情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業
セキュリティ点検Week

なぜ見逃した?“気づかぬうちに”機密情報が漏れていた…いま見直す対策 -セキュリティ通信-

セキュリティ通信
情報システム部門
この記事の内容
システム設計不備で10年以上、個人情報が漏えいしうる状態に│京都工芸繊維大学
広告のリンク先に個人情報入りフォルダー公開│primeNumber
  • エスカ
  • レン
  • エスカ&レン:
    今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
  • エスカ
  • エスカ:
    10月に入って、朝晩はぐっと涼しくなってきたね。街の景色も秋らしくなってきたよ。
  • レン:
    季節の変化って、毎日見ていると意外と気づきにくいよね。
  • レン
  • エスカ
  • エスカ:
    そうだね。実は、情報セキュリティのリスクも同じように“気づかぬうちに”進行してしまうことがあるんだよ。
  • レン:
    怖い話だけど……確かに、放置しているといつの間にか大きなリスクになっているかも。
  • レン
  • エスカ
  • エスカ:
    ということで今月は、「気づかぬうちに起きていた情報漏えい」の実例を紹介して、私たちにできる対策を考えていきます!

システム設計不備で10年以上、個人情報が漏えいしうる状態に│京都工芸繊維大学

  • レン:
    まず紹介するのは、長期間見落とされていたシステム設計不備による情報漏えいの事例です。
  • レン

京都工芸繊維大学では、教職員情報管理システムの設計不備により、2009年から2023年までの約14年間、個人情報が外部からアクセスできる状態だったことが判明しました。
対象は最大1,000人以上で、氏名や連絡先などが含まれます。幸いにも、外部からの不正アクセスの痕跡はありませんでしたが、設計段階のセキュリティ対策不足が原因でした。
大学側は、システムの見直しと関係者への報告・謝罪を進めています。

個人情報に関するご報告とお詫び

出典:国立大学法人京都工芸繊維大学(https://www.kit.ac.jp/2025/09/announcement250911/)

■推奨する対応策

  • システム設計時のセキュリティ要件の明確化と実装を徹底
  • 定期的なシステム監査・脆弱性診断の実施
  • アクセス権限と公開設定の定期的な見直し

■関連サービス

SCSmart セキュリティ評価 :システム設計や運用のセキュリティ状況を診断
SCSmart 脆弱性診断(Web/PF/AD) :既知の脆弱性の把握
SCSmart クラウド設定監査 :クラウド環境の設定不備や潜在的な攻撃の兆候の検知、対処方法の提示
SCSmart ASM :外部公開資産や認証情報の管理・監視

  • エスカ
  • エスカ:
    設計時の見落としが、長期間のリスクにつながることもあるんだね。
  • そふくリス
  • そふくリス:
    こういう“気づかないまま”の設計不備は、定期的なチェックや第三者の診断がないと発見できないことも多いよね。この事例では実被害が出なくてよかったけど、リリース後も、見直しを忘れずに!
  • レン:
    運用中も定期的な点検が欠かせないね。
  • レン

広告のリンク先に個人情報入りフォルダー公開│primeNumber

  • レン:
    最後は、“ヒューマンエラー”が原因となった情報漏えいです。
  • レン

primeNumber社では、Web広告のリンク先設定ミスにより、個人情報を含むフォルダーが外部からアクセス可能な状態になっていました。最大3人が実際にアクセスし、氏名や連絡先などの情報が閲覧された可能性があります。
速やかに非公開対応し、関係者への連絡と再発防止策を進めています。

個人情報を含むフォルダーが外部からアクセス可能な状態

出典:株式会社primeNumber(https://primenumber.com/news/1916)

■推奨する対応策

  • 公開前の設定は複数人でダブルチェック
  • 個人情報フォルダーの社外公開を禁止
  • アクセスログ監視による異常検知

■関連サービス

SCSmart ASM :外部公開された資産や認証情報の継続的な管理・監視
SCSmart Webアプリケーション診断 :誤ったリンク先の検出
Security FREE for Microsoft 365 :アクセスログをリアルタイムで監視し、異常を早期に検知

  • エスカ
  • エスカ:
    誰にでも起こり得るミスだからこそ、仕組みでカバーすることが大切ですね。
  • そふくリス
  • そふくリス:
    1人だけで作業するとミスに気づきにくいから、必ず複数人で確認する仕組みや、公開前のチェックリストを活用してほしいな。
  • レン:
    ダブルチェックや仕組みづくりで“うっかり”を防ぎましょう。
  • レン
  • エスカ
  • エスカ:
    今回の2つの事例、すべてに共通しているのは「気づいたときには遅かった」という点ですね。
  • レン:
    だからこそ、設計時・運用中・公開前のそれぞれのタイミングで「点検・確認・仕組みづくり」が不可欠なんですね。
  • レン
  • そふくリス
  • そふくリス:
    セキュリティ対策は“やってるつもり”では足りないよ。定期的な見直しと、外部の視点を取り入れたチェック体制が、リスク低減の鍵になるんだ。
  • レン:
    ヒューマンエラーも含めて、人だけに頼らず、ツールやサービスをうまく使って準備しておきたいね!
  • レン
  • エスカ
  • エスカ:
    ということで、今月の「エスカとレンのセキュリティ通信」はここまでです。
    バナーから、セミナーやサービス紹介ページもご覧いただけますので、ぜひチェックしてみてください。

お役立ち資料

ASM (攻撃対象領域管理)の基本的なこと

前回の記事はこちら!

【2025年版】内部不正事例から学ぶ!情報漏えい防止のポイントと効果的対策 -セキュリティ通信-

無料セミナーのご案内

セミナー

関連サービス

記事内でご紹介したサービスは下記からご覧いただけます。

SCSmart ASM
Security FREE
セキュリティ評価
関連キーワード
セキュリティ通信
情報システム部門
ITインフラに関するおすすめ記事
【情シス・開発者必見】Power BI・CDNの設定ミスが招く情報漏洩|2つの事例で学ぶ再発防止策 -セキュリティ通信-
セキュリティ通信
情報システム部門
悪用される脆弱性の特徴とは?インシデント事例から学ぶ脆弱性対策のポイント! -セキュリティ通信-
セキュリティ通信
情報システム部門
【2025年版】ランサムウェア被害は過去最多!企業が取るべき対策と訓練 -セキュリティ通信-
セキュリティ通信
情報システム部門
まずはこれ!新入社員が知るべき3つの情報漏えいの脅威とインシデント対策 -セキュリティ通信-
セキュリティ通信
情報システム部門
IPA「情報セキュリティ10大脅威 2025」を解説。企業へのリスクと対策とは? -セキュリティ通信-
セキュリティ通信
情報システム部門