ITキーワード

機密情報漏えい対策の徹底に向けて│情報が漏れる原因や具体的な被害の事例・対策を紹介

企業や社員、顧客にかかわる機密情報は、取り扱いに最新の注意を払わねばなりません。機密情報漏えい対策は、企業を守るために重要です。ここでは、企業のセキュリティ関連の担当者に向けて、機密情報が漏えいする原因や、漏えいを防ぐための対策を紹介します。機密情報漏えいの具体的な事例も紹介するため、危機意識を高めつつ参考にしてください。

企業を脅かす機密情報漏えいとは?

企業は数多くの機密情報を抱えています。機密情報漏えいとは、機密情報が企業外に漏れることを指します。おもな機密情報は、以下のとおりです。

  • 社員の住所録
  • 社員の給与情報
  • 顧客の個人情報
  • 昇格に関する情報
  • 仕入先リスト
  • 製造方法
  • 設計図
  • 財務データ

※参考:機密情報とは|「情シスのミカタ」

機密情報漏えいの原因【内部の問題】

機密情報漏えいのリスクは、企業の内外に潜んでいます。まずは、企業内の機密情報漏えいにつながる要因を紹介します。

端末の紛失・置き忘れ

機密情報を含む端末を社外に持ち出すと、紛失や置き忘れをする可能性があります。端末の持ち出し自体は問題ありませんが、機密情報をもっているという意識が大切です。紛失・置き忘れが発生する状況として、以下の例が挙げられます。

  • 酔っぱらっていて、置き忘れた
  • 得意先からの帰り道に紛失した
  • USB やメモリーカードなどをポケットに入れていたら、いつの間にか紛失した
  • 端末の入ったバッグを盗まれてしまった

人的ミス

人的ミスも機密情報漏えいにつながります。人的ミスが発生する状況は以下のとおりです。

  • メールの宛先を間違え、機密情報を外部に誤送信してしまった
  • ファイルを取り違えて、機密情報が含まれるデータを外部に送信してしまった
  • 機密情報の書かれた書類を、シュレッダーにかけずに廃棄した

私物端末の持ち込み

利便性を理由に、私物端末を業務で使用する社員もいます。私物端末はセキュリティ管理が難しいため、業務での使用はやめさせるべきです。

私物端末の業務使用を許可すると、SNS を介した機密情報の流出、私物端末を媒体としたウイルスの侵入などが発生し、セキュリティが脅かされます。

管理体制の不備

管理体制の不備は、人的ミスとは別物です。管理体制の不備とは、アクセス権限の範囲を間違えて設定している、セキュリティ管理のルールに穴が多い、サイバー攻撃への対策が手薄であるなどの状態を指します。管理体制が徹底していなければ、社員が気をつけていても機密情報が漏えいしてしまいます。

機密情報漏えいの原因【サイバー攻撃】

情報漏えいにつながるサイバー攻撃の事例を紹介します。サイバー攻撃は年々巧妙化し、あらゆる方向から情報を狙ってきます。

マルウェアへの感染

マルウェアに感染するとパソコンが異常な動作を起こし、機密情報漏えいのリスクが高まります。マルウェアには以下の経路で感染しがちです。

  • メールに添付されたファイルに、マルウェアが埋め込まれていた
  • マルウェアが組み込まれたサイトを開き、知らないうちにパソコンが感染した
  • ファイル共有ソフトで受け取った資料が、マルウェアに感染していた

なりすまし攻撃

なりすまし攻撃とは、犯罪者がアカウントをもっている人になりすまして、機密情報にアクセスする手口です。

パスワードリスト攻撃は、ID とパスワードを使いまわしている人を狙います。たった一つの IDとパスワードの組み合わせが知られただけでも、芋づる式にほかのサイトにログインされてしまいます。

総当たりリスト攻撃とは、考えられる ID とパスワードを、ログインできるまで試行し続けるサイバー攻撃です。

偽サイトへの誘導

偽サイトの誘導で有名な手口に、フィッシングサイトが挙げられます。犯罪者は、実在する銀行や証券会社のサイトの「偽サイト」を用意して、ターゲットを誘導します。ID やパスワード、口座番号やクレジットカードの情報などを偽サイトに入力すると、機密情報が盗まれてしまいます。

機密情報漏えいの具体的事例

機密情報が漏えいすると、企業だけではなく顧客、取引先なども被害を受けます。機密情報漏えいの具体的事例を紹介します。

教育業界での情報漏えい事例

2010年代半ばに、教育業界にて子どもと保護者の個人情報が流出する事件が発生しました。流出した情報は氏名・電話番号・住所などです。子どもにいたっては、性別と生年月日の情報も流出しました。

情報漏えいは、顧客からの問い合わせを通じて発覚しています。また、情報漏えいの原因は、関連会社の派遣社員によるデータの持ち出しです。

銀行での情報漏えい事例

2021年には、銀行でも機密情報が漏えいしています。漏えいした内容は、顧客の金融機関の情報やメールアドレス、カードの暗証番号などです。

機密情報は、銀行から複数の業務委託先に誤って送信されました。銀行は、委託先から還元されてきたデータを見て情報漏えいに気がつき、即時データの提供を中止しています。外部への二次流出は免れたものの、顧客はカードを再発行する必要に迫られました。

