企業や組織におけるセキュリティー事故が後を絶たない。個人情報や機密情報の流出、Webサイトのサービス妨害や改ざんといった被害が相次いでいる。

 セキュリティー事故というと、高度なテクニックを駆使したサイバー攻撃を思い浮かべるかもしれない。そういった攻撃は十分なセキュリティー対策を施していても防ぐのは難しい。

 しかし、実際のセキュリティー事故はサイバー攻撃がきっかけではなく、システム管理者やユーザーのミスによって発生することが多い。攻撃者がそもそも存在しない事故もある。

 例えば、メールソフトで誤ったメールアドレスを入力して送信したために個人情報などが流出する事例だ(図1)。うっかりミスによる事故である。

図1●国内で相次ぐセキュリティー事故
図1●国内で相次ぐセキュリティー事故
単純なミスによるセキュリティー事故が相次いでいる。情報流出やWebサイトの障害などにつながっており、企業や組織の信頼を損なう可能性がある。
[画像のクリックで拡大表示]

 同様に、誤った方法で黒塗りした文書ファイルからの情報流出や、サーバー証明書の更新し忘れによる閲覧障害といった事故も続出している。

 またWebサイトの改ざんは、システム管理者がソフトウエアの脆弱性をうっかり残していたことが原因であることが多い。当たり前の対応をしていれば防げた事故だ。

 システム管理者やユーザーの「うっかり」による事故はどうして発生するのか──。本特集ではこうした事故の発生原因と防止策を解説する。