第9回 情報セキュリティ・セミナー報告
「スマホと個人情報漏洩事故の実態と
対策」概要
個人会員:槌谷祐一・伊澤俊夫
ITやデジタル化の進展とともに、サイバー攻撃は高度化・巧妙化し、インシデントは増加・被害も増大している。今年は10月22日(火)に昨年に続き、Zoomでセミナーを実施した。企業関係者6名、当会関係5名の参加があった。
テーマと講師は下記である。その概要を報告します。
① スマホのセキュリティ 講師:個人会員 伊澤俊夫
② 個人情報漏洩事故の実態と対策 講師:個人会員 槌谷祐一
まず、スマホのセキュリティについて。日本ではスマートフォンが急速に普及し始めたのは2010年頃。iPhoneとAndroid の2系統があるが、利用者は海外ではAndroid7割 iPhone3割であるが、日本ではiPhone7割 Androidが30% と逆の普及率になっている。
スマホの進化は早く、高機能化して、今ではパソコン以上に多くの人々に利用されるモバイル機器となった。主な情報リスクとしては ①フィッシング ②マルウエア ③公共のWiFiでのハッキング ④リモートハッキング ⑤位置情報の漏洩 等がある。
スマホに関係するインシデントとしてはフィッシングによる被害があり、コロナ下急激に増加している。2023年度は前年に比べ31%増になっている。2番目はランサムウエアの感染被害である。組織でモバイル機器を適切に管理する仕組みとしてはMDM(モバイルデバイス管理)が利用され始めた。最後にドッペルゲンガードメイン(正規のドメイン名に似せた偽装ドメインを使用して、誤って送信されたメールを受信することで情報を盗む手法)の紹介があった。
個人情報漏洩事故が世間で注目されることになったのは2014年度の教育大手ベネッセ、2015年度の年金機構、2016年度のJTBから大量の個人情報漏洩事故である。その後ランサムウエア、エモテットなどサイバー攻撃に関心が移っていたが、2023年度再び大量の個人情報漏洩事故が起こり、注目されることになった。東京商工リサーチ及びプライバシーマーク推進協会の2023年度調査を基に実態を報告した。
個人情報漏洩事故が際立って多かったのは、NTT西日本928万人分、出前館925万人、NTTドコモ596万人等で従業員・派遣社員など名簿の不正持ち出し、或いはシステム設定ミス等である。
・上場企業及び子会社の情報漏洩を原因別に見ると、1)ウイルス感染・不正アクセス 53.1% 2)誤送信・誤表示 24.5% 3)不正持ち出し13.7% 4) 紛失・誤廃棄 8.5%
・プライバシーマーク認定企業の場合 1)誤配達・誤送信 64.9% 2)不正アクセス・ウイルス感染13.4% 3)紛失・き損 10.2% 4)その他:11.5% と若干相違がある。
発生要因は外的(サイバー攻撃等不正アクセスなど)と組織に内在する要因(システムの脆弱性放置、内部不正など)に分けられる。外部要因については巧妙化するサイバー攻撃・犯罪に対し、セキュリティ強化が必要、内在する要因について、内部不正防止を目的としたガバナンス強化、個人情報についての取り扱いルールの厳格化が求められる。
対策として情報セキュリティマネジメントシステム(ISO27001・プライバシーマーク・PISM(神奈川県印刷工業組合の情報セキュリティマネジメントシステム)等の構築が望まれるが、ややハードルが高い。IPA(情報処理推進機構)が推奨しているのはセキュリティ・アクション宣言及び情報セキュリティお助け隊の活用である。横須賀商工会議所が主催している情報セキュリティ・プロジェクトでも同じ活動を展開中である。 内在する要因としてはヒューマンエラーによる誤送信・紛失などが多いが、社内で情報ヒヤリハット、事故事例、脅威情報の共有などセキュリティ意識を高める活動が防止に必須と考えられる。最後にBCP(事業継続計画)対策として3-2-1 バックアップ方式を説明した。
以上
