データ漏洩の定義
データ漏洩とは、組織のシステムまたはネットワークから外部の当事者への機密または個人情報の不正な開示を指します。データ漏洩は意図的に、または誤って発生し、影響を受けた組織や個人に深刻な結果をもたらす可能性があります。
データ漏洩とは
データ漏洩は、機密情報が承認されていない関係者に公開されると起こります。
データ漏洩とは、組織のシステムまたはネットワークから外部の当事者への機密または個人情報の不正な開示を指します。データ漏洩は意図的に、または誤って発生し、影響を受けた組織や個人に深刻な結果をもたらす可能性があります。
重要なポイント
- データ漏洩とは、組織のシステムまたはネットワークから外部の当事者への機密情報の不正な開示を指します。
- ほとんどのデータ漏洩は、ヒューマン エラーによって起こります。従業員がセキュリティで保護されていない場所にデータを保存したり、誤って外部の当事者とデータを共有したり、フィッシング攻撃の被害を受けたりした場合などです。
- データ漏洩は、競争上の不利益、法的な影響、ブランド イメージの低下につながる可能性があります。
- 堅牢なデータ漏洩対応計画は、データ漏洩の影響を効果的に管理および軽減するのに役立ちます。
データ漏洩とデータ侵害の違い
データ 漏洩とデータ侵害という言葉は、混同されることがよくあります。しかし、この 2 つは同じではありません。データ漏洩は通常事故であり、内部のソースが外部の当事者に情報を公開して起こります。一方、データ侵害は通常意図的なものであり、外部の当事者が承認されていないネットワークを使用して機密情報にアクセスしたり、流出させたりしたときに発生し、その結果データ漏洩が起きる場合があります。
データ漏洩が起きた場合は、迅速に対処して漏洩元を特定し、漏洩の範囲を把握して、関係者に通知します。データ漏洩が起きた場合、侵害されたシステムを分離し、漏洩の範囲を調査し、インシデントを関係機関に通報することが重要です。
どちらの場合も、データ のセキュリティの慣行やポリシーを改善し、今後のインシデントを防ぐ対策を講じるべきです。
データ漏洩の一般的な原因
ヒューマン エラー
これは、データ漏洩の最も一般的な原因です。従業員がセキュリティで保護されていない場所にデータを保存したり、誤って外部の当事者とデータを共有したり、フィッシング攻撃やソーシャル エンジニアリングの被害を受けたりした場合などです。
マルウェアとハッキング
ウイルスやスパイウェアなどのマルウェアは、データへのアクセスやデバイスの侵害に使用される場合があります。分散型サービス拒否 (DDoS) 攻撃により大量のトラフィックが押し寄せると、システムが予期せぬ動作をし、脆弱性が現れる可能性があります。
インサイダー リスクと脅威
インサイダー リスクは、会社のリソースへのアクセス権を付与されたユーザーが、悪意を持って、または誤って機密データをデータ漏洩、データ サボタージュ、またはデータ盗難のリスクにさらした場合に発生します。
第三者の侵害
データは、企業のデータにアクセスできる第三者企業が侵害を受けた場合に漏洩することがあります。
フィッシングとソーシャル エンジニアリング
攻撃者は、偽のメールや Web サイトによるフィッシング攻撃を通じて、従業員に機密情報を開示させる可能性があります。
クラウド データ漏洩
クラウド サービスが適切にセキュリティで保護されていないと、承認されていないユーザーによって、クラウドに格納されているデータにアクセスされる可能性があります。
物理的なデータ漏洩
従業員がノート PC を公共の場所に置き忘れたり、オフィスからハード ドライブが盗まれたりすると、それを見つけた人や入手した人が機密データに不正にアクセスできるようになります。
弱いパスワード ポリシー
短いパスワード、よく使用されるパスワード、システムの既定のパスワード、すぐにわかるパスワードを使用すると、ハッカーが容易に資格情報を盗み、パスワード保護ポリシーが適用されずに機密データやシステムにアクセスできるようになります。
認証とアクセス許可の不適切な管理
