情報漏洩していないかチェックする方法|漏洩の原因や対策方法を解説
個人情報とは、単体特定の個人を識別できる情報や、ほかの情報と簡単に照合可能で、それにより特定の個人を識別できる情報を指します。具体的には氏名、生年月日、顔写真、住所、メールアドレス、クレジットカード番号、携帯電話番号などが該当します。
個人情報が流出すると、社会的な信用を失うなど多大なリスクがあるため、日頃から情報漏洩対策を講じておくことが大切です。
この記事では、情報が漏洩していないかチェックする方法や、情報漏洩により生じるリスク、情報漏洩の対策方法などについて解説します。情報漏洩に関するひと通りの知識を得たい方はぜひご覧ください。
【目次】
6.まとめ
■情報が漏洩していないかチェックする方法
情報が漏洩していないかチェックする方法を、いくつか紹介します。
◇ノートン(Norton)のチェックツール
セキュリティ対策ソフトなどを提供するノートンでは、メールアドレスがダークウェブに流出しているかどうかをチェックできるサービスを提供しています。
このサービスには無料版と製品版があり、製品版ではメールアドレス以外にも銀行口座番号やクレジットカード番号など、さまざまな個人情報の流出を確認できます。
◇Have I Been Pwned?
Have I Been Pwned?はセキュリティ研究者のトロイ・ハント氏が運営するWebサイトです。メールアドレスを入力すると、それに対応するパスワードが流出しているかどうかを無料で確認できます。
メールアドレスを入力してpwned?ボタンをクリックすると、パスワード情報の漏洩があれば「Oh no – Pwned!」、なければ「Good news – no pwnage found!」というメッセージが表示されます。
これは内閣サイバーセキュリティセンター(NISC)が公開している「インターネットの安全・安心ハンドブック」でも紹介されており、民間サービスながらセキュリティ業界において高評価を得ているサービスです。
◇Firefox Monitor
Firefox Monitorは、Have I Been Pwned?のデータベースを利用しているWebサイトで、日本語に対応しています。
メールアドレスを入力して「データ侵害を確認する」ボタンをクリックすれば、そのメールアドレスに関連した個人情報が流出しているかどうか、チェックすることが可能です。このサービスもNISCの「インターネットの安全・安心ハンドブック」で紹介されています。
◇Pwned Passwords
Pwned Passwordsは、Have I Been Pwned?のページの一つで、パスワードが流出しているかどうかを確認できるサービスです。
入力欄にパスワードを入力し、pwned?ボタンをクリックすると、パスワードが漏洩していれば「Oh no – pwned!」のメッセージと過去の流出回数が表示されます。
■情報漏洩が発生する2つの原因
情報漏洩が起こる原因には大きく分けて社内起因と外部起因の2つがあります。ここでは、それぞれの原因について解説します。
◇社内の原因
社内から情報が漏洩する場合、おもな原因は社員のミスによるものです。具体的には、パソコンやソフトウェアの操作ミス、持ち出した情報の紛失・置き忘れ、管理ミスなど、多くは悪意のない行動が原因になっています。
2018年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(速報版)(JNSAセキュリティ被害調査ワーキンググループ)によると、社内に原因がある情報漏洩が、情報漏洩件数全体の60%以上を占めています。この割合は前年と同程度ですが、競合企業に個人情報を渡すため故意に持ち出すなどの内部不正行為による漏洩も3%程度起きており、これは前年より件数がやや増加しています。
◇外部の原因
情報漏洩の外部的な要因としては、不正アクセスやワーム・ウイルスなどの悪意ある攻撃がおもなものです。
2018年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(速報版)(JNSAセキュリティ被害調査ワーキンググループ)によると、外部に起因する情報漏洩は、情報漏洩原因全体の20%程度を占めており、前年よりやや増加しています。こうした外部からの攻撃による情報漏洩は、セキュリティ対策を強化することで防ぐことが可能です。
