情報漏洩を防ぐための取り組みは、企業にとって重要な課題です。しかし一方で、なぜ情報漏洩が起こるのか、どうすれば情報漏洩を防止できるのかを明確に把握できていないと感じている方も多いのではないでしょうか。この記事では、情報漏洩が企業にもたらす具体的な危機や、情報漏洩が発生する原因、情報漏洩の防止策についてわかりやすく解説します。また、情報漏洩が起きた場合の対処方法も併せてご紹介します。
情報漏洩を防ぐための取り組みは、企業にとって重要な課題です。しかし一方で、なぜ情報漏洩が起こるのか、どうすれば情報漏洩を防止できるのかを明確に把握できていないと感じている方も多いのではないでしょうか。この記事では、情報漏洩が企業にもたらす具体的な危機や、情報漏洩が発生する原因、情報漏洩の防止策についてわかりやすく解説します。また、情報漏洩が起きた場合の対処方法も併せてご紹介します。
情報漏洩の防止策として、企業はどのような取り組みを進めればよいのでしょうか。情報漏洩の防止に向けて、具体的な6つの防止策を紹介します。
業務で利用する各種情報や機器は、不要な持ち出し・持ち込みをしないのが原則です。例えば、PCやUSBメモリなどを安易に社外へ持ち出したり、私物の端末を社内ネットワークに接続したりすることは禁止するべきでしょう。
業務を進めるにあたって必要な場合に限り、データの暗号化や端末ロックなどの対策を講じた上で持ち出し・持ち込みを許可するルールを策定することをお勧めします。
自社の情報資産に関わるあらゆる物品は、安易に放置・破棄しないようルール化することが大切です。例えば、業務用のPCやスマートフォンをデスク上に置いたまま放置したり、顧客情報が記載された書類を一般ゴミとして廃棄したりすることは、情報漏洩の直接的な原因になりかねません。USBメモリなどを廃棄する際にも、データが完全に消去されていることを確認した上で廃棄することが重要です。
業務で使用するツールやシステムのログインID・パスワードなどは、第三者に知らせてはいけません。意図的に伝えないようにするだけでなく、第三者に見られる可能性があるメモにログイン情報などを記載して残すことも、情報漏洩を防ぐために避けるべきでしょう。
また、SNSなどに業務上知り得た情報を投稿したり、不特定多数の人が出入りする飲食店や列車内などで機密情報に関わる会話を交わしたりすることも避ける必要があります。
身に覚えのない相手から届いたメールを開かないことや、信頼性の低いWebサイトにアクセスしないことも、社内で共有しておくべき対策です。マルウェアの中には、メールの添付ファイルを開く操作や、URLのリンクをクリックする操作をした時点で感染するものもあるためです。
また、近年は正規のWebサイトと区別がつきにくい偽装Webサイトを用いた手口も増えています。Webサイトにアカウント情報などを入力する際には、Webサイトのデザインだけでなく、URLが正式なものであるかも十分に確認しておく必要があります。
情報セキュリティ対策に関する研修会や勉強会を定期的に開催するなど、従業員教育を実施することも大切なポイントです。情報漏洩が発生した過去の事例を共有するとともに、具体的な対策方法を周知徹底することで、社内のセキュリティリテラシーを強化することができます。
情報漏洩につながりかねない従業員の過失を完全に防ぐのは困難ですが、情報漏洩対策ツールの活用によって人的ミスによる事故のリスクを抑えることが可能です。
情報漏洩対策ツールを活用すれば、情報漏洩を未然に防ぐことができる確率が高まるだけでなく、情報漏洩対策を継続的に実施していくにあたって管理担当者にかかる負担を軽減できます。
情報漏洩対策は個別に異なった対策を実施するのではなく、さまざまなリスクを想定した総合的な対策を講じる必要があります。社内・社外を起因とした情報漏洩リスクに備えるには、次の対策に取り組むことが大切です。
情報漏洩への有効な対策としては、「誰がどの端末で、どのような操作を行っているか」を把握できる操作ログを記録・管理することが挙げられます。ログを通じて不正な操作が検知された際には、アクセスをブロックするといった対策を実施できるほか、万が一情報漏洩が発生した際にも不審なアクセスを特定し、被害の拡大を防ぐなどの対処がしやすくなります。
エンドポイントへのセキュリティ対策強化にも活用いただける「SKYSEA Client View」は、徹底した操作ログの管理により、USBメモリなどを利用した場合や、社内ネットワークに接続せず社外でクライアントPCを使用した場合でも操作ログを記録できます。テキストログだけでは見えづらい問題点を映像で洗い出す「画面操作録画」機能も備えており、利用者に安全な情報の取り扱いを意識づける注意表示(アラート)機能も利用可能です。
