企業が取り扱う情報量や種類が増えている近年、情報漏えいの問題が大きく取り上げられるようになりました。セキュリティの意識不足による情報漏えいには大きなリスクがあり、取り返しのつかない莫大な損失が発生する可能性もあるでしょう。
今回は、それぞれの企業ができる情報漏えい防止対策を紹介します。社内のセキュリティに問題があり、情報漏えい対策を講じたい場合は、ぜひ参考にしてください。
情報漏えいによって起こる企業の損失とは
企業において情報漏えいの可能性がある情報は、「顧客の個人情報」や「商品や技術のデータ」などが該当します。これらの情報が漏えいすると、企業はさまざまな損失を被ることになります。
例えば顧客の個人情報が流出すると、「損害賠償」による損失が発生します。JNSA(日本ネットワークセキュリティ協会)が2018年に行った調査によると、情報漏えいによって発生した損害賠償額は以下のとおりです。
一件当たりの平均想定損害賠償額 | 6億3,767万円 |
一人当たりの平均想定損害賠償額 | 2万9,768円 |
情報漏えいが発生すると、通常の業務を止めて対応しなければならないため、営業機会の損失にもつながります。
商品や技術のデータはライバル企業の手に渡るリスクもあり、獲得できたはずの利益や市場を失ってしまう事もあるでしょう。
また、情報漏えいは企業の信用失墜の原因にもなり、売り上げの減少、最悪の場合、取引停止に至る事もあるでしょう。
さらに一度情報漏えいが起きてしまえば、その後も「情報管理ができていない企業」というイメージを払拭することは難しく、信用の回復には長い時間がかかってしまいます。
つまり、情報漏えいには損害賠償や市場損失といった金銭的な損失だけではなく、企業としての信用を失うリスクも存在しているのです。こうしたリスクは、場合によっては会社の存続も危ぶまれる物になるでしょう。
情報漏えいはニュースなどで報道されないものも多く、実は一般の人の認識をはるかに超える件数が発生しています。
再びJNSA(日本ネットワークセキュリティ協会)の調査を見ると、情報漏えいの件数は一年間で443件(2018年)発生しているとされています。
前年(2017年)の386件から10%以上増えており、情報漏えいは珍しい事件ではなくなっているのです。
特に個人情報を取り扱う業種で情報漏えいが発生しやすく、発生件数は公務>教育・学習支援>情報通信>卸売・小売業の順で多くなっています。
近年高まっているDX(デジタルトランスフォーメーション)への意識やECサイトの増加などによって個人情報を取り扱う機会が増えたため、情報通信業や卸売・小売業でも情報漏えいのリスクが高まっています。
これまで情報漏えいとは無縁だった企業でも、今後さらに事業のIT化が進めば、セキュリティ対策が必須になるでしょう。
情報漏えいが発生する原因
情報漏えいの原因は次の二種類に分かれます。
- 外部攻撃
- 人為的なミス
外部攻撃とは、マルウェアやSQLインジェクションといった、企業システムやサーバの脆弱性を突いて情報を抜き取ろうとする攻撃です。「不正アクセス」はこちらに該当します。これらは企業のセキュリティをどの程度まで強化しているかによって、発生の確率が左右されます。
一方、人為的なミスとは、情報端末の置き忘れや紛失、盗難、盗み見、メール誤送信など、従業員の行動によって発生するリスクを示します。JNSAによると、情報漏えいの多くはこうした人的なミスが原因で発生しているという調査結果を得ており、逆に従業員の人為的なミスを防止できれば、情報漏えいの多くは未然に防止できる可能性が高いと考えられます。
そこでまずは、人為的なミスを防止する為に、どのような対策を講じるべきか考えていきましょう。
人為的ミスの情報漏えいを防止する対策
情報漏えいを防止するために企業がとれる対策としては、セキュリティ意識の向上や人為的ミスを排除するシステム・ルール作りなどが考えられます。
ちょっとした備えが情報漏えいを防止し、上記のリスクの回避につながることがあります。
そこで、情報漏えいの防止につながる対策を8つ紹介します。
それぞれの詳細を確認し、自社での実施を検討してください。
対策①:情報の安易な放置はしない
重要な情報を誰でも見ることができるような状態で放置しないことは、情報漏えいを防止するうえで基本的な対策といえるでしょう。
簡単に情報を確認できる状態でパソコンを放置したり、重要書類を机の上に置いたままにしたりすることは、情報漏えいのリスクが高い行為です。
最近はスマホでの撮影や記憶デバイスへの転送などで簡単に情報を持ち出すことができるので、安易な放置に対しては、徹底的な対策を講じる必要があります。
