データ漏洩とは？

ミスや不注意によって意図せず起こる

2023年12月22日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 What is a Data Leak? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ランサムウェア攻撃によるデータ漏洩の平均コストは462万ドルで、一般的なデータ侵害の424万ドルよりもわずかに上回ることをご存知ですか？
データ漏洩は、金銭的損失だけでなく、ブランドイメージにも影響を与えるため、このような統計を目にすると恐ろしく感じます。

そのため、企業は従業員にデータ漏洩とは何か、それをどう防ぐかを教育する必要があります。
なぜなら、データ漏洩とは、誰かが意図せず、無意識のうちに機密データを漏洩してしまうことだからです。

ですから、ブログを最後まで読んで、データ漏洩の意味と、ハッカーの悪用を防ぐ方法を知ってください。

データ漏洩とは？

では、データ漏洩とは何でしょうか？
これは、ファーストパーティデータ※やゼロパーティデータ※などの機密情報が、社内のミスやユーザの不注意な行動により、権限のない第三者に漏洩することを指します。
一般的な原因としては、粗末なデータセキュリティおよびデータ管理、パッチが当てられていないソフトウェア、古くて安全でないデバイス、または従業員のトレーニング不足です。

※訳注：ファーストパーティデータとは、企業が第三者を介さずに直接顧客から収集したデータです。
また、ゼロパーティデータとは、顧客が自発的に企業に提供したデータのことです。

データ漏洩は、ビジネスメール詐欺を含むさまざまな種類のサイバー犯罪を引き起こします。
早期の検出と是正により、そのリスクと影響を大幅に軽減することができます。
というのも、データがアクセスされたかどうかを知ることは難しいため、機密情報、ソースコード、消費者データ、マーケティング戦略など、あらゆるものが企業のスパイ目的で悪用される可能性があるからです。

データ漏洩とデータ侵害の違いとは？

データ漏洩とデータ侵害という用語は、しばしば同じ意味で使われますが、同じではありません。
どちらも機密データが権限のない第三者に漏洩することを指しますが、漏洩の原因は異なります。

データ漏洩とは、機密データが知らず知らずのうちに、意図せず公開されることです。
一方、データ侵害は、データを漏洩させるためにサイバー攻撃が行われた場合を指します。

時には、データ漏洩によって開示された情報を悪用され、より影響力のあるデータ侵害攻撃を試みられることもあります。
パスワードのデータ漏洩はその一例で、漏洩したパスワードを使ってハッカーがアカウントやデバイスにログインし、データを盗んだり傍受したりするのに利用することがあります。
しかし、強力な情報セキュリティポリシーを導入することで、こうしたインシデントを防ぐことができます。

データ漏洩はどのようにして起こるのか？

上述したように、データ漏洩はサイバー攻撃ではなく、組織内部の脆弱性によって発生します。
では、データ漏洩の原因にはどのようなものがあるかを見ていきましょう。

インフラストラクチャの不備

インフラストラクチャの設定ミス、間違った設定や権限、古いソフトウェアのバージョンなどには通常注意を払わないかもしれませんが、これらは潜在的にデータを漏洩させる可能性があります。
万が一の事態を避けるために、ITチームがこれらの問題に確実に対処するようにしましょう。

ソーシャルエンジニアリング詐欺

ソーシャルエンジニアリングとは、（人々を心理的に）操作したり、騙すことによってシステムやデータへのアクセスを得るサイバー攻撃の手法です。
脅威者は組織に対するより大規模なサイバー攻撃を仕掛けるために、同様の手法を使ってデータ漏洩を引き起こします。

パスワード管理の不備

推測可能なパスワードを設定して複数のアカウントで再利用することは、パスワードのデータ漏洩リスクを高めます。
そのため、大文字、小文字、数字、特殊文字（@、#、$、%、&など）を含む、長くて強力なパスワードを常に設定しましょう。

デバイスの紛失

会社のデバイスを紛失することは、潜在的なデータ漏洩と見なされます。
悪意のある行為者が機密データにアクセスし、それをブラックマーケットや競合他社に売却する可能性もあります。
これはまた、個人情報の盗難につながる可能性もあります。

パッチ未適用の古いソフトウェア

パッチが適用されていない古いソフトウェアは、しばしばパスワードデータの漏洩を引き起こし、企業にとって大きなサイバーセキュリティの脅威となります。
悪意のある行為者は、ゼロデイ攻撃を計画し実行して、企業のITインフラストラクチャ全体を混乱させたり、マルウェアを注入したりすることが可能です。

