第24話 情報紛失と情報盗取の違いを知ると対策もわかる

情報漏洩には、大きく分けて「情報紛失」と「情報盗取」の二つがある。そして企業はそれぞれの対応方法が異なる。
今回はこの二つの情報漏洩の対策について考察する。

情報紛失は管理責任が問われる

情報紛失の企業リスクは、その紛失で情報が漏洩することよりも、紛失による責任が問われることが大きい。

たとえばあなたが外出先でモバイル端末やUSB端末を拾得したとする。もしロックがかかっていなかったら興味本位で中を覗くことはあるかもしれない。
しかしそこに所有者の業務データを見つけても、それを取り出して悪用しようとはならないだろう。
一般人にとって、たまたま遭遇した企業の業務データの多くは価値がないからだ。

しかし個人情報保護法では、事業者には「データの安全管理のための必要な措置を講じる義務（第２１条）」がある。
もし紛失端末の中に取引先の個人情報（氏名とメールアドレスのペアなど）が含まれていたら、事業者は安全管理の措置が適切であったかが問われる。

・持ち出しPCのディスク暗号化
・USBメモリなどの禁止

などの対策を行っていれば、事業者は「個人情報紛失への適切な安全対策を実施している」とみなされるだろう。
逆を言えば、このような対策が行われないと、端末紛失時に事業者が責任を問われる可能性がある。

情報盗取は特定の企業が標的に

「情報盗取」は、特定の企業を標的にその企業の情報を盗取するリスクだ。
これは「情報紛失」と異なり、盗取された情報は悪用されると考えた方が良い。実質的に企業への損害が発生する。

情報盗取のFTAを下記に示す

情報盗取は、サーバの脆弱性から侵入されるか、認証情報を盗取されて侵入されるかに分かれる。

最近多くの企業がSaaSやDaaSなどのクラウドサービスに業務システムを移行している。きちんとしたサービス業者であれば、サーバの脆弱性についての対応はされていると考えてよい。

一方認証情報の盗取については要注意だ。なぜなら悪質なハッカーは標的として定めた企業の社員を騙すために様々な手口を使う。主な手口は下記である。

・ブルートフォース攻撃：パスワード候補を総当りで攻撃する。
・パスワードリスト攻撃：フィッシングサイト詐欺やマルウェアで認証情報を盗取して攻撃する。

パスワードリスト攻撃は防御が難しい

この中で特に注意すべきはパスワードリスト攻撃だ。
標的型で狙われるとフィッシングサイト詐欺を防ぐ効果的な方法はない。せいぜい社員への注意喚起だ。

またマルウェア感染についても、一般的にSaaSはどの端末からでも接続できる。マルウェア対策が不十分な社員の個人パソコンから、標的型メールを開封することは非常に危険だ。

多要素認証の導入が大切な理由

しかしFTA解析からわかるように、業務システムへの認証に多要素認証を採用することで、「認証情報を盗取して侵入」を防ぐことが出来る。

たとえ社員から認証情報を盗取したとしても、それ以外に特定の端末やクライアント証明書など、もう一つの認証要素を追加すること。
これが標的型の不正アクセスの最後の砦となる。

下記に弊社DoCANを利用した端末ID認証の図を示す。既存のSaaSやDaaS (VDI）に簡単に多要素認証機能を簡単に追加することができ、不正アクセスに対する高い防御を実現する。

まとめ
・情報紛失は情報漏洩のリスクは実は少ないが、管理責任を問われる。
・情報盗取はその企業が標的にされるので、重要な機密情報が盗まれる。
・ただし情報盗取には多要素認証が防御の効果が高い。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。