不正会計の検知とは?AIによる検知方法や有効性を解説
2023年8月23日
法務デューデリジェンス(法務DD)とは?目的や流れ、チェック項目を解説
2023年8月25日
企業において情報漏洩が引き起こすダメージは、売上低下や損害賠償による経済的損失、社会的信頼の失墜、ステークホルダーとの関係性悪化等、広範囲に及びます。情報漏洩が起きた場合、情報システム部や法務部など管理部門の担当者は、どの情報がどういうふうに漏れたかなどを迅速に調査する必要がありますが、具体的にどう調査するのでしょうか。情報漏洩の主な原因、リスクや事例、発生してしまった場合の効果的な調査方法と調査会社の選び方について解説します。
情報漏洩の主な原因
企業・組織が保有する機密情報や顧客情報が外部に流出するインシデントが「情報漏洩」です。情報漏洩の原因は、サイバー攻撃などの外部要因と、従業員による過失などの内部要因の2つに大別できます。それぞれの要因について解説します。
サイバー攻撃・マルウェア感染
外部要因は主に、不正アクセスやマルウェア感染など、外部からのサイバー攻撃です。不正アクセスは、外部の人間が企業のサーバや情報システムへ侵入すること。マルウェアは、PCなどの機器を不正に動作させる目的で作られたソフトウェアのことです。
従業員の故意または不注意による漏洩
内部要因の中でも不注意によるものとしては、システムの誤作動や電子メールの誤送信など人的ミスによるものや、外出先でノートPCを紛失する、重要書類を誤って破棄してしまうなどの物理的なミスがあります。退職者が営業秘密を持ち出して転職先へ持ち込む等、従業員の故意による不正行為が情報漏洩につながる場合もあります。
情報漏洩の影響と事例
情報漏洩が企業に及ぼす影響と、実際の事例を紹介します。
情報漏洩が企業に及ぼす影響
クレジットカード情報などの個人情報が漏洩して悪用された場合、漏洩元の会社に対して損害賠償請求がされる場合があります。なお、行政機関である個人情報保護委員会の命令への違反や、委員会への虚偽報告に対しては、罰金刑が科されます。漏洩した情報が取引先の重要な企業秘密だった場合は、損害賠償の金額はかなり高くなるでしょう。
顧客や取引先ではなく、自社の重要な営業秘密が漏洩した場合も、マスコミ対応に追われたり、イメージ低下で顧客が離れたりするだけでなく、自社独自のノウハウが漏洩することで競争力が低下したり、顧客情報が流出することで他社に取られてしまったりと、損害は計り知れません。
情報漏洩の事例
A社の社員であるBのメールアドレスに、知人を装ったウイルス付きのメールが送られて来ました。Bは業務用のパソコンでそれを開封し、ウイルスに感染。その結果、A社の機密情報が電子メールで外部に送信されてしまいました。たった1通の標的型攻撃メールで、たった1台のパソコンがウイルス感染したことから、重要な機密情報が盗まれるという事態に発展することもあります。
また大手エステ会社Cのホームページでは、資料請求のために登録された3万件以上の氏名、住所、年齢、メールアドレス、さらにはエステに関心を持っている理由や体のサイズなど、重要なプライバシー情報が流出してしまいました。原因は担当者Dによるヒューマンエラー、Webサーバの初歩的な設定ミスです。個人情報を扱う事業者は慎重に対応しなければいけません。
参考:総務省 国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_case.html
企業が取るべき情報漏洩対策
企業が実施すべき主な情報漏洩の対策について解説します。
PCを許可なく持ち出しさせない
ノートPCやスマートフォンなど、持ち運び可能な端末での業務がどの企業でも増加傾向ですが、端末を外部に持ち出すと、故意の情報漏洩以外にも、紛失や盗難により情報漏洩が発生する恐れがあります。通常業務範囲外での勝手な持ち出しの禁止や、持ち出しを許可する端末を限定するなどのルールを作り、徹底することが必要です。万が一紛失、盗難が起こってしまった場合の被害を最小限に抑えるために、パスワード設定等のPCに対するセキュリティ対策は不可欠です。
外部からデバイスやデータの持ち込み禁止
私用のデバイスがすでにマルウェアに感染していた場合、接続した社内の機器も感染する恐れがあります。私有の端末や記憶媒体は社内ネットワークに接続させないなどの対策を施しましょう。
セキュリティソフトの導入・更新
ファイアウォールなどの各種セキュリティ製品で多層防御して暗号化することで、マルウェア感染などのサイバー攻撃から自社のネットワークを防御する方法もあります。
情報セキュリティのガイドライン策定や社員教育の実施
ガイドラインの策定や、eラーニングの活用も含めたセキュリティ教育の場を設けることで、社員のセキュリティ意識と知識を高め、社内研修などでも広く周知させます。秘密保持誓約書を全社員と交わすことも、情報漏洩の抑止力のひとつ。企業の経営的にもダメージを受けることを伝えることで、他の社員からの内部通報を促すことにもなります。
【関連記事】情報漏洩対策は何をすべき?原因や事例、流出後の対処法も紹介
【関連記事】退職者による情報漏洩を防ぐには?具体的な対策や調査事例を紹介
情報漏洩調査にかかる主な費用
情報漏洩の調査のためにフォレンジック調査をベンダーに依頼した場合、調査費用としては、データ処理や検索の費用、分析・解析(レビュー)やデータホスティングなどが費用の内訳となります。通常はレビューの工程が費用の大半を占め、最終的な金額はパソコンの台数といった調査範囲、また調査内容によって大きく変わり、数万円~数百万円とかなり幅があります。