認証とアクセス許可が適切に管理されていないため、ユーザーが目にするべきではないデータにアクセスできる場合があります。また、弱いログイン セキュリティにより、承認されていないユーザーが機密データにアクセスできるようになる場合もあります。
過去 10 年間のデータ漏洩
データ漏洩は、規模やデータ セキュリティ・リスク管理の慣行を問わず、あらゆる組織で起きる可能性があります。過去 10 年間に発生した最も大きなデータ漏洩の例を次に示します:
2017 年、米国の信用調査所が消費者苦情ポータルを介してハッキングされ、1 億 4,790 万人のアメリカ人、1,520 万人のイギリス人、約 19,000 人のカナダ人の個人記録が漏洩しました。その後、データ漏洩の影響を受けた人々を支援するために、4 億 2,500 万米国ドルを支払うことで和解が成立しました。
2013 年に、サイバー犯罪者がサードパーティ ベンダーから盗まれた資格情報を使用し、米国の大手小売企業のゲートウェイ サーバーにアクセスし、その結果、7,000 万件の顧客の記録と共に、4,000 万個のクレジット カードおよびデビット カードの番号が漏洩しました。この侵害の後、同小売企業は顧客情報を保護するための高度な対策の導入を余儀なくされました。推定被害総額は 2 億 200 万米国ドルでした。
2014 年に、北朝鮮のサイバー攻撃者がマルウェアを使用し、ある多国籍エンターテイメント スタジオの 100 テラバイトを超えるデータにアクセスし、漏洩させました。このデータには、従業員の個人情報、メール、給与、当時未公開だった映画のコピー、その他の情報が含まれていました。同社は評判と収益に大きな影響を受け、従業員の個人データが失われたことに対して補償するために、800 万米国ドルを支払うことに同意しました。
2021 年 11 月、ジョージア州の医療センターに対して不満を抱えていた元従業員が、漏洩を目的に同医療センターのシステムから個人の USB ドライブに個人データをダウンロードしました。その結果、患者の検査結果、名前、生年月日が漏洩しました。この医療センターでは、データ漏洩の被害を受けた患者全員に対し、アイデンティティの復元と信用情報の監視サービスを提供する必要がありました。
データ漏洩によってもたらされる脅威
データ漏洩は、データ セキュリティに大きな脅威をもたらし、個人を特定できる情報 (PII)、知的財産、企業秘密などの機密情報が、一般および競合他社にも知られてしまう可能性があります。このような情報漏洩は、競争上の不利益、法的な影響、ブランド イメージの低下につながる可能性があります。データ漏洩は、組織がデータ セキュリティ戦略を再評価し、より堅牢なデータ保護対策に投資するための注意喚起になります。
データ漏洩を防ぐ上で重要な役割を果たすのが、データ セキュリティのポリシーと手順を確立し、データ漏洩の検出と報告を行い、従業員のトレーニングを確保し、インシデント応答の計画作成を担う、コンプライアンスの専門家です。このような作業は、組織のデータ保護法への準拠を維持し、データ漏洩を防ぐために不可欠です。
データ漏洩により、評判が大きく損なわれ、組織の新規顧客、将来の投資家、従業員候補を引き付ける能力に影響が及ぶ可能性があります。データ漏洩の影響は広範囲に及び、当面の財務状況だけでなく、組織が長期的に経営を続けていけるかをも左右することがあります。
サイバー犯罪者や悪意のある内部関係者に知的財産 (IP) を盗まれると、破滅的な被害を受ける可能性があります。IP は会社の価値のかなりの部分を占め、それが盗まれると会社のイノベーション、競争力、成長に対する大きなリスクとなります。データ漏洩によりアクセスに成功したハッカーは、ランサムウェアを使用して、身代金が支払われるまで重要なデータやシステムを破壊したり、それらへのアクセスをブロックしたりする可能性があります。
データ漏洩による運用の中断もまた、重大な損失につながる可能性があります。Web サイトが機能していないことで、潜在顧客が競合他社に流れてしまうかもしれません。IT システムのダウンタイムが発生すると、業務が中断され、侵害とアクセスされたシステムに関する徹底的な調査を行うために、システムをオフラインにする必要性が生じる可能性があります。
データ漏洩が起きた場合に実行する手順
