事例から見る情報漏えい対策のあり方 | セキュリティ対策
不正アクセスや内部要因によって、組織の機密情報が外部へ漏れてしまう“情報漏えい”。これまで情報漏えいの原因の8割が内部要因にあると言われていました。
しかし、ここにきて昨今のサイバー攻撃が非常に高度化・巧妙化したことにより外部からの攻撃による情報漏えい事件が相次いでいます。
今回は、こうした情報漏えいによって企業が受ける被害を明確化し、企業が取るべき対策を情報漏えい事件の事例を交えてご紹介します。
企業が受ける被害とは?
情報漏えいによって企業が受ける被害は、経済的損失といった直接的なものだけでありません。一般的に以下のような被害が想定されています。
1. 経済的損失
こちらはもっとも目に付きやすい被害と言っても良いでしょう。情報回復、漏洩原因の追及、システムの改善など直接的な損失から、損害賠償など間接的な損失までさまざまありますが、大規模な情報漏えいとなると一つの事件で数億円の損失が発生することも少なくありません。
2. 業務停止
顧客や取引先といったステークホルダーへの連絡、情報漏えいに対する早急な対処対策や通常業務以外の緊急対策により業務停止を余儀なくされるケースがあります。情報漏えい時には会社全体での状況把握や対策を講じる必要があり業務を継続するのが難しくなります。
3. 信頼低下
BtoC、BtoBに関わらずブランドのイメージ低下など、信頼性を損なうのは確実であり、そこから派生する風評被害や経済的損失、売上減少が想定されます。企業はこのような問題発生時には情報を開示し、真摯に対応することが求められるでしょう。
4. 公的処罰
情報漏えいの経緯や事業体によっては事業免許の取り消しや停止もあり、行政指導による業務停止の可能性もあります。また、情報を漏えいした個人にも刑罰が発生する可能性もあります。
5. 従業員の士気低下
こうした経済的損失や事業への影響だけでなく、事件後の業務負荷増大によって従業員はフラストレーションが溜まるでしょう。そのため士気が低下し組織としての結束をも崩しかねません。
これだけの被害が発生する情報漏えいは、やはり“起きる前に防ぐ”がセキュリティとしての鉄則と言えます。
包括的セキュリティソリューション&サービス
NSSEINTとは
企業が取れる対策は?
情報漏えいが起きてから“原因追究”やそれに対する“セキュリティの構築”を行うのではなく、やはり“起きる前に防ぐ”ということが非常に重要です。
しかし、近年のサイバー攻撃は高度化・巧妙化していることで、企業内のIT人材だけで十分なセキュリティ環境を構築することが困難になっています。
標的型メールだけに備えるなどピンポイントな施策のみではなく、DDoS攻撃やWebサイト改ざんなど、サイバー攻撃は多種多様でありそのすべてに対して備えておく必要があるでしょう。
NSSEINTが提供する包括的なセキュリティ環境
NSSEINTは、多層防御を実現するセキュリティ製品群と導入効果を最大化する運用支援を組み合わせたセキュリティソリューションです。
ここでNSSEINTがカバーする、いくつかの領域を紹介しておきたいと思います。
|
ソリューション |
概要 |
|---|---|
|
標的型攻撃対策 |
|
|
DDoS攻撃対策 |
|
|
境界防御(NGFW※1、IPS) |
|
|
仮想化環境の防御 |
|
|
Webサーバー防御(WAF) |
|
|
データベース防御 |
|
|
Web分離 |
|
|
|
|
脆弱性診断 |
|
※1:NGFW(Next Generation Firewall = 次世代ファイアウォール)
また、日鉄ソリューションズでは、高度なセキュリティレベルを維持・強化するプロセスが企業に必要であると考えており、セキュリティオペレーションセンター(SOC)を包括的に支援するサービスもご用意しています。
まとめ
いかがでしょうか?情報漏えいのリスクというのは日常に隠れており、攻撃者は常にその機を伺っています。今度さらに高度化・巧妙化された複合的な攻撃手法を駆使してくることが予想されるため、多層防御が可能なセキュリティ環境を構築する必要があるでしょう。
