情報漏洩が起きた場合の損害賠償とは？

2018年にJNSA(日本セキュリティ・ネットワーク協会）が発表したデータによると、個人情報がセキュリティインシデントによって流出した場合、1件あたりの被害総額は平均で6億3,767万円でした。 個人情報はダークウェブで名簿業者への売却・犯罪行為への悪用・クレジットカード情報を利用しての不正送金など利用価値が高く、一度でも情報漏洩が起きると大きな影響を及ぼします。 また、近年ではターゲット企業を直接狙わず取引のある中小企業を足掛かりにして、ターゲット企業の情報盗取を行うサプライチェーン攻撃も増加しています。

犯罪者は技術と知識を向上させており、年々セキュリティツールを導入して情報資産を守る仕組みを強化している大企業よりもセキュリティレベルの落ちる中小企業を狙った方が、目的を達成できる可能性が高いと判断しているからです。 2020年にはNTTドコモ・楽天・イオン銀行など、多くの企業で情報漏洩が発生しており各企業は情報漏洩に関する警戒心を強めています。

一度でも情報漏洩が発生した場合は取引停止に追い込まれる他、自社のセキュリティ対策の不備で取引先が情報漏洩した場合は損害賠償を求められます。 自社と取引先の情報資産を守るためにも、情報盗取に対する対策強化が必要です。

情報漏洩の影響

	想定されるリスク	実損害
内容	取引先からの信用低下 社員の個人情報悪用 顧客からの不信感増大 消費者離れ 企業ブランドの失墜	莫大な経済的利益・ビジネス機会の損失 取引先からの取引量減少・停止 市場での優位性損失 他者への技術やノウハウの流出 社員の銀行口座・クレジットカードの不正送金

情報漏洩が起きる脅威の種類とは？

IPAが発表した2020年に社会的に影響が大きかった情報漏洩の脅威の種類をご紹介します。 個人ではスマートフォン決済の不正利用がトップで、キャッシュレス化の推進に不安が残る形となりました。 2020年に起きたドコモ口座での情報漏洩事件もスマートフォンを利用した電子決済サービスで、被害総額は約3,000万円近くに上っています。

一方、企業のトップはランサムウェアによる被害でした。 ランサムウェアは攻撃の予兆も無く突然使用していたシステムやデータファイルが操作不能となり、元の状態に戻す代わりに多額の身代金を要求する非常に強力なサイバー攻撃です。 ここ数年の変化はクラウドサービスの利用拡大で、RaaS(Ransomware-as-a-Service)と呼ばれるランサムウェアをサービスとして提供する形が増加した点です。

数千円～数万円の使用料金さえ支払えばランサムウェアを手に入れられるため、技術力や知識が無い者からの攻撃リスクが増大します。 つまり、所属企業に不満を持つ現役社員がランサムウェアを仕掛けても不思議ではないということです。 ユーザー行動を可視化する環境整備を行い抑止力を上げる他、内部漏洩をした場合に個人が請求される損害賠償を伝え、「人生を棒に振るう行為」だと意識させることも一つの手段です。

