サイバー脅威・対策

データ漏洩

約 4 分で読めます

最終更新: 2026-02-20

データ漏洩とは

データ漏洩 (Data Breach) とは、保護されるべき情報が権限のない第三者にアクセス・取得される事象を指します。個人情報、認証情報、財務データ、企業の機密情報など、漏洩するデータの種類は多岐にわたります。

データ漏洩は外部からの攻撃だけでなく、内部の人為的ミスや設定不備によっても発生します。IBM の調査によると、データ漏洩の平均被害額は年々増加傾向にあり、企業にとって財務的損失、信用の毀損、法的責任という三重の打撃をもたらします。漏洩した認証情報はクレデンシャルスタッフィングに悪用され、被害が連鎖的に拡大する点も深刻です。

主な原因と攻撃経路

データ漏洩の原因は大きく 3 つに分類されます。

外部攻撃

  • フィッシングとソーシャルエンジニアリング: 従業員を騙して認証情報を窃取し、社内システムに侵入する。データ漏洩の初期侵入経路として最も多い
  • 脆弱性の悪用: パッチ未適用のソフトウェアや設定不備を突いて侵入する。Web アプリケーションの SQL インジェクションや API の認証不備が狙われる
  • ランサムウェア: データを暗号化して身代金を要求するだけでなく、暗号化前にデータを窃取して公開を脅迫する「二重脅迫」が主流になっている

内部要因

  • 設定ミス: クラウドストレージのアクセス権限設定の誤り、データベースの公開設定の不備など。意図せず機密データがインターネットに公開されるケースが頻発している
  • 内部不正: 退職予定の従業員によるデータの持ち出し、権限の濫用による不正アクセス

サードパーティ経由

  • 委託先・取引先の侵害: 自社のセキュリティが万全でも、データを共有している委託先が侵害されれば漏洩が発生する

攻撃者が侵入してからデータを窃取するまでの滞留時間 (Dwell Time) は平均数か月とされ、長期間にわたって検知されないケースが多いことも問題です。

漏洩発生時の対応手順

データ漏洩が発生した場合、インシデントレスポンス計画に基づいた迅速な対応が被害の拡大を防ぎます。

  1. 封じ込め: 侵害されたシステムをネットワークから隔離し、攻撃者のアクセスを遮断する。認証情報が漏洩した場合は即座にパスワードをリセットする
  2. 影響範囲の特定: どのデータが、どの期間にわたって、どの程度漏洩したかを調査する。ログの分析、フォレンジック調査を実施する
  3. 通知: GDPR では 72 時間以内の監督機関への通知が義務付けられている。日本の個人情報保護法でも個人情報保護委員会への報告と本人への通知が必要
  4. 復旧: 侵入経路を特定・修復し、システムを安全な状態に復元する。バックアップからの復旧、パッチの適用、設定の見直しを行う
  5. 事後分析と再発防止: 根本原因を分析し、セキュリティ対策の改善点を特定する。同種の攻撃を検知するための監視ルールを追加する

予防策と被害軽減

データ漏洩を完全に防ぐことは困難ですが、発生確率の低減と被害の最小化は可能です。

予防的対策

  • データの暗号化: 保存時 (at rest) と転送時 (in transit) の両方でデータを暗号化する。漏洩が発生しても、暗号化されたデータは攻撃者にとって価値が大幅に低下する
  • 二要素認証の全社導入: パスワードが漏洩しても、第 2 の認証要素がなければアカウントを乗っ取れない。特に管理者アカウントには必須
  • 最小権限の原則: ユーザーやシステムに必要最小限のアクセス権限のみを付与し、侵害時の影響範囲を限定する
  • 定期的な脆弱性スキャンとペネトレーションテスト: 攻撃者より先に脆弱性を発見し、修正する

被害軽減策

  • データの分類と最小化: 保持するデータを必要最小限にし、機密度に応じた保護レベルを適用する。不要になったデータは確実に削除する
  • ネットワークセグメンテーション: ネットワークを論理的に分割し、1 つのセグメントが侵害されても他のセグメントへの横展開を防ぐ
  • ログの集約と監視: 異常なデータアクセスパターンをリアルタイムで検知する SIEM (Security Information and Event Management) を導入する

データ漏洩は「起きるかどうか」ではなく「いつ起きるか」の問題と捉え、予防と対応の両面で備えることが現代のセキュリティの基本姿勢です。

よくある誤解

データ漏洩は大企業だけの問題
中小企業はセキュリティ投資が限られるため、むしろ攻撃者にとって侵入しやすい標的となる。サプライチェーンの一部として大企業への足がかりに利用されるケースもあり、企業規模に関係なくリスクは存在する。
パスワードが漏洩しても自分のアカウントを変更すれば安全
漏洩したパスワードを他のサービスでも使い回していた場合、すべてのサービスで変更が必要。また、漏洩した個人情報 (氏名、住所、生年月日) はパスワードリセットの秘密の質問の突破やフィッシングの精度向上に悪用されるため、パスワード変更だけでは不十分。

関連用語

インシデントレスポンス セキュリティインシデント (不正アクセス、データ漏洩、マルウェア感染など) が発生した際に、被害の拡大を防止し、原因を特定し、復旧するための体系的な対応プロセス… クレデンシャルスタッフィング 過去のデータ漏洩で流出した ID とパスワードの組み合わせを、他のサービスに自動的に試行する攻撃手法。パスワードの使い回しを悪用するため、サービスごとに異なるパ… GDPR (EU 一般データ保護規則) EU 域内の個人データ保護を規定する法規制。データの収集・処理に明示的な同意を求め、忘れられる権利やデータポータビリティ権を保障する。違反時には全世界売上高の最… データ暗号化 平文のデータを暗号アルゴリズムで変換し、正当な鍵を持つ者のみが復号できる状態にする技術。保存時暗号化 (at rest) と転送時暗号化 (in transit… 二要素認証 (2FA) パスワードに加えて、もう 1 つの認証要素 (SMS コード、認証アプリ、物理キーなど) を要求するセキュリティ手法。パスワードが漏洩しても不正アクセスを防止で…

関連記事

データ漏洩が起きたら:被害を最小限にする対処法 個人情報の漏洩が発覚した際に取るべき具体的な手順と、被害を最小限に抑えるための実践的な対策を解説します。… クレデンシャルスタッフィング攻撃:パスワード使い回しが招く危険 流出した認証情報を悪用するクレデンシャルスタッフィング攻撃の仕組みと、被害を防ぐための具体的な対策を解説します。…
← 用語集