データの管理方法から考える情報漏えい対策 サイバー攻撃や内部不正から情報を守るために必要な対策

近年、サイバー攻撃が増え続けています。また、企業・組織の内部関係者・退職者らが関与する情報漏えい事例も目立っています。これらの脅威による重要情報の流出は組織の存亡につながりかねないため、いくつもの対策を施すことが重要です。ここでは、経済産業省やIPA(独立行政法人情報処理推進機構)から公開されているガイドラインや、データを守るための権限管理などについて解説します。

太田 博章様

下道 高志
日本オラクル株式会社
クラウド・テクノロジー事業統括 クラウド・テクノロジー製品戦略統括本部
テクノロジーディレクター 博士(工学)

1982年 慶應義塾大学商学部卒業。2014年東京電機大学後期博士課程終了。博士(工学)。AT&Tベル研究所と共同でUNIX国際機能を開発。サン・マイクロシステムズにてJava、アイデンティティ技術の仕様策定・適用、クラウドAPIの仕様策定等に従事。2010年より日本オラクル(株)に移籍。官民におけるアイデンティティ関連技術の適用実装に従事。警察庁総合セキュリティ対策会議委員、IPA Ruby標準化ワーキンググループ委員、総務省スマートクラウド研究会技術ワーキンググループ構成員、ISO SC27/WG5エキスパート等を歴任。ISACA東京支部アカデミックリレーションズ委員長。CISA、CISM。

イバー攻撃と情報漏えいの現状

インシデントが毎年倍増しているという事実

想定損害賠償額は、1,438億円から1兆6,642億円へと10倍以上に急増

サイバー攻撃の回数、そしてその被害は急激に増加しています。攻撃の回数だけでいえば、2016年に入って情報通信研究機構(NICT)が公表した「2015年の攻撃回数は545億件であり2014年の256億件から倍増」との調査結果出典1は衝撃的なものでした。もちろん、これは「攻撃もしくは攻撃調査を試みた通信の回数」とみるのが正しいと思われ、実際に日本国内で億単位のセキュリティ事案・事故(インシデント)が起きているわけではありません。しかし、2013年の同調査においては128億件であったことから、毎年倍増しているという事実は深刻に受け止めるべきでしょう。それでは、非常に多くのサイバー攻撃があったとして、一方で、企業や機関において実際に認識されているインシデントはどれくらい起きているのでしょうか。

日本ネットワークセキュリティ協会(JNSA)が発行している「情報セキュリティインシデントに関する調査報告書~情報漏えい編」では、2014年の漏えい件数は1,591件であり2013年の1,388件から微増しています。2014年のこの漏えい件数だけをみれば、「サイバー攻撃が毎年倍増している現状を鑑みれば、セキュリティ対策が浸透し効果が出てきているのではないか」と思われる方も多いのではないでしょうか。ところが、情報漏えい人数は4,999万人と、2013年の925万人から4倍以上に激増しています。さらに1人あたりの平均想定損害賠償額が2.7万円から5.2万円へと倍近くに増えていることもあり、想定損害賠償総額は、1,438億円から1兆6,642億円へと10倍以上に急増しています出典2

統計作業に時間がかかるため、2015年の情報は本原稿執筆時点では公表されていませんが、これらの数字から、「セキュリティインシデントはますます大規模化していて、企業経営にも大きな影響を与える可能性がある」とみるべきでしょう。図1

図1セキュリティインシデントは「大規模化」している

個人情報だけでなく、企業経営の観点では、
企業の機密情報流出も非常に大きな問題

最近起きたインシデントの例を示したいと思います。米国では、米連邦人事管理局(OPM)がサイバー攻撃を受け、2,150万人の社会保障番号が流出したインシデントがありました。深刻だったのは、同時に560万人の指紋データも流出していたことです。IDのような再発行可能な個人に関連する情報だけでなく、代替不可能な個人情報である生体情報も盗まれてしまったのです。

日本においては、2015年、日本年金機構から100万件以上の基礎年金番号等が流出して社会問題になりました。また、2014年の夏には、ベネッセにおける最大2,070万件にも上る大規模な個人情報流出事件が発生しました。これらの例では、企業(や行政)経営に多大なインパクトをもたらしました。そのためセキュリティインシデント=個人情報流出ととらえてしまう向きがありますが、企業経営の観点では、企業の機密情報流出も非常に大きな問題です。東芝の半導体メモリの研究データ漏えい事件では、東芝のパートナー企業であるサンディスクの技術者が、東芝のサーバーに保管されている機密情報へアクセスし、ライバルである韓国SKハイニックスに情報を提供したとされています。当初東芝は1,000億円ともいわれる損害賠償訴訟を起こしていました(2014年12月に東芝が約331億円を受け取ることで和解が成立)出典3。サイバー攻撃や情報流出では、社会的には顧客の個人情報漏えいが注目を浴びますが、企業経営の視点からは、企業が持つ情報の漏えいも非常に気にすべき問題です。

業が参考にすべき
セキュリティに関するガイドライン

経営者層にも提言できる「サイバーセキュリティ経営ガイドライン」

セキュリティ投資へのリターン算出はほぼ不可能、
経営者のリーダーシップによる対策を

内閣サイバーセキュリティセンター(NISC)や各省庁、IPA、JNSA等をはじめとする機関から、セキュリティに関するさまざまなガイドラインが出ています。また、ISO/IEC 27001/ISMS等をはじめとする情報セキュリティの標準や認証についても、随分と整備されてきました。しかし、企業経営の立場からみたガイドラインが少なく、現場技術者と経営者の共通理解が進んでいなかったことが特に日本では顕著だったと感じています。

