この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方)
出典検索?: "情報漏洩"
情報漏洩(じょうほうろうえい、もしくは、じょうほうろうせつ)とは、内部に留めておくべき情報が何らかの原因により外部に漏れてしまうことを言う。 情報漏洩とは、言葉の通りにとらえれば諜報活動による国家機密の漏洩も含まれるが、現代において情報漏洩と言えば外部の人間が対象の情報セキュリティの不備を突いたり、または秘密情報にアクセス可能な内部の人間が外部に漏らすことを指す。ネットワークがインフラレベルに普及したこともあり、SNSなど公開場所も増えた上一度公開するとデジタルタトゥーとして残るため、現代においては情報漏洩とその対策の重要度は大きい。 対象も国家や大企業などの大きな組織に限らず、中小企業から個人まで広がった問題となっている。 また内部告発も行為そのものは情報漏洩だが、通常は内部告発を情報漏洩と呼ぶことは少ない。 窃取者の目的は、悪意や利益を求めるだけではなく、新情報を得たいといった興味本位まで非常に広い。 攻撃者は、常に対象の隙を狙っている。いわゆる下記に挙げたサイバー攻撃のイメージが強いがそれだけではなく人為的なミスややり忘れ、癖なども含まれる。 ウィキペディアはオンライン百科事典であって、マニュアルではありません。改善 主なものとして、次のような対策が挙げられる。もちろんこれらがすべてというわけではないため、取り扱う情報の重要度に応じて取り扱いを柔軟に変えるなどの運用を検討する必要がある。
概要
主に狙われる情報
国家機密情報
企業の人事や財務状況、設計データや製作中製品などの未公開情報
メディア作品や、エンターテインメント系の公開前情報。ただし機密情報として狙われるのは公開前または未公開情報のみで、公開済のものはその限りではない。
個人のクレジットカード番号や銀行口座番号などの資産に関わる情報
個人の携帯電話やPC、クラウドストレージなどにアップロードされたプライベートな情報。画像や動画に限らず、通話ログや電話帳など保存されたデータはすべて対象になりうる。
主な原因
サイバー攻撃等によるもの「サイバー戦争」、「サイバー攻撃」、および「サイバー犯罪」も参照
OSなどのセキュリティホールを突くなどの方法でクラッキングを受け、マルウェアをインストールされる
機密情報の入ったパソコンや記憶媒体の盗難・紛失
Toだけを使用して電子メールを一斉送信する
情報管理に対する認識の甘さによるもの
設定ミス。未公開に設定すべきものが公開設定になっていた、など。
パスワード設定の甘さ。想像されやすいパスワードが設定されていたことで、簡単に管理者権限を得られる状態になっていた、など。
業務データの外部への持ち出し
業務用パソコンの私用
私用するパソコンで業務データの取扱
記憶メディアの消去が不十分だった
事例
ファイル共有ソフトでの漏洩とコンピュータウィルス感染
警視庁国際テロ捜査情報流出事件 - 公安警察(警視庁公安部)
李春光事件
官公庁における機密データの漏えい - 2013年7月に環境省、復興庁、農林水産省、国土交通省、厚生労働省で発生した情報漏洩[1][注釈 1]
日本年金機構における情報漏洩 - データ入力を委託された外部企業による外国企業への再委託(違反行為)問題や、年金管理システムサイバー攻撃問題など。
雇用調整助成金等オンライン受付システムで発生した問題
携帯電話通話記録窃盗事件
通信会社における外国スパイによる機密情報の不正入手
ベネッセ個人情報流出事件
2019年神奈川県HDD転売・情報流出事件
LINEにおける個人情報漏洩や外国政府による傍受疑惑と国外サーバでの利用者データの保管や外国企業による閲覧など
情報漏洩対策
基本として、使用OSなどのセキュリティアップデートは欠かさず行う。
上記に関連して、メーカーサポート切れのソフトは可能な限り早く切り替える。セキュリティアップデートに限らず、セキュリティ関連の最新の技術の対応なども後期のソフト程対応している。
侵入検知システムの利用
個人情報や機密情報の外部持ち出しや外部サーバでの保管の禁止など、職場における業務データ管理の徹底
職場内のパソコン画面が窓側に向かない・覗き見防止フィルターの利用
PC・スマートフォンなどの情報機器利用におけるポリシーの設定。ポリシーに適合しない私用パソコンをみだりな持ち込み・業務利用を禁止するなど
Webサイトの改ざんを検知するシステムを取り入れる
機密度による物理的・論理的な隔離。高い機密情報が含まれるフォルダへのアクセス権限を絞ったり、物理的なサーバーが存在する部屋は許可された人員のみ入室可能にする、など。
不要になった記憶媒体は、故障品であっても消去処理を行う。場合によっては、物理的破壊も行う
関連項目
守秘義務 - 秘密保持契約
データの完全消去
ソーシャル・エンジニアリング
ウィキリークス
アメリカ外交公電ウィキリークス流出事件
スイスリークス事件
ルクセンブルク・リークス
パナマ文書
バハマ文書
入札 - カルテル
Winny
脚注[脚注の使い方]
注釈^ 環境省、復興庁、農林水産省、国土交通省、厚生労働省でクラウドストレージにおけるファイル共有設定のミスにより、内部のメールやファイルが誰でも見られる状態となっていた。これらの情報には各省庁の機密データだけでなく、医療機関の患者情報など、個人情報も含まれていたことが当時、問題視された。
出典^ “Googleドライブなどのクラウドストレージを使う際のセキュリティ対策