<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=220807558931713&amp;ev=PageView&amp;noscript=1">

情報漏えいの原因と対策方法のまとめ

 2021.06.24  ラクまるブログ編集部

情報漏えいによってもたらされる被害は大きく、近年は多くの企業がセキュリティを向上させるための内部対策に追われています。
しかし、情報漏えいを防ぐためのセキュリティ対策は一つではなく、情報漏えいの原因を理解したうえで適切な手段を選択しなければなりません。ここでは情報漏えいの原因について解説し、それを踏まえた具体的な対策を紹介します。
過去に起きた情報漏えいの事例も紹介しながら、企業の内部対策を進める際の参考にしてください。

原因の割合|情報漏えいは7割が人的要因で起こる

情報漏えいには複数のリスクが内包されていて、企業に大きな損失を与えるきっかけになります。
情報漏えいが起こると、関係者に損害賠償を支払わなければなりません。

JNSA(日本ネットワークセキュリティ協会)が行った「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の想定損害賠償総額は2,684億5,743万円。
一件当たりの平均想定損害賠償額は6億3,767万円であり、企業によっては対応しきれないところもあるでしょう。

情報漏えいは顧客や取引先からの信用失墜にもつながり、業績に与えるマイナスインパクトも計りしれません。
「情報漏えいを起こした」という事実は消せないので、長期的な機会損失を招くリスクもあります。

「情報漏えいの原因の約7割は人的要因」というデータがあります。
サイバー攻撃によって外部から情報を抜き取られるケースよりも、内部的な要因によって情報漏えいが起こるケースのほうが圧倒的に多いのです。
具体的には「紛失・置き忘れ」「誤操作」「管理ミス」などがあり、割合をランキングにすると以下のようになります。
※出典:2018年 情報セキュリティインシデントに関する調査報告書【速報版】

1位:紛失・置き忘れ
情報漏えいの原因で最も多いのは、社員によるUSBメモリ・パソコンの紛失・置き忘れです。
外出先の店舗や電車などに起き忘れるケースが多く、個人単位の管理ミスといえます。

2位:誤操作
個人情報などを記載したデータを誤って取引先に送る、BCCに入れるべきメールをToやCCに入れるといった誤操作も情報漏えいの原因になります。

3位:不正アクセス
フィッシングサイトに情報を入力する、メールに添付されたマルウェアを開いてしまうといった人的要因による不正アクセスも情報漏えいにつながります。
社員のセキュリティ意識が低いことが、不正アクセスを引き起こすといえるでしょう。

4位:管理ミス
例えば、アクセス権限の付与を間違えて、誰でもネット上で重要情報を閲覧できるようにしてしまうといったケースです。
アナログの環境でも、重要資料を誤って破棄するといったミスは管理ミスといえるでしょう。

5位:盗難
盗難も、情報漏えいの原因になります。
情報の管理体制が整っていないと、発見が遅れてさらに被害が大きくなる恐れがあります。

ランキングを見ると、内部の人的要因が情報漏えいにつながりやすいことがわかります。
情報漏えいを未然に防ぐには、原因を把握したうえで具体的な対策を講じる必要があります。

情報漏えいの事例から学ぶ対策

具体的な情報漏えい対策を考える際は、過去の事例を参考にするとよいでしょう。
2014年、教育サービスで有名なベネッセコーポレーションは、約2,900万件の個人情報を漏えいしてしまいました。

ベネッセのシステム保守を担当していた派遣社員が、顧客情報のあるデータベースに不正にアクセスし、売却目的で情報を持ち出していたのです。
ベネッセは、ISMS(情報セキュリティマネジメントシステム)を取得しているグループ会社によるシステム運用、社員全員への教育、組織ごとの個人情報責任者設置、定期的な外部監査などのセキュリティ対策を行ってきました。

それでも情報漏えいは起きてしまい、結果的に図書カードや電子マネーギフトを使ったお詫びや受講費の減額などを行うために200億円の原資が用意され、260億円の特別損失を計上しました。

この事例からは、どれだけ強固なセキュリティシステムを用意しても、人為的要因がインシデントとなって情報漏えいが発生する可能性があることがわかります。

ベネッセは情報漏えいが発覚した際、以下のような対応を取っています。

  • 使用していた顧客情報データベースの稼働を停止する
  • 利用者からの問い合わせ窓口を設置
  • 新規顧客向けの販売促進活動、イベント関係の停止
  • 情報漏えいの被害が確定した会員への連絡
  • 外部有識者による事故調査委員会の設置

また、原因の究明とともに、再発防止策として以下の対策を取ると発表しました。

  • 個人情報を取り扱うデータベースへのアクセスの監視強化
  • 外部への持ち出しの制限強化
  • 情報セキュリティ専門会社によるシステム運営プロセスの監査

その後もベネッセは再発防止に向けて、全社員(アルバイト含む)に情報セキュリティに関するWeb講習を義務付けています。

また、情報セキュリティマネジメントシステムの国際認証規格「ISO 27001」を取得し、継続的に高度なセキュリティ対策を行っています。

情報漏えいが起こると、企業は被害者になると同時に加害者にもなってしまうのです。
情報漏えいを防ぐために内部対策を行って、加害者になることを回避しなければなりません。

