目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

Transcription

1 2017 年情報セキュリティインシデントに関する調査報告 2018 年 6 月 12 日 セキュリティ被害調査ワーキンググループ長崎県立大学情報システム学部情報セキュリティ学科

2 目次 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~( 速報版 ) の解説 個人情報漏えいインシデントの公表ガイダンスについて 2/23

3 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~ ( 速報版 ) 調査報告書正規版では 数値やグラフなど 結果の一部が変更される可能性があることをご了承ください 3/23

4 年個人情報漏えいインシデント概要 1 期間 :2017 年 1 月 1~12 月 31 日 ( 12 ヶ月分 ) インターネットニュースなどで報道されたインシデントの記事 組織からリリースされたインシデントの公表記事などをもとに集計 2017 年データ 2016 年データ 漏えい人数 519 万 8,142 人 1,510 万 6,784 人 漏えい件数 386 件 468 件 想定損害賠償総額 1,914 億 2,742 万円 2,994 億 2,782 万円 一件当たりの漏えい人数 1 万 4,894 人 3 万 4,024 人 一件当たり平均想定損害賠償額 5 億 4,850 万円 6 億 7,439 万円 一人当たり平均想定損害賠償額 2 万 3,601 円 3 万 1,646 円 4/23

5 年個人情報漏えいインシデント概要 年 ~2016 年までの各年の値の平均と 2017 年の値を比較 2017 年データ 年平均比較 (2005~2016 年 ) 漏えい人数 519 万 8,142 人 1,452 万 4,556 人 漏えい件数 386 件 1,302 件 想定損害賠償総額 1,914 億 2,742 万円 5,625 億 8,812 万円 一件当たりの漏えい人数 1 万 4,894 人 1 万 4,368 人 一件当たり平均想定損害賠償額 5 億 4,850 万円 5 億 6,058 万円 一人当たり平均想定損害賠償額 2 万 3,601 円 4 万 0335 円 5/23

6 年インシデント トップ 10 No. 漏えい人数 業種 原因 万 8,355 人製造業 不正アクセス 2 67 万 6,290 人公務 不正アクセス 3 59 万 7,452 人情報通信業 不正アクセス 4 37 万 1,200 人情報通信業 不正アクセス 5 19 万 9,169 人公務 不正アクセス 6 19 万 人サービス業 管理ミス 7 18 万 4,981 人公務 管理ミス 8 16 万 3,000 人公務 紛失 置忘れ 9 14 万 408 人情報通信業 不正アクセス 万 1,936 人卸売業, 小売業 不正アクセス 公務の件数がやや多い 2013 年以降不正アクセスが多い 6/23

7 3.1 業種別漏えい件数 2016 年 2017 年 (N=468 件 ) (N=386 件 ) 教育, 学習支援業 (107 件 ) 金融業, 保険業 (105 件 ) 公務 (68 件 ) 情報通信業 (38 件 ) 公務 (110 件 ) 教育, 学習支援業 (60 件 ) 卸売業, 小売業 (33 件 ) 情報通信業 (30 件 ) 全体的に漏えい件数が減少する中 公務 だけ増加 はじめて 金融, 保険業 が 上位 3 業種以外へ 7/23

8 3.1 業種別漏えい件数の経年変化 公務が増加 卸売業, 小売業が増加 金融, 保険業が初めて TOP3 以外へ 8/23

9 3.2 原因別漏えい件数 2016 年 2017 年 (N=468 件 ) (N=386 件 ) 管理ミス (159 件 ) 誤操作 (73 件 ) 不正アクセス (68 件 ) 紛失 置忘れ (61 件 ) 誤操作 (97 件 ) 紛失 置忘れ (84 件 ) 不正アクセス (67 件 ) 管理ミス (50 件 ) 誤操作 紛失 置忘れ の件数が増加 管理ミスの件数が大幅減少 9/23

10 3.2 原因別漏えい件数の経年変化 管理ミス 紛失 置忘れ 誤操作 盗難 不正アクセス 誤操作の比率が増加 不正アクセスの比率が増加 紛失 置忘れ 盗難が多い 誤操作 ( ケアレスミス ) と管理ミスが多い 不正アクセスが増加 10/23

11 3.3 媒体 経路別漏えい件数 2016 年 2017 年 (N=468 件 ) (N=386 件 ) 紙媒体 (220 件 ) インターネット (108 件 ) 電子メール (65 件 ) USB 等可搬記録媒体 (45 件 ) 紙媒体 (150 件 ) インターネット (87 件 ) 電子メール (77 件 ) USB 等可搬記録媒体 (41 件 ) 紙媒体による漏えい件数が最も多い インターネット 電子メール経由も多い 11/23

