セキュリティリスクを考えよう（情報漏えいリスク編）

インターネットの普及は、さまざま情報をいつでもどこでも入手できるようになった反面、フィッシングサイトやウイルス、スパイウェアなどによる情報漏えいなどセキュリティ事故も増加してきています。

総務省公表の2015年中の不正アクセス行為の認知件数は2,051件となり、2013年、2014年と比べると減少しましたが、今なお多くの被害が出ています。また、その被害対象の約97％は一般企業となり、私たちは常にウイルス対策ソフト導入だけでは防ぎきれないセキュリティ脅威にさらされているのが現状です。

不正アクセスを許した主な要因は、ID・パスワードの管理不備、旧バージョンのOSやソフトウェア利用、パッチや必要プラグインなどの未導入、サーバに多大な負荷を与えて機能停止に追い込むDos攻撃などが挙げられます。

マルウェアなどによるパソコンの乗っ取りや、スパイウェア、フィッシングサイト、WEB改ざんでの情報漏えい、ウイルスメールなどの有害メールはウイルス対策ソフトだけでは防御しきれません。
特にマルウェアの一種のランサムウェア(ランサムウェアに感染したパソコンを元に戻すために身代金を要求するウイルス)は世界規模で流行していますが、日本では特に流行しており、多くの被害が発生しています。

ウイルス対策ソフトが入っているから大丈夫と過信せず、自社のセキュリティ対策現状をしっかり把握し、検討・対策することが大切です。

• ※
  参考・参照：総務省公表 平成27年における不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

情報漏えいの要因として理解しておかないといけないのが「従業員のうっかりミス」です。
メールの誤送信をはじめ、パソコンやスマートフォンなどの紛失・盗難、書類の紛失や盗聴が上位を占めています。

また、多くの企業では「標的型攻撃による情報流出」を情報セキュリティ脅威として挙げています。標的型攻撃は、身近なメールが使われていますが「不審なメールを受信したら開かない」「添付ファイルは勝手に実行しない」「文中のURLは無暗にクリックしない」などといった注意喚起は、多くの企業でも行われているかと思います。

しかし、取引先だと思って、メール内のURLを開いてしまった…。添付ファイルを実行してしまった…。といううっかりミスも多々あります。一人でもウイルスに感染してしまったら、社内に広がってしまいます。

従業員の過失による情報漏えいを未然に防ぐためにも、日ごろから従業員への教育・注意喚起はもちろんのこと、定期的なテスト実施によるセキュリティに対する意識の向上、事故発生時の対応・報告スキルをアップさせることがとても大切です。