ホーム > ニッポンを守る技術 > 個人情報が漏えいする前に、流出対策を!
 

個人情報が漏えいする前に、流出対策を!

もしも、個人情報を盗まれ、悪用されたら・・

サイバー犯罪者の目的として、いつも1位2位にあるのが、『個人情報の窃盗』です。被害者側からしますと個人情報の漏えいや流出、ということになります。ハッカーにとって、多くの個人情報は闇市場で名簿として売買が成立します。つまり、犯罪者にとってお金になりやすいわけです。
 
一度出回ってしまった個人情報の回収は極めて困難で、買い手によっては、ポルノや詐欺に利用したりと二次被害、三次被害の発生にもつながります。
 
膨大な広告費と血のにじむような努力で集客した大切なお客様のお名前や電話番号やメールアドレスを、ライバル企業が闇市場から破格で仕入れるケースも増えています。

まず、ハッカーが狙うのは、脆弱性の多いターゲット

簡単にデータベースに侵入できてしまう企業は、当然のことながら、ハッカーから狙われやすいです。ハイレベルなハッカーでなくても、インターネット上からハッキングの方法(情報)を集めて、ハッカーとは呼べない素人レベルでも侵入できてしまうような、重大な脆弱性を放置している企業も多くあります。急速に進んだネット社会は、便利な反面、気を抜くと犯罪者のカモにされてしまいます。

次に、ハッカーが狙うのは、高く売買が成立するターゲット

例えば、育毛・ダイエット・学習塾・金融サービス・結婚・不動産・クレジットカード・富裕層などの個人情報は、闇市場で高価な取引が行われています。ハッカー目線だとすると、より多くの情報を盗めれば、それはイコール、数百万~数千万円の報酬を手にすることができるというような状況です。
 
そのようなサービスを運営している会社で、且つ、会員メンバーの多い人気企業は、9割以上の確率で、何らかのサイバー攻撃に直面します。ハッカーが情報の泥棒に成功するか否かは関係なく、非常に狙われやすいということになります。したがって、人気サイト、人気企業の大半は、情報セキュリティにお金をかけて対策を行っているのですが、その対策の大半は、ツールでの防御です。
 
安価なセキュリティツールはもちろん、かなり高額なセキュリティツールを導入していても、知恵のあるハッカーであれば、新しい脆弱性を見つけ出し、それを悪用し、データベースから情報を盗みます。

個人情報漏洩を最高レベルで防ぐには?

大手のITセキュリティ企業であれば、誰もが知っていることですが、企業の情報を最も高いレベルで守れるセキュリティは、定期的なペネトレーションテストです。2015年から、日本の各省庁もそれを行うようになりました。
 
情報セキュリティを導入している組織の中でも、2つの種類があります。
 
①万一、個人情報が漏えいしたら、仕方ない。セキュリティ対策をやっているという既成事実が大事
②万一、個人情報が漏えいしてしまったら、その損害は大き過ぎる。最大の防御で臨みたい。
 
という2つの種類です。
 
①は、もしも情報が盗まれた場合に、世間や顧客に対して、『できる限りのセキュリティ対策は行っていた』ということをアピール(言い訳)したい企業が多いです。このような企業には、なるべくセキュリティ対策費用をおさえるために、国内外のセキュリティシステム(ツール)を導入しているケースが大半です。そして、世間や顧客への言い訳を最大化するために、国内大手(ナンバー1、ナンバー2など)の有名な情報セキュリティ企業に依頼をしているケースが多いです。
 
②は、本当の意味でセキュリティを高めたいと思っている企業が多いです。攻撃されることを前提とし、システムと技術の両側面でセキュリティを行っています。
 
①と②、どちらが正しい正しくないではなく、経営陣の感覚によって分かれる傾向があります。
 
②の場合、弊社イーライトが行う『複合ペネトレーションテスト』は、ベストマッチです。複合ペネトレーションテストは、個人情報の漏洩確率を最小化(限りなく0%に近づけることが)できます。

期間

複合ペネトレーションテスト

 【初回】
  実働50日
  報告書作成7日
 
 【2回目以降の定期診断】
  実働10日
  報告書作成5日

料金

お見積りを開始されたい方へ 
 (今の状況とご要望をお聞きし、お見積りをスタートします)

備考

個人情報の漏洩を防ぐためには、ネットワークやWEBアプリケーションのみならず、社員・職員の仕事環境の確認、組織内のセキュリティーポリシーの見直しなど、ハッカー目線でターゲットなる全箇所において脆弱性の割り出しが必要になります。御社様に合わせたご提案を行いますので、ご相談ください。

よくあるご質問

Q, 個人情報が盗まれる原因の多くは、何ですか??
A, 2つの大きな原因があります。1つは外部から侵入されてデータベースを覗かれて盗まれるパターンです。もう1つは、社員のミス(ウイルス感染した添付ファイルを開くなど)で社員のパソコンが乗っ取られ、そこから社内のネットワーク経由で情報が盗まれるパターンです。しかし、セキュリティ対策の向上とともに、ハッカーの侵入方法も進化・多様化していますので、世間で多い原因を意識するよりは、各組織のシステムや脆弱性に合わせた対策を行うべきかと思います。
 
Q, データベースから情報を盗られた確証が無い場合、その確証を得ることはできますか?
A, できます。フォレンジック調査を通じて、確証を得ます。
 
Q, 社内にインサイダー(スパイ)がいる場合には、お手上げでしょうか??
A, いえ、そんなことはございません。インサイダーがいると仮定したセキュリティシステムを組み、インサイダーがいると仮定して、内部からのペネトレーションテストを行えます。例えば、インサイダーが平社員の社内IDしか持っていない場合、そのIDを不正に利用して、どこまでのアクセス権限を手に入れれるか、社長や課長のアクセス権限を入手できるかなども確認できます。

 

関連項目

個人情報 流出
個人情報漏洩

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。