1. 情報漏洩が起こる原因
情報漏洩が起こる原因として、マルウェアや不正アクセスなどの外部攻撃に目が行きがちですが、紛失や管理ミスなどの人的要因も考えられます。
様々なリスクを想定し、すべてのリスクが自社にも起こりうることを肝に銘じておきましょう。
● PC・タブレットの紛失
● 情報の持ち出し
● 誤送信や管理ミス
● 不正アクセスやウィルス感染
2. PC・タブレット等の紛失
まず考えられる原因は、PC・タブレット等の紛失です。
普段から気をつけているのに、ふとした気の緩みや不注意から紛失や盗難が起きてしまうことがあります。
特にリモートワークなどでカフェを利用する場合、第三者から情報を盗まれ悪用されるケースがあるため注意が必要です。
3. 情報の持ち出し
次に考えられるのは、情報の持ち出しです。今では、電子メールの添付ファイルやUSBメモリなど、誰でも簡単に情報を持ち出すことが可能です。
「この情報なら大丈夫だろう」「後で報告すればいいと思った」と勝手な判断で情報を持ち出してしまい、後で取り返しのつかない事態を招くこともあります。
また紙媒体の持ち出しも漏洩のリスクを高めます。IDやパスワードが書かれた紙を持ち出して第三者に盗まれてしまった場合、簡単に侵入を許し情報・データの改ざんの恐れもあります。
4. 誤送信や管理ミス
メールなどの誤送信も情報漏洩の原因のひとつです。送信先や「TO・CC・BCC」などの送信設定を誤り、社内のメンバーや顧客だけに送ったつもりが、無関係な宛先を含めて送信してしまうケースがあります。
メールのやり取りは日常的に行われる業務です。手間なく機械的に送れてしまうため、誤送信に気づかないこともあります。また間違ったファイルを添付してしまうケースもあるので、メールを送る際は細心の注意を払うようにしましょう。
5. 不正アクセスやウィルス感染
最後は、不正アクセスやマルウェアなどのウィルス感染による情報漏洩です。IT技術の進歩に伴い、マルウェアなどのサイバー攻撃の手口も巧妙化しており、感染経路もメールからアプリまで多岐にわたります。
マルウェアに感染すると、PC・タブレット等がロックされ操作できなくなり、個人情報の流出・データの改ざんなどの二次被害の恐れも想定されます。こういったリスクに備えるためにも徹底した情報管理・情報漏洩対策を講じる必要があるのです。
6. 情報漏洩に関する3つの被害事例
ここでは実際に起きた情報漏洩による被害事例を紹介します。
情報漏洩は実際にあちこちで起きていて、他人事ではありません。
これら事例を参考に今後の対策にお役立てください。
6-1. 事例①メールの誤送信
2021年8月26日、厚労省が実施するキャリアコンサルタント向け研修事業において、受託企業による不適切な管理と誤送信が発生し、受講生1,106名の氏名や連絡先が含まれた名簿データが流出しました。
委託事業の仕様書に定められた方法とは別のやり方で名簿を管理していたこと、メール送信時の確認が不十分であったことが原因です。
6-2. 事例②ハードディスクの紛失
2022年1月12日、北海道株式会社が保管していたハードディスク1台が紛失しました。使用ログ記録や社内調査から発覚し、内部には個人情報関連データ3万1,463件に流出の可能性があると公表しています。
誤って廃棄された可能性が高いと見解を示しましたが、完全に消去された記録が確認できず、管理の甘さが浮き彫りとなりました。
6-3. 事例③不正アクセス
2020年12月7日、PayPay株式会社が提供する決済サービス「PayPay(ペイペイ)」において第三者による不正アクセスが行われ、加盟店など約260万店舗の営業情報などが流出した可能性があると公表しました。
原因はサーバー更新時のアクセス権限に関わるセキュリティ設定ミスによるものです。
サーバー更新時に一時的に外部からのアクセスを許可した際に、設定を戻さなかったことにより、外部からのアクセスを受けたとしています。
◾️参考URL
7. 情報漏洩の事前対策
まず起こりうるリスクを想定して、セキュリティ対策を事前に準備する必要があります。
事前にできる対策として下記の実施を検証しましょう。
1. 社内のガイドラインやルールを定める
2. セキュリティ教育を実施する
3. メール誤送信システムを利用する
4. セキュリティ対策ツールの導入する
8. 社内のガイドラインやルールを定める
情報や端末を持ち出す際の社内ルールを定め、社員一人ひとりが遵守する必要があります。
人的要因で起こりうる情報漏洩のパターンを想定し、ルールを定めるようにしましょう。
代表的なルールは以下の通りです。
● 会社の情報・データを無断で持ち出さない
● IDやパスワードを第三者に教えてはいけない
● 私有のパソコンで社内ネットワークに繋いではいけない
● SNSに業務に関することを書き込まない
● 業務用のパソコンを業務以外の目的で使用しない
また、PC持ち出しの許可が降りた場合でも細心の注意と管理を怠らないようにしましょう。
9. セキュリティ教育を実施する
ルールを設けるだけではなく、研修や啓蒙活動などセキュリティ教育の場を設け、社員のセキュリティ意識・知識を高めるようにしましょう。
知識不足が故に情報セキュリティ対策の重要度をわかっていない社員もいる可能性があります。
