情シスニュースでは、日々発信されるさまざまなトピックスを情シス・エンジニアの方々に「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
今回のテーマは「情報漏えい」です。2025年もまだ序盤ですが、すでにいくつもの情報漏えい事故が発生しています。ひとたび情報漏えい事故が発生すれば、業務が長期間停止したり社会的信用を失ったりと、深刻な影響を受けることになります。本記事では、最新の情報漏えい事例を紹介するとともに、情報漏えい事故を防ぐ難しさや情シスがとるべきアクションについて解説していきます。
①2025年も情報漏えい事故が相次いでおり、原因としては不正アクセスが多い。
②不正アクセスを防ぎにくい理由として、手法の巧妙化やセキュリティ体制整備の遅れなどが挙げられる。
③情シスがとるべきアクションとして、無事故企業から学ぶ、インシデント対応計画の整備、サイバー保険加入の検討などが挙げられる。
企業の情シス社員が特に警戒すべき課題の一つに「情報漏えい」があります。2025年も情報漏えい事故が相次いでおり、例えば次のような事例が報告されています。
2025年1月27日、生活雑貨店「ハンズ(旧・東急ハンズ)」を運営する株式会社ハンズは、自社システムが不正アクセスを受けたことにより、顧客情報の一部(12万1886件)が漏えいしたと発表しました。
漏えいした情報は、スマホアプリ「ハンズクラブアプリ」を利用している顧客の個人情報で、具体的には氏名、住所、電話番号、生年月日、メールアドレス、ログインパスワードなどです。
2025年1月28日、インターネットカフェ「快活CLUB」などを運営する株式会社快活フロンティアは、自社システムが不正アクセスを受けたことにより、顧客情報の一部(729万87件)が漏えいした恐れがあると発表しました。
漏えいした恐れのある情報は、インターネットカフェ「快活CLUB」、フィットネスジム「FiT24」、ゴルフ練習場「FiT24インドアゴルフ」を利用している顧客の個人情報で、具体的には氏名や住所、電話番号、生年月日、店舗コードなどです。
なお、これらの事例はほんの一例にすぎず、情報漏えい事故は後を絶ちません。これは情シス社員にとって「他人事」ではありません。ひとたび情報漏えい事故が発生すれば、業務停止や社会的信用の低下、損害賠償対応など、深刻な影響を受けることになります。
情報漏えいの原因は、大きく分けて「不正アクセス」「人為ミス」「内部不正」の3つがありますが、特に不正アクセスが多い傾向があります。ハンズと快活CLUBの事例も不正アクセスが原因です。では、なぜ不正アクセスは防ぎにくいのでしょうか。その主な理由として、次の3つが挙げられます。
技術の進化とともに、サイバー攻撃の手法も進化しています。例えば、AIを活用して攻撃の手法やタイミングを最適化したり、自動化ツールを活用して大規模な攻撃を仕掛けたりするケースが増えています。
近年、多くの企業がDXを推進する中で、クラウドやIoTの導入、リモートワークの普及などを進めています。しかし、この変化に対してセキュリティ体制の整備が追いつかず、結果として脆弱性が生じ、そこを狙われるケースが増えています。
企業のシステムは、業務の利便性やサービスの品質を重視して設計されることが多く、セキュリティが後回しになる場合もあります。業務利便性、サービス品質、セキュリティのすべてを高いレベルで維持できればよいですが、実際のところ、セキュリティは他の2つと利害が一致しないケースが少なくありません。
不正アクセスを完全に防ぐことは容易ではないことをお伝えしました。では、情シス社員として、情報漏えい事故を防ぐためにどのようなアクションをとればよいのでしょうか。主に次の5つが挙げられます。
まず、当たり前のこととして、自社のセキュリティ対策を見直すことです。基本的なセキュリティ対策として次のようなものが挙げられますが、対応できていますでしょうか。基本をしっかり押さえることが、情報漏えい事故を防ぐ第一歩です。
[基本的なセキュリティ対策の例]
■ウイルス対策ソフトの導入
■ファイアウォールの設定
■セキュリティパッチの適用
■保管データや通信データの暗号化
■脆弱性診断
■ログ管理
■アクセス権の管理
■多要素認証の導入
■定期的なパスワード変更
■サーバールームなどに入退室管理システムの設置
■セキュリティポリシーの整備
情シス業界では、「あらゆる対策を実施しても情報漏えいは防げない」といった声もあります。しかし、実際には情報漏えいを防ぎ続けている企業も存在します。
■企業として長い歴史がありながら情報漏えい事故を起こしていない
■多くのサービス・多くの拠点が持ちながらも情報漏えい事故を起こしていない
■価値の高い情報を扱っているにも関わらず情報漏えい事故を起こしていない
これらの企業は、効果的なセキュリティ対策が実施されており、セキュリティ文化も深く根付いていると考えられます。そのため、その取り組みを学ぶことは、情シス社員にとって非常に有益です。例えば、セキュリティ対策の導入事例やセキュリティ責任者のインタビュー記事などを参考にすることで、自社のセキュリティ強化に役立つ知見を得ることができるでしょう。
情報漏えい事故は起こさないに越したことはありませんが、万が一に備え、インシデント対応計画を整備しておくことが不可欠です。
インシデント対応計画 とは、情報漏えいなどの深刻なインシデントが発生した際に、企業全体でどのように対応するかを明確に定めた計画書のことで、「Incident Response Plan(IRP)」とも呼ばれます。
[インシデント対応計画の主な内容]
■インシデント報告体制
■サービスの停止手順
■ログの収集手順
■役割分担
■基本的な対応フロー
■外部機関との連携方法
このインシデント対応計画を整備しておくことで、情報漏えい事故が発生した際に、適切な対応を迅速にとれるようになり、結果として被害を最小限に抑えられるようになります。
サイバーリスクへの備えとして、サイバー保険の加入を検討することも重要です。
サイバー保険とは、セキュリティインシデントによって企業が被る損害を補償する保険のことです。補償内容としては、保険会社やプランによって異なりますが、一般的には次のような内容が含まれます。
[サイバー保険の補償内容の例]
■調査費用
■システムの復旧費用
■訴訟・損害賠償費用
■売上減少に対する補償
セキュリティ技術も、サイバー攻撃手法も、日々進化し続けています。また、サイバー保険や関連法規の内容が変わることも予想されます。そのため、最新のセキュリティ動向を常にキャッチアップすることが重要です。
情報漏えいは、情シス社員が特に警戒すべき課題の一つです。2025年も情報漏えい事故が相次いでいますが、情シス社員としては、他人事とは捉えず、自社のセキュリティ体制を再評価する機会と捉えることが求められます。不正アクセスを完全に防ぐことは難しいものの、適切な対策を実施することでリスクを最小限に抑えることが可能です。
著者:松下 一輝
大学院修了後、ITエンジニアとして大手システムインテグレータに入社。通信キャリアを顧客とする部署に配属され、業務システムやWebアプリケーションなどの設計・開発業務に従事する。その後、文章を書く仕事に興味を持ち、ライターに転身。ITやビジネスといった分野の記事を執筆している。
(TEXT:松下一輝、編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
イベントページはこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
