2018年 9月

企業のITセキュリティ講座

JNSAが2017年の情報漏えいに関する調査報告書を公開

ライター/吉澤亨史

JNSA(NPO日本ネットワークセキュリティ協会)が、「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」を発表した。2017年に発生した情報漏えい事故について、漏えいした組織の業種、漏えい人数、漏えい原因、漏えい経路などの情報の分類、JOモデル(JNSA Damage Operation Model for Individual Information Leak)を用いた想定損害賠償額の算出などの速報値を記載している。これによると漏えい事故は減少しているように思えるが、小規模の事故を公表しないケースが増えているという事情もある。ここでは、報告書について解説する。

2017年に発生した情報漏えい事故の概要

JNSAは2018年6月13日、「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」を発表した。この調査はJNSAが毎年実施しているもので、インターネット上に公開された個人情報漏えいインシデントの情報を対象に収集している。これには、ニュースサイトで報道されたものや、インシデントに関連した組織がWebサイトで公開した謝罪文なども含まれている。ただし、データの収集は手作業で行われるため、取りこぼしの可能性もあるとしている。また、速報版のため詳細な分析はなされていない。

漏えい人数519万8,142人
インシデント件数386件
想定損害賠償総額1,914億2,742万円
一件当たりの平均漏えい人数1万4,894人
一件当たりの平均損害賠償額5億4,850万円
一人当たりの平均損害賠償額2万3,601円

2017年の個人情報漏えいインシデントの概要
(出典:JNSA「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」)

速報版によると、2017年に発生した個人情報漏えいインシデントの件数は386件。これにより漏えいした個人情報の数(人数)は519万8,142人。インシデント一件あたりの平均漏えい人数は1万4,894人となる。インシデントのデータを基にした想定損害賠償総額は1,914億2,742万円と算出している。この金額は、インシデント一件当たりの平均が5億4,850万円、一人当たりの平均が2万3,601円ということになる。インシデントの規模では、最も漏えい人数が多かったのは、製造業の企業の不正アクセスによるインシデントで、118万8,355人の個人情報が漏えいしている。

情報漏えいの原因を見ると、「誤操作」が25.1%で最も多く、「紛失・置き忘れ」(21.8%)、「不正アクセス」(17.4%)、「管理ミス」(13.0%)と続いた。「誤操作」と「紛失・置き忘れ」の合計で全体の約半数を占めた。一方、割合は少ないながらも、「不正な情報持ち出し」(6.5%)、「内部犯罪・内部不正行為」(2.1%)、「バグ・セキュリティホール」(1.3%)、「ワーム・ウイルス」(0.5%)によるインシデントも発生している。漏えい経路では、「紙媒体」が38.9%で最も多く、「インターネット」(22.5%)、「電子メール」(19.9%)、「USB等可搬記録媒体」(10.6%)と続いた。

目次へ戻る

ここ数年の情報漏えい事故の傾向

速報版には経年変化のデータがないため、同じくJNSAの「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」をあわせて参照し、数年の傾向を見てみよう。2005年以降の推移を見ると、インシデント件数は2012年の2,357件をピークに減少傾向にある。2013年は1,388件、2014年は1,591件、2015年には1,000件を切り788件、2016年は468件となり、2017年は386件とさらに減少している。ただし、本当に件数が減少しているのかどうかは、かなり疑わしい。

インシデント件数と漏えい人数の経年変化(2016年まで)
(出典:JNSA「2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」)

ニュースになるような規模の大きいインシデントはともかく、漏えい人数の少ないインシデントは報告されなくなっている可能性が高い。同2016年の報告書の「一件当たりの漏えい人数区分の経年変化」を見ると、「1~10人未満」「10~100人未満」「100~1,000人未満」の件数が大きく減少している。これは、いわゆる改正個人情報保護法においても、各省庁や業界によるガイドラインにおいても、情報漏えいインシデントが発生した際の公表は義務付けられておらず、「望ましい」という表現にとどまっている。

公表することで二次被害が発生する可能性があるケースへの対応もあるが、たとえ小規模でも、漏えい事故を起こしたとなると少なからずブランドイメージに影響する。このため、小規模の漏えいインシデントは報告を控えるケースが増えていると思われる。実際には、漏えい人数1,000人以下のインシデントも継続して発生していると考える方が妥当であろう。

漏えい経路の経年変化を見ていくと、紙媒体による漏えいは2014年が1,213件、2015年が409件、2016年が220件、そして2017年が150件と、確実に減少している。USB等可搬記録媒体も同様で、110件、94件、45件、41件と減少傾向にある。その一方で、インターネットを経由した情報漏えいは、84件、119件、108件、87件とあまり減少が見られない。インターネット上では次々に新しい攻撃が発生しているため、ほかの経路よりもインシデントの発生リスクが高いといえる。

目次へ戻る

必要な情報漏えい対策を読み解く

この報告書を自社・自組織のセキュリティ対策に生かすには、情報漏えいの原因と媒体・経路に注目すべきであろう。2017年に多かった情報漏えいの原因は、「誤操作」、「紛失・置き忘れ」、「不正アクセス」、「管理ミス」であった。誤操作はメール、FAX、郵便などにおいて、宛先を書き間違えたり、操作ボタンを押し間違えるなど、人間によるミスのことで、メールシステムの設定の間違いは「設定ミス」に分類される。

2017年のインシデントにおける原因と媒体・経路
(出典:JNSA「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」)

誤操作への対策には、利用者自身が注意する以外に、上長の承認を加えるなどシステム的な対策もある。まずは従業員への誤操作の認知を行い、それでも減らないようであればシステム的な対策を考える。紛失・置き忘れも人的なミスが多く、意識していても発生する可能性が高い。リモートからロックなどの制御が可能な資産管理ツールやデバイス管理ツールの導入が有効といえる。

また、「不正な情報持ち出し」、「内部犯罪・内部不正行為」には、セキュリティ教育や内部規定の改定などが考えられる。システム的には、操作ログを記録して怪しい操作を検出するような仕組みが有効だ。「バグ・セキュリティホール」、「ワーム・ウイルス」への対策には、一般的なマルウェア対策に加え、脆弱性診断やソフトウェアのバージョン管理ツールなども有効となる。これらは割合は少ないものの、発生した場合の漏えい件数が大量になり、企業が受けるダメージも大きいので注意が必要だ。

漏えい経路では、「紙媒体」、「インターネット」、「電子メール」、「USB等可搬記録媒体」の割合が多い。紙媒体は電子化が進んでいるのか減少傾向にあるが、なかなか紙媒体を減らせない業界も多い。プリンターのログ管理や印刷後の破棄までの手順の徹底などで対処すべきであろう。また、インターネットや電子メールは、マルウェアや不正アクセスを原因とする情報漏えいも多いため、ゲートウェイとエンドポイントでセキュリティ対策ソフトを導入したり、次世代ファイアウォールと次世代IDS / IPSを導入したりなど、多層防御が有効となる。

今後は、マルウェアはさらに検知しづらくなり、C&Cサーバーと連携するなど、標的型攻撃で使用されるような手法が一般的になっていく。また、さまざまなIoT機器が情報漏えいのきっかけとなったり、新たな漏えい経路となったりする可能性もある。まずは、自社・自組織がどのような個人情報を扱っているか、またそれがどこに保存されているのかを明らかにし、それを活用しながらいかに守るのかを考えていくことから始めるとよいだろう。

目次へ戻る

ライター紹介

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT、自動車など幅広い分野に対応。