データ漏洩は、規模に関係なく、どの企業にとっても大きな懸念事項です。金銭的な損失、評判の低下、規制上の罰則につながる可能性があります。しかし、堅牢なデータ漏洩対応計画を備えることで、データ漏洩の影響を効果的に管理および軽減できます。データ漏洩が起きた場合に実行する手順を次に示します:
検出と検証
データ漏洩とその影響に関するできるだけ多くの情報を収集します。インシデントの原因と範囲を特定し、侵害されたデータの種類と量を把握します。
悪化の防止
影響を受けたシステム、デバイス、データを分離してセキュリティで保護し、それ以上のデータの損失や不正な使用・アクセスを防ぎます。セキュリティ対策と制御を実装し、データの漏洩を止め、損害を最小限に抑えます。
内部通知
インシデントの根本原因と結果を分析します。データ漏洩の原因となった脆弱性や、セキュリティ ポリシーと慣行のギャップを特定します。
評価と調査
攻撃者は、偽のメールや Web サイトを通じて従業員を騙し、機密情報を開示させようとする可能性があります。
クラウド データ漏洩
クラウド サービスが適切にセキュリティで保護されていないと、承認されていないユーザーによって、クラウドに格納されているデータにアクセスされる可能性があります。
法令の遵守
管理機関により定められた規則や規制に従い、法的義務と責任を果たします。データ漏洩を関連機関に報告し、法的および規制上のリスクを回避または軽減するために必要な措置を講じます。
影響を受けた関係者への通知
データが漏洩した個人または関係者に通知します。必要な情報と支援を提供し、組織を保護すると同時に、信頼とロイヤルティの損失を最小限に抑えます。
回復と修復
漏洩により失われた、もしくは破損したデータをセキュリティで保護し、復元します。データの不正使用による今後の損害を防ぎ、軽減するための対策を講じます。
PR と評判の管理
データ漏洩に関する PR を管理し、評判の低下を食い止めます。インシデントについて透明性の高いコミュニケーションを取り、責任を取り、今後再発を防ぐために行われた措置の概要を示します。
これらの手順に従うことで、データ漏洩に効果的に対処し、影響を最小限に抑え、顧客と利害関係者の継続的な信頼を確保できます。
これらの手順に従うことで、データ漏洩に効果的に対処し、影響を最小限に抑え、顧客と利害関係者の継続的な信頼を確保できます。
データ漏洩を防ぐための戦略
従業員のトレーニングと認識
従業員が、データ漏洩につながる可能性のあるさまざまな種類の脅威について認識し、組織のデータ漏洩ポリシーを把握していることを確認します。特定の問題が発生したときに定期的にリフレッシュ セッションやガイダンスを提供することで、このトレーニングの効果を高められます。
ネットワーク検出と侵入検出
AI と自動化を使用して、脅威をすばやく効果的に特定します。継続的に検出とテストを行うことで、潜在的なリスク領域を特定し、データやセキュリティの問題が損害を引き起こす前に、組織にその可能性を警告できます。
サードパーティ リスクの管理
データ漏洩は、多くの場合、組織のネットワークやデータへの過剰なアクセス権を持つ第三者が原因となります。サードパーティ リスク管理ツールを使用すると、サプライヤー、パートナー、サービス プロバイダーなどの第三者がどのようにデータにアクセスし、使用するかを監視し、制限できます。
データ セキュリティ テクノロジとツール
データ損失防止 (DLP) ツールを使用すると、データ資産全体の機密情報の不正使用を検出することで、機密データの共有、転送、使用を防止できます。インサイダー リスク管理ソリューションは、ユーザー アクティビティを包括的に可視化し、組織が内部の潜在的な脅威を特定して軽減するのに役立ちます。
エンドポイント セキュリティ ソリューション
モバイル デバイス、デスクトップ コンピューター、仮想マシン、埋め込みデバイス、サーバーを監視して、脆弱性やヒューマン エラーを探してセキュリティの弱点を利用する脅威アクターから保護します。
セキュリティ情報イベント管理 (SIEM) システム
