![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
三菱電機で今年二度目の漏洩 防ぐ方法はあったのか?
三菱電機での情報漏洩事件が2020年11月20日に報道されました。詳細は調査中のようですが、現時点(2020年11月26日)では国内の取引先の8635件の金融機関口座に関する情報の漏洩が判明しています。(参照:三菱電機株式会社「不正アクセスによる情報流出について」)
既に三菱電機は1月に情報漏洩事件の報道があり、2020年に入ってから2件目です。前回の事件の記憶もまだ新しい内に、再び情報漏洩事件が発生してしまいました。
このことは、サイバー攻撃の手法が巧妙化し続ける中、攻撃を防ぐことが非常に難しくなっている時代に入っていることを示しているのではないでしょうか。
2020年1月に報道された事件ではサプライチェーンの脆弱性を利用したサイバー攻撃でしたが、今回はクラウドサービスである「Office 365」への攻撃によって漏洩したことが分かっており、前回とは異なる手段です。
三菱電機はOffice365をベースに情報共有のインフラとなるクラウドサービスをグローバルに大規模展開しており、グループ内の約15万人が利用しているようです。二要素認証など、充分と思われるセキュリティ対策も講じていました。そして前回の情報漏洩から厳重な対策をしていたと思われます。にもかかわらず、再び事件が発生してしまいました。
2020年に入ってから公になった三菱電機の2つの情報漏洩事件から分かることは、狙われた企業は外部組織からの攻撃を防ぐことはもはや至難であり、情報は必ず流出してしまうことを前提としたセキュリティ対策を取る必要があるということです。それには情報自体を保護する取り組みが必要となります。
情報自体を保護する非常に効果的な手法として、DataClasysに代表されるDRM/IRMによる対策が挙げられます。
DRM/IRMはファイルを暗号化した上で操作制御を行います。今回の事件の様に、クラウドサービスへの攻撃によって情報が流出したとしても、暗号化されていれば外部の攻撃者は解読できずに情報漏洩を防ぐことができます。
複雑化するビジネスと進化するIT技術は、経営の促進や業務効率など、組織や事業へのポジティブの効果だけでなく、サイバー攻撃手法の巧妙化などのネガティブな効果ももたらしていることは明らかです。そのような現代だからこそ、DataClasysなどDRM/IRMによる情報漏洩の根本対策が必要になっています。
情報漏洩を防ぐには、どうすればいいのか?
それには、外部からのサイバー攻撃への対策だけでは限界があります。情報自体を保護し、もし流出したとしても情報を守れる体制をつくることが、本質的な対策となります。
