どの企業でもデータでの管理やクラウド化が進み、便利になり、管理の方法も楽になった反面、情報漏えいするリスクは高まっていると言えます。今一度情報漏えいが及ぼす被害や原因・理由を確認して、対策を考えていきましょう。本記事は情報漏えい対策を考えている担当者に向けて、情報漏えいの原因や対策方法を解説しています。ぜひ参考にしてください。
情報漏えいとは
情報漏えいとは、企業にとって重大なデータ、例えば財務状況や人事、設計データ、リリース予定の製品情報など、情報が外部へ漏れ出してしまうことです。
情報漏えいは、耳馴染みのある、不正アクセスやハッキングといった外部からの悪質な行為によって流出するのではなく、内部犯の手によって起きることもあります。また、加害者に悪意がなくとも流出してしまうこともあります。
情報漏えいが起きてしまう業種
日本ネットワークセキュリティ強化による2018年の調査結果では、情報漏えいの発生件数が最も多いのは公務であり、次に教育・学習支援業、情報通信業、卸売業・小売業と並んでいます。いずれの業種も個人情報やプライベートな情報を多く扱っており、情報量の多さと顧客数の多さに応じて、発生件数が多いような状況です。
情報漏えいから起こる被害の例
情報漏えいから起こる被害の例について、以下で解説していきます。法人の例と個人の例を本記事では挙げていきます。
法人の例
調査や対応の時間とコスト
情報漏えいをした時には、真っ先に対応をしなければなりません。また、どこから起きたのかの調査もしなければならず、調査や対応にかけた時間とコストの生産性は0にも関わらず、行わなければなりません。
個人情報保護法違反による罰則
個人情報が流出した場合、個人情報保護法を含めた法律に反してしまうことによっての罰則の可能性があります。被害者側から訴訟があった場合にかける時間や対応するための弁護士を雇うためのコストもかかります。
経営上の大きな損失
個人情報が漏えいした場合、規模に関係なくニュースになる可能性はあります。ニュースやネット記事は履歴が残ってしまい、利用ユーザーが調べた際に、不信感が生まれてしまうきっかけにもなり得ます。
個人の例
迷惑メール
身に覚えのないメールアドレスからメールが届きます。また、日本語ではなく、英字の文章のメールで内容がわからないものが送られてきます。メールボックスがいっぱいになってしまったり、不意にアクセスをしてしまい、不正アクセスにつながるマルウェア付きのメールなども届く可能性があります。
Web サービス、SNS などのアカウントの乗っ取り
Web サービスや SNS の ID ・パスワードが抜き出されてしまった場合には、不正アクセスをされる可能性があります。自身とは関係のない投稿や公式 HP が乗っ取られて別の内容にされるなどの被害があります。気がついてもすぐに戻すことができないことがあり、大きな事態を招く危険性を秘めています。
クレジットカードの不正利用
クレジットカードの番号が抜き取られた場合、利用したこともないお店やサービスで使われてしまうこともあります。身に覚えがない引き落としがあるかのチェックは日常的にやっておきましょう。また、セキュリティが甘い海外のお店ではクレジットカードは使わないようにすることも必要です。
詐欺被害に情報が使われる
個人情報が漏れた場合、自分のパーソナルな情報をきっかけにした詐欺に巻き込まれることもあります。例えば、振込詐欺や架空請求などが該当します。自分と家族しか知らないような情報を知っている人から連絡が来るために、詐欺だとしても信じやすくなってしまう傾向があるようです。
情報漏えいの原因、理由、どこから起きるのか
情報漏えいが起きてしまう原因は一体なんなのでしょうか。どこから起きているのかについて考えていきます。
以下2018年の統計・データを用いる箇所は「2018年情報セキュリティインシデントに関する調査結果」を参考にしています。
置き忘れ、紛失、盗難
2018年のデータによると、意外にも最も多い原因・理由は「紛失・置き忘れ」であり、全体の原因の26.1%を占め、件数は116件にも及びます。会社外での仕事、リモートワークが増えたことで、重要なデータが入っているパソコンを置き忘れてしまったことから、一部の人に悪用をされてしまうケースがあるようです。
送り先・添付ファイル間違いなどの誤操作
2018年の統計によると、二番目に多い原因・理由は「誤操作」となっており、全体の原因の24.6%、109件となっています。誤操作は、送り先のミスによって意図していない相手に機密情報を漏らしてしまうことで、添付するファイルを間違ってしまうなどのケースがあります。
不正アクセス
フィッシングサイトや標的型攻撃メールによって、不正アクセスをされることもあります。システム自体の脆弱性をつつかれ不正アクセスをされる外的要因のケースもあれば、使用しているパソコンにセキュリティソフトが入っておらず、保護の面で充分に機能していなかったために起きる人的ミス・管理ミスによることもあります。
2018年の統計によると原因の20.3%、90件が不正アクセスによるものです。
上記で解説した、「置き忘れ、紛失、盗難」「送り先・添付ファイル間違いなどの誤操作」「不正アクセス」の3つで情報漏えいの原因・理由の7割を占めています。
ルールなどの管理が甘い
ルールの徹底が甘いことで、情報漏えいが起きてしまう可能性が上がってしまいます。例えば、企業では多くの情報を扱いますが、機密情報の管理方法や捨てる場合のプロセスが曖昧な場合、流出リスクが増えてしまいます。処分する場合の手順でさえもマニュアル化をした方がいいでしょう。