機密情報漏えいによる被害【周囲への対応】

機密情報が漏えいすると、いち早く関係者に状況を報告しなければなりません。対応が遅れるほど周囲を不安にさせます。まず、素早く機密情報漏えいの事実を公表します。

続いて、被害状況を調査し、原因を突き止めましょう。情報漏えいの原因がわかりしだい、責任を追及し、再発防止対策も検討すべきです。あわせて、被害者へ謝罪し、お詫びの品を発送するなどして信用回復に努めましょう。

機密情報漏えいによる被害【刑事・民事上の責任】

機密情報を漏えいさせた企業は、刑事・民事上の責任を問われます。ペナルティの内容を紹介します。

刑事上の責任

機密情報漏えいによる刑事上の責任は、個人情報保護法により定められています。機密情報漏えいにかかわった経営者や役員には、6ヶ月以下の懲役に服すか、30万円以下の罰金を支払わねばなりません。さらに、悪質な情報漏えいであると判断されると、1年以下の懲役または50万円以下の罰金を命じられます。

民事上の責任

民事上の責任として、機密情報漏えいにかかわった企業は、損害賠償責任を負い謝罪金を支払います。「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の想定損害賠償総額は、2,684億5,743万円と算出されました。また、一件あたりの平均想定損害賠償額は6億3,767万円です。

※参考:2018年 情報セキュリティインシデントに関する調査報告書【速報版】│JNSA

機密情報漏えいによる被害【機会損失】

機密情報漏えいの原因が究明されるまでは、業務の停止を余儀なくされます。機密情報漏えいの原因がわからないまま業務を続けても、さらなる被害が発生する可能性があるためです。

また、ずさんなセキュリティ体制や、社員のモラルの低さなどのネガティブなイメージは、容易には払拭されません。信用を取り戻し取引再開に至るまでには、時間がかかると考えられます。

さらには、取引先ばかりか、世間からの評判も地に落ちます。新規顧客を獲得できないばかりか、顧客離れも引き起こしかねません。

機密情報漏えいを防ぐ手法【内部不正・人的ミス対策】

機密情報漏えいから企業を守るために、対策をうちましょう。まずは、内部不正・人的ミスにかかわる対策を紹介します。

セキュリティ関連のルールを決める

セキュリティポリシーを作成し、情報資産にかかわる対応を決めます。企業ごとに取り扱う情報は異なるため、自社の実情にあわせたセキュリティポリシーが求められます。

続いて、セキュリティポリシーをもとに、セキュリティ関連のルールを定めましょう。ルールの一例として、業務用端末の持ち出し禁止、私物端末の業務への使用禁止、公衆の無線 LAN への接続禁止などが挙げられます。

セキュリティ関連の社内教育を実施する

セキュリティポリシーやセキュリティ関連のルールを、社内教育で伝えましょう。教育は、アウトソーシングする、自社独自のカリキュラムを作成するなどの方法で実行できます。教育後にはアンケートやテストを通じ、成果を確認してください。

メール誤送信防止システムを導入する

メールの誤送信による機密情報漏えいが多発しています。メール誤送信防止システムを導入すると、送信の一時保留や、送信に上司の承認を求める機能を使えます。また、システムにより監視性をアピールすると、社員のセキュリティ意識の向上も可能です。

メールでの資料共有をやめる

資料共有の手段として、オンラインストレージが役立ちます。元データはオンラインストレージ内の1つのみであり、共有者が増えてもデータは複製されません。仮にデータへのリンクを誤送信しても、アクセス権を解除すれば機密情報は守られます。

また、データへのアクセスログを確認できるため、万が一情報が漏えいしたときには原因究明に役立ちます。

機密情報漏えいを防ぐ手法【サイバー攻撃対策】

新しいサイバー攻撃が次々と観測されています。セキュリティ体制を築くためには、マネージドセキュリティサービスの導入も検討しましょう。

ゼロトラストモデルを基準にセキュリティ体制を構築する

テレワークやオンラインストレージが一般化するにつれ、企業外からのアクセスが増えます。ファイアウォール頼みのセキュリティ体制では、機密情報を守りきれません。

ゼロトラストモデルとは、内部からのアクセスであろうと、すべてのアクセスを危険因子とみなします。アクションごとにアカウントを確認するため、ゼロトラストモデルでは強固なセキュリティ体制を構築できます。

マネージドセキュリティサービス(MSS)を導入する

深刻化するサイバー攻撃や、人的ミスなどへの対応は大変です。自社で十分なセキュリティ対策を打てなければ、マネージドセキュリティサービス(MSS)の導入がおすすめです。MSSは、セキュリティ対策の管理・運用をアウトソースするサービスです。最新のセキュリティ体制で機密情報を守りましょう。

まとめ

機密情報が漏えいすると、企業は大きなダメージを受けます。機密情報を守るために、セキュリティを強化しましょう。セキュリティ対策には、スペシャリストや高度な技術が必要です。自社だけで対策を取ろうとせず、セキュリティベンダーへの依頼も検討しましょう。

SBテクノロジー株式会社は、セキュリティ対策支援として、機器・サービスの導入だけでなく、監視・運用・脅威の分析・封じ込めまで一貫して提供します。セキュリティ対策のエキスパートに、機密情報の管理をおまかせください。

SBテクノロジー株式会社のセキュリティソリューションについて、まずは資料請求・お問い合わせをご利用ください。