COLUMN COLUMN
2020.9.1 /
個人情報漏洩に対し、気をつけるべき基本ポイントと対策とは?
個人情報漏洩はその会社でも発生する可能性があります。しかし経営を揺るがしかねない個人情報漏洩になるケースもあり、その取り扱いには個人が注意しなければなりません。個人情報漏洩に対する気をつけるべき基本ポイントと対策について解説いたします。
個人情報漏洩に対し、気をつけるべき基本ポイントとは?
個人情報漏洩が発生した際に、個人情報保護委員会への報告ならびに該当する本人への詳細な報告が義務付けられることとなりました。しかし、できれば「あなたの個人情報が漏洩しました」という報告そのものを受けたくないものですね。
とにかくランダムに文字列を組み合わせて延々と不正ログインを試みるといった旧型の攻撃の割合は随分と低くなってきました。その理由には、所定の回数以上連続してログインに失敗すると一定期間ログイン作業をできなくする設定がされているサイトや、二段階認証(多要素認証)が必要であるサイトが増えていることが挙げられます。
皆さんも「どのメールアドレスで登録してたかな?」「パスワード何にしてたかな?」と複数回誤ったIDとパスワードを入れた結果、しばらくログインをロックされてしまった経験が一度はあるのではないでしょうか。その瞬間はユーザーとして不便と感じる人もいるかもしれませんが、こういった対策によって実際に一定数の個人情報漏洩が未然に防がれているのです。
しかし、サイバー犯罪の手法もどんどん高度化・効率化されています。ウェブの世界では、ダークサイトと呼ばれる闇市場で様々なサイバー犯罪のツールや情報が売買されています。そこには、企業から漏洩したIDとパスワードのリストも存在しています。このリスト通りの組み合わせを使用して、他のサイトで不正ログインするという手法が横行しています。
個人情報漏洩に対する対策とは?
このような個人情報漏洩のリスクを私たち自身で回避するためには、やはり「同じIDとパスワードを使い回さない」という最も基本的な対策が有効です。特に犯罪者が目を付けるのは、金銭に直結するネットバンクや通販サイト、盗んだあとに高く売れる機密情報を含むもの等です。こういった種類のサイトで使用するIDとパスワードの管理には一層注意をするようにしましょう。
また、初期パスワードの変更を怠るということもリスクに直結します。最近では初期パスワードを任意のパスワードに変更するステップを踏まないと利用を開始できないというサービスも増えていますが、いずれにしても必ず任意のパスワードに変更するようにしましょう。
これは、企業内で使用するシステムも同様です。「共用だから分かりやすく『password123』や『admin123』のままにしておこう」というのは大きな間違いです。
自身の個人情報が漏洩した際に、さらに事態が大きくなるリスクがあるのは、盗まれたプライベートのIDとパスワードが業務上でも使い回されていた場合です。あるいは、業務用のメールアドレスをプライベートで使用するようなサイトに使い回していた、サイトの使用を混同していたというパターンもあるかもしれません。
サイバー犯罪者たちは組織のシステムに入り込むための入り口を狡猾に探し当てます。例え企業内の末端のような小さな入口であったとしても、見つかることなく巧みに中枢部まで侵入し、事業を脅かすような規模の攻撃を仕掛けるのです。
ひとつの企業が経営の危機に晒される、その原因を辿っていくと実は個人が起こした小さなミスに起因していることが多いのです。これが、サイバーインシデントの95%以上に人的要因が関係していると言われる所以です。本人からすれば「まさか」とか「つい」といったレベルのものが、時に重大な事案に繋がるということを認識する必要があるのです。
まとめ
個人情報漏洩のリスクや対策については、今の社会で生きていくうえで、必須のセキュリティ知識として個人が知っておくべきことです。相互の身を守るためにも、このようなことを企業が消費者や従業員へ啓発・教育していくということも不可欠な時代になっています。あなたの会社も個人情報漏洩に対する対策を考えなければならないのではないでしょうか。
弊社CYBERGYM(サイバージムジャパン)は、急速にサイバー環境の拡大が進む昨今において、サイバーセキュリティを前提としたリスクマネジメントの重要性の高まりを受け、設立されました。サイバーセキュリティ業界で最先端の技術とノウハウを有するイスラエルのCYBERGYM社と提携し、日本及びアジアで、各種サイバーセキュリティトレーニングを弊社専用アリーナでご提供しています。対応チームの構築や強化、組織内レッドチーム養成、脆弱性診断等のサイバーセキュリティトータルソリューションを展開しています。
あなたの会社にもサイバー攻撃がくる時代になってきました。もはやサイバーセキュリティ対策は経営課題そのものです。その時、経営者はどうするべきなのでしょうか?「あなたが経営者に知らせておくべきサイバーセキュリティとは?」というダウンロード資料は、企業における最低限のサイバーセキュリティの備えや考え方をわかりやすくまとめています。
また「CYBERGYM サイバーセキュリティトレーニング 総合ガイドブック」は、サイバー攻撃に対する具体的かつ実践的なトレーニング内容や価格がご覧いただける資料になっています。サイバーセキュリティに対する具体的な解決策を探している方は、ぜひ、当サイトより資料をダウンロードください。