古いデータ

ビジネスが成長するにつれて、企業は（自動化システムを導入していない限り）データの取り扱いが整理されなくなり、データの追跡ができなくなる傾向があります。
システムの更新やインフラストラクチャの発展は、その古いデータを漏洩させる可能性があります。

パスワードはデータ漏洩後どのように公開されるのか？

何十億ものアカウントがあり、それぞれがパスワードで保護されています。
パスワードが盗まれたり漏洩したりすると、他のサイバー犯罪者が使うためにオンラインで公開されます。
このサイバーセキュリティ問題に対応して、いくつかのデータベースではデータ侵害をスキャンし、個人や企業がタイムリーに情報を得られるようにしています。

データ漏洩を防ぐには？

データの種類や取り扱い方は企業ごとに異なりますが、データ漏洩の可能性を最小限に抑える予防策を組織内に導入することは可能です。
ハッカーがデータ漏洩を引き起こすわけではありませんが、ハッカーは確実にデータ漏洩を悪用し、あなたのビジネスに金銭的および風評的な損害を与えます。
では、それをどのように防ぐかを見ていきましょう。

クラウドストレージの設定の確認

クラウドストレージの普及が進んでいます。
不適切で安全でないデータの転送は、データ漏洩につながる可能性があります。
したがって、クラウドストレージを使用している場合は、導入時や機密データをホストする際に、その設定を検証する必要があります。
定期的な監視により、データが一般にアクセス可能になっている場合に通知することができ、これによってサイバーセキュリティリスクを減らすことができます。

古いデータの処分

古くなったりもう必要なくなったりしたデータを定期的に消去しましょう。
これにより、セキュリティのために管理する必要のあるデータを少なくすることができます。

従業員への教育

データの取り扱いに注意することや、悪意のあるメールの兆候に注意するよう従業員を教育してください。
また、罰則を設けることで、従業員が注意を払うようにしてください。

多要素認証の利用

多要素認証は、アカウントに更なるセキュリティレイヤを追加します。
つまり、ユーザ名とパスワードとは別に、OTP（ワンタイムパスワード）や生体認証、個人的なセキュリティの質問への回答などによって本人確認を行うことができます。
そのため、パスワードのデータ漏洩の被害に遭ったとしても、多要素認証によってハッカーがアカウントにアクセスするのを制限することが可能になります。

プロセス制御の自動化

ソフトウェアは人間よりも一貫性を保つのが得意です。
したがって、自動化されたプロセス制御を適用し、全てのデータが安全に保存されるようにしてください。

サードパーティのリスクの監視

サードパーティベンダが機密情報を不適切に扱うことで、データ漏洩につながる可能性があります。
この場合、これらのインシデントに関与したのがあなたや従業員の責任でなかったとしても、あなたの会社がその責任を負うことになります。
これは企業イメージを悪化させ、法的トラブルに発展する可能性さえあります。

データ漏洩が発生した場合は…

どの会社もデータの漏洩は望んでいませんが、それは起こり得ます。
昨年は約1500万件の機密情報が漏洩しました。
そして、このような事態が発生すると、企業のリソースと顧客からの評判が危険にさらされることになります。

予防が重要ですが、データ漏洩を管理する方法を知ることで、ビジネスへの影響を軽減することができます。
結局のところ、効果的なサイバーセキュリティ戦略には、データ侵害の影響を予防し、緩和する両方が含まれています。

金銭的損失から回復している間に、B2Bマーケティング代理店は危機管理のためのコミュニケーション計画を策定します。
彼らは、侵害の影響を緩和するために取っているステップについて、顧客、ステークホルダー、そして一般の方に向けてコミュニケーションを行います。
要するに、彼らはあなたのブランドの評判を維持し、影響を受けた当事者との信頼を回復する手助けをしてくれるということです。

最終的な考察

データ漏洩は、社内のミスやユーザの不注意な行動により、機密情報が権限のない第三者に漏洩した場合に発生します。
不十分なITインフラストラクチャ、古くてパッチが適用されていないソフトウェア、古いデバイス、デバイスの紛失、ソーシャルエンジニアリング詐欺などが、データ漏洩の原因の一部です。

これを防ぐためには、不注意なデータ取り扱いに対する厳格なポリシーを設け、二要素認証を使用し、管理プロセスを自動化することができます。