SIEM は、セキュリティ チームが企業全体から大量のデータを収集、集約、分析するための中心的な場所となり、セキュリティ ワークフローを効果的に合理化できます。さらに、コンプライアンス レポート、インシデント管理、脅威のアクティビティを優先するダッシュボードなど、運用機能も提供します。
データ漏洩からデータを保護する
データ漏洩の防止は、組織の成長戦略における重要な側面です。これにより、通常企業の最も重要な資産である貴重なデータの安全と機密性が保たれます。データをセキュリティで保護するための強力な基盤を構築することが重要です。
DLP ツールとプロセスを使用して、機密データが失われたり、不正使用されたり、承認されていないユーザーによってアクセスされたりしないようにします。DLP ソフトウェアは、規制されたデータや機密データ、ビジネスクリティカルなデータを分類し、ポリシー違反を特定します。
情報セキュリティを優先して、情報への不正アクセス、使用、開示、中断、変更、検査、記録、破壊を防止します。これにより、データの機密性、整合性、可用性が確保されます。リスク管理ツールを使用して、組織内のリスクの高いアクティビティを検出して調査し、対策を講じます。
AI 搭載のデータ損失防止ツールを適用して、データ アクティビティを継続的に監視および分析し、異常なパターンや動作を検出し、潜在的な脅威に対する予防的対応を可能にします。
これら 4 つの柱を組み合わせることで、データ漏洩を防ぐための強力な基盤となります。これにより、データが責任のある形で安全に扱われ、関連するすべての規制に準拠していることが保証されます。効果的なデータ漏洩防止戦略を実証できる組織は、より信頼性が高く、頼りになると見なされ、ビジネス チャンスと成長の増加につながる可能性があります。つまり、データ漏洩の防止は単にネガティブな結果を避けるだけではなく、企業の成功に向けた予防的な戦略となります。
データ漏洩を防ぐためのツール
データ漏洩の防止は困難を強いられ、終わりがないように感じることがあります。潜在的な漏洩や侵害の影響を抑えるには、セキュリティのギャップを迅速に特定し、それらを調査して解決するためにリソースの優先順位を付けすることが重要です。幸い、外部の脅威を防ぐサイバーセキュリティ ツールの多くは、インサイダー リスクも特定できます。
Microsoft Purview の情報保護、インサイダー リスク管理、DLP 機能を使用すると、データに関する分析情報を取得し、データ セキュリティ インシデントにつながる可能性のある重大なインサイダー リスクを検出し、データ漏洩を効果的に防止できます。
Microsoft Entra ID を使用すると、組織のアクセスを管理し、疑わしいサインインやアクセス アクティビティがあったときにアラートを受け取れます。
Microsoft Defender 365 を使用すると、不正なアクティビティからクラウド、アプリ、エンドポイント、メールを安全に保護できます。
これらのツールを導入し、専門家によるガイダンスを使用することで、組織はデータ漏洩をより適切に管理し、重要な資産を保護できます。
よく寄せられる質問
- データ漏洩は重大な問題であり、個人と組織の両方に重大な金銭的損失、評判の低下、法的な影響を及ぼす可能性があります。また、個人の場合はなりすましや詐欺、競合他社に独自の情報にアクセスされた企業の場合は競争上の不利益につながる可能性もあります。
- ヒューマン エラー - 大企業の従業員が誤って、顧客の機密情報を含むメールを間違った受信者に送信し、意図せず外部の当事者に機密データを公開してしまいました。
- データ漏洩は、、オープンソースのインテリジェンスと脅威インテリジェンスの手法を使用して、一般的にデータ漏洩ダンプをホストするリソースをスキャンすることで、検出できます。また、企業はデータ漏洩検出ソリューションを使用して、不正使用を検出し、誤って、または意図的に機密データが漏洩しないよう保護することもできます。
- サイバー犯罪者はデータ漏洩を悪用し、漏洩したデータを使ってサイバー攻撃を計画・実行します。多くの場合、なりすまし、金融詐欺、さらには企業スパイ活動に、漏洩した個人を特定できる情報が使用されます。
Microsoft Security をフォロー