コラム

企業が行うべき情報漏洩対策とは? 流出の原因と効果的な対策を解説

情報漏洩対策
企業が行うべき情報漏洩対策とは? 流出の原因と効果的な対策を解説

情報漏洩をいかに防ぐかは、企業が常に取り組んでいかなければならないテーマです。情報漏洩が発生する原因やプロセスは時代と共に少しずつ変わっているため、それにマッチした的確な対策を講じなければなりません。
今、企業が行うべき情報漏洩対策とはどのようなものなのか、流出の原因と効果的な対策や、情報漏洩が起こってしまった場合の対処法について解説します。

人為的ミスによる情報漏洩のパターンと対策

情報漏洩が起きてしまう原因は、人為的ミスによるものと、外部攻撃によるものに大きく分けて考えることができます。
まずは、人為的ミスによる情報漏洩について、近年よく発生しているパターンと対策を確認していきましょう。

誤って社外に情報を持ち出してしまった

本来は社内でのみ取り扱うべき情報(データ)を、ノートパソコンやUSBメモリにコピーするなどして社外に持ち出したことから情報漏洩が発生してしまうというのが、よく見られるパターンです。

重要な情報がコピーされたパソコンやUSBメモリ、あるいはスマートフォンやタブレットを社外に持ち出すと、それらが盗難や紛失によって第三者の手に渡ってしまうリスクがあります。実際に端末やメディアを電車の網棚に置き忘れてしまう事例や、飲酒後に紛失するようなケースはかなりの頻度で発生しています。
また、カフェなどでパソコンやスマートフォンを無料Wi-Fiに接続しようとした際に、悪意ある第三者が仕掛けたなりすましアクセスポイント(正規に提供されているWi-Fiと同じような名前に偽装したアクセスポイント)を利用してしまい、通信内容を盗み見られるケースにも注意が必要です。そもそもカフェなどのオープンスペースでは、作業中のパソコンの画面をのぞき見されたりスマートフォンで撮影されたりする、「ショルダーハッキング」と呼ばれるリスクもあります。

これらを防ぐには、重要な情報は持ち出し不可とするルールを整備しなければなりません。持ち出し可とする場合も、上長の承認を要する仕組みを導入すべきです。また、持ち出した情報の取り扱い、注意事項についてもマニュアルを作成して共有し、周知することが重要となります。

メールの誤送信

メールの誤送信も、しばしば情報漏洩の原因となっています。以前から多いのは、ToやCc、Bccに本来送るべきではない宛先を入れてしまい、個人情報などを送信してしまうミスです。また、重要な情報を含むファイルを間違えて添付し、送信してしまうミスも後を絶ちません。
最近では、誤送信を取り消せる機能を備えたメールソフトや管理ツールも普及してきています。しかし、取り消し可能な時間として設定できるのは送信後5~30秒程度と短いことが多く、その時間を過ぎると取り消しはできません。

そのため、情報のやりとりはメールではなく、ビジネスチャットツールや情報共有ツールで行うという企業も増えています。いずれにしても自社に合った、より安全性の高い方法を選択することが求められています。

情報を適切に廃棄できていなかった

紙の書類に限らず、デジタルデータを保存した記録媒体、業務用のパソコンやスマートフォンを適切に廃棄しなかったために発生する情報漏洩もあります。

機密情報を印刷した紙の書類を廃棄する場合はシュレッダーを用いるのが一般的ですが、大量の書類を廃棄したい場合は専門業者に依頼して溶解処理することもできます。同じように、デジタルデータを収めたパソコンやHDD(ハードディスクドライブ)の廃棄も、専門業者に「完全消去」を依頼することが可能です。データを完全消去する方法としては、メディアを物理的に破壊する方法や、磁気を利用して消去する方法などがあります。

機密情報を口外してしまった

従業員が業務を通じて知った情報を第三者に話す、SNSなどで公開してしまうといったことも、よく発生している事例です。退職者が営業秘密などの情報を、転職先で話すなどのリスクもあります。

こうした情報漏洩を防ぐには、第一に研修などを通じて従業員のセキュリティリテラシーやモラルを高める努力が必要です。重要な情報に関しては、それを口外・公開した場合、懲戒や損害賠償などのペナルティを課すことを明記した誓約書を交わす方法も、選択肢として考えられます。

外部攻撃による情報漏洩への対策

情報漏洩は、サイバー攻撃とも呼ばれる外部からの攻撃によっても引き起こされています。外部攻撃に備えるための対策としてはセキュリティソフトが一般的ですが、そのほかにもできることは多く、下記の6つの方法が有効です。

セキュリティソフトの導入

コンピューターや情報を様々な外部攻撃から守るためのソフトウェアが、セキュリティソフトです。法人向けのセキュリティソフトには、ウイルスやマルウェアを検知して駆除するアンチウイルス機能や、外部ネットワークとの通信を制御するファイアウォール、迷惑メール対策、有害サイト規制などの機能が搭載されています。

また、近年は情報漏洩対策に注力しているソフトが増えています。不正な通信の遮断、Webフィルタリング、特定の個人や企業を狙ったなりすましメールなどの標的型攻撃対策、不正アクセス・操作監視といった機能を持つソフトがあり、二重三重のセキュリティ強化が可能です。

