過失による被害
情報セキュリティのリスクは、外部からの攻撃によるものだけではありません。
一般の企業や組織では、内部犯行や過失による頻度の方が被害が多いといわれています。
JNSAの「2013年情報セキュリティインシデントに関する調査報告書」によると、漏えい原因の大部分は、誤操作、管理ミス、紛失・置き忘れといった過失が原因です。
管理がずさんだと、情報を漏えいしたこと自体把握できず、外部からの通報により初めて漏えいの事態を把握するということも起こります。
原因例
- 外部に公開したWebサーバーの設定ミスによって、情報が外部から閲覧可能になってしまった
- メールやファクスなどの誤送信
- 情報公開の管理ルールが不明確で誤って情報を公開してしまった
- 引っ越しや居室の変更などの間に管理すべき情報の所在がわからなくなった
過失による情報漏えいはこれにとどまりません。
最近はいわゆるインターネットを通じたソーシャルネットワークが広く普及しているため、企業経営者をはじめさまざまな人々がこれを活用しています。
この中で、企業秘密や個人情報を漏えいしてしまう危険があります。
風評被害やいわゆる「炎上」に繋がる例もあります。
企業経営者をはじめ、社内の重要情報を知る人がその情報をソーシャルネットワークに上げてしまった、といった事例も後を絶ちません。
標的型攻撃のネタに使われることには、さらに注意が必要です。
標的型攻撃には社内で使われるメールアドレスを利用して行なわれるケースが多発しています。
これは、それを受信した人に、あたかもその社内の人からのメールだと思わせるためです。
社内で使うメールアドレスをソーシャルネットワークなどで使用していると、このような事態を招きかねません。
情報漏えいが明らかになると、漏えいによる直接的な被害だけでなく、その企業や組織の社会的責任が問われるとともに、著しく社会的な信用を失うことになるほか、漏えいした情報が、第三者の手によって悪用されるといった事態も発生しえます。
情報セキュリティの一環として、過失による被害の防止も重要な対策の一つであると認識する必要があるのです。
内部犯行
最近の内部犯行でもっとも話題となった例に、Edward SnowdenによるNSAの機密情報漏えいがあります。
彼は派遣社員で、情報システム技術に精通した人物でした。
機密情報漏えいの動機は、社会正義のためといわれていますが、この事件は関連組織に甚大な影響被害を及ぼしました。
Snowdenはリバタリアンと呼ばれる、極端な自由主義信奉者だったといわれています。
アメリカの情報収集活動が大きく自由主義を侵害しているとして、内部告発に至ったと主張しています。
この事件が内部犯行なのか、内部告発なのかはいまだ論争が続いていますが、情報セキュリティの観点から見て、さまざまな問題が浮き彫りになります。
内部犯行は結局のところ、人が関与します。
IT技術の高度化、情報セキュリティ対策のニーズの拡大などから、この分野の專門家は引く手あまたな状況です。
政府機関などでは、このような人材を内部で抱え続けることが処遇面でも難しくなり、今回のような嘱託の形に移行せざるを得なかったと考えられます。
アメリカ政府職員は厳格な身分調査がなされているようですが、それでも問題は発生しました。
動機もさまざまです。
金銭目的からさまざまな主義主張に基づく犯行まで、想定外のものが出てくる恐れもあるわけです。
重大な内部犯行に関して、我が国の例では、ベネッセの個人情報漏えい事件がありました。
これも、情報システムの運用管理業務を委託していた会社の社員が起こしたものです。
また、流出した個人情報は、「名簿屋」に販売されていました。
個人情報を直接換金する仕組みが存在しますが、「名簿屋」は違法な商売ではありません。
以上の例からもわかるように、内部犯行を完全に防ぐことはとても難しい問題です。
ITの仕組みだけでなく、組織の運営や管理の問題が重要とまりますが、現時点ではITとそれに対する脅威の進化のスピードに対して、人や制度が追いついていないのが現状であると考えられます。
【関連記事】