適切な情報漏洩対策を行うには、まず情報漏洩の「経路」を知っておくことが大切です。
下記の図は、情報漏洩の経路を表したものですが、「インターネット」や「電子メール」、「USB等可搬記録媒体」などの電子媒体に関するものが約70%を占めています。組織の情報漏洩対策では、使用しているIT機器を適切に管理し、それぞれの経路からの情報漏洩リスクを最小限に抑えられるように対策することが、特に重要です。
電子媒体の中で、最も注意すべき情報漏洩の経路は「インターネット」です。多くの組織が業務でクラウドサービスなどを利用するようになり、データをインターネット上にアップロードすることが可能になりました。それに伴い、従業員の人為的なミスで機密情報が外部に漏れてしまうケースや、悪意のある従業員によってデータを不正に持ち出されるケースが増加しています。また、インターネットを経由したサイバー攻撃や不正アクセスによる情報漏洩の被害も多発しています。サイバー攻撃は被害規模が大きくなりやすく、攻撃の手法も年々高度化しているため、そのセキュリティ対策は重要な課題となっています。
「インターネット」に次いで高い割合となっているのが「メール」です。メールの宛先や添付するファイルを間違えて、外部に情報を誤送信してしまうケースや、「BCC」に入れて送るべき顧客のメールアドレスを、誤って「To」に入れてしまい、顧客のメールアドレスが流出してしまう、といったケースなどが挙げられます。また、取引先の関係者などになりすました偽装メールで機密情報を盗む「ビジネスメール詐欺」や、メールの添付ファイルやリンクなどを開いたデバイスがウイルスに感染し、攻撃者に組織の情報を盗まれてしまう「迷惑メール」など、メールを悪用した攻撃も横行しているため、警戒が必要です。
「記録媒体」の取り扱いにも注意しなければいけません。事故発生の割合は12.6%と低く見えますが、USBメモリや外付けハードディスクは大容量のデータを保存できるため、被害の規模が大きくなる傾向があります。
「PC本体」や「携帯電話スマートフォン」は、本体の紛失・盗難などからの情報漏洩を指します。業務用のPCやスマートフォンを従業員に支給する組織も増えており、万が一の時に備えた対策が必要です。
電子媒体による情報漏洩が大部分を占める一方で、「紙媒体」の割合も約30%と高い数値になっています。持ち出せる情報量に限りがあるため、被害の規模は小さい事例が多いですが、忘れずに対策を考えなければなりません。
情報漏洩が起こる可能性のあるこれら経路と、それぞれの特性を理解した上で、対策を綿密に計画することが、事故の防止につながります。
