データ漏洩

 

 

icon-privacy-protection

データ漏洩とは?

データ漏洩とは、組織の内部システムやネットワークから機密情報が偶発的に、場合によっては意図的に漏洩されることを指します。データ漏洩は、人的ミス、セキュリティの脆弱性、不満を抱いた従業員やその他の権限のある個人の意図的な処理によって引き起こされる可能性があります。データ漏洩は、経済的損失、風評被害、法的影響、サイバー犯罪者による悪用などの重大な結果をもたらす場合があります。

icon-malicious-content-protection

データ漏洩はどのように起こるのか?

データ漏洩は、次のようなさまざまな手段を通じて発生する可能性があります。

  • 人的ミス: 機密情報を間違った受信者に送信したり、物理的な文書を置き忘れたり、フィッシング詐欺やスピアフィッシング詐欺の被害に遭ったりするなど、従業員による偶発的な行動を指します。
  • 悪意のある内部関係者:機密データへのアクセス権のある不満を抱いた従業員や個人が、個人的な利益や復讐のために意図的に機密データを漏洩する可能性があります。
  • パッチが適用されていない露出:パッチが適用されていないソフトウェア、システム、ハードウェアでは、機密情報が誤って漏洩する可能性があります。
  • オープンソースソフトウェアの脆弱性: オープンソースソフトウェアのセキュリティ上の欠陥も、データ漏洩につながる可能性があります。
  • 不適切なセキュリティポリシー: セキュリティポリシーが不十分であったり、そこに弱点があったりすると、データ漏洩の可能性が高くなります。 これは、組織の内部プロトコルだけでなく、ベンダーの内部プロトコルにも当てはまります。

データ漏洩から組織を守る方法

ご自身と組織をデータ漏洩から守るために、次のような対策を検討しましょう。

  • セキュリティ意識向上トレーニングに投資:機密情報の取り扱い、フィッシングメールの認識、適切なデータ処理手順の遵守など、データセキュリティのベストプラクティスについて従業員を教育します。定期的なトレーニングと意識向上プログラムは、データ漏洩につながる人的エラーのリスクを軽減するのに役立ちます。
  • 統合的なメールセキュリティソリューションを導入:フィッシングメールは、無防備なユーザーを騙して、より悪質な目的のために利用できる機密情報を漏洩させようとします。統合的なメールセキュリティソリューションを導入することで、ユーザーがフィッシングメールを受信したり、機密情報を開示する危険のあるフィッシングページにアクセスしたりするのを防ぎます。
  • 優れたアクセス制御を実装する: 機密データにアクセスできるのは、許可を受けた個人のみに制限しましょう。パスワードポリシーを確立して適用し、多要素認証(MFA)を有効にして、役割ベースのアクセス制御を導入し、アクセスが必要なユーザーだけがアクセスできるようにします。
  • 機密データを暗号化する: 保存時と転送時のデータを暗号化することで、保護層がさらに強化されます。データが公開された場合でも、暗号化されているため、権限のない個人が情報を解読して使用することが困難になります。
  • ソフトウェアを定期的に更新し、パッチを適用する: 最新のパッチと更新を適用して、オペレーティングシステム、アプリケーション、セキュリティソフトウェアを最新の状態に保ちましょう。そうすることで、攻撃者が悪用する可能性のある既知の脆弱性に対処できるようになります。

データ漏洩とデータ侵害 

しばしば同義語として使われていますが、データ漏洩とデータ侵害は同じではありません。データ侵害は、機密情報が意図的に暴露されることによって発生しますが、多くの場合、サイバー攻撃が成功した後にハッカーによって行われます。組織は、いつ、どのデータが侵害されたのかを含め、データ侵害を特定できます。一方、データ漏洩は通常、内部関係者の故意ではない取り組みによって発生します。また、データ侵害とは異なり、多くの場合、組織は機密情報がどのくらいの期間にわたって漏洩したかを判断できません。

Data-leaks-unleash-global-phishing-attempts
Healthcare Cybersecurity How to Strengthen Your Posture in 2023

データ漏洩とデータ損失

データ漏洩とデータ損失も区別なく使われていますが、同じ意味を共有するわけではありません。データ損失とは、機密情報が組織の管理から永久に削除されることを指します。これは、外部者や内部関係者の取り組みによって、意図的または無意識に発生します。データ損失は、技術的なエラーや故障によって発生することもあります。データ漏洩が発生した場合、組織はたいてい、漏洩した情報を所有しているか、またはそれらを取得できます。

Vadeのデータ漏洩対策

Vadeは、一連のサイバーセキュリティソリューションを活かしてデータ漏洩の防止を支援します。当社の統合メールセキュリティスイートは、機密情報の漏洩を引き起こすフィッシングメールからユーザーを保護します。Vade Remote Browser Isolation(RBI)は、この保護をメールボックスからブラウザまで拡張し、ユーザーが潜在的に悪意のあるWebサイトにデータを入力したり、機密文書をアップロードしたりすることを阻止します。また、Vadeは、自動のパーソナライズされたフィッシング認識トレーニングであるVade Threat Coach™ も提供しています。Vade Threat Coach™ は、人的ミスを引き起こす可能性のある潜在的な脅威を特定して対処する方法をユーザーに教えます。

img03_m365