実態調査が示すセキュリティー事故の最新動向 急増する被害と事故内容の変化とは？

約4割の企業が直近3年間でセキュリティー事故に遭遇

ITハードウェア製造大手のデルは、中堅企業を対象に、セキュリティーに関する調査を実施し、「セキュリティー事件簿」としてケーススタディーをまとめている。同社広域営業統括本部でデジタルセールス本部長を務める木村佳博氏は次のように説明する。

デル
広域営業統括本部
デジタルセールス本部長
木村佳博

「2018年の調査で、直近の3年間にセキュリティー事故のあった中堅企業が、全体の約30％に上ることが判明しました。そのため、どういった事故が発生しているのかを調べた結果が『セキュリティー事件簿』です」

同社によると、19年の調査では、セキュリティー事故は前年から約5ポイント上昇。両年ともランサムウェアの被害がトップだったが、19年はSNSへの軽率な情報公開や不正ログイン、不正利用のほか、内部不正による情報漏洩など、社内の人的な問題やオペレーションのミスから発生する事故が増えている。こうした事故は、必ずしも情報システム（以下、情シス）部門の担当者が対策を怠った結果ではないという。

「われわれがヒアリングしてみると、誰かが悪いわけではないという場合も多く、現場がよかれと思ってやったことが、ピンポイントで狙われたケースもあります。どの企業でもセキュリティー事故に遭遇する可能性があることに警鐘を鳴らしたいとの思いから、『セキュリティー事件簿』を作成しました」

では、実態はどうなのか。同社が約1200社から行ったヒアリングによると、セキュリティー事故は、シチュエーションによってその発生原因が大きく3つに分かれるという。

IT利用における倫理観低下が招いた事故

CASE 1

海外に拠点を持つ日本企業A社で、機密情報が漏洩した。海外に駐在する取引先とメールで商談していた際に、CCに入っていた日本語のわからない取引先の現地担当者が原因だった。

この担当者は、ローカル翻訳サイトでメール全文を翻訳。そのキャッシュが残ってしまっていたため、検索サイトから全文が漏洩してしまったのだ。

A社は、現地取引先への注意勧告を行うとともに、海外の取引先も注視しなければならないことを社内で改めて確認したという。

CASE 2

B社では、従業員がオンラインストレージ経由で取引先とデータを共有しようとした際に、機密情報が漏洩した。

従業員が個人で使用しているチャットソフトで、関係のない企業にIDとパスワードを誤送信してしまったのだ。これは、クラウドやWebサービス利用における倫理観の低下に起因する、単純なオペレーションミスである。

B社は、クラウドサービスを利用する際のルールを取り決め、利用制限を強化した。

IT化の広がりは、事業変革の取り組みを加速させるなど、ビジネスに大きなメリットをもたらした。しかし、「誰もが」「どこからでも」「気軽に」使えるサービスを、倫理観なく気軽に使用してしまうと、事故につながるリスクが高まってしまうのだ。