情報漏洩対策に取り組むためには、情報漏洩事故の原因を知っておくことも重要です。下記の図のように、情報漏洩の主な原因は、サイバー攻撃による「ウイルス感染・不正アクセス」が55.1%と最も多く、半分以上を占めています。次いで「誤表示・誤送信」が26%、「紛失・誤廃棄」が15.1%と、人為的なミスによるものも多くを占めているほか、組織内の情報を従業員が不正に持ち出す「盗難」なども見られます。
https://www.tsr-net.co.jp/data/detail/1197322_1527.html
情報漏洩が起こる主な原因
株式会社東京商工リサーチが2021年に公表した「上場企業の個人情報漏洩・紛失事故」によれば、2021年に発生した事故件数は137件で、前年と比べて33.0%増加しました。情報漏洩・紛失事故を原因別に見てみると「誤表示・誤送信」が43件(構成比31.3%)と、「ウイルス感染・不正アクセス」(68件、同49.6%)に次いで多いという結果が出ています(※)。
情報漏洩が発生する原因には、大きく分けて社内に起因するものと社外に起因するものの2つがあります。それぞれの原因について詳しく見ていきましょう。
※株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」
社内で起こる情報漏洩の原因
社内で起こる情報漏洩とは、従業員による人的ミスや意図的な不正に起因する情報の漏洩などを指します。具体的な原因の例は、次のとおりです。
<社内で起こる情報漏洩の具体例>
- 情報機器の誤操作(メールを部外者宛てに送信してしまうなど)
- データ紛失・置き忘れ(顧客データが記録された媒体を外出先で落としてしまうなど)
- 管理ミス(業務上必要がない従業員に閲覧権限を付与してしまうなど)
- 意図的な内部不正(製造工程に関する企業秘密を競合他社に知らせるなど)
情報漏洩は、外部からの攻撃などによって発生するケースばかりではありません。社内を起因とした情報漏洩も起こり得ることを認識し、対策を講じておく必要があります。
外部による情報漏洩の原因
情報漏洩は外部からのサイバー攻撃など、悪意のある行為によって生じることも想定されます。特に注意が必要な原因は、次のとおりです。
・サイバー攻撃による不正アクセス
悪意のある第三者が、組織のネットワークやIT機器にウイルスなどを侵入させ、不正に情報を盗み出すことがあります。株式会社東京商工リサーチの調査によれば、情報漏洩・紛失事故のうち、「ウイルス感染・不正アクセス」に起因するものは約50%を占めているのが実情です(※)。
※株式会社東京商工リサーチ「上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)」
・盗聴
盗聴には、旧来の電話などを盗み聞く行為だけでなく、メールなどに記載された情報を盗み見ることも含まれます。業務で利用している機器に盗聴ツールを仕掛けられ、個人情報や機密情報を抜き取られてしまうこともあります。
・セキュリティホール(脆弱性)の放置
セキュリティホール(脆弱性)とは、ソフトウェアやハードウェアの設計上で生じるセキュリティに関する欠陥のことです。セキュリティホール(脆弱性)を放置していると、外部からの攻撃やウイルス感染の危険性が高まり、情報漏洩につながりやすくなります。こうした脆弱性は、放置することなく速やかに対応することが重要です。
ランサムウェアやエモテットなど、組織に甚大な被害をもたらすサイバー攻撃は年々その激しさを増しています。また、働き方の多様化により、リモートワークなどで業務用PCを組織外に持ち出す機会は増え、組織内のネットワークを堅牢にする従来の対策だけでは対処が難しいのが現状です。そのような状況下において、サイバー攻撃によるウイルス感染・不正アクセスの被害に遭わないためには、PC本体のセキュリティ強化も併せて講じるなど、さらなる強固な対策が必要だといえます。
加えて、サイバー攻撃などの外部からの脅威に向けた対策だけでなく、人為的ミスや不正行為といった内部に存在するリスク対策も欠かせません。従業員に対する情報漏洩についての注意喚起や、情報の取り扱いルールの整備・遵守、適切な管理の徹底などを講じる必要があります。
これら外部と内部への対策を包括的に行うことで、初めて情報漏洩事故のリスクを軽減し、効果的な情報漏洩対策に取り組むことができます。
それでは、具体的にどのようにして情報漏洩対策に取り組むべきなのでしょうか。まずは、PCやUSBメモリなどIT資産の「全数把握」です。把握できていないIT資産が1台でもあるとそれがセキュリティホールとなり、攻撃者の恰好の的になってしまうため、組織で利用しているIT資産は漏れなく把握しておく必要があります。その上で、IT資産に関する情報(機種情報、利用ユーザー、インストールされているソフトウェア・バージョンなど)を正確に収集し、OSや各種ソフトウェアが適切にアップデートされているか、ウイルス対策ソフトウェアなどの必要なソフトウェアがインストールされているかを、継続的にチェックしなければいけません。加えて、それぞれの利用状況についても操作ログなどを通して可視化し、情報漏洩リスクを伴う操作が行われていないかを確認することも重要です。また、従業員一人ひとりがIT資産の運用ルールを正しく理解し、ルールに基づいて業務が遂行できるように、組織のセキュリティポリシーを周知・徹底することも欠かせません。
これらの情報漏洩対策に役立つのが、クライアント運用管理ソフトウェア「SKYSEA Client View」です。本ソフトウェアは、PCやサーバーなどのネットワーク機器、USBデバイスなど、組織のネットワークにつながるすべてのIT資産に関する情報を集約し、一元的に管理できます。登録したIT資産の情報は定期的に自動更新され、常に最新の情報をチェックできます。また、各PCの操作ログを記録し、日々の利用状況を確認することもでき、これら資産情報やログを集計・分析し、状況をグラフで視覚的に把握できるレポートもご用意しています。情報漏洩につながる可能性のあるPC操作に対してメッセージで注意喚起し、従業員のセキュリティ意識向上につなげたり、操作そのものを禁止できる機能も搭載しています。
「SKYSEA Client View」は「使いやすさ」にこだわった操作画面も特長です。各PCの稼働状況を一覧で確認できる管理画面や、カテゴリ分けされた機能メニュー、各機能についての説明を表示する機能ガイドを搭載。新たなシステムやソフトウェアを導入する際に「すぐには使いこなせないのでは」「担当者が変わったら、使えなくなるのでは」といった心配がないよう、初めてでも直感的に操作できるように設計されています。
組織の情報漏洩対策を豊富な機能でサポートする「SKYSEA Client View」をぜひお役立てください。