具体的な対策としては、以下のようなものがあります。
- パソコンはロックしてパスワードをかける
- 離席時は鍵がかかる場所で書類を保管する
- 重要情報は暗号化する
普段の業務から情報の取り扱い方法を見直し、情報漏えいの防止に努めるのがおすすめです。
対策②:情報の持ち出しをさせない
情報の持ち出しをさせないルールを作ることで、業務外での情報漏えいを防ぐことができます。
近年は通常業務とリモートワークが並行して行われることも多いため、ルールを徹底させないと、従業員が情報を社外に持ち出す機会が増えるでしょう。
重要情報は社内で管理するというルールを周知し、情報を簡単に持ち出せない環境を作ることで情報漏えいを防止できます。
情報の持ち出しをさせないためには、以下のような方法が考えられます。
- USBなどデータの持ち出しが可能な機器はPCに接続させない
- 会社で許可していないオンラインストレージを使って情報の送受信をしない
- データをメールなどに添付することを禁止する
デジタルデータだけでなく、紙などのアナログデータも持ち出し・コピーを禁止するルールを作り、情報漏えい防止を徹底しましょう。
どうしても社外への持ち出しが必要になった場合は、上司などの許可を得てから持ち出すといったルールを設けるとよいでしょう。
対策③:漏洩対策なしで情報を廃棄しない
使わなくなった情報を廃棄する際は、漏えい対策を行ってデータを盗まれないようにすることも大切です。
例えば、紙の書類や内部にデータが入った機器をそのまま捨てると、誰かに拾われて悪用される恐れがあります。
不要なデータは安易に廃棄するのではなく、きちんと削除したうえで処分するようにしましょう。
情報の廃棄方法には、以下のようなものがあります。
- 保存データを削除してフォーマットする
- パソコンやUSBメモリなどの機器は物理的に破壊する
- 紙の書類はシュレッダーや溶解によって復元できないようにして処分する
「第三者が情報を取り出せる状態にしない」ことが、情報漏えいを防ぐ処分方法の基本です。
対策④:私物など不要な持ち込みをさせない
外部への持ち出しだけでなく、業務に必要のないものを持ち込ませないことも情報漏えい防止対策といえます。
社員が持ち込んだ機器がウイルスに感染していた場合、会社の機器に接続することで情報が流出する原因になります。
持ち込んだ私物に情報を保存して持ち出すこともできるため、会社のセキュリティの低下にもつながります。
私物の持ち込みを防ぐ対策としては、以下のようなものがあります。
- 私物のパソコンやUSBなどの機器を持ち込まないルールを作る
- 私的に使っているソフトを会社のデバイスにインストールさせない
- 私物のパソコンを会社のネットワークに接続させない
ルールを作ることで、私物の持ち込みによる情報漏えいを防ぐことができます。
ただし、業務上どうしても私物の持ち込みが必要になることを考慮して、管理者に届け出ることで一時的な持ち込みを許可するといった特例も必要になるでしょう。
対策⑤:権限の貸し借りをさせない
特定の社員が持つ権限を貸し借りさせないようにすることも、情報漏えい防止対策に含まれます。
ここでいう権限は、社員証やパソコンのログインID・パスワードなどが該当します。
これらを貸し借りすることが当たり前になっていると、セキュリティ上まったく意味のないものになります。
以下のような対策によって、情報漏えいを未然に防ぐよう努めましょう。
- IDやパスワードを個人で管理することを徹底する
- 一時的であっても権限を貸与することを禁止する
- IDやパスワードを第三者の目に見えるところに置かない(メモなどを机に貼らない)
他人のパスワードを勝手に使用することは、不正アクセス禁止法に違反する行為です。
権限の貸し借りは大きな問題につながるという認識を、職場に周知させることが大切です。
対策⑥:情報の公言禁止
社員が業務上知り得た情報を公言しないように、守秘義務を課すことも情報漏えいの防止に効果があります。
守秘義務の対象となる情報は業種によって異なり、医療関係であれば患者の個人情報、教育関係なら職員や生徒の個人情報、派遣関係であれば出向先の情報などが該当します。
これらの情報を公言しないことを約束させ、社員の情報漏えいに対する意識を高めましょう。
具体的には、以下のような行為を禁止することが考えられます。
- 会社に関係のない人がいる公共の場で情報を話さない
- 個人のSNSで会社の情報を書き込まない
近年はSNSに会社の情報を書き込んだことが問題になるケースが増えているので、社員に守秘義務を課してからセキュリティ意識を高めるほうがよいでしょう。
