コラム

情報セキュリティインシデントに関する調査報告書のご紹介

2011年11月 4日

  2011年8月にNPO日本ネットワークセキュリティ協会(JNSA)から「2010年情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ 第1.4版」(以下「2010年版報告書」という)が公表されました。この報告書はJNSAセキュリティ被害調査ワーキンググループが作成し毎年公開情報として提供されるもので、個人情報漏えい事件・事故(以下「インシデント」という)に関する調査分析結果を纏めたものです。

  2010年2月16日付のITSCコラムでは2008年版報告書をご紹介していますが、ここでは2010年版報告書から最新の情報をご紹介します。なお本ページの図表等の引用は2010年版報告書の引用に関する規定に拠ります。

  2010年版報告書によると、地方自治体の公表件数の増加の影響もあり、漏えい件数は2007年以降増加しており2010年は1679件です。漏えい人数は2007年以降継続して減少しており2010年は557万人とのことです。この増減は一件当たりの漏えい人数が比較的小さなインシデントが増加しているためです。

  図1と図2は漏えい媒体・経路で区分した発生件数と漏えい人数を示しています。発生件数では紙媒体が多数を占めますが、漏えい人数ではインターネット、USB等可搬記録媒体、PC本体が圧倒的に多くなっています。インターネットやUSBによるインシデントは漏えい人数が多大になり影響が大きくなることを示しています。

JNSA漏えい媒体_発生件数

図1 漏えい媒体・経路別の発生件数(2010年) (引用)JNSA2010年情報セキュリティインシデントに関する調査報告書

JNSA漏えい媒体_漏えい人数

図2 漏えい媒体・経路別の漏えい人数(2010年) (引用)JNSA2010年情報セキュリティインシデントに関する調査報告書

  詳しく見るために2006年から2009年に公表された漏えい人数が50万人以上の大きなインシデントを表1に示します。表1の漏えい原因区分を見ると、紛失・管理ミスなど自己の問題に起因するインシデントが7件あります。このうち原因が管理ミスで、漏えい経路が紙媒体によるインシデントは内部統制の導入による紙資料の誤廃棄によるものですので一時的な現象の可能性があります。一方、内部犯罪・内部不正行為など悪意のあるインシデントが8件あり、この場合の漏えい経路はUSB等の可搬記録媒体やWeb/Netによるものです。

  ITセキュリティセンターが評価機関になっているITセキュリティ評価及び認証制度(JISEC)、および試験機関になっている北米/日本暗号試験制度(CMVP/JCMVP)はUSB等の可搬記録媒体やWeb/Netなどにセキュリティ機能が適切に実装されていることを評価・認証するものです。認証条件に依りますが紛失や盗難、不正アクセスなどのインシデントが起きた場合であっても認証製品を使用することにより安全が確保されます。

表1 2006年から2009年に公表された50万人以上の漏えい人数のインシデント (参考)≪参照≫に示すNPO日本ネットワークセキュリティ協会の文献からITSCにて作成

公表年業種漏えい原因区分漏えい経路漏えい人数漏えい項目
2007 複合サービス事業 管理ミス 紙媒体 14,430,000 口座番号
2007 製造業 内部犯罪・内部不正行為 USB 等可搬記録媒体 8,637,405 カード会員情報など
2006 製造業 不明 不明 5,379,909 所有車情報
2006 情報通信業 内部犯罪・内部不正行為 FD等可搬記録媒体 4,000,000 戸籍情報
2006 情報通信業 内部犯罪・内部不正行為 FD等可搬記録媒体 3,996,789 氏名など
2006  公務 紛失・置忘れ FD等可搬記録媒体 1,760,000 屋号情報
2010  情報通信業 不正アクセス インターネット 1,735,841 ゲーム用IDなど
2009  金融業,保険業 内部犯罪・内部不正行為 USB 等可搬記録媒体 1,486,651 年収区分など
2008  公務 管理ミス 紙媒体 995,023 納付税額など
2007  金融業,保険業 管理ミス 紙媒体 976,000 口座番号など
2006  金融業,保険業 紛失・置忘れ 紙媒体経由 960,000 口座番号など
2006 卸売・小売業 盗難 FD等可搬記録媒体 900,000 固定資産情報など
2008 公務 管理ミス 紙媒体 766,356 自動車税額など
2008 卸売・小売業 不正アクセス Web・Net 653,424 ログインIDなど
2007 卸売・小売業 管理ミス USB 等可搬記録媒体 649,574 カードデータなど
2006 情報通信業 不正アクセス Web・Net経由 530,000 ユーザーIDなど
2009 金融業,保険業 管理ミス USB 等可搬記録媒体 500,000 預金残高

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved