セキュリティニュース

従業員の個人アカウント乗っ取りで業務ファイル流出の可能性 ゼネラルが最終報告

熱転写リボンやインクジェットインクを手がけるゼネラル株式会社(大阪市城東区、髙嶋照二社長)は24日、従業員の個人アカウントへの不正アクセスにより、業務ファイルが外部流出した可能性があると発表した。同社は11月6日に情報流出の可能性を公表し、外部専門機関によるフォレンジック調査を実施していた。

調査の結果、従業員が業務で使用していたファイルの一部を、会社管理外の個人アカウントに紐づいたクラウドサービス上に保管していたことが判明した。この個人アカウントが不正アクセス(乗っ取り)被害を受けていたため、クラウド上の業務ファイルが流出した可能性を完全には否定できないという。

情報流出の可能性に関する調査について(最終報告) | ゼネラル株式会社より引用

個人情報の流出は確認されず

同社によると、個人情報保護法に該当する個人情報ファイルの外部流出は確認されていない。また、現時点で当該ファイルの不正利用や二次被害などの事実も確認されていないとしている。

同社が管理するシステムおよびサーバーからの情報流出も確認されなかった。今回の事案は、従業員が個人で契約したクラウドサービスを業務に使用していたことに起因する。

再発防止へルール明確化

ゼネラルは再発防止策として、業務データの保存先に関するルールの明確化と運用の徹底を実施する。個人アカウントやクラウドサービスの業務利用禁止を全従業員に再周知するほか、情報セキュリティ教育の再実施と定期的な監査も行う方針だ。

同社は発表の中で「本件を厳粛に受け止め、セキュリティポリシーの見直しを実施する。情報セキュリティ管理体制の強化に継続して取り組む」としている。

シャドーITのリスク浮き彫りに

今回の事案は、企業が把握・管理していない情報システムやクラウドサービスを従業員が業務で使用する、いわゆる「シャドーIT」のリスクを改めて示した形だ。個人契約のクラウドサービスは企業のセキュリティ管理下にないため、不正アクセスを受けた際の検知が遅れ、被害の範囲把握も困難になる。

近年、テレワークの普及により、従業員が個人所有の機器やサービスを業務に利用する機会が増えている。企業には、業務利用可能なツールの明確化と、従業員へのセキュリティ教育の徹底が求められている。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,