セキュリティ担当者が押さえておきたい「情報漏洩調査」とは？具体的方法から注意点まで解説

企業がサイバー攻撃を受けた際に、高い優先度を持って考えなくてはいけないことは「取引先企業・顧客などの機密情報が漏洩していないか」を調査することです。
上記の調査を「情報漏洩調査」と呼んでいますが、具体的にどのような調査方法があるのかを知らないセキュリティ担当者も多いのではないでしょうか？
この記事では、「情報漏洩」の概要から企業への影響、情報漏洩調査に関連する内容まで総合的に解説します。

「情報漏洩」とは？

「情報漏洩」とは、企業・政府機関などで保管されている機密情報・顧客情報が、何らかの理由で外部に流出することを言います。2022年4月に施行された改正個人情報保護法によって、努力義務であった報告・通知が義務化されたのです。これによって、個人情報漏洩事故が以下条件に当てはまる場合には、個人情報保護委員会への報告と、本人への通知が必要となりました。

・要配慮個人情報が含まれる場合
※要配慮個人情報とは、「本人の人種・信条・社会的身分・病歴(身体・知的・精神障害・健康診断/遺伝子検査結果・保健指導・診療・調剤情報など)前科・前歴・犯罪被害情報の他、不当に偏見が生じないように、配慮が必要な情報」を指します。

・不正利用されることで財産的被害を生じる恐れがある場合

・不正な目的による個人情報漏洩が発生した場合

・1,000人を超える個人情報の漏洩が発生した場合

「情報漏洩」が発生してしまう大きな3つの原因とは？

企業から「情報漏洩」をなくすために大切なことは、企業のセキュリティ担当者・システム担当者が「何が原因で情報漏洩が発生するのか」を把握することが必要です。
以下に、「情報漏洩」が発生してしまう3つの原因を解説します。

原因(1):システム脆弱性を突いたサイバー攻撃

具体例として、「ネットワーク盗聴」「不正アクセス」「メール・Webサイトを経由したマルウェア感染」が原因で情報が漏洩します。攻撃者はソフトウェア・ネットワーク・システム構成などのあらゆる視点で脆弱性を探し出して、情報を盗み取ろうとするのです。
盗み取った情報を世間に公開すると脅して、多額の金額を請求する手口も増えており、企業として対策が求められています。

原因(2):所属社員の不正行為

企業に勤めている社員の不正行為によって情報漏洩に繋がる場合もあります。
具体的には「顧客情報を悪用して詐欺などの犯罪行為に及ぶ」「取得した顧客情報を販売する」などのケースがあるのです。

原因(3):所属社員の不注意

社員の不注意・人為的エラーによって、意図しない情報漏洩が発生することもあります。
具体例として、「個人情報を記録したUSBメモリ紛失・誤廃棄・置き忘れ」「個人情報を保存したPCなどが車上荒らしで盗まれた」などです。

その他、「メールの宛先間違い」も日常の業務ルーティンの中で起きやすい事象と言えるでしょう。

「情報漏洩」発生によって起きる企業への影響

「情報漏洩」がどのように発生してしまうのかをここまで説明してきました。
次に、実際に情報漏洩が起きた際に企業側でどのような影響が生まれるのかを見ていきましょう。

影響(1):業務の一時停止

例えば、取引先企業の機密情報が流出した場合には、多大な損失を相手企業に与えることにも繋がる可能性があり、「マスコミ対応」「取引先との対応」のために通常業務を続けることが難しくなります。

影響(2):情報の悪用

顧客の氏名・住所・電話番号などの個人特定できる情報の場合は、「なりすまし」「勧誘」などに利用される可能性があります。その他、クレジットカード情報が流出した場合には、知らない場所でカードが利用されるなども考えられるでしょう。

影響(3):事後対応で多額の費用発生

クレジットカードの悪用などが情報漏洩が原因で発生した場合には、その対応にあたるための費用が発生します。そのほかにも「事後対応で通常業務を行えないことでの売上低下」も想定されるのです。

影響(4):損害賠償請求の対象になる

企業側の過失によって情報流出が発生した場合には、企業・個人から損害賠償請求が行われる可能性が高いです。多額の賠償金を支払うことも十分に考えられます。

影響(5):業務効率の低下に繋がる

「情報漏洩が起きた会社」と周りから言われることで、従業員のモチベーション低下にも繋がります。
取引先企業・顧客の信頼以外にも、働いている従業員の信頼を失い、人材を失う可能性も高いです。

「情報漏洩調査」の概要

「情報漏洩」によって、多大な損失を企業側が被る可能性があることを説明してきました。
企業側ができることとして「情報漏洩を未然に防ぐ」ことも大切ですが、「なぜ漏洩したのか？」「何が漏洩したのか？」を解明していくことも求められるのです。
「情報漏洩調査」は、各種調査手法を用いながら「どこまで情報が漏洩しているのか」などの影響範囲を特定します。

「情報漏洩調査」で行われる6つの調査方法を紹介

「情報漏洩調査」と聞いても、具体的にどのような手法が用いられているか知らない方も多いのではないでしょうか？
この項目では、調査で行われる6つの手法を具体的に解説します。

ディスク調査

漏洩をおこした端末のディスク調査です。
原本を保管するために、「ディスクの複製」を一番に行います。
その後、専用ツールを用いて「削除されたファイルの復元」「基本ソフトウェアで管理する情報解析」などを行うことで、漏洩に関する痕跡を見つけ出すのです。

資産管理履歴調査

資産管理ツールとは、ソフトウェアの資産管理を行うために、端末パソコンにあらかじめ仕掛けてソフトウェアの利用状況を記録します。漏洩が起きることを想定して、ツールを導入しておくと、確実に調査が可能です。

不正プログラム解析

不正プログラム(ウイルス)によって発生した漏洩は、「その不正プログラムは何ができるのか」を解析することが大切です。実際に動作をさせて解析する「動的解析」と、実行プログラムを読んで解析する「静的解析」の2つの手法を用いて行われます。

メモリ調査

不正プログラムの中には実体としてのファイルを持たずに、他の実行中プログラムに寄生して動作するものもあります。この動きを端末パソコンのメモリ内を調査することで、補足するのです。

サーバー履歴調査

ネットワーク内に接続されている「ファイルサーバー」「認証サーバー」「代理サーバー」のほか、経路交換等の通信機器が残す履歴を調査して、事象を浮き彫りにします。

通信内容の調査

ネットワーク内に専用機器を事前に設置しておき、漏洩が発生した場合に過去に遡って通信内容の調査を行います。サーバ履歴とは違い、専用機器を経由する全ての通信を記録できるため、より広範囲で調査が可能です。

多大な被害をもたらす「情報漏洩」を防ぐために外部サービス活用も検討しよう！

この記事では、「情報漏洩」が起きた場合の企業側の損失と、「情報漏洩調査」の概要から手法について説明してきました。
「情報漏洩調査」によって、原因を特定するためには「情報漏洩が起きる」ことを想定した事前の準備も求められます。まず企業内に「情報漏洩調査」のノウハウを蓄積したい場合には、外部企業に依頼することも可能です。
外部も含めて様々なサービスなどの利用も検討しながら、企業の「情報漏洩対策」を強固にしていくことが求められます。