情報セキュリティ10大脅威 2021

	個人	攻撃や被害の特徴	企業	特徴・攻撃の種類
1位	スマートフォン決済の不正利用	後払い方式を選んだ場合、不正決済などの不正利用に気付くタイミングが遅れ被害が拡大 一度情報が流出した場合、継続的な被害に遭うリスクが残存	ランサムウェア	攻撃の予兆が無く、対策が限定的 身代金の支払いを拒否しても、復旧までに多額のコストと時間が発生 RaaSの出現で攻撃リスク増大
2位	フィッシング詐欺	特定のターゲットに向けたスピアフィッシングの攻撃頻度が増大 SMSの弱点やオンラインショッピングの利用頻度増大を狙ったスミッシングの被害拡大 感染スピードが速いEmotet	標的型攻撃	目的を達成するまで何度も攻撃を実行 サプライチェーン攻撃 ビジネスメール詐欺 DDoS攻撃
3位	ネット上の誹謗中傷	SNSによる拡散やなりすまし被害 匿名性を利用した悪質な投稿の連続 個人の名誉を失墜 自体が深刻化した場合は被害者が自殺	テレワークを狙ったサイバー攻撃	カフェやファストフード店など無料Wi-Fiでの中間者攻撃 VPNの脆弱性を突かれての不正アクセス ビジネスメールを同僚や先輩に相談せず開封しマルウェア感染
4位	メール・SMSを狙った脅迫詐欺メール	被害者の不安心理を突いての脅迫 ビットコインの振込要求 トロイの木馬を使った脅迫 セクストーションスパムによる脅迫	サプライチェーン攻撃	ターゲット企業を直接狙わず、取引先を経由 自社の対策に不備があった場合、被害企業から損害賠償を要求 中小企業がメインターゲット
5位	クレジットカードの不正利用	被害理由の把握が困難 フィッシング詐欺 スキミング オンラインショップでの情報漏洩	ビジネスメール詐欺による金銭被害	メール本文や件名が本物と酷似 業務の利用頻度が高いワードやエクセルを活用したパターンの被害も増加
6位	インターネットバンキングの不正利用	ユーザー画面を遠隔操作するMITB攻撃の被害が増加 送金先のみ改ざんし、手続き完了後はマルウェアが正規の情報に修正 認証機能の強化では攻撃の予防が困難 ウイルスソフトの検知精度に課題 見分けが困難	内部漏洩	社員の行動把握が困難 在宅勤務やテレワークで監視の目が機能不全 元社員やパートナー企業のケアも必要
7位	インターネット上での個人情報流出	通信内容が暗号化されないHTTPプロトコルのサイト閲覧は情報漏洩のリスク増大 オンラインショッピング利用増加で、偽サイトに引っ掛るリスク増大 オンラインショップ側の対策不足で、情報漏洩に発展	予測不可能なIT機器の故障に伴う業務停滞	クラウドサービスのセキュリティ不備 ベンダー側の都合でサービスの配信中止 ランサムウェアやDDoS攻撃の被害
8位	フェイクアラート	ユーザーの心理を煽った攻撃 ウイルス感染やシステム破壊などの表示 提供元が不明なアプリをインストールすると発生	クラウドサービスの不正アクセス	パスワードのハッキング 未使用アカウントの利用 クラウドの設定ミスでログイン可能
9位	スマートフォンの不正アプリ	提供元不明のアプリをインストールすると発生 広告やSMSで勧誘 スミッシングと組み合わせて勧誘 人気や評価の高いアプリと酷似	ヒューマンエラーによる情報漏洩	メールの誤送信 アクセス権の設定ミス PCやデバイス機器の紛失
10位	インターネットサービスの不正ログイン	アカウント情報がハッキング 脆弱なIDパスワード管理 オンラインショッピングの利用頻度増加	脆弱性対策情報の公開に伴う悪用増加	開発者が気づいていない脆弱性を犯罪者が発見し、サイバー攻撃に発展 修正プログラムの適用やセキュリティツールの導入など迅速な対策の強化が必要

情報漏洩事件が多発している3つの理由

犯罪者の攻撃が多様化している点とヒューマンエラーの多発が原因です。

犯罪者の攻撃が多様化

社内ネットワークへの侵入やサイバー攻撃を完全に防ぐことは困難な状況です。 犯罪者の技術や知識向上に伴い、サイバー攻撃やマルウェアを見極めることが難しくなっているからです。

例えば、WindowsのPowershellを用いたファイルレス・マルウェアはファイアウォールを回避できるだけでなく、ファイルのインストールや実行ファイルを保存する必要がありません。 そのため、デスク内の痕跡を消すことができます。

他にもフィッシング詐欺でのMITB攻撃もユーザーが使用しているPCには正規の画面が表示されており、PCが乗っ取られていることに気付きません。 そして、ビジネスメール詐欺では利用頻度の高いエクセルやワードを活用し、ユーザーの警戒心を緩めることに成功しています。

普段からセキュリティや情報盗取に関しての意識を高めることを求められるだけでなく、被害を防ぐには攻撃を見極める知識が必要です。 ただし、在宅勤務やテレワークの導入で、対面指導によって知識を高める取り組みが難しくなりました。 ビデオ会議でどこまで切迫感や危険性を訴えられるかが焦点となっていますが、効果が見えづらいセキュリティ対策に時間・コストを優先的に避ける企業はさほど多くないのが現状です。

今後しばらくは現在定められている組織内のセキュリティポリシーに基づいた行動の徹底、不審なメールが届いたら上司や同僚に相談など、個人で判断する機会を無くすことが大切です。

クラウドサービスでの設定ミス

2020年秋頃から楽天・イオン銀行・PayPayなど、顧客管理システムSalesforce上での情報漏洩が相次いで発表されています。 いずれの事件もSalesforce側の不備ではなく、ユーザー側のアクセス権の設定ミスだったため、内閣サイバーセキュリティセンター（NISC)は各企業に設定の見直しを行うよう注意喚起する事態になりました。