■情報漏洩によって引き起こされるリスク
情報漏洩により生じる危険性について解説します。
◇Webサイトなどの改ざん
悪意のある第三者は、インターネットを通じてツールを用いた総当たり攻撃や、OS・ソフトウェアの脆弱性などを調べたうえで攻撃を行ないます。その結果、IDやパスワードなどのアカウント情報を特定したのち、企業や組織のサーバーなどに侵入するという手段が知られています。
こうしてアカウント情報が流出すると、企業が運営しているWebサイトの内容などが改ざんされる、保存している顧客情報や機密情報が窃取される、重要なファイルが消去されるなどの恐れがあります。
このうちWebサイトの書き換えに関しては、場合によっては接続したデバイスをウイルスに感染させる、個人情報を窃取するなどの被害を発生させることがあります。この場合、自社のサイトを介してさらに被害が拡大する可能性もあるため要注意です。
◇社会的な信用の低下
情報漏洩が発生すると、顧客や取引先からの信用を失います。顧客や取引先が「今後も継続して取引して良いのか」と不安に感じた結果、競合他社へ流出してしまい、自社の売上が低下する危険性もあります。
情報漏洩が起これば、このように社会的な信用が大きく低下し、風評被害や株価の下落など、大きな損失が生じる恐れがある点は大きなリスクといえるでしょう。
◇企業の存続危機
取引停止などで売上に加え、情報漏洩の対応費用が必要になったことで、企業の財政が悪化し存続が難しくなるケースもあります。例えば、多くの被害者に対してお詫びの金品を送るなどの対応が必要となることも考えられます。
情報漏洩が起こると、信頼回復や売上損失の穴埋めに時間がかかるため、企業によっては損失をできずに倒産する懸念がある点もリスクでしょう。
◇罰則が課される
個人情報が漏洩した状況によっては、個人情報保護法や不正競争防止法の違反となり、刑事罰が科される可能性があります。例えば、個人情報保護法上の義務に違反し、改善命令にも違反した場合、違反行為をした個人に1年以下の懲役または100万円以下の罰金、法人には1億円以下の罰金が科されます。
このように、企業において情報漏洩が発生すると、漏洩させた社員だけでなく、企業にも刑事罰が科される可能性がある点に注意が必要です。
■情報漏洩を防ぐ有効な対策とは
ここでは、情報漏洩を防ぐ有効な対策について解説します。
◇社内ルールの徹底・教育
社内からの情報漏洩を防ぐためには、社内ルールの整備・徹底が有効です。社内での人為的なミスにより情報漏洩が起こる場合、メールの誤送信や持ち出した顧客情報の紛失・置き忘れ、管理ミスなどが考えられるため、これらを防ぐための対策を講じるとよいでしょう。
例)
- ・メールの誤送信を防ぐ
- 重要情報を含むメールを送信する際は、担当者がダブルチェックし、上長の承認を得る
- ・持ち帰った顧客情報の紛失・置き忘れを防ぐ
- 顧客情報は必ず社内で管理する、自宅に持ち帰らない
- ・管理ミスを防ぐ
- 業務用のパソコンやスマートフォンを机上に放置したまま帰宅しない
また、従業員の情報リテラシーを高めるために、社内教育を実施する、充実させるといった対策も必要です。
◇複雑な認証方式の導入
IDとパスワードを使う一般的な認証方式では、アカウント情報が漏洩すると社内システムなどへ簡単に侵入できてしまいます。情報漏洩を防ぐためには、二段階認証やワンタイムパスワードなどのほか、複数の要素を組み合わせた認証方式(多要素認証)を採り入れるのが効果的です。
しかし、あまりに複雑な認証方式はログインする際の手間が増えます。認証は日常的に行なうことになるため、使いやすさやパスワードの覚えやすさなどといった利便性も考慮しなければいけません。
◇操作ログの記録と管理
不正アクセスへ迅速に対応するためには、社内ネットワークに接続しているパソコンなどの機器を使用した際の操作ログを記録・管理することが大切です。日頃から使用している機器がいつ、誰が、どこから、どのようなソフトで、何のために使われたのかをいつでもチェックできるようにしましょう。
また、不正なアクセスや不審なアクセスを自動で遮断するシステムがあると、迅速な対応が可能となるほか、よりセキュリティが向上します。
◇セキュリティソフトの導入
