、誤操作、管理ミス、設定ミスといった人的要因が、個人情報漏えいに関するセキュリティインシデントの原因の65%を占めていました。
IPAの情報セキュリティ10大脅威 2021では企業編、個人編ともに、人的要因と関係する脅威が多くランクインしています。下記の表は、独立行政法人情報処理推進機構の「情報セキュリティ10大脅威 2021」より順位と脅威の内容を引用し、そこに人的要因との関連を追記したものです。
個人に対する脅威
順位 | 脅威の内容 | 人的要因との関連 |
---|---|---|
1位 | スマホ決済の不正利用 | スマホ決済情報の漏洩が人的要因による場合がある |
2位 | フィッシングによる個人情報等の詐取 | フィッシングサイトに対する認識は各個人のセキュリティ学習状況と関連 |
3位 | ネット上の誹謗・中傷・デマ | 個人のネットリテラシーと関連 |
4位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 脅迫・詐欺に関するセキュリティ学習状況と関連 |
5位 | クレジットカード情報の不正利用 | クレジットカード情報の漏洩が人的要因による場合がある |
6位 | インターネットバンキングの不正利用 | ネットバンキングの利用情報の漏洩が人的要因による場合がある |
7位 | インターネット上のサービスからの個人情報の窃取 | サービスの設定もれ、誤り |
8位 | 偽警告によるインターネット詐欺 | 偽警告によるセキュリティ学習状況 |
9位 | 不正アプリによるスマートフォン利用者への被害 | 不正アプリに対する認識、確認の漏れ |
10位 | インターネット上のサービスへの不正ログイン | 利用情報の漏洩が人的要因と関連 |
組織に対する脅威
順位 | 脅威の内容 | 人的要因との関連 |
---|---|---|
1位 | ランサムウェアによる被害 | 攻撃の取り掛かりとなるランサムウエアへの感染に人的要因が関わる事がある |
2位 | 標的型攻撃による機密情報の窃取 | 標的型攻撃に対する個人のセキュリティ学習状況 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 各人のテレワーク環境などの設定もれ、誤りと関連 |
4位 | サプライチェーンの弱点を悪用した攻撃 | – |
5位 | ビジネスメール詐取による金銭被害 | ビジネスメール詐取に対する学習状況 |
6位 | 内部不正による情報漏洩 | 個人のITリテラシー、遵法意識と関連 |
7位 | 予期せぬIT基盤の障害に伴う業務停止 | – |
8位 | インターネット上のサービスへの不正ログイン | 利用情報の漏洩が人的要因と関連 |
9位 | 不注意による情報漏洩等の被害 | 不注意が人的要因 |
10位 | 脆弱性対策情報の公開に伴う悪用増加 | 脆弱性の漏れ |
セキュリティインシデントとその影響
セキュリティインシデントが実際に発生してしまった場合、組織にはどのような影響が出るのでしょうか。金銭的な損害や対策にかかるコスト、組織の信頼失墜などが発生することが想定されます。JNSAによる「インシデント損害額調査レポート 2021年版」という資料から、インシデント発生時の対応と発生する損害、その損害費用事例などを引用してまとめています。まず、インシデントが発生した場合には、下記の三つの対応が必要です。初動対応および調査対外的対応(外向きの対応)復旧および再発防止(内向きの対応)
また、インシデント発生時の損害は下記のような分類に分けてあらわされます。
1.費用損害(事故対応損害)
インシデント内容によるが、外部技術者を介在させた場合には数百万円~のコストが必要
2.賠償損害
個人情報の漏えいが発生した場合、一人当たりの損害賠償額の平均として約28000円というデータが存在
3.利益損害
インシデント対応となる謝罪と再発防止策の実施に明け暮れ、部門単位で仕事が止まってしまう事例も
4.金銭損害
5.行政損害
6.無形損害
組織の信頼、ブランドの低下、株価の下落など、金銭に換算することが難しい損害も発生参考:JNSA「インシデント損害額調査レポート 2021年版」
セキュリティインシデントと根本的対策
人的要因によるセキュリティインシデントへの根本的な対策として、二つの面からの対応が必要となります。
一つはシステム、情報機器の管理者によるセキュリティ対応、および利用者が人的要因によるミスを発生する余地を無くすための対策が必要です。システムや設定で利用者のミスする要因を取り除けのであれば、可能な限り対応しておきたいところです。そしてもう一つが、一般の組織構成員向けの対応がもう一つの柱となる対策です。下記の三つの施策を行い、情報セキュリティ対策の浸透を図る取り組みが必要となります。
セキュリティインシデントの身近な発生例
人的要因によるセキュリティインシデントの発生例を知り、身近に起き得るものと認識しておくことも重要なセキュリティ対策です。以下に、その発生例を記載しています。
メール誤送信
メールの宛先間違いやCC/BCCの設定間違い、添付ファイルの間違いなどメール送信においては人間の行う処理によりセキュリティインシデントが発生し得ます。また、近年普及が進むチャットツールにおいても、同様の問題が起き得えます。
セキュリティアップデートの適用漏れ
OSのセキュリティアップデート、セキュリティソフトのウイルスパターンファイルのアップデート、その他利用ソフトウェアのアップデートはセキュリティ脆弱性を封じるための重要な処理です。適用が手動になっており、人的要因で適用漏れが発生すると、脆弱性が残されサイバー攻撃に対して無力な状態を作り上げてしまいます。
情報の破棄漏れ
個人情報や企業の機密情報はデータでも紙でも、利用し終わったら、安全で確実な破棄が必要となります。例えばデータの破棄が行われておらず、PC上に個人情報や機密情報が残った状態でPCを紛失してしまった場合、情報漏えいに繋がる危険性が高まります。事前に不要な情報を破棄できていれば、PCの紛失に対する対応(警察への届出など)だけで済みますが、データが残っていた場合には多くの対応が必要となります。
自動化した仕組みづくりでヒューマンエラーを防ぐ
人間が行う仕事には限界があります。漏れや失敗が起き得ることを前提に、仕組みづくりを行わなければなりません。
人間が失敗を起こしてしまうのならば、人間が直接しなければならない作業をできるだけコンピュータに任せる、自動化を考えるのも一つのアプローチです。正しい設定を行ったコンピュータによる自動化は、漏れや失敗を起こしません。
SDTでは各種業務においてのRPA等を利用した自動化を提供しています。コンサルティング、自動化ツールの導入、運用支援までをサポート範囲としており、セキュリティ対策の自動化にも導入事例があります。まずはご相談からお待ちしております。
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...