顧客のクレジットカード情報は、オンラインでの清算をスムーズに行うのに必要であるし、保存されている被雇用者の記録は人事部の生命線となっている……ご存じのように今日のビジネスは、こうしたセンシティブなデータの上に築かれており、さまざまな局面において、企業を動かす血流となっている。だからこそ、もしも過去のサイバー被害の経験から学ぶことを怠ってしまうと、セキュリティ面で大きな惨劇が起こりかねないのが現状である。

「データリーク」（data leak）と「データブリーチ」（data breach）という言葉は、ほとんど同じことを指している。しかしそれが、どのように起こるかについては、今も多くの誤解がある。攻撃者が寝室の暗がりから極秘情報の眠るデータベースをクラッキングしている、というイメージが蔓延しているようだが、センシティブなデータが公にされてしまう真の原因は、世間でよく知られているような典型的なハリウッド映画で取りざたされているものとは、全く別物である。

実際のところ、データリークの跡をたどっていくと会社の内部の人間に行き着いた、ということがしばしばある。とはいっても、たいていそれは、運の悪いアクシデントやシステム構造上の欠陥が原因であることが多い。ほかにも、基本的なヒューマンエラーによるものから自社のコンピューターネットワークのルールを「曲げる」類いのことまで、さまざまなことがその原因となり得る。

データリークとデータブリーチ、何が違うのか？

データが暴露されるような結果に至るインシデントのタイプといってもケースバイケースで、実にさまざまな違いがある。日本語では全て「情報漏えい」と呼ばれる事例を、ここでは2つのグループに分けて考えてみよう。「データブリーチ」と「データリーク」である。

一般的にデータブリーチというのは、攻撃者が脆弱性を通じてサーバーにアクセスすることである。

一方、データリークというのは、はっきりとしたセキュリティホールがなくても起こり得る。社内の人間の無責任な行動や恨みを持った従業員による不正な行動において、データが不適切な人物の手に渡ってしまったと考えられるような場合だ。

リークとブリーチの区別はそれほど一般的というわけではない。たいていの専門家ならば全てデータブリーチと分類することだろう。つまるところ、それらはどれもこれもコンピューターにダメージを与えるものだからである。しかし、ここで両者を区別することによって、問題がより具体的に精査され、なぜこういったインシデントが起こるのかが、よりよく理解されるようになるのである。

では、データリークが起こったとき、見つけ出さなければならない最も大きな原因とは何だろうか。「ヒューマンエラー」「盗み」「アクセス権の乱用」の3点が挙げられる。以下、１つずつ説明しよう。

1 ヒューマンエラー

たとえ企業組織がこれまでセキュリティソリューションに関していろいろと投資してきたとしても、決して根絶できないのがヒューマンエラーである。世界4大会計事務所の１つであるPWC（プライスウォーターハウスクーパース）の「情報セキュリティ・ブリーチの調査(2015)」によれば、昨年起きた悪質なリーク（*）のうちの50%が、不注意なヒューマンエラーによって起こったと指摘している。

例えば、2016年春、米連邦預金保険公社で前従業員が44,000人の顧客の個人情報をUSBメモリーで持ち出す事故があったが、その「拡散」の後片付けに忙殺される羽目になった。データはその後、「不注意に、不正な意図なく」ダウンロードされたことが明らかとなった。

もう1つ別の2014年の調査結果のコメントの中で、デイヴィッド・ハーレー（David Harley、ESETシニアリサーチフェロー）は、「部内者の脅威は必ずしも不正と見なされるべきではない」と述べている。

ハーレーは、「セキュリティ・リーク（*）は、ヒューマンエラーという形であれ、ソーシャルエンジニアリングであれ、さらには、セキュリティマネジメントにおける間違った意思決定であれ、かなり高い割合で直接的あるいは間接的に組織内部の人間によって引き起こされている。だが、部内者による不正行為が計画的なものであって、それがほかの全ての要因と比較して大きなウェイトを占めていた、とはっきりと言うこともできない」と述べている。

「過つは人の性」という格言があるが、だからといってこの手のデータリークを防ぐために何もできないわけではない。PWCの2015年の調査によれば、33%の大組織がデータ保全の責任の所在が明らかになっていないと答えている。また、セキュリティポリシーがほとんど理解されていない組織のうち、その72%はスタッフが関与するリーク（*）の被害を被ったとのことである。

全ての従業員が「サイバーセキュリティに自覚的」であること、そしてネットワークの安全を保つ責任はわずか数名の専門家だけが負うのではないということを明確にすることで、ややもすると高くつくことになるミスを可能な限り引き留められるかもしれない。

* 編集部注 この「リーク」は原文では「ブリーチ」となっているが、文脈上「リーク」を意味するので「リーク」に置き換えた。

2 盗み

データは部外の犯罪者によってのみ盗まれると言いたいのはやまやまだが、残念ながらどの会社組織であっても内部の人間が窃盗犯になり得るのが現状だ。英国の情報通信庁（OFCOM）は今年の初め、このことを思い知らされることになった。元従業員が6年間にわたり第三者のデータを内密に収集していたという事実が明るみに出たのである。

情報通信庁は、元従業員が仕事を後任に引き継ごうとした後になってようやく、このデータリークについて知ることとなった。後任者がOFCOMにこの不行き届きな活動について警告したのである。

自社の従業員を疑ってかかることを好む会社などどこにもない。しかしこの手のデータリークは、不必要なリスクを避けることで防ぐことができる。例えば、センシティブな書類がある所では、本当に必要な者にのみそれへのアクセスを認めるということを徹底するべきだ。会社のデータを全て1つの大きな共用サーバーに保存するのは決して賢明な考えではない。

3 アクセス権の乱用

従業員の意図が不正なものでなくとも、一見ささいな行動がITネットワークのセキュリティを侵食してデータリークにつながってしまうこともある。

シスコ（Cisco）社の2014年のレポートによれば、調査対象となった従業員のうち約4分の1が友人、家族、場合によっては見知らぬ人と秘匿情報を共有していたことを認めている。そして、ほぼ半数の人間が社外の人間とデバイスを共有したことがあると答えている。

こういった習慣は全く「罪のない」もののように思えるかもしれない。しかしそれは自社の秘匿データをコントロールの利かない外部に持ち出すことを意味する。アクセス権の設定と手続きを工夫して、この種の活動に制限を掛けるようにすることはできる。しかしそうした対策をとっても、抜け道はいつもあるものだ。

以上、データリークの弱点となる3つの主要な要素を取り上げてみた。どのような手段を用いればセキュリティを強化できるか、もしかすると途方に暮れている人がいるかもしれない。その場合は別記事【特集】「情報漏えいを防ぐための4つのキーポイント」も参照していただきたい。それはビジネスの現場で必要とされる全ての実践のガイダンスとなるだろう。