情報漏洩調査の重要性

情報漏洩調査の最大の目的は、直接的・間接的な被害を最小限に抑えること。情報漏洩を起こした場合、個人情報や機密情報などの重要情報が悪用され、サイバー攻撃を受ける恐れがあります。こうした被害は、取引先や親子会社のほか、株主、従業員といったステークホルダーに重大な損害を及ぼしかねません。こうした損害を最小限に抑えるために、情報漏洩調査をおこなうことは極めて重要です。

情報漏洩の主な原因

デジタル化の進展を背景に、サイバー攻撃などを原因とした情報漏洩事故は年々増えています。株式会社東京商工リサーチの調査によると、2022年における情報漏洩事故は前年比1.2倍増の165件で、社数・事故件数とも最多の結果となっています。ここでは、本調査による情報漏洩事故の原因トップ3について解説します。

参考：「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ～ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ～」-株式会社東京商工リサーチ

【1】ウイルス感染・不正アクセス

情報漏洩事故原因のトップは「ウイルス感染・不正アクセス」で、165件中91件（55.1%）と過半数を占めています。ウイルス感染・不正アクセスの事故件数推移を見ると、2015年には10件のところ、2022年には91件と年々増加傾向にあります。2022年は、社内PCの感染により、メールアドレスや内部情報の窃取、ふりすましによる不審メール被害など、マルウェア「Emotet」による感染が急拡大しました。

【2】誤表示・誤送信

次いで、「誤表示・誤送信」が165件中43件（26.0%）で2位の結果です。Webサービスで誤って無関係な個人情報を開示してしまう「誤表示」、メールの誤送信やCCとBCCの使い分けミスなどの「誤送信」など、システム設計ミスや人為的ミスの原因も上位に入っています。

【3】紛失・誤廃棄

続いて、「紛失・誤廃棄」が165件中25件（15.1%）で3位となっています。このケースは、書類やデータの「紛失」「誤廃棄」によって、情報漏洩を起こしているかも不明な状態を指します。紙媒体のみで管理している場合、情報を完全に失うケースもあります。

知っておきたい情報漏洩調査6つの種類

情報漏洩調査は、情報漏洩の「経路」と「範囲」を特定するために、6つの手法によってこれらを解明します。この6つの手法は、「端末調査」と「ネットワーク調査」に大別され、次のように区分されています。

参考：情報漏えい事故調査の実際と担当者がすべきこと 1/2|ネットエージェント株式会社

端末調査編

端末調査は特定の端末を調査するものであり、次の4つの種類があります。
・1.ディスク調査
・2.資産管理履歴調査
・3.不正プログラム解析
・4.メモリ調査
順を追って解説します。

1.ディスク調査

ディスク調査は、調査対象PCのディスクを調査すること。データへのアクセス履歴やWebの閲覧履歴、復旧した削除済みファイルの実体や断片を取得します。PCのOSやディスクの種類によって、取得できる情報に違いがあるほか、判読困難なケースもあるため、高度な知識が不可欠です。

2.資産管理履歴調査

資産管理履歴調査は、資産管理系ツールを用いて、調査対象PCのディスクを調査すること。端末の利用履歴やファイルの作成、変更、削除履歴、Web閲覧履歴を解析します。なお、この調査は、予め、資産管理系ツールを導入しておく必要があるほか、利用するツールによって取得できる情報に違いがあることに留意が必要です。

3.不正プログラム解析

不正プログラム解析は、不正プログラムの挙動を調査すること。不正プログラムの機能や漏洩データの送付先、遠隔指令のサーバーアドレスなどを取得します。この解析は、入手した不正プログラムを読解して解析する「静的解析」、実際に動作させて解析する「動的解析」の2つの手法があります。

4.メモリ調査

メモリ調査は、調査対象PCのメモリ内を調査すること。不正プログラムの実体や使用する通信ポートを解析します。メモリ情報は、電源を落とすと消えてしまうため、PCの挙動に異常があっても、むやみに再起動をさせないよう注意喚起を行っておくことが重要です。

ネットワーク調査編

ネットワーク調査はネットワーク全体を調査するものであり、次の2つの種類があります。
・5.サーバ履歴調査
・6.通信内容の調査
順を追ってみていきます。

5.サーバ履歴調査

サーバ履歴調査は、調査対象におけるネットワーク上の認証サーバ、ファイルサーバなどの各種サーバを調査すること。不正プログラムの実体や漏洩対象のファイル、通信ポートなどを解析します。各種サーバの履歴情報を組み合わせて調査することで、調査内容を浮彫にすることが可能です。この調査を有効に行うためには、各種履歴をどれだけ残しておくかポリシーを定めておくことが重要です。

6.通信内容の調査

通信内容の調査は、専用機器を用いて通信内容の調査を行うこと。ネットワーク全ての通信記録や、遠隔操作ウイルスの通信内容、外部へ漏洩したファイルの実体を取得します。予め、通信負荷等を考慮し、専用機器を導入しておく必要があります。

情報漏洩対応6つのステップ

情報漏洩の被害を最小限に抑えるには、適切な事後対応を行うことが不可欠です。ここでは、独立法人情報処理推進機構（IPA：Information-technology Promotion Agency, Japan）が発行する「情報漏えい発生時の対応ポイント集」に基づいて、情報漏洩対応のステップを解説します。