12 3.3 媒体 経路別漏えい件数の経年変化 インターネット 電子メール経由の比率が増加 紙媒体からの漏えいが大半を占める 紙媒体経由の比率が減少 12/23

13 3.4 インシデント件数と人数の経年変化 インシデント件数が大きく減少 近年の平均的な漏えい人数は約 500~700 万人 / 年 漏えい人数 100 万人以上のインシデントは 1 件発生 13/23

14 4. サイバー攻撃による漏えいのリスクの考察 箱ひげ図を使って サイバー攻撃による漏えいインシデントの特徴を分析 14/23

15 参考 箱ひげ図 ばらつきのあるデータをわかりやすく表現するための統計学グラフ 外れ値 最大値 1.5h データ個数の 75% 数値の差 =h 中央値 データ個数の 25% 1.5h 外れ値 最小値 15/23

16 4. サイバー攻撃による漏えいのリスクの考察 箱ひげ図を使って サイバー攻撃による漏えいインシデントの特徴を分析 規模 100~10000 人一桁大きい 118 万 8,355 人 ( 最大 ) 29,342 人 (75%) 4,950 人 ( 中央値 ) 403 人 (25%) 27,220 人 (75%) 260 人 ( 中央値 ) 151 人 (25%) ほとんどのインシデント規模は 10~1000 人の範囲 16/23

17 5. まとめ 不正アクセスによる被害は 依然として増加傾向 インターネット接続システムの脆弱性を狙ったサイバー攻撃によりインシデントが発生 深刻な脆弱性の発見 (Apache Struts2 の脆弱性 =8 件 ) セキュリティ対策不足 (SQL インジェクション =5 件 ) ( 上記を含み 脆弱性が原因と推定できるインシデント =31/67 件 ) サイバー攻撃により インターネット接続システムから個人情報が漏えいすると 他の媒体 経路よりも漏えい規模 ( リスク ) が一桁以上大きい 攻撃者は常にインターネット接続システムの脆弱性を探っている 定期的な自システムの脆弱性の調査 迅速な脆弱性対応が必要 17/23

18 個人情報漏えいインシデントの 公表ガイダンス 18/23

19 1. はじめに 当 WG は これまで組織からリリースされたインシデントの公表記事やインシデントのニュース記事をたくさん収集 分析してきたが 適切な公表タイミングと記事内容の両方を満たす記事が少ない 課題 公表側 ( インシデント発生組織 ) インシデントの公表の判断 タイミングに悩む 記載すべき内容の基準がわからない 被害者 / 読者側 第一報の公表が遅い 知りたい情報が含まれていない 最終報告が無い 情報セキュリティインシデントの公表ガイダンスを作成して提供する 19/23

20 2. ガイダンスの構成 さまざまな情報セキュリティインシデントのうち もっとも公表することが多い個人情報漏えいインシデントの公表ガイダンスを作成 個人情報漏えいインシデントの公表ガイダンス 公表文書サンプル ( 企業編 学校編 ) 公表文書サンプル 企業編 ( ケース ) 攻撃者が Web サイトの脆弱性を悪用して不正アクセスを行い システム上のお客様の個人情報が流出 公表文書サンプル 学校編 ( ケース ) 個人情報が保存された USB メモリを校外へ持ち出して カバンが盗難されて漏えい 公表文書例の解説編 ( 企業編 学校編 ) 20/23

21 3. 公表ガイダンスのポイント 個人情報漏えいインシデントの公表ガイダンスから内容の一部を紹介 1. 組織内にインシデントの公表判断のルールを用意しておく 被害者への個別連絡が難しい場合は 公表する 二次被害のおそれが高い場合は 公表する 公表が規程されている ( 金融機関 公務 ) 等 2. インシデントの公表 報告回数 第一報 と 最終報告 を行う 中間報告 は 第一報の内容に修正が必要な場合 調査が長引いて最終報告が遅くなるおそれがある場合 サービスの停止 / 再開などユーザに影響する変化がある場合 等 3. 報告文書の内容 被害者 / 一般読者が読み切れるサマリ (2~3 ページ以内 ) の量が基本 詳細な原因や対策 技術的な内容は付録にする 第一報は必要最小限の情報を掲載して 速報性を重視する 被害者に対する情報提供 ( 被害有無や範囲 対応方法 問い合わせ先 ) が優先 21/23

22 成果物の公開予定 22/23

23 成果物公開 2017 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~ 速報版 ( 近日中 ) 正規版 ( 作業中 ) 個人情報漏えいインシデントの公表ガイダンス 公表文書サンプル ( 企業編 学校編 ) 公表文書サンプル 企業編 公表文書例の解説編 ( 企業編 学校編 ) ( 作業中 ) 23/23

24 24/23