情報漏洩の原因はセキュリティ対策の落とし穴

security_2218

あなたのサイトのセキュリティ対策は、“本当に”万全ですか?

「システムのことは担当者にまかせてるから」
「うちみたいな中小企業は狙われないだろう」

こんな“危険な思い込み”をしていませんか?いま、顧客の個人情報や企業の技術情報の流出など、情報漏えい事故が後を絶ちません。

テレビで「○○会社で情報流出」「不正アクセスで○○万人の個人情報が盗まれる」といったニュースを見たことはありませんか?

情報漏えいは、企業の生死にかかわる大きな問題です。社会に与える影響も大きく、メディアでもセキュリティ対策が注目されています。

顧客の情報や、取引先の情報、すべて漏えいしたら、どうなると思いますか?セキュリティ対策をしていたつもりでも、情報漏えいやウイルス感染の被害にあうケースは、数多くあるのが現状です。

たった一度の情報流出で、想像以上の被害に

もし、情報が漏れたらどうなる?

経済的なダメージ

  • 信頼を失ってしまい、売上が大きくダウン
  • 損害賠償、被害者へのお詫びにかかる支払い
  • 専門業者への原因調査にかかる支払い
  • 裁判、弁護士費用の負担

会社への負担

  • 原因究明、調査委員会の設置にかかる負担
  • クレーム対応、謝罪などにかかる負担
  • 監督官庁への報告、警察への届け出
  • 二次被害防止への対応
  • 再発防止の対策にかかる負担
  • サービスの停止、通常業務がストップ

最悪の場合

  • 利益の低下が止まらず、倒産・破産へ

このように「対応にかかる費用+売上ダウン」により、会社の財務が大きく傾いてしまうことも。

さらに、いちど情報流出してしまうと、すべてのスタッフが情報流出の対応にかかりっきりになる状況となってしまいます。

通常の業務がストップし、新サービスの販売どころではなくなってしまうことも。通常業務に戻れるまで、数ヶ月~1年かかってしまうケースもあります。いちど信用を失ったブランドイメージを取り戻すには、大きな労力と時間がかかります。

実際におきた情報流出事故

ユニットコム(パソコンパーツ販売)

ECサイトへ不正アクセス、カード情報を含めた25万4000人分の個人情報が漏えい。ユニットコムは再発行手数料を負担した。

ソニー

関連会社のオンラインゲームサイトやECサイトなど、利用者のIDとパスワード約1億件が盗まれた。

福岡市早良区

ウェブサイト改ざんにより、閲覧者が不正サイトへ誘導された。

ベネッセ

顧客の個人情報2070万件が流出。経済産業省より報告徴収指示を受け、おわび費用の膨らみにより、最終損益で最大90億円の赤字となった。

こんな勘違いしていませんか?

次のような理由から、「ウチは大丈夫」と思い込んでいませんか?セキュリティ対策には、危険な落とし穴があります。

×「ウィルス対策ソフトを導入しているから安心」

ウィルス対策ソフトは、9割もの国内企業が導入しています。しかしそれにも関わらず、不正送金や不正アクセスによる被害は減るどころか増え続けているのが実情です。

有名ウィルス対策ソフトメーカーの「ノートン」の例
「ウイルス発見機能による検知率は45%で、大半以上のウィルスは素通りしている」と発表しています。さらにサイバー攻撃者の技術は、年々進化しています。ちょっと前の対策方法では、突破されてしまう恐れがあります。

×「社内には重要な情報はないから大丈夫」

情報を盗まれることはもちろん、「侵入されること」も危険です。最近のサイバー攻撃は、情報を抜く上に、ウィルスを仕込み取引先を攻撃・情報を盗むものもあります。

社内サーバーへ侵入され、ウィルスにより外部攻撃が実行されれば、「サイト運営者=あなたの責任問題」になります。

知らないうちに犯行に協力させられ、加害者になるケースが増えているのです。

【例】
会社のホームページを車に置き換えると・・・
99%以上の車には、鍵がささっている状態です。この時、誰かが勝手に車を運転して事故を起こしてしまったら責任は誰になるでしょうか。

それは車の所有者であるあなたです。これはWebサイトでも同じです。

いま、99%以上のサイトは簡単にサーバー内部に入ることができる状態です。そこへ悪意のあるプログラムを仕込まれて取引先などに攻撃が行われると契約者であるあなたの責任問題となってしまいます。

×「レンタルサーバーに頼んでいるから大丈夫」

レンタルサーバーに不正アクセスされ、バックアップで置いていた情報を盗まれたケースもあります。レンタルサーバー会社は場所を提供するサービスであり、セキュリティについて基本的には100%完ぺきではありません。

別途セキュリティオプションが必要なので、対策をしなければなりません。

【例】
車を購入しても、自動車保険は購入者で契約するのと同様です。

×「セキュリティ対策にかけるお金がもったいない」

対策をしなかったことにより、想像以上の経済的損失につながることがあります。それなりのコストをかけて対策することで、大きな損失を防ぐことができます。

セキュリティ対策を飲食店で例えると?
一発で閉店に追い込まれるような「食中毒」対策と同じです。

×「ウチの社員は信頼できるから大丈夫」

内部スタッフや外部委託先のスタッフによる犯行が後を絶ちません。また「ついうっかり」で、情報は外部に漏れてしまいます。

悪意がなくても人為的ミスによって情報漏えいとなる事件が起きています。重要なデータは、しっかりと守る必要があります。

40%以上が危険レベル!セキュリティ診断驚くべき結果

我々の技術を活用して、約1,000社の企業・団体のホームページ、もしくは、ネットワーク内のセキュリティ診断を行った結果、「すぐに対応しなければ非常に危険」なレベルの企業が40%以上見つかっています。

調査の結果

脅威レベルⅠ・・・99%以上
脅威レベルⅡ・・・80%以上
脅威レベルⅢ・・・40%以上

脅威レベルを人体に例えると・・・

  • 脅威レベルⅠ・・・異常はあるが、日常生活に気をつければ問題ない。しかし状況によっては脅威レベルⅡに変化する恐れあり
  • 脅威レベルⅡ・・・異常が見つかったので、すぐに精密検査が必要
  • 脅威レベルⅢ・・・すぐに治療(手術)しないと命に関わる恐れがある

脅威レベルⅢでは、どんな危険がある?

  • 個人情報の漏洩
  • サイトの改ざん
  • 重要データの消失

すぐに対策をしないと、このような企業の信用が一瞬で落ちてしまう事故の起きる恐れがあります。

被害を防ぐには、セキュリティの診断を!

ネット社会のいま、企業や団体では「攻撃されること」を想定した対策が必要です。ハッカーは「狙いやすいサイト」を、24時間ランダムに狙っています。

どんなに対策しても、攻撃される可能性をゼロにすることはできません。事故は“いま”起きてもおかしくないのです。

セキュリティ診断をする4つのメリット

  • セキュリティの弱点がすぐにわかる
  • セキュリティの弱点に対する具体的な対策方法がわかる
  • 社員のセキュリティに対する意識が高まる
  • システム管理担当者の知識が向上する
攻撃される可能性を、少しでも下げる。そしてもし攻撃されても、それを防げるセキュリティ対策をおこなう。このような対策をすることで、サイバー攻撃から身を守ることができます。

security_2218