SmartStage

IT部門をビジネスクリエイティブ集団にpowerd bysmart stage

IT部門をビジネスクリエイティブ集団に

システムの安定稼働、コスト削減、コンプライアンス強化など、IT部門の「作業」は年々増加しています。
しかし、新規事業や新技術の立ち上げなど、企業力強化のうえで不可欠なものは、IT部門の「知恵」です。
IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報をご提供いたします。

sp_kv

  • システム運用
  • 事例

2023.06.01

 更新日:

2023.03.28

全2回 御社は大丈夫?サイバー攻撃・内部不正による情報セキュリティ事件簿 《連載:第2回》 悪意、ミス…内部不正による企業の情報漏えい事例

悪意、ミス…内部不正による企業の情報漏えい事例

前回記事ではサイバー攻撃の被害事例を取り上げましたが、近年は内部要因による情報漏えいによって事業の根幹が脅かされるケースも目立ちます。今回はその中から「内部不正による情報漏えい」と「不注意による情報漏えい等の被害」の事例を紹介します。

内部不正による情報漏えい事例

■中途退職者によるデータ削除事例

IPA(独立行政法人 情報処理推進機構)が公表した『企業における営業秘密管理に関する実態調査2020』によると、営業秘密の情報漏えいルートとしてもっとも多いのが中途退職者(役員・正社員)。2023年1月には、ある電気計器メーカーの元社員が社内データを削除したとして逮捕されています。

警視庁によると、元社員はシステム管理者として働いていた際に入手した、同僚のIDなどを使って社内ネットワークに不正に侵入。社員のパソコンを遠隔操作し、サーバ上の製品データや人事情報などを削除した疑いが持たれているとのことです。

■現職従業員による個人情報持ち出し事例

現職従業員による情報漏えい事件も後を絶ちません。ある企業では、従業員がWebの問い合わせフォームに入力された内容を個人アドレスにも送信するよう設定し、問い合わせ内容を不正に入手していたことが明らかになりました。

ただし当件の場合、まず責められるべきは不正を働いた従業員であるとはいえ、誰でもシステムの設定変更ができる状態であったことも相当問題でしょう。またそれだけではなく、ログの保管期間が短く設定されていたため調査に必要なログが残っておらず、不正発覚後の原因究明にも時間を要したと言われています。
※参照:組織における内部不正防止ガイドライン(IPA)

■内部不正により複数回情報漏えいが発生した企業事例

一度ならず複数回、内部不正によって情報漏えいが発生した企業も存在します。2121年3月、大手マンション管理会社が、社内システムに保存していた個人情報約5000件が流出したことを公表。元従業員が氏名や住所、電話番号などの顧客データを無断で持ち出し、外部事業者へ提供していたことが明らかになりました。

公表時点では情報の悪用は確認されておらず、同社は報告書において、社内システムへのアクセス制限強化と、当事例を全社共有した上で全社教育を実施することを再発防止策として挙げていました。

しかし翌年5月、ふたたび同社で情報漏えいが発覚します。不正を働いたのは前年9月に退職した元従業員。退職後の機密保持誓約書を提出していたにもかかわらず、個人情報を持ち出して入居者に挨拶などをおこなっていたということです。

不注意による情報漏えい等の被害事例

■Web問い合わせフォーム設定不備による情報漏えい事例

2021年5月、マッチングアプリを運営する企業のコーポレートサイト上で、問い合わせフォームに不具合が発生。約3日間、フォームに入力された内容が残存し、後からフォームを利用した第三者が閲覧できる状態になっていたことが明らかになりました。

不具合は顧客による指摘により判明。同社の報告によると、同月、サーバを増強するためにプラットフォームを移行したものの、設定の不備によって投稿したデータのキャッシュが残存するようになってしまっていたということです。

また、大量の流出事故につながることはなかったものの、期間中に同フォームを利用した約40名の会社名や部署名、URL、氏名、電話番号、メールアドレス、問合せ内容などの個人情報が閲覧された可能性があることも公表されています。

■アクセス権限設定ミスによる情報漏えい事例

2022年10月、大手国内旅行会社がデータのアクセス権限設定ミスにより情報漏えいが発生したと発表。漏洩したのは、某省庁の事業支援施策において、応募した事業者の申請書データ約1600件と個人情報最大約1万1500人分でした。

報告によると、同社は関係者との情報共有のためにクラウドサービス上でデータを管理し、個別にアクセス権限を設定。申請書や個人情報は応募事業者以外に見えないようになっているはずでしたが、設定ミスにより別の応募者がダウンロードできる状態だったということです。

なお、データは十数社によってダウンロードされたものの、最終的にはすべて削除が確認されているようです。

■システムクラウド化時の設定ミスによる情報漏えい事例

2022年7月、法人向けにクラウドサービスを提供している企業が、同社の運営する社員教育研修サービスに登録していた約25万人分の会社名や氏名などが2年以上にわたってGoogle検索からアクセスできる状態だったことを公表しました。

報告によると、直接の原因はネットワークの誤設定。サーバをクラウド環境に移行した際に設定変更があったものの、チェック体制が不十分だったため設定ミスにつながったということです。また、このサーバ移行が同社で初めて独自にシステムをクラウド化する案件だったこともあり、セキュリティの見直しに不備があったことも認めています。

同社は対策として、サーバの設定変更のテスト体制の強化と、外部の診断サービスも活用した設定ミスチェック体制の整備を挙げています。

以上、今回は様々な企業のセキュリティ被害事例を紹介してきました。ひとたびシステム障害や情報漏えいが発生すると、企業は想像以上の金銭的被害および社会的信用の失墜を招く恐れがあります。今回取り上げた12の事例を、他人事ではなく“自社でいつ起こってもおかしくはない事態”として参考にしていただければ幸いです。

※なお、不正アクセスや内部不正による情報漏えいのリスク低減に有効な「ゼロトラスト」という手法については、下記の記事で詳しく解説しています。
《連載:第1回》 誰もがゼロトラストに無関心ではいられない

SmartStage

SmartStage編集部

IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報を発信していきます。

「システム運用改善セミナー」ITIL準拠のサービスデスク管理システムが構築できる「SmartStageサービスデスク」を体験! 《システム運用改善事例》 西武グループ、イオングループ、JALグループの運用事例に学ぶ!