logo
情報セキュリティインシデントについてのイメージ

今月の帰社日では、自社の情報セキュリティガイドブックを読み合わせ、規則の周知、徹底を再度行いました。
年末になるにつれ、忘年会などの飲み会が増え、セキュリティ事故が起きやすい時期になってきましたので、今回は情報セキュリティインシデントについて取り上げたいと思います。

日本における個人情報漏洩インシデントの年間発生件数は2017年に380件、2018年に443件となっており、コンスタントに年間1000件以上のインシデントが発生していた10年前と比較すると減少しつつあります。

発生原因の内訳を見ていくと、最も多いのが「紛失・置き忘れ」で116件となっており、全体の26.2%を占めています。内容としては、PCやモバイルデバイスの紛失や置き忘れで社外でPCを使用して業務を行った際の置き忘れや、交通機関での移動時の紛失などがケースとして挙げられます。

次に多いのが「誤操作」で109件となっており、全体の24.6%を占めています。
内容としては主にメールの誤送信による情報漏洩で、宛先間違いにより個人情報が流出してしまったケースなどが挙げられます。CC、BCCの設定ミスによって誤ってメールアドレスが共有されてしまった場合なども含まれています。

3番目に多いのが「不正アクセス」で90件となっており、全体の20.3%を占めています。内容としては不審メールや悪質なwebサイトの閲覧を感染経路としてマルウェアに感染し、個人情報を盗み取られてしまうケースが挙げられます。
最近でも、悪質なマルウェア「Emotet」が活動を再開したとして、IPAが注意喚起を促していることがニュースになっていました。手口としてはビジネスメールを装い、本文中に記載されたURLリンクや添付ファイルを開くと不正ファイルがダウンロードされ、マルウェアに感染するものとなっています。

発生原因1位と2位の「紛失・置き忘れ」、「誤操作」については10年以上前から高い割合を占めておりましたが、3位の「不正アクセス」に関しては2015年以降から急激に増加しております。
反対に2014年に43.7%と高い割合で主要原因となっていた「管理ミス」が2018年には12.2%と減少となっており、紙媒体での管理からデータでの管理に移行していったことが強く影響していると考えられます。
実際、媒体、経路別の漏洩件数としては、2014年には紙媒体での漏洩が70%以上を占めていたにも関わらず、2018年には30%以下に減少しています。

このようにして個人情報漏洩インシデントの発生原因について見ていくと、システム、技術的要因によるものではなく、ヒューマンエラーによる側面が強いことがわかります。
持ち物確認やメール送信時の宛先確認を怠らなければ紛失や誤操作は防ぐことができますし、不正アクセスについてもメールの記載内容を確認し、不用意にURLリンクや添付ファイルを開かなければ、十分に対策可能です。

一人ひとりが注意を払って業務に取り組むことにより、セキュリティ事故を起こさないようにしましょう。

それではSee you next time👉

参照:JNSA(日本ネットワークセキュリティ協会)
https://www.jnsa.org/result/incident/2018.html