不正アクセスやウイルスの感染、攻撃者の侵入による情報漏洩を防ぐためには、セキュリティソフトの導入が有効です。
セキュリティソフトにはさまざまな種類があり、それぞれ性能は異なりますが、例えばウイルススキャンに対応している、危険なWebサイトへのアクセス時に警告を表示するなどの機能があります。ただし、サイバー攻撃の手法は日々変化しているため、定期的なアップデートが必要になる点は覚えておきましょう。
情報漏洩対策としてこれからセキュリティシステムを導入するなら、導入実績があり低コストで利用できる「トラスト・ログイン」がおすすめです。
■情報漏洩対策なら「トラスト・ログイン」の導入がおすすめ
ここからは、情報漏洩を防ぐセキュリティシステムとして「トラスト・ログイン」がおすすめできる点について解説します。
◇高いセキュリティ性能と利便性を両立したログイン方式
トラスト・ログインでは1つのID・パスワードを用いて一度ユーザー認証を行なうだけで、その認証に紐づいている複数のサービスへ自動的にログインできる、「シングルサインオン」を利用しています。シングルサインオンでは、企業において増え続けるアカウント情報を一元管理し、さまざまなサービスへの入り口をまとめることが可能です。
トラスト・ログインでは、以下3種類のシングルサインオンを提供しています。
- ●ID・パスワードを記憶する「フォームベース認証」
- ●ID・パスワードを使用しない「SAML認証」
- ●社内システムで利用されることの多い「Basic認証」
また、トラスト・ログイン自体へのログインでは、認証にワンタイムパスワードやクライアント認証などを追加する「多要素認証」を導入することでセキュリティ性能を高めています。
多要素認証とは、ログイン時に認証の3要素である「知識情報・所持情報・生体情報」のうち2要素以上を組み合わせて認証を行なうものです。一般的にはID・パスワードによる認証(知識情報)に加えて、もう一つ別の要素の認証方法を組み合わせます。
ログイン方式に多要素認証を導入すると、セキュリティが強固になり不正アクセスへの対策として効果的です。
◇低コストで導入可能
トラスト・ログインは、月額基本料金0円の無料プランで、シングルサインオンやログの保管といった機能が使えます。ただし、情報漏洩対策にはプロプランが最適でしょう。
全機能が利用できるプロプランは1ユーザー当たり月額300円(税抜)で、低コストでの導入が可能です。プロプランでは、シングルサインオンやログの保管のほか、多要素認証によりセキュリティ強化も図れます。
そのほか、さまざまなオプションを1ユーザー当たり月額100円(税抜)で追加可能です。
◇20年以上の実績と安定した稼働
トラスト・ログインは、SSL認証局として20年以上にわたり重要な情報を守ってきた実績のある、GMOグローバルサインが運用しているセキュリティサービスです。国際規格であるISO/IEC 27001(情報セキュリティマネジメントシステム)、ISO/IEC 27017:2015(クラウドセキュリティ認証)も取得しています。
過去12ヵ月で稼働率100%の安定したサービスを誇っており、障害発生による事業への影響を心配することなく、安心して利用できます。
■まとめ
情報漏洩が起こってしまうと、悪意ある攻撃のリスクが高まるだけではなく、社会的な信用の失墜など、企業として大きな損失が発生します。情報漏洩を防ぐためには、社内ルールの整備・徹底、多要素認証の導入、不正・不審なアクセスを自動で遮断するシステムの導入などの対策が有効です。
現在、情報漏洩対策を検討している場合は、「トラスト・ログイン」の導入がおすすめです。トラスト・ログインは、1つのID・パスワードを用いて一度認証するだけで、その認証に紐づいた複数のサービスへ自動的にログインできるシングルサインオンを導入しています。
トラスト・ログイン自体へのログインには多要素認証を導入してセキュリティ性能を高めているほか、不正アクセスなどにしっかり備えながら日常の利便性も保たれています。
トラスト・ログインは、月額基本料金0円で利用可能です。
情報漏洩対策にお困りの方は利用を検討してみてはいかがでしょうか。
お問合せはこちら。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。