퇴직자의 부정 액세스로 정보 반출을 시키지 않는 대책이나 조사 방법을 해설
2023년 11월 16일
개인정보 유출시의 보고나 대응 방법을 알기 쉽게 해설
2023년 11월 16일
기업의 개인정보 유출(누설)을 뉴스로 보는 경우가 있습니다만, 고객정보를 취급하는 모든 기업에 개인정보 유출의 위험이 있습니다. 일단 개인정보 유출이 발생하면 기업에 큰 데미지가 생기기 때문에 기업은 평시부터 개인정보에 대한 보안 대책이 요구됩니다. 이 기사에서는, 개인정보 유출·유출 원인이나, 기업이 취해야 할 개인정보에의 시큐러티 대책 등 폭넓게 해설합니다.
기업에 있어서의 개인정보, 개인정보의 유출·유출이란?
개인정보의 정의나, 누설·유출이란 어떤 상태를 가리키는지, 해설합니다.
개인정보의 정의와 구체적인 항목
개인정보란 특정 개인을 식별할 수 있는 정보를 말하며, 구체적으로는 이름, 생년월일, 주소, 혈액형, 성별, 직업, 전화번호, 수입, 생체정보, 신용카드 번호, 금융기관 정보, 그리고 비밀번호 등을 들 수 있습니다.
개인정보 유출이란?
개인정보 유출이란 개인정보를 보유한 자 및 개인정보에 해당하는 자의 의도에 반하여 정보가 제XNUMX자에게 건너는 것입니다.개인정보 보호법에 있어서는, 데이터의 내용이 손실되는 「멸실」이나 의도하지 않은 형태로 변경되는 「훼손」도 총칭하여 「누설 등」이라고 정의되고 있습니다.
기업의 개인정보 유출·유출의 주요 원인
인위적 실수나 외부 공격 등 기업에서 개인정보 유출의 주요 원인을 소개합니다.
인위적 실수로 인한 정보 유출
- 메일 잘못 보내거나 첨부 파일 실수
잘못된 사람에게 메일을 보내 버리는, 첨부하는 파일을 실수해 버리는 등 직원의 인위적 실수는, 큰 비율을 차지하는 정보 유출의 원인의 하나입니다.
- 노트북이나 스마트폰의 불필요한 반출이나 반입
오송신 등의 조작 실수뿐만 아니라, 노트북이나 스마트폰의 불필요한 반출이나 반입에 의한
분실이나 도난 등 인위적 실수도 개인정보 유출로 이어집니다.
외부 공격으로 인한 정보 유출
- 맬웨어 감염
악성코드는 불법적이고 유해하게 작동할 의도로 작성된 악성 소프트웨어의 총칭입니다.내부 정보를 외부로 전송해 버리는 타입의 악성코드에 감염되어 개인정보가 유출된 경우가 보고되었습니다.
- 무단 액세스
무단 액세스는 권한이 부여되지 않은 컴퓨터에 무단으로 연결하려는 사이버 공격입니다.로그인 ID나 패스워드 등의 액세스 정보를 부정하게 입수하려고 하는 행위도 사이버 공격으로 분류됩니다.
기업의 개인정보 유출·유출을 막는 8가지 대책
개인정보의 유출·유출을 막기 위한 구체적인 8가지 대책을 소개합니다.
메일이 잘못 전송되지 않도록 하는 메커니즘 만들기
오송신 사례를 직원에게 공유하는 등, 직원 한 사람 한 사람의 의식 향상의 대처를 실시합시다.그러나 단순히 목적지를 실수하지 않으려면 한계가 있습니다.메일 오송신 방지 툴의 「사외 주소나 신규 송신처의 주의 환기를 하는 기능」 「일시 보류나 상장의 승인 기능」이라고 하는 기능의 활용도 생각할 수 있습니다.
회사의 노트 PC나 스마트폰의 반출·반입 룰을 결정한다
노트북이나 스마트폰 등 휴대할 수 있는 단말기의 업무가 어느 기업에서도 증가 추세이지만 업무에 사용하는 디바이스를 외부로 꺼내면 분실이나 도난에 의해 개인정보 유출의 위험이 있습니다.통상 업무 범위외에서의 부주의한 반출의 금지나, 반출을 허가하는 단말을 한정하는 등 운용을 룰화합시다.원격 조작으로 정보를 지울 수 있는 솔루션 등도 유효합니다.또한 반입 금지는 보안 수준이 낮은 개인용 장치에서 악성코드 감염을 방지할 수 있습니다.
EPP(안티바이러스 기능)/EDR을 도입하고 적절하게 관리
맬웨어와 같은 외부 공격에 대한 가장 효과적인 대책은 EPP의 안티 바이러스 기능과 EDR의 사용입니다.사이버 공격의 감지, 식별, 삭제, 격리 등 제품에 따라 기능은 다양합니다.수법은 점점 교묘해지고 있으므로, 항상 최신 상태로 업데이트하도록 합시다.
ID 및 비밀번호를 적절하게 관리
ID와 암호의 적절한 관리는 보안의 기본입니다.맨발로 타인에게 가르치지 않는, 눈에 닿는 곳에 방치하지 않는 것은 물론, 간단하게 추측되기 어려운 것으로 해 사용회는 피하도록 합시다.
