2023年の情報漏えいの主な原因は「うっかりミス」。クラウドサービスの「誤共有対策」はしてますか?

CISOアドバイザー

7/20(土) 7:01

日本情報経済社会推進協会（JIPDEC）は「2023年度　個人情報の取扱いにおける事故報告集計結果」を発表しました。本調査によれば、2023年の個人情報漏えい原因のトップは誤送信による情報漏えいであり、世間を騒がせている不正アクセスは3位、マルウェアは5位という結果になりました。

■個人情報漏えいの一番の原因は「うっかりミス」

近年、ランサムウェアをはじめ、外部からの攻撃による情報漏えい事件が増加し、注目を集めています。しかし、個人情報漏えいという観点からは「うっかりミスによる情報漏えい対策」が重要であることが見えてきます。

日本情報経済社会推進協会（JIPDEC）の「2023年度　個人情報の取扱いにおける事故報告集計結果」によれば、情報漏えいの原因として、誤送信による情報漏えいが2703件(36.2%)で1位であり、不正アクセスは760件(10.2%)で3位、マルウェアは423件(5.7%)で5位という結果になっています。

出典:日本情報経済社会推進協会（JIPDEC）の「2023年度　個人情報の取扱いにおける事故報告集計結果

1位の誤送信、2位の誤配達、誤送付はいずれも「うっかりミス」と考えることが出来るため、合計すれば個人情報漏えいの64.9%が「うっかりミス」による漏洩だったと考えることが出来ます。

ランサムウェアによる被害等は大きく報道され人々の印象に残りやすいものの、日々の何気ない業務を行う中で「悪意の無い、うっかりミス」による情報漏えいの発生件数の方が圧倒的に多いということです。

■クラウドサービスの「誤共有対策」はしてますか?

とはいえ、「うっかりミス」としてメールによる誤送信は古くから認識されていたため、「メール誤送信対策」ツールは多くの企業が導入しているかと思います。

しかし、メールが主な情報共有の手段だった十年前とは異なり、外部との情報共有手段として、メールとクラウドサービスを併用するのが主流となっているのでは無いでしょうか。

メールに対してはしっかりと「誤送信対策」をしている企業でも、クラウドサービスに対しては同様のミスが発生することは考慮していない、という企業も少なくないのではないでしょうか。

「うっかりミスを防ぐ」という観点からは、メールとクラウドサービス双方に「うっかりミス対策」を検討する必要があるでしょう。

■メールによる「誤送信」が発生する原因

メールの「誤送信」が発生する原因は、クラウドサービス利用時のファイル共有にもあてはまります。

まず、メールによる「誤送信」が発生する原因を考えてみましょう。

①宛先の入力ミスをしやすい

メールアドレスの補間機能等によって、メールアドレスを途中まで入力すると候補がピックアップされ、名前の良く似た別人に送付するなどが起こり得ます。

②TO、CC、BCCの違いが理解出来ていない

古くからメールを利用している人にとってはTOやBCCの違いは当たり前のことですが、スマートフォンに慣れ親しんだ若い世代は幼い頃からLINE等のSNSでコミュニケーションを取る文化が当たり前であり、TO、CC、BCCの違いを認識していないこともあります。古くから慣れ親しんだ世代にとっては「当たり前の知識」であるため、新人研修等でも漏れ落ちてしまい、「うっかりミス」へと発展します。

③簡単にファイルを添付出来る

宛先を正しく入力することが出来たとしても、添付ファイルが誤っていれば事故につながります。メールは誰もが簡単に操作出来てしまうため、「危険な行為である」という認識が薄れ、それが積み重なっていくことで、やがて大きな「うっかりミス」へと発展します。

■クラウドによる「誤共有」が発生する原因

では、次にクラウドによる「誤共有」について考えてみましょう。今回はMS365を例に考えます。

①宛先の入力ミスをしやすい

メールサービスと同様に補間機能があるので、メールアドレスを途中まで入力すると候補が表示されます。便利な機能ですが、基本的にはメール誤送信と同じリスクがあります。

②高度な共有範囲の指定

OneDriveにはTO、CC、BCCはありませんが、代わりに共有範囲を指定することが可能です。全てのユーザーや、同一テナントだけの共有、限定したユーザーのみ等、共有範囲を指定することが可能ですが、利用者側が正しく「共有範囲」を理解していないと「うっかりミス」へと発展します。

③簡単にファイルを共有可能

メールと同等か、それ以上に簡単な操作でファイルを外部に共有することが可能です。メール以上に大容量を共有することが可能であり、一方で慣れ親しんだ操作を日々続けていると何れは危機意識が薄れ「大きな「うっかりミス」へと発展する可能性はゼロとは言えないでしょう。

■「誤共有対策」も併用することが重要

外部との情報共有手段において、メールとクラウドサービスを併用するのが当たり前となった現在、メールの「誤送信対策」だけに力を注ぐのは「うっかりミスによる情報漏えい対策」としては不十分であり、クラウドサービスにも「誤共有対策」が必要だということがお分かり頂けたでしょうか。

クラウドサービスの「誤共有対策」はCASBを利用することで行えます。CASBソリューションのNetskopeを利用した場合に出来る「誤共有対策」を紹介します。

①社外共有時に警告を表示

NetskopeではOneDriveのActivityを指定してコーチングメッセージをエンドユーザに表示可能です。また、企業が契約しているOneDriveであること、社外宛の共有であることも条件として指定可能です。

サンプル設定例を記載します。ポイントとなるのは以下の部分です。

App Instance: 自社のOneDriveを指定

Activities: Shareを指定

To User: 自社ドメイン以外を指定

Action: UserAleartを指定

Netskopeの設定画面。OneDriveのShareというActivityに対してコーチングが発生する指定を行っています。

OneDriveから社外への共有行為を検出すると、社外への共有であること、機密情報を含んでいないことを確認するメッセージが表示されます。この内容に対して「同意する」を選択した場合に、共有が許可されます。同意しない場合には当然共有はブロックされます。

OneDriveのShareを検出し、警告メッセージを表示している画面。同意しますをクリックすると共有が許可されます。

「同意する」をクリックした場合、一定時間は「共有」を自由に行うことが許可されます。しかし、翌日など新たにパソコンを起動し外部に共有しようとすると、再びメッセージが表示されます。

このようなメッセージが表示されることで「監視されている」自覚に繋がり内部不正に対する抑止力が期待出来ますし、情報漏えいに対するリテラシー向上にも繋がります。

②共有相手を確認可能

メールシステムは通常企業の中で一つしか使われていないためシステム管理者側でメールのシステムログを確認することは問題なく行うことが出来ます。

しかし、クラウドサービスの場合は社内に複数のクラウドサービスを利用されていることがあり、中には管理者権限が与えられていないクラウドサービスも存在するといったことも起こり得ます。

このような場合にもCASBがあれば、クラウドストレージの共有を確認することが可能です。

Netskopeの管理画面。共有動作を行った人が誰に共有しようとしていたかを確認することが可能です。

③個人情報を含むファイルのアップロードを防止

本調査には流出した個人情報が項目別に集計されています。Netskope等のCASBにはDLPという機能が提供されており、DLPを使うことでこれらの集計項目に記載されていてかつ流出した時の影響が大きくなる、電話番号、メールアドレス、クレジットカード番号、マイナンバー、パスワード等がファイルに含まれていないかを検閲することが可能です。

もし、そういった機密情報が含まれているファイルをクラウドサービスにアップロードしようとした場合にはアップロードを禁止するといった動作を指定することが可能です。