公共の場での会話
リモートワークが増える前から、打ち合わせや会議をオフィスではなく外で行う人は一部います。公共の場といった、他の人がいる場所で話してしまったがゆえに情報漏えいをしてしまうこともあります。カフェやホテルのラウンジなど他の人がいる場所での会話には気をつけなければなりません。
内部関係者からの悪質な漏えい
情報漏えいは、外部から悪質な手法によって行われるのではなく、内部関係者の手によって流出しまうこともあります。企業に恨みがある社員や関係者が情報を外部へ流し、陥れるケースも実際にあるようです。クラウドサービスを利用している場合は、退職した人が削除されていないログイン情報を使い、不正アクセスをしてしまうこともあります。
情報漏えいを起こさないための対策方法
情報漏えいを起こさないための対策方法にはどういったものがあるのか、独立行政法人の情報処理推進機構セキュリティセンター「情報漏えい対策のしおり」を参考にしながら、他に行える対策方法も交えて解説をしていきます。
社内のもの、機密情報を持ち歩かない、持ち出さない
会社のものであるパソコン、スマートフォンといった端末や重要書類はできる限り持ち歩かない、持ち出さないようにしましょう。どうしても持ち歩く際には、決められた場所だけで扱うようルール化も必要です。
企業の情報を放置しない
企業の情報を他の人から見られるような場所、セキュリティが甘い場所に放置をしないようにしましょう。目に見えないところに置いてしまわないように、できる限り自分が持ったままにする、見える場所に常に置くように心がけましょう。
未対策のままに破棄しない
昨今の技術では復元技術も発達していますので、データを破棄して最後ではなく、復元できない状態にしたかどうかの確認が必要です。破棄する際のプロセスをまとめたマニュアルなどがあるといいでしょう。
私物を持ち込まない
私物からアクセスをしてしまうと、本来であればセキュリティがしっかりとしていたのにも関わらず、漏えいしてしまう可能性があります。私物の持ち込みはできる限りやめて、会社の情報には私物からアクセスしないようにしましょう。
鍵をかけて、他人へ渡さない
信用に値する人に対してだとしても、他人であるのであれば渡さないようにしましょう。また、自分だけが開けられる状態にすることが必要です。パスワードなどの鍵をかけることや、二段階認証を導入するなど自分しか開けられないような状態にすることが大切です。
公共の場での企業情報を含む会話はしない
できる限り公共の場では、企業情報を含む会話はしないようにしましょう。オープンな席では控えて、クローズドな場所で話すようにし、外部へ情報を聞かれないような環境を整えることが大切です。
報告しやすい仕組みづくり
万が一問題が起きた際に、報告がしやすい環境にすることも重要です。また、解決するための方法、誰に連絡をするのかなど、オペレーションが明確になっていた方がよいでしょう。企業自体の風通しの良さも関係するため日々のコミュニケーションも必要です。
安全確認の取れていない Web サイトへアクセスしない
安全確認が取れているサイトにだけアクセスをするようにして、危険性のあるサイトにはアクセスをしないようにしましょう。SSL 化されていないページの場合、サイトに飛ぶ前に危険であることを伝えられるので、気づいた時にはアクセスを拒否するようにしましょう。
不用意にパスワードを変更しない
不用意にパスワードを変更しないようにしましょう。あまりにも多い回数パスワードを変えてしまうと、身の回りの数字や本人と関係ある内容にしてしまったり、同じような数列になってしまったりと単純化してしまうからです。
- 参考:総務省
セキュリティソフトを導入、更新する
セキュリティソフトを導入することで、ウイルスから PC やスマートフォンを守ってくれます。また、ソフト導入後は定期的にアップデートがあるので、最新のものにするようにしましょう。
セキュリティを外部へ依頼する
セキュリティ自体を外部へ依頼することも可能です。企業の情報が守られているか外部から監視や保護を行ってくれるサービスがあります。クラウドサービスの利用が増えている企業は特に合わせて利用するのがいいでしょう。
社内教育、セミナーなどでリテラシーを高める
どれだけ管理側のリテラシーが高まったとしても、実際に使うのが社員である限りは、人的ミスにより情報漏えいをしてしまう可能性があります。社内教育やセミナーなどを行って、社員の情報セキュリティに対するリテラシーを高めるようにしましょう。
社内のガイドラインやルールを制定し共有する
社内のガイドラインやルールを制定して共有をしましょう。情報セキュリティに対する姿勢は扱っている人や管理側が気をつけるだけではなく、社内全体で共有をすることが大切です。ルールが徹底されているのか定期的にチェックするのも効果的です。
まとめ
情報漏えいの原因・理由や対策方法についてでした。情報漏えいは皆が想像するような外部からのマルウェアや関係者によっての悪質な不正アクセスによって起きるものだけではありません。
社員の不注意によって起きる件数が多く、在宅ワークやリモートワークが推奨されていく世の中ではより注意しなければいけない点です。情報漏えいが起きてしまわないように、できる対策を行い、データを保護するように日々気をつけましょう。
SBテクノロジーでは、メール関連の情報漏えい対策として「Mail Safe」「Mail Vault」「Mail Alert」のサービスをご提供しておりますので是非ご検討ください。