セキュリティを強化したり、ルールを定めても最終的に情報を扱うのは人です。従業員のセキュリティ教育を行い、従業員の情報セキュリティの意識やリテラシーを向上させることがセキュリティ対策において優先事項と言えるでしょう。
10. メール誤送信防止ツールを利用する
前半で述べたように、情報漏洩の原因でよく挙げられるのが「メールの誤送信」です。
メール誤送信防止ツールは、メールの送付先や添付ファイルの間違いなどメールの誤送信を未然に防ぐツールです。
具体的な仕組みとして「送信前に確認画面を表示」「第三者による承認後に送信」「自動BCC変換機能」などがあります。
メールでのやり取りは日常的に行われ、普段から気をつけていても誤送信は起こってしまいます。
効率よく安全にメールを運用したい方は、ぜひメール誤送信防止ツールの導入を検討してみましょう。
11. セキュリティ対策ツールを導入する
従業員が安心してインターネットを利用するためにも、セキュリティ対策ツールの導入は必須です。
セキュリティ対策ツールは、外部から侵入を防ぎ情報セキュリティを強化してくれます。
自社の規模や状況にあわせて適切なセキュリティ対策ツールを導入するようにしましょう。
また近年「働き方改革」の影響でリモートワークを導入する企業が増えてきています。社内のサーバーやネットワークのセキュリティだけではなく、リモートワーク側のPC・タブレットなどの端末(エンドポイント)のセキュリティも対策する必要があります。
弊社が提供する「EXOセキュリティ」は、エンドポイントセキュリティに特化した対策ツールを提供しています。新種のマルウェアの検知機能や悪性サイトへのアクセス遮断機能を備えており、リモートワーク時の様々なセキュリティの脅威に対応することができます。
運用も簡単で今なら無料でお試しができます。リモートワークのセキュリティ対策を検討している方はぜひお試しください。
⇨法人向け総合エンドポイントセキュリティ「EXOセキュリティ」
12. 情報漏洩の事後対策
十分な対策を行っていたとしても、情報漏洩のリスクは完全には拭いきれません。
ここでは、もし情報漏洩が起きてしまった場合の対処法とリスク回避について、下記フローに沿ってご紹介します。
1. 情報漏洩が発覚次第すぐに報告
2. 情報の隔離・ネットワークの遮断・サービスの停止
3. 対策チームの設置、現状の把握(どのレベルの情報が紛失したか)
4. 顧客のへの報告・公表
5. 再発防止策の決定
13. 情報漏洩の発覚・報告
情報漏洩が発覚した場合、すぐに上司に報告するようにしましょう。情報レベルを勝手に判断し、自力で対処しようとは決して思わないでください。
情報漏洩の出処、流失したであろう情報を整理した上で上司に報告相談し、指示を仰ぐようにしましょう。
14. 現状の把握
対策チーム等を設置し、被害の拡大や二次災害を防ぐために今後の方針を決めます。
そこでまずは原因究明問題解決に努めます。
どのレベルの情報が流出したか、5W1Hを用いることで調査を円滑に進めることができます。
● いつ情報が流出したか(when)
● どこで情報が流出したか(where)
● 誰が情報を保有していたか(who)
● どんな情報が流出したか(what)
● どのようにして情報が流出したのか(how)
● どうして情報が流出したのか(why)
15. 情報の隔離・ネットワークの遮断・サービスの停止
二次被害を防ぐために、必要に応じて情報の隔離・ネットワークの遮断を行います。
情報漏洩で1番恐いのは、第三者に悪用されデータが改ざん・拡散がされることです。
被害をこれ以上広げないためにも隔離・遮断を行い、被害を最小限に抑えるようにします。
16. 顧客のへの報告・公表
被害状況の事実確認が取れたら、漏洩した情報の個人や取引先企業に速やかに報告・謝罪・注意喚起をします。
大規模な情報漏洩ですべての関係者に個別での報告・通知が難しい場合、警察や監督官庁などへの報告、ホームページ・マスコミなどへの公表の要否を検討する必要もあります。
情報漏洩を公表する際は、5W1H等でまとめた情報を参考にして、事故の原因や影響、今後の対応や再発防止、責任の所在などを明らかにし、復旧と改善に努めます。
情報漏洩の発覚から公表に至るまでの流れをいかにスピーディーに行えるか、つまり「初動対応」の速さが被害を最小限に抑えるうえで肝になっていきます。万が一情報漏洩が発覚した場合の対応や方針を事前に決めてシュミレーションしておくと良いでしょう。
17. 再発防止策の決定
発生した事件・事故が二度と起こらないようにするために、情報漏洩対策の見直し・改善等を講じ、再発防止に努めます。
情報漏洩が起きた原因や過程を再度確認し、必要であればシステムのアップデート・セキュリティの強化・管理体制やルールの見直しを検討します。
まとめ
今回の記事では、情報漏洩が起こる原因やパターン、その対策方法についてご紹介しました。
情報技術の発展で、私たちは多くの情報を自由に扱えるようになりました。
情報が自由に扱える分、情報漏洩のリスクは必ず存在します。
不正アクセスなどの外部要因ないし紛失・管理不足などの人的要因など、情報の流出経路は多岐にわたります。
たった一回の情報漏洩で企業イメージのダウン、最悪の場合倒産につながる可能性もあるのです。
会社だけはなく、社員一人ひとりが情報セキュリティに向き合い、責任をもって業務に取り組む必要があります。
これを機に、今一度情報セキュリティ対策を見直してみてはいかがでしょうか。