そうしたなか、昨年末に経産省およびIPAから公開されたガイドラインが、「サイバーセキュリティ経営ガイドライン」出典4です。このガイドラインの概要では、1で、「サイバーセキュリティは経営問題」として、その背景と当ガイドラインの存在価値を記述しています。次に2で、「経営者が認識する必要がある「3原則」」を示しています。ここで非常に興味深いことは、「セキュリティ投資に対するリターンの算出はほぼ不可能」であり、「経営者がリーダーシップをとって対策を推進」する必要がある、と説いていることでしょう。そして、3で「情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」」を示しています参考1。本編では、これら概要で示した3項目に関して詳細を示し、対策を怠った場合のシナリオと対策例を紹介しています。このように経営者層にも提言できる内容になっており、現場技術者と経営層の共通理解のための橋渡しが期待されます。さらに経営に重きを置く一方で、より具体的な技術対策の例も付録に示されています。この中で、特に注目するべきことは多層防御措置の実施を有効な技術的対策項目としてあげていることでしょう。そして具体的な技術対策の例として、多くの企業や機関において現時点での中心的対策である「マルウェア感染リスクの低減のための対策」に加え、「重要情報が保存されているサーバーの保護」と「出口対策とログの定期的なチェック」が示されています。特に前者においては、「重要情報を保存しているサーバーについては、ネットワークの分離(別セグメント化)や、ファイアウォール(FW)設置、重要データ(データベースおよびファイル)への高度な暗号化、アクセス制限、アクセスログ収集を行う」と明確に記載されていることは注目すべきことでしょう。

参考1「サイバーセキュリティ経営ガイドライン」目次より
サイバーセキュリティ経営の3原則
(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
(2)サイバーセキュリティリスク管理体制の構築
(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
○経済産業省 平成27年12月28日公表「 サイバーセキュリティ経営ガイドライン」より抜粋

織における内部不正防止ガイドライン

営業秘密と認められるには、「秘密を管理する仕組み」が必要

悪意なく社内情報を無断で持ち出し、
自宅PCから漏えいさせてしまう事故も内部不正となる

前述したベネッセや東芝のインシデントは、外部からのサイバー攻撃が原因だったわけではありません。ベネッセの場合は、データベース内の機密情報にアクセスできる権限を持った者(データベース管理者と思われる)による犯行、東芝の場合には、パートナーでありながら、機密情報にアクセスできる者の犯行であった事実が非常に重要な意味を持ちます。つまり、高度なサイバー攻撃による脆弱性を突いた結果での情報漏えいでなく、企業組織に属する者の内部犯行による情報漏えいだったわけです。経産省の「営業秘密の管理実態に関するアンケート」出典5では、営業秘密の漏えいがあった企業では漏えい経路が「中途退職者(正規社員)による漏えい(50.3%)」、「現職従業員等のミスによる漏えい(26.9%)」、「金銭目的等の動機を持った現職従業員等による漏えい(10.9%)」と報告されており、悪意のない事故による内部不正も多いという結果となっています。

このような内部犯行への対策をまとめたガイドラインがIPAから出ています。それが「組織における内部不正防止ガイドライン」【出典6】です。サイバーセキュリティ経営ガイドラインにおいても、この不正防止ガイドラインを参照することによって効果的な対策が可能であることが記載されています。

内部不正や内部犯行というと、初めから金銭目的や恨み等の悪意を持った犯行と考える人も多いと思います。しかし広い意味では、悪意がないにしても事故、例えば自宅で業務を行うために社内情報を無断で持ち出し、自宅PCから漏えいさせてしまう事故も内部不正であるとされます。

内部不正に関連した主な法律についてもガイドラインに記載があります。不正競争防止法では「営業秘密」の保護に関する規定があり、内部者等が営業秘密を不正に使用・開示等を行うことに対して、民事上の差止請求等が認められているとともに、違法性の高い侵害行為については刑事罰も適用されます。ところで、ここからが非常に重要なのですが、ある情報はどうすれば営業秘密と認められるのでしょうか。営業秘密と認められるには、その情報が有用かつ公然と知られておらず、かつ秘密として管理されていることが重要とされています。つまり、「秘密を管理する仕組み」が必要であるともいえるでしょう。

流出のリスクをより減らすためには、安全管理措置を講じることが求められる

外部攻撃か内部不正か、悪意かミスか等原因となるパターンはありますが、どうすれば流出のリスクをより減らすことができるでしょうか。例えばマイナンバー制度を例にしてみましょう。マイナンバー法においては、「安全管理措置を講ずる」ことと定められています。ここでの安全管理措置は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つから構成されています。マイナンバー法は個人情報保護法の上位に位置づけられているので、個人情報保護法も同じ安全管理措置が求められていると考えるべきでしょう。「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」についてはほかの機会に譲るとして、本稿後半では、「技術的安全管理措置」に関連して、セキュリティ対策として技術的には何が必要とされているかを考察してみます。参考2

参考2マイナンバー制度における「技術的安全管理措置」
  • a アクセス制御
  • b アクセス者の識別と認証
  • c 外部からの不正アクセス等の防止
  • d 情報漏えい等の防止
内閣府 特定個人情報保護委員会 平成26年12月11日公表
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(別添)特定個人情報に関する安全管理措置より抜粋
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら