先日、NTT西日本の子会社から900万件（2023年10月17日時点）もの個人情報の不正流出の発生が発表され、大きな注目を集めています。この事件が浮き彫りにしたのは、企業が直面する情報セキュリティの脆弱性です。多くの組織がこの出来事を受け、情報セキュリティの再評価を迫られています。

このコラムでは、900万件もの個人情報漏えいを起こした原因とその対策方法について詳しく解説していきます。

1. なぜ大規模な情報漏えいは起こったのか
2. 大規模な情報漏えいの共通点とは
3. 情報漏えい対策のカギは「予防」と「早期発見」
4. 内部不正対策なら特権ID管理
5. WEEDS Trace でできる情報漏えい対策

1. なぜ大規模な情報漏えいは起こったのか

2023年10月17日にNTT西日本の子会社から900万件からもの個人情報の不正流出が発表されました。 発表内容によると、コールセンターシステムの運用保守業務従事者がシステム管理者アカウントを不正利用し、顧客情報を不正にダウンロードし外部に持ち出していました。驚くべきことに、この不正行為は約10年前の2013年7月頃からすでに始まっていたとされています。

流出した情報には、以下のような情報が含まれていました。

• 住所、氏名、電話番号などの個人情報
• クレジットカード情報（一部のクライアントに関わる）

子会社からの発表によれば、この事態が起こった背後には複数の原因があったようです。

• 保守作業端末にダウンロードが可能になっていた
• 保守作業端末に外部媒体を接続し、データを持ち出すことが可能になっていた
• セキュリティリスクが大きいと想定される振る舞いをタイムリーには検知できていなかった
• 各種ログ等の定期的なチェックが十分でなかった

この規模の情報漏えいが発生した背後には、内部からの不正行為、情報を容易に持ち出せる状況、及び機能していない監査があり、これが長期間にわたり続けられたことが主な原因と言えます。日常的な監視や運用が不十分だと、大きなセキュリティリスクが常に潜んでいることを再確認する事件となりました。企業は、セキュリティ対策の見直しとともに、従業員への教育の強化も含めて、その徹底を図るべきです。

2. 大規模な情報漏えいの共通点とは

情報漏えい事件は企業の信用を大きく揺るがす要因の一つとなっています多くの企業がセキュリティ対策を強化してきたにも関わらず、これらの事件は未だ頻発しています。今回の事例や過去の事例を振り返ると、いくつかの共通点が浮かび上がります。

運用保守担当者による不正行為

内部からの脅威は、外部からの攻撃よりも対策が難しいとされています。特に、システムの運用や保守を担当する者が不正行為を行った場合、早期にそれを察知するのは一層難しくなります。

外部媒体による情報の不正持ち出し

USBメモリや外付けハードディスクなど、持ち運びが容易な外部媒体を使用しての情報持ち出しは、長らく情報漏えいの主要な原因となっています。

長期間にわたって繰り返されていた不正行為

一度不正行為が成功すると、それが長期間にわたって継続されるリスクが高まります。そして、このような長期間に渡る不正行為は、情報漏えいの規模が大きくなり、発覚した際の企業へのダメージも大きくなりがちです。

これらの共通点から、根本的な情報漏えい対策には「予防」と「早期発見」の二つが不可欠であるといえます。予防は、不正行為が発生させないための対策です。早期発見は、万が一の漏えいが発生した際に、それを即座に検知し、被害の拡大を防ぐための対策です。

情報セキュリティは、一つの対策だけで完璧に守られるものではありません。多層的な防護策を施し、定期的な監査とモニタリングを行うことで、より安全な情報環境を実現しましょう。

3. 情報漏えい対策のカギは「予防」と「早期発見」

情報漏えい対策として重要なのは「予防」と「早期発見」が機能することです。ここでは、これらの2つの要点に焦点を当てて、情報セキュリティの対策を詳しく解説します。

予防

予防は、事前に情報漏えいを起こさせないための手段です。以下の3つの要点が特に重要です。

操作ログ取得

操作ログを取得することにより、誰がいつ何をしたのかを明確に把握することができます。さらには操作ログの取得を周知することで、不正操作を抑止する効果も期待できます。

外部媒体制御

USBメモリや外付けハードディスクなどの外部媒体へのアクセスを制御することで、情報の不正持ち出しを防ぐことができます。

最小権限の原則

従業員やシステムには、必要最低限の権限だけを付与することで、情報へのアクセスを制限し、リスクを低減します。

早期発見

万が一、情報漏えいが起こってしまった場合でも、それを早期に発見し、被害を最小限に食い止めることが大切です。

管理者アカウントの利用監査

管理者アカウントは多くの権限を持っているため、その使用状況を特に厳しく監査することが重要です。

監査の効率化

大量のログや情報を手作業でチェックするのは非効率的です。最新のセキュリティツールを活用し、監査作業を効率化することで、異常を迅速に検知することが可能となります。

情報漏えい対策は単なる技術的な側面だけでなく、組織の意識や方針も含めて総合的に取り組む必要があります。予防と早期発見の2つの観点を念頭に置き、日々の業務に取り組むことで、より安全な情報環境を構築していきましょう。

4. 内部不正対策なら特権ID管理

特権ID管理とは

特権ID管理（Privileged Identity Management、PIM）とは、組織の情報システムにアクセスできる特権ユーザーアカウントを管理し、監視するプロセスです。これらのアカウントはシステム管理者や上位のIT担当者が使用するもので、通常のユーザーアカウントよりも多くのアクセス権を有しています。不正に利用された場合、重大なセキュリティインシデントを引き起こす可能性があるため、適切な管理が不可欠です。特権ID管理について詳しくはこちらのコラムをご覧ください。

⇒ 特権ID管理とは？基礎知識やID管理との違いをわかりやすく解説

特権ID管理による内部不正対策

特権ID管理は、申請承認ベースのアクセス制御を通じて内部不正を防ぎます。具体的には、特権ユーザーが必要な作業を行う際にのみ払い出すことで、無断アクセスや不正操作を未然に防ぎます。また、すべてのアクセス試行と行動は監視され記録されるため、不審な操作を早期に検出します。

内部不正だけじゃない特権ID管理

近年、サイバー攻撃はますます高度化し、企業にとって大きな脅威となっています。どれだけ堅固な防御システムを構築しても、完全に侵入を防ぐことは非常に難しくなっています。そのため、近年のセキュリティ対策では「侵入されることを前提とした対策」が求められています。侵入を完全に防ぐことに焦点を当てるのではなく、攻撃が発生した場合に被害を最小限に抑えることが、現代のセキュリティにおいて重要な対策となっています。

この新しい考え方の代表例が「ゼロトラストセキュリティ」です。ゼロトラストとは、内部や外部に関わらず、すべてのアクセスを常に疑い、必要な検証と認証を行うというセキュリティモデルです。従来のように、内部のネットワークを信頼することなく、すべてのアクセスが本当に正当なものかどうかを常に確認し続けることで、リスクを最小化します。

⇒ 従来のセキュリティでは限界？ゼロトラストに対応する特権ID管理

特権ID管理を行うことで、内部不正だけでなく、外部からの攻撃にも強力な防御策を講じることができます。特権ID管理は、企業の重要なシステムや情報資産を守るための堅牢なセキュリティ対策として、今後ますます欠かせない存在となっていくでしょう。

5. WEEDS Trace でできる情報漏えい対策

特権ID管理の重要性を感じている企業には、WEEDS Trace特権ID管理ソリューションが最適です。WEEDS Trace特権ID管理ソリューシションは、必要な作業時のみにアクセスを許可するアクセス制御とワークフロー機能により、最小限のアクセス権で安全な業務遂行をサポートします。また、証跡管理により、不審な操作や攻撃の兆候をリアルタイムで監視し、リスクを未然に防ぎます。

さらに、外部媒体制御によってデータの持ち出しを防止し、重要な情報資産を守ります。WEEDS Traceなら、内部不正や外部からの脅威に対する万全の対策を講じ、安心してビジネスを展開できる環境を提供します。