例えばマルウェア感染の場合には多くの端末が調査対象となる場合があり、合計で数千万円にのぼるケースもあり得ます。
情報漏洩調査の流れと方法
情報漏洩が発生した際の調査方法と流れを解説します。
情報漏洩調査のプロセス
・ヒアリング、初期調査
情報漏洩の発生した状況を整理して、詳細な調査の対象範囲を設定します。必要に応じて、更なる被害の拡大や二次被害を止めるため、範囲対象となったPC等の使用をやめ、外部からのアクセスを遮断します。
・データの収集・保全と詳細調査
専門の調査会社が対象端末に保存されているデータを収集・分析して、情報漏洩の原因は何か、どういう経路で発生したのか、そしてその証拠を調査します。
・報告と対策策定
調査結果をレポートにまとめます。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、自社が問われる訴訟に発展した場合に備えることができます。
情報漏洩調査の手法
法科学の分野のひとつで、デジタルデバイスに保存されている情報を収集・分析して、犯罪や不正行為の証拠を明らかにするデジタルフォレンジックが主流です。デジタルフォレンジックの対象となる情報は膨大になるケースが多く、AI(人工知能)を活用して効率的なフォレンジックを実現している調査会社も増えてきています。大量のデータ分析を得意とするAIを活用することで、調査の効率化だけでなく、専門家がリソースを集中できることで調査の精度も高められます。
情報漏洩調査のためのフォレンジック会社の選び方
情報漏洩調査の際に、フォレンジック調査会社を選ぶポイントを解説します。
高度な専門知識と豊富な実績を持っているか
フォレンジック調査会社を選ぶ際は、調査会社が使っているツールや技術力、そして過去の調査実績がポイント。調査会社の設備やエンジニアの熟練度などによって調査の成果は変わります。特にデータの復元には専門のツールや高度な技術力が必要です。
多数の調査実績を持つ会社ほど、高い技術力やデータ復旧に関するノウハウが蓄積しているので、ケースごとに適切な方法を選択して適正なコストで対応できるでしょう。特に上場企業や警察、官公庁などの依頼実績があるかどうかが、信頼性を判断する上で重要なポイントになります。
AIを活用しているか
AIを活用することで、作業を効率化し、精度の向上も図ることができます。膨大なデジタルデータを人力中心で参照・分析するには時間がかかりすぎます。迅速かつ正確な調査を行うため、調査会社にはAIの効果的な活用が求められているのです。AIを活用しているかどうかは調査会社を選ぶ上での大きなチェックポイントと言えるでしょう。
コストは適正かどうか
フォレンジック調査の最終的な金額は、調査範囲や調査内容によって大きく変わります。費用形態が明確なベンダーを選びましょう。なお調査にAIを用いることの認知も最近では広がってきており、AIを活用して調査を飛躍的に効率化することで大幅なコストメリットが得られます。
見積を集める際には必ずAIやレビューも含めたトータルの費用も求め、単価だけでなく全体の費用もしっかり比較しましょう。
FRONTEOのフォレンジック調査事例
FRONTEOが過去に実施した情報漏洩調査の事例を紹介します。
【事例1】企業の機密情報持ち出しに関する調査
元従業員Aが競合他社に転職してから2年後、類似製品が無断で製造され、海外で販売されていることが発覚。Aが使用していたPCのログからは、退職日の数日前に大量のデータがコピーされていました。しかしデータが大量で社内調査が難しく、情報持ち出しを特定するには「本人と営業秘密の動作を特定することが必要」との裁判所の見解もありました。
そこで第三者性を担保するためにもFRONTEOへフォレンジック調査を依頼。独自のデータベースの構築、外付けHDDやUSBの大量のログデータなどの調査の結果、USBメモリに約30万件のデータをコピーし、数日後に外付けHDDをネットワークケーブルを抜いた上で削除、さらに関係のないプログラムファイルの書き込みと削除を約120時間繰り返したという事実を確認するに至りました。
※詳しい調査内容は「企業の機密情報持ち出し 不正競争防止法関連の操作ログ調査」をご覧ください
【事例2】マルウェア感染による個人情報漏洩に関する調査
企業BのPCが、マルウェアに感染していることが発覚。個人情報の漏洩も疑われる事象があったことから、FRONTEOへフォレンジック調査を依頼。感染ルートの特定と、感染元端末からの情報漏洩の痕跡を追跡することになりました。
数百台の端末を対象として、解析ツールでの分析を実施し攻撃ルートを可視化、被害端末を特定。さらにダークウェブにおいて漏洩した情報が売買されていないか、30弱のサイバー闇市場を対象に調査を実施しました。
調査の結果、情報漏洩が起こっていたPCが特定できただけでなく、ダークウェブにも情報が流出していたことまで特定することができました。
※詳しい調査内容は「マルウェア感染による個人情報漏洩の調査」をご覧ください
AIを活用した高精度かつ迅速な情報漏洩調査は「FRONTEO」に
FRONTEOは、2003年の創業当時から日本におけるフォレンジック調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。
自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅に省力化、コスト圧縮を実現するなど、案件対応の経験と自社AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。日本、北米、韓国、台湾にデータセンターを構え、データを国外に持ち出すことなく保管できる体制でセキュリティも万全です。