【1】発見・報告

情報漏洩の兆候や事実を発見した場合、責任者に報告します。
情報漏洩体制の下、証拠保全のために不要な操作をしないなど、社内各部門に適切な指示を行います。不正プログラムや情報漏洩の動きがあった対象PCを特定するとともに、外部から通報があった場合は、相手先の情報を記録しておくなど情報を集約します。起きた事象を漏れなく整理しておくことが重要なポイントです。

【2】初動対応

対策本部を設置し、情報漏洩の対応方針を決定します。
初動対応としては、サービス停止や被害を受けた端末をネットワークから切り離すなど、応急措置を行います。二次被害防止の観点から、不正プログラムが動作しても影響が広がらないよう、物理的に隔離を行うことが重要です。

【3】調査

各種対応と同時並行しながら、調査を実施します。
情報漏洩調査を適切に行うため、「いつ」「どこで」「誰が」「何を」「なぜ」「どのように」の5W1Hに基づき情報を整理します。この切り口で整理しておくことで、各種情報漏洩調査を円滑に行うことが可能です。

【4】通知・報告・公表

調査によって被害を特定したあとは、速やかに通知・報告・公表を行います。
情報漏洩の対象者となる取引先や個人宛の通知を検討します。取引先や個人への個別通知が困難な場合は、Webサイトやマスコミ発表も考えられるでしょう。また、監督官庁や警察、IPAへの公表を状況に応じて検討が必要です。とくに、犯罪の可能性がある場合は、警察への届け出が不可欠です。

【5】抑制措置・復旧

情報漏洩による被害の拡大防止と復旧措置を実施します。
ID・パスワードなどが漏洩した場合、該当アカウントの停止をするなどの二次被害防止とともに、バックアップやコピーによって修復可能な情報の復旧を行います。必要に応じて、専用の相談窓口を設置し、情報を素早く察知できるように対応することも有効です。

【6】事後対応

抜本的な再発防止策を検討・実施します。
具体的には、サーバールームへの施錠管理や情報資産の保管方法、データのアクセス制御や暗号化など、「物理面」「技術面」「管理面」「教育面」の各方面における情報漏洩の問題点を総合的に点検し、再発防止策を講じます。他方、経営層に対する調査報告とともに、情報漏洩が内部者であった場合は、必要な処分手続きが必要です。

情報漏洩対応のマニュアル作成で押さえておくべきポイント

情報漏洩対応をマニュアル化するうえで大事なことは「情報漏洩対応の原則を知り」「ステップを踏む」ことです。
ここでは、独立法人情報処理推進機構（IPA：Information-technology Promotion Agency, Japan）が発行する「情報漏えい発生時の対応ポイント集」に基づき、「情報漏洩対応の5原則」と、マニュアルに盛り込むべき「ケース別のステップ」を解説します。

情報漏洩対応の５原則

情報漏洩対応の最大の目的は、情報漏洩による直接的・間接的な被害を最小限に抑えること。これを実践するために、次の「情報漏洩対応の５原則」をマニュアルに盛り込むことが重要です。
・情報漏洩対応の５原則
【1】被害拡大防止・二次被害防止・再発防止の原則
【2】事実確認と情報の一元管理の原則
【3】透明性・開示の原則
【4】チームワークの原則
【5】備えあれば憂いなしの原則
これらの5原則を遵守することで、初動対応から調査、再発防止、適切な開示まで、企業がなすべき情報漏洩対応の実践ができます。マニュアルにない事項が生じても、この原則を判断の拠り所にすることができるメリットもあります。
情報漏洩対応5原則の詳細は、次の「情報漏えい発生時の対応ポイント集」をご参考ください。

引用・参考：「情報漏えい発生時の対応ポイント集」- 独立法人情報処理推進機構

マニュアル化したいケース別のステップ

情報漏洩対応は、「発見・報告」「初動対応」「調査」「通知・報告・公表」「抑制措置・復旧」「事後対応」の6ステップで対応しますが、発生した情報漏洩の事象によって具体的な実施内容が異なります。「情報漏えい発生時の対応ポイント集」では、次の7つのケース毎に6つのステップが解説されています。情報漏洩対応をマニュアル化する際は、「情報漏えい発生時の対応ポイント集」を参考に、ケース別にステップを自社に合わせてマニュアル化しましょう。
【1】紛失・盗難の場合の対応
【2】誤送信・Web での誤公開の場合の対応
【3】内部犯行の場合の対応
【4】Winny/Share 等への漏えいの場合の対応
【5】不正プログラム（ウイルス、スパイウェア等）の場合の対応
【6】不正アクセスの場合の対応
【7】風評・ブログ掲載の場合の対応

まとめ

本記事では、情報漏洩対応について、情報漏洩調査の原因や種類のほか、対応ステップ、マニュアル作成まで徹底解説しました。
情報漏洩対応で重要なことは、情報漏洩対応の５原則の下、被害を最小限に抑え、適切な対応をすることです。再発防止策や復旧を行うことはもちろん、必要な情報公開をするなど透明性を確保することで、被害拡大防止や類似事故の防止など、企業の説明責任を果たすことができます。
本記事を参考に、情報漏洩対応を適切に行いましょう。