多層防御とは、社内ネットワーク上に階層的な防御策を構築することで、サイバー攻撃などのリスクの最小化を図る情報セキュリティ対策を指します。例えば、UTM製品やウイルス対策ソフトウェアなど外部からの脅威の侵入を検知するツールを複数導入し、エンドポイントセキュリティ製品などと組み合わせて活用することで、より強固な情報セキュリティ対策を実現することができます。
例えば「SKYSEA Client View」では、他メーカー様のセキュリティ製品と連携し、これら製品がウイルスなどを検知した際には速やかに該当端末をネットワークから自動遮断できます。多層防御を取り入れることで、組織全体でセキュリティレベルの向上を図ることが可能です。
従業員が使用するすべてのIT機器の中にセキュリティホール(脆弱性)が一つでも残っていると、そこから情報漏洩リスクが発生してしまいます。そのため、末端のIT機器を強固に守るエンドポイントセキュリティや、ソフトウェアの更新プログラムの適切な管理・配布を支援する機能を活用し、脆弱性への対策に取り組むことも重要です。「SKYSEA Client View」は、組織内のすべてのIT機器を把握し、管理漏れを防ぐ上で役立つ機能を搭載しています。また、新たに機器が社内に持ち込まれ、ネットワークに接続された場合でも素早く把握でき、脆弱性が放置されないように適切なIT機器管理をサポートします。
「SKYSEA Client View」をご利用いただくことで、情報セキュリティ担当者の皆さまの負担を軽減し、精度を高めながら、効率的かつ確実に情報漏洩対策を行うことができます。情報漏洩への総合的な対策に取り組みたい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。
株式会社東京商工リサーチが2021年に公表した「上場企業の個人情報漏洩・紛失事故」によれば、2021年に発生した事故件数は137件で、前年と比べて33.0%増加しました。情報漏洩・紛失事故を原因別に見てみると「誤表示・誤送信」が43件(構成比31.3%)と、「ウイルス感染・不正アクセス」(68件、同49.6%)に次いで多いという結果が出ています(※)。
情報漏洩が発生する原因には、大きく分けて社内に起因するものと社外に起因するものの2つがあります。それぞれの原因について詳しく見ていきましょう。
※株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」
社内で起こる情報漏洩とは、従業員による人的ミスや意図的な不正に起因する情報の漏洩などを指します。具体的な原因の例は、次のとおりです。
<社内で起こる情報漏洩の具体例>
情報漏洩は、外部からの攻撃などによって発生するケースばかりではありません。社内を起因とした情報漏洩も起こり得ることを認識し、対策を講じておく必要があります。
情報漏洩は外部からのサイバー攻撃など、悪意のある行為によって生じることも想定されます。特に注意が必要な原因は、次のとおりです。
・サイバー攻撃による不正アクセス
悪意のある第三者が、組織のネットワークやIT機器にウイルスなどを侵入させ、不正に情報を盗み出すことがあります。株式会社東京商工リサーチの調査によれば、情報漏洩・紛失事故のうち、「ウイルス感染・不正アクセス」に起因するものは約50%を占めているのが実情です(※)。
※株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」
・盗聴
盗聴には、旧来の電話などを盗み聞く行為だけでなく、メールなどに記載された情報を盗み見ることも含まれます。業務で利用している機器に盗聴ツールを仕掛けられ、個人情報や機密情報を抜き取られてしまうこともあります。
・セキュリティホール(脆弱性)の放置
セキュリティホール(脆弱性)とは、ソフトウェアやハードウェアの設計上で生じるセキュリティに関する欠陥のことです。セキュリティホール(脆弱性)を放置していると、外部からの攻撃やウイルス感染の危険性が高まり、情報漏洩につながりやすくなります。こうした脆弱性は、放置することなく速やかに対応することが重要です。
情報セキュリティ対策についてお困りの方へ「オンライン無料相談」受付中!
弊社の専門スタッフが、SKYSEA Client Viewの導入に関するご質問・ご要望を丁寧にお伺いし、お客様にあった活用方法をご紹介いたします。お気軽に無料相談をご利用ください!
無料相談を申し込む