Salesforceでの情報漏洩事件で浮かび上がったのが、ユーザー側のセキュリティ意識への希薄さです。 責任共有型であるクラウドは、ベンダーが提供している製品をサービスとして利用します。 つまり、ユーザーはベンダー側が定めるルールやポリシーに基づいた行動をしなくてはいけません。

ベンダーの役割は通信障害が起きないよう、システムを安定的に稼働させることです。 一方、ユーザーはサービスの中身を把握し、どのような設定を行えば利便性と安全性を両立できるか考えることが求められています。

全てを自由にカスタマイズできたオンプレミスとは考え方を変え、今後は「責任を共有している」という意識でクラウドサービスを利用することが必要です。クラウドサービスの設定ミスによるセキュリティ不備には今後も十分に注意をし、多要素認証の実現が出来るSaaS管理のソリューションなどを導入しましょう。

一人ひとりのセキュリティ意識向上が必要

情報漏洩の原因の多くはヒューマンエラーに起因するものです。 仕事の多忙化や気の緩みで対策できたセルフケアを怠った結果、犯罪者に情報盗取を許しています。 単一パスワードの使い回しによるアカウント情報のハッキング、外出先でのデバイス機器紛失、メールの誤送信など、注意していれば防げた情報漏洩です。

犯罪者は企業が年々セキュリティ対策を強化していることを理解しており、対策が行き届いていない企業を徹底的に狙ってきます。 攻撃の被害を最小化するためには、一人ひとりが情報漏洩が起きた場合の被害の大きさを痛感しなければなりません。 特に新型コロナウイルス感染の影響により多くの企業で売上確保が厳しくなっており、情報漏洩が一度でも起きた場合は間違いなく今後のビジネスが大変厳しい状況に追い込まれます。

組織全体で機密情報や個人情報を守る必要性を再度認識し、情報漏洩を意識しながら日々の業務に打ち込んでいくことが求められます。

情報漏洩を防ぐための3つのセキュリティソリューションを紹介

IDaaS（Identity as a Service）、EDR(Endpoint Detection and Response)、UEBA(User and Entity Behavior Analytic)を紹介いたします。

IDaaS

IDaaSとは、クラウドサービスのアカウント情報管理に加え、各種認証機能やシングルサインオンなど多彩な機能を搭載するクラウド版AD(ActiveDirectory)です。 IDaaSを導入することで未使用アカウント発生による不正アクセスを防ぐだけでなく、煩雑なパスワード管理からの解放を実現します。 クラウドサービスへの本格的な移行を決断する企業が増加していることから、提供しているサービスの種類も増えており自社に合ったサービスを見つけやすくなっています。

IDaaSの機能

	機能・特徴	期待される効果
シングルサインオン	ワンクリックでログインを実現	利便性確保 作業効率改善
アクセス管理	多要素認証 端末制限 IPアドレス制限 リスクベース認証	不正アクセスのリスク軽減 シャドーIT防止 内部漏洩対策
認証機能	ワンタイムパスワード 生体認証 FIDO U2F認証 パスワードレス認証	パスワードリスト型攻撃の被害軽減 シームレスなログインを実現 コピー・偽造が困難
プロビジョニング	アカウントの自動作成・管理 ユーザー単位でのアクセス権調整 オンプレミスADと連携	管理者の業務負担軽減 未使用アカウント発生防止 ヒューマンエラーによる情報漏洩防止

EDR

EDRはスマートフォンやノートPCをエンドポイントと定め、端末内のセキュリティ監視を行うセキュリティソリューションです。 マルウェアや端末内の異変を感知した場合はマルウェアを素早く管理し、被害を最小限に抑えます。

また、脅威が侵入した経路の把握・分析機能も備えており、二次災害の発生を防ぐことが可能です。 サイバー攻撃の予防に加え、端末内の被害を最小化する機能も兼備したセキュリティソリューションです。

EDRの特徴

• 攻撃の予防・最小化に抑える機能を兼備
• 未知のマルウェアにも対応
• ユーザー行動を可視化し、内部漏洩を抑止
• 感染経路の特定

UEBA

機械学習とAIを活用して、内部脅威やなりすましによる情報漏洩を防ぐソリューションです。 ユーザーの通常行動とデバイス機器・アプリケーション・ネットワーク機器の情報をリンクし、異変や脅威があった場合はすぐに検知します、 行動の把握や対策が難しい内部犯行の脅威を軽減するソリューションとして、注目されています。