対策⑦:管理者への報告
万が一情報漏えいが発生したときのことを考えて、速やかに管理者に報告できるシステムを構築することも必要です。
情報漏えいが起きてもすぐに対処すれば、被害を最小限に抑えることができます。
逆に初動の対応が遅れると被害は拡大し、顧客や取引先、株主といった関係者に迷惑がかかります。
情報漏えいが発生した場合のマニュアルを事前に作成し、社員に求める対応を決めておくことよいでしょう。
対策⑧:システムの強化
上記で紹介した情報漏えい防止対策だけでは、人為的なミスを完全になくすことはできません。
ヒューマンエラーをさらに軽減するには、情報漏えいを防ぐためのシステムの強化が必要です。
情報漏えいを防止するためのシステムの強化で重要なのが、以下の3つの要素です。
- 機密性(Confidentialy)
- 完全性(Integrity)
- 可用性(Availability)
機密性を高めるためには、特定の人にだけ情報にアクセスする権限を付与し、情報を取得できる人を絞ります。
情報漏えいの可能性を低くすると同時に、万が一流出した場合に原因を特定しやすくなります。
完全性は、情報が改ざんされることなく保存・管理できる環境を作ることで実現します。
情報資産にアクセス履歴を残す、デジタル著名を活用して情報の正しさを客観的に証明するといった方法が考えられます。
可用性は、情報へのアクセス権限を持つ人が、いつでも安全にその権利を利用できる状態にすることで確保されます。
ネットワークの増強やシステムの二重化、災害時の電源確保などによって耐障害性を向上することで、情報漏えい発生時の対処方法を確立します。
これら3つの要素(CIA)を意識して、自社のセキュリティ強化を進めることをおすすめします。
外部攻撃による情報漏えいの対策
前述の通り、情報漏えいの多くは人為的ミスによって発生しますが、会員のクレジットカードの情報や銀行口座情報など、外部攻撃による情報漏えいは重篤なケースが多く見受けられます。
こうした攻撃に対しては、VPNの活用やWAFの導入、暗号化やアクセス制限といったセキュリティ対策を行って、悪意のある攻撃からシステムやデータを守ることが必要です。
尚、昨今の感染症対策によるテレワークの普及により、従業員の働く環境は大きく変化し、それぞれ別々の環境下でも有効なセキュリティ対策を行う事も求められてきています。
例えばそのセキュリティ対策の一つとして「ゼロトラスト」というモデルがありますが、これはネットワーク上のどこで何が起こるかがわからない、絶対的なセキュリティはないという考えを基にしており、Googleでも導入しているセキュリティの考え方です。
ゼロトラストモデルを採用したGoogle Workspace
Googleはこうしたテレワーク下でもセキュアな仕事環境を提供すべく、Google Workspace というグループウェアを提供しています。SSOや二段階認証を採用し、情報へのアクセスはアクセス権で制御する事ができます。
さらに、万が一不正アクセスが発生したとしても、前述の通り、アクセス出来る情報が制限されている為、企業にとってクリティカルな影響に至らず、最小限の被害ですますことができます。
弊社DSKでは、リモートワークの普及を背景とした職場環境を考えた場合、ゼロトラストモデルを採用したGoogle Workspace のご導入を強くお勧めしています。
働く従業員の環境も様々で、どこに漏えいのリスクが潜んでいるか分からない以上、常にリスクが発生しうるとしたゼロトラストを前提に、職場環境を整えるべきだと考えるからです。
導入は比較的容易ですが、企業規模によっては、既存システムとの連携や運用を軌道に乗せる為に少しハードルがある場合もございます。
そうした企業様の為に、弊社DSKではGoogle Workspace の導入支援を行っております。セキュリティ面を含めた、導入相談を無料で承っておりますので、お気軽にご相談ください。
まとめ
情報漏えいは、企業に甚大な損害を与える可能性があります。普段から適切な対策を行って、情報漏えいの可能性を下げることが大切ですが、職場環境は大きく変動しており、時代にあったセキュリティ対策方法が求められるでしょう。
弊社DSKでは、「ゼロトラストモデル」を採用したGoogle Workspace の活用をお勧めしています。資料もご用意致しておりますので、まずはお手元にご査収くださいませ。
- カテゴリ:
- Google Workspace
- キーワード:
- Google Workspace