実態調査が示すセキュリティー事故の最新動向 急増する被害と事故内容の変化とは?
基本的な対策を怠ったことで発生したセキュリティー事故
CASE 5
「うちの社員は大丈夫」と性善説を前提とし、社員のデータの取り扱いに注意していなかったE社では、競合企業に転職した元社員が、大量の顧客データを持ち出した。
競合企業が、E社の顧客に強力な営業をかけ始めたため、不審に思い調べたところ、持ち出しの事実が発覚したのである。
E社は遅ればせながら、ログの取得・監視を行うサービスの導入を検討している。
CASE 6
F社では、ネットに接続するPCのみ最新OSを使用していたが、ネットに接続していないPCについては古いOSのまま使用していた。
そのため、従業員は個人のスマホやタブレットを使って、情報検索したり、ホワイトボードに書き込んだ商談情報を撮影して個人のPCにメールで送ったりしていたという。従業員が誤送信した結果、商談情報の画像が外部に流出してしまった。
個人のデバイスの管理は難しいため、F社はすべてのPCのOSを最新化するとともに、個人のデバイスによる機密情報の撮影を禁止するなど、新たなルールを設定した。
CASE 7
G社は、個人情報を流出させないために、基幹システムには社外からアクセスできないようにしていた。しかし、現場の営業担当者は、外出先で個人情報や在庫データがないと必要な判断ができないため、実際には、基幹システムにアクセスできるバックオフィスの従業員に頼んで、USBでデータをもらいPCに保存、外部に持ち出していたのだ。
営業担当者がPCを社外で紛失したため、こうした実態が発覚。しかも「情報漏洩は絶対にない」という前提で、ログを取得していなかったため、紛失した情報の内容を把握することができず、顧客にも報告ができていないという。
G社のようなケースは、情シス担当者があまりITに詳しくない場合、つまり、ユーザーにどこまで権限を与えていいのかわからず、アクセス権を過剰に抑制してユーザビリティーが低下したときに起こりやすいという。
最後の3つのケースは、OSの管理やログの監視など、基本的な対策を怠っていたために発生した事故だ。裏を返せば、基本的な対策を取っていれば、事故を防げた可能性は極めて高いケースといえるのではないだろうか。
セキュリティー事故の具体的内容。依然としてランサムウェアによる被害は多い