情報漏えい防止に向けた具体的な内部対策

情報漏えいの主な原因である人的なミスを防ぐためには、以下の4つのポイントを踏まえた対策を練ることが重要です。

1つ目は、ミスを防ぐためのシステム構築・ルール作りです。
例えば、メールを送る際に添付ファイルや送信先を間違えると、情報漏えいにつながります。
人的ミスをゼロにすることはできませんが、ミスが発生しにくい環境を作ることで情報漏えいの可能性を低下させることが重要です。

具体的には、以下のような対策が考えられます。

  • メールやFAXに個人情報などを記載しないことを規定する
  • CC、BCCの確認を義務化
  • メールの誤送信を検知するシステムの導入
  • ファイル共有の代わりにクラウドストレージを導入

2つ目は、情報の持ち出しに関する管理体制の構築です。
企業の情報を外に持ち出さないのが理想ですが、リモートワークなど社外で働くことが増えている昨今では、情報の持ち出しを禁止すると業務効率が低下する恐れがあります。
そのため、持ち出しを禁止にするのではなく、情報漏えいの原因となり得る要素を排除することを考えます。

例えば情報の持ち出しに関しては、以下のような対策が取れます。

  • 持ち出した情報の利用目的を明記する
  • 上司への報告を義務化するなど、勝手に持ち出せないルールを作る
  • 記憶デバイスを暗号化する
  • 紛失時に遠隔操作でロックをかけられるシステムを導入する
  • 共有ファイルはクラウドサービスを使って安全に管理する

3つ目は、社員のセキュリティ意識を向上させる対策です。
情報漏えい防止のためのシステムを導入しても、使用するユーザーがその重要性を理解していないと、内部リスクを抑えることはできません。

例えば以下のような対策によって、社員全員に情報漏えいの防止を意識させるとよいでしょう。

  • 定期的にセキュリティに関する勉強会を開く
  • 社内におけるセキュリティポリシーの明確化
  • セキュリティの専門家やコンサルタントによる社員研修の実施
  • 社内にコンプライアンス部門を設置する

4つ目は、専門業者によるセキュリティシステムの導入サポートです。
企業における情報漏えい対策は複雑になりやすく、最初から適切なセキュリティ環境を構築するのは難しいかもしれません。
そのため、特定のプロダクトに特化した事業者と連携して、情報漏えいを防ぐための環境をスムーズに構築することをおすすめします。

Google Workspace 事例
Google Workspace

セキュリティを意識したグループウェア Google Workspace

さて、ここまで情報漏えいの原因と事例、その対策方法についてご紹介してきましたが、私たちDSKがこれからの時代、業務を遂行する為にお勧めしたいツールがございます。

それはGoogle Workspaceです。Google Workspace はGoogle が誇るセキュリティ対策が施されたグループウェアで、多くの人的な情報漏えいリスクを回避する仕組みが整っています。

特に昨今、感染症防止対策によるテレワークの促進により、従業員の働く環境が大きく変化致しました。情報処理推進機構の「企業における営業秘密管理に関する実態調査2020」報告書によりますと、60%以上の企業がテレワークによって情報漏えいリスクが高まったと感じていると報告されており、ログ分析や多要素認証、ゼロトラストモデルなどテレワークでのセキュリティ意識が高まっています。

Google Workspace はゼロトラストモデルを採用しており、テレワークにおけるセキュリティ環境を簡単に構築する事ができます。社内コミュニケーションやファイル共有も容易で、仕事の生産性も向上するでしょう。

ただし、企業規模によっては、既存システムとの連携や定着化に労力を割く事になる場合もあり、こうした際はGoogle Workspace の導入支援サービスをご検討頂くのも良いでしょう。

弊社DSKでは、Google Workspace の導入支援サービスを実施しており、無料のご相談から受け付けております。是非、お気軽にお声かけください。

まとめ

情報漏えいの主な原因である内部要因への対策は、今後多くの企業で課題となることが予想されます。
人的要因によって発生する情報漏えいのリスクを正しく把握し、必要な対策を行っているかどうかが、企業の評価基準の一つになるでしょう。

スムーズに情報漏えい対策を行うには、Google Workspaceのようなセキュリティ性能が高いグループウェアを導入するのがおすすめです。
DSKによる導入サポートを受けることで、より充実したセキュリティ環境を構築できるので、利用を検討してはいかがでしょうか。

CTA

RELATED POST関連記事


RECENT POST「Google Workspace」の最新記事


Google Workspace

Google Workspace(旧 G Suite)のセキュリティ対策

Google Workspace

情報漏えいをどう防ぐ?ファイル共有のセキュリティ

Google Workspace

テレワークに必要なセキュリティ対策とは

Google Workspace

情報漏えいを防止する為の対策!企業が行うべき8つのこと

情報漏えいの原因と対策方法のまとめ