システムの脆弱性の確認を定期的に行う

多くの外部攻撃が、ソフトウェアの脆弱性を突いて実行されます。ソフトウェアに脆弱性が発見されるとベンダーからアナウンスがあり、脆弱性の修正プログラムが公開・配布されるのが通例です。
したがって、ソフトウェアを使っている企業は常に脆弱性について注意し、修正プログラムが公開された場合には速やかに更新作業を行わなければなりません。これは、情報漏洩を防ぐための基本的な事項ということもできます。

OSの大型アップデートは慎重に行う

WindowsやMacなどのOSのアップデートも、外部攻撃を許してしまうセキュリティ上の脆弱性を解消するプログラムが含まれていることが多いので、通常のアップデートは積極的に行うべきです。ただし、新機能などが導入される大型アップデートについては、安易に行うと想定外の問題が発生し、現在使用しているソフトウェアが正しく動作しなくなる可能性があります。

セキュリティに関するアップデートはなるべく早急に実行するべきですが、ソフトウェアなどの動作に支障が生じる可能性のある大型アップデートについては、検証用のパソコンでソフトウェアが問題なく動作するかを確認し、その後に実行するといった手順が必要になります。

重要な情報は暗号化&アクセス制限をかける

外部攻撃があっても重要な情報の閲覧やアクセスができないように、暗号化とアクセス制限をかけることも有効な対策です。
暗号化は、暗号化用のアプリケーションを使う方法や、データベースやストレージに備わっている暗号化機能を利用すれば可能になります。

アクセス制限は、ファイルサーバーやデータベースサーバーに特定の権限を持つユーザーのみが、ID・パスワードでアクセスできるよう制御するのが一般的です。また、生体認証などの強固な認証システムを組み合わせるのも有効です。

ログイン情報も厳格に管理する

ログイン情報(ID・パスワード)が簡単に推測できるものだと、悪意のある第三者による不正ログインを許してしまうことになりかねません。ログイン情報は簡単に推測できないものにし、定期的に変更するなどして厳格に管理する必要があります。
また、どのユーザーがいつ、どこからアクセスし、どのような操作をしたのかが確認できるよう、アクセスログを残すことも重要です。

ファイル共有も安全な方法を選ぶ

取引先やパートナー企業など、社外の人とのデータの受け渡しには、ファイル共有サービスやオンラインストレージサービスがよく利用されています。この場合も、利用しようとしているサービスのセキュリティ対策についてよく確認し、どのサービスを利用するかを慎重に検討しなくてはなりません。

サービス利用時も、重要な情報を共有する際はファイルの暗号化やアクセス制限機能を使う、公開範囲の設定を必要最小限にする、サービスログイン時に2要素認証を利用するなど、セキュリティ強度を高める使い方を心掛けましょう。

情報漏洩が起きてしまった際の対処法

複数のセキュリティ対策を講じていても、何らかの原因により情報漏洩インシデントが発生してしまう可能性はあります。事前に万一の場合の対処方法をマニュアル化するなどしておけば、被害を最小限にとどめることが可能です。
続いては、情報漏洩が起きてしまった場合にどのような手順で対処していけばいいのかを解説します。

1.情報漏洩の実態把握

情報漏洩が発生したときの最優先事項は、状況の正確な把握と確認です。特に、流出した情報の内容と件数、現時点で起きている被害状況などの問題点の把握、対応状況の確認は、できるだけスピーディーに行わなければなりません。正確な実態把握が、二次被害の防止につながります。

2.二次被害を防ぐ

実態把握をしたら、対策チームなどを設置して、具体的な対処・対応をしていきます。外部から情報にアクセスできる状態になっているなど、状況によっては情報の隔離やサービス停止も視野に入れた、二次被害を防止するための緊急対処が必要です。また、クレジットカード情報などが含まれていた場合は、本人に通知して利用停止などを促す措置をとらなければなりません。

3.原因究明

二次被害防止のための緊急対処と同時に、原因究明も進めます。紛失・盗難、誤送信、外部攻撃、内部不正などが想定されますが、可能な限り具体的な原因を特定する必要があります。原因を特定しなければ、当面の対処や今後の再発防止策の検討もできず、説明責任も果たせません。

4.関係者などへの情報公開

個人情報の漏洩では、まず本人に事実を知らせて謝罪をし、漏洩した個人情報を利用した詐欺などの二次被害に遭わないよう、注意喚起することも重要です。取引先による情報漏洩の場合も、自社の顧客などに影響するのであれば、関係者への通知と情報公開が必要になります。

その上で、世間への公表が必要と判断される場合は、Webサイトでの公表や報道機関へのプレスリリース発表も行うことになります。被害の種類や規模によっては、記者会見の開催も検討しましょう。

情報漏洩を防ぐために従業員教育とセキュリティソフトの導入を進めよう

情報漏洩のリスクが高まる中、最も有効な対策は何かと問われれば、「従業員のセキュリティ意識を高める教育」と「自社の実態に即したセキュリティソフトの活用」が答えになります。この2つを上手に組み合わせることが、万全な情報漏洩対策のためには必要不可欠といえるかもしれません。

インターコムの「MaLion」シリーズは、社内情報の漏洩を未然に防ぐ機能を備え、さらに従業員に対する不正操作の警告表示などにより、全社的なセキュリティ意識の向上を図ることができます。万一、情報漏洩が発生した場合でも、ファイルあkセス監視を利用して漏洩に至った経路を確認でき、漏洩した情報や影響範囲の把握に役立ちます。IT資産管理と情報漏洩対策をお考えなら、「MaLion」シリーズの導入をご検討ください。

「MaLion」シリーズのラインアップ
クラウド版 オンプレミス版
MaLionCloud
MaLion 7

関連記事

▲