情報処理推進機構(IPA)セキュリティセンターがまとめたセキュリティ10大脅威のうち8位から10位までの脅威を解説する。8位となったのは、紛失や設定不備による情報漏えい。情報を保管する手段、媒体・場所が多様になったことで、思わぬところから情報漏えいを引き起こすリスクが拡大した。

8位 紛失や設定不備による情報漏えい
~管理者によるコントロールが年々困難に~

 ノートパソコンやUSBメモリーの紛失といった情報漏えい事故は後を絶たず、今日でも最も頻発するセキュリティ事故の1つである。一方、スマートフォンやクラウドサービスが普及し、情報を保管する手段、媒体・場所が多様になったことで、情報漏えいを引き起こすリスクが拡大した。

一次被害者

企業・組織

二次被害者

取引先の組織

脅威と影響

 情報を蓄積したパソコンやデバイスなどの紛失による情報漏えいは、旧来から存在するセキュリティ事故である。しかしながら、今日でも最も発生頻度の高いセキュリティ事故の1つである。

デバイス増加に伴う流出経路の拡大

 USBメモリーやノートパソコンなどの媒体を利用し、内部データを顧客先などの外部に持ち出すことが多くなっている。また、個人所有のスマートフォンやタブレットが急速に普及しており、内部データが個人所有のデバイスにコピーされ易い環境になってきている。

 記憶デバイスは、所有者が適切に管理できていれば、情報漏えいは起きない。しかし、記憶デバイスは物理的な“モノ”であるため、常に紛失・盗難のリスクを抱えており、情報漏えいは後を絶たない。

情報漏えいケースの変化

 また、物理デバイスの紛失・盗難だけでなく、機器の設定不備によって外部から情報が閲覧されるタイプの情報漏えいも確認されている。背景には、インターネットを利用するオフィス機器やクラウドサービスが増えたことが挙げられる。

 このように、情報漏えいのリスクは年々拡大しており、システム管理者の負担の大きい環境が作られている。

 この状況下において、不注意や設定不備によって機密情報が外部に漏えいすることにより、以下の影響を及ぼす。

  • 第三者に機密情報を入手・悪用される
  • 漏えい発覚により、顧客/サービスユーザーからの信頼やビジネス機会を損失するなど、事業に悪影響を与える