시스템에 취약성이 없는지 확인
보안 시스템을 도입한 후 업데이트로 최신 상태를 유지하는 것은 물론 정기적으로 최신 공격에 대한 정보를 수집합니다.만약 취약성이 발견되면 시스템 개수나 새로운 솔루션의 도입 등의 대책이 필요합니다.
사내에서 개인정보나 디바이스류를 방치, 안이하게 폐기하지 않는다
개인정보의 관리는 엄중하게 실시합시다.이석할 때는 디바이스에 락을 걸어, 서류를 파기할 때는 슈레더를 걸어, 데이터 소거는 디바이스를 물리적으로 파괴하거나 완전하게 소거하는 전문의 서비스를 사용하는 등, 평소부터 의식해 행동한다 것이 중요합니다.
직원에게 보안 교육을 철저히
개인 정보의 유출을 방지하려면 정보를 다루는 모든 직원이 작업해야 합니다.사내 규칙의 작성과 실시, e러닝의 활용도 포함한 연수를 정기적으로 실시하는 등, 리터러시를 높이는 보안 교육을 철저하게 합시다.
개인정보 유출 방지 매뉴얼 작성
평소부터 보안 의식을 높이고, 사내 규칙에 따라 행동하고 있어도, 교묘한 외부로부터의 사이버 공격이나 인위적 실수로 정보 유출이 발생할 경우가 있습니다.그 때 사내에서 즉시 공유하여 피해를 최소화할 수 있도록 초기 대응의 대처 플로우까지 포함한 방지 매뉴얼을 작성해 둡시다.
【관련 기사】정보 유출 대책은 무엇을 해야 하는가?원인이나 사례, 유출 후의 대처법도 소개
기업에서의 정보 유출·유출이 발생한 경우의 대응책은 포렌식 조사
정보 유출이 일어나 버렸을 경우에, 기업이 해야 할 일이 「포렌식 조사」입니다.어떤 조사를 소개합니다.
법의학 조사란?
법과학 분야의 하나로 디지털 디바이스에 저장된 정보를 수집·분석하여 범죄나 부정행위의 증거를 밝히는 조사입니다.원인을 규명하는 것으로 재발 방지책이 세워지고, 책임의 소재를 밝히는 것으로, 자사가 묻는 소송에 발전했을 경우에 대비할 수 있습니다.
AI를 활용한 FRONTEO의 포렌식 조사 서비스
방대한 데이터량을 다루는 현대의 포렌식 조사에 있어서 AI 활용은 더 이상 필수.전문가가 눈을 통한 소수의 샘플 파일로 AI에 판단 기준을 학습시켜 대량의 데이터를 관련있을 것 같지 않은 것으로 구분합니다.조사를 시작해야 하는 단순한 데이터 분류 작업을 소규모로 단시간에 실시할 수 있으므로, 조사의 효율화 뿐만 아니라 전문가의 자원 집중에 의한 정밀도의 향상도 실현할 수 있습니다.
【관련 기사】정보 유출 조사란?조사 방법이나 사례, 조사 회사의 선택 방법을 해설
FRONTEO의 법의학 조사 사례
실제로 FRONTEO에서 실시한 개인정보 유출에 관한 포렌식 조사의 사례를 소개합니다.
맬웨어 감염으로 인한 개인 정보 유출 조사 사례
한 기업의 PC가 악성코드에 감염되어 있는 것이 발각되어, 개인정보의 유출도 의심되는 사건이 있었기 때문에, 전문의 조사회사인 FRONTEO에 포렌식 조사를 의뢰.감염 경로의 식별과 감염원 단말기로부터의 정보 유출의 흔적을 추적하게 되었습니다.
수백대의 단말을 대상으로 해석 툴로 분석을 실시하고, 공격 루트를 가시화함으로써 피해 단말을 특정.또한 어두운 웹에서 누출된 정보가 매매되지 않았거나 30약의 사이버 암시장을 대상으로 조사를 실시했습니다.조사 결과, 정보 유출이 일어나고 있던 PC를 특정할 수 있었을 뿐만 아니라, 다크 웹에도 정보가 유출하고 있었던 것까지 특정할 수 있었습니다.
※자세한 조사 내용은악성코드 감염에 의한 개인정보 유출 조사를 참조하십시오
개인 정보 유출이 발생했을 때의 포렌식 조사는 FRONTEO에
FRONTEO는 2003년 창업 당시부터 일본에서의 포렌식 조사의 선구자로서 다양한 기업의 과제 해결에 임해 왔습니다.뛰어난 경험을 바탕으로 한 기술과 노하우에는 정평이 있습니다.
자사 개발 AI 엔진 KIBIT를 활용하여 문서 검토 시에 대폭적인 절력화, 비용 압축을 실현하는 등, 안건 대응의 경험과 자사 AI 엔진을 곱하여 타사에는 할 수 없는 고정밀도와 효율화 를 실현합니다.
일본, 북미, 한국, 대만에 데이터센터를 두고, 데이터를 국외로 꺼내지 않고 보관할 수 있는 체제로 보안도 만전입니다.고객 기업의 본사, 현지 법인, 법률 사무소의 3개에 대해 원활하게 서비스를 제공.글로벌 운영으로 신속하게 지원합니다.
