情報化社会が進歩するにつれ、デジタル情報として保持される個人情報の漏えいが大きな問題になっています。ビジネスの場面で情報漏えいが発生すれば、たとえ悪意のないミスによるものであっても企業の存続をゆるがす大問題になりかねません。今回は情報漏えいが起きる原因や、漏えい防止に有効な対策ソフトの選び方について解説します。
情報漏えいはなぜ起こる?
情報漏えいが起きる原因としては「外部からの攻撃」「作業ミス」「内部不正」などが考えられます。これらの要因からどのような経緯で情報漏えいが起きるのか詳しく見ていきましょう。
人的ミスによる発生
JNSA(日本ネットワークセキュリティ協会)が公表している「2018年情報セキュリティインシデントに関する調査報告書」によると、2018年に起きた情報漏えいの各件について分析したところ、最も多い漏えい原因は「紛失・置き忘れ」で全体の26.2%、次が「誤操作」で24.6%となっています。また、「管理ミス」が12.2%、「設定ミス」が3.6%あり、これらの「人的ミス」による発生は、実に情報漏えい全体の6割以上を占めています。
具体的には社用PCやUSBメモリなど重要情報の入ったデバイスを紛失してしまったり、置き忘れしてしまったりするミスや、メールの誤送信、添付ミスなどがこれに当たります。
ミス自体は悪意のないものであっても、紛失した端末が悪意のある人物の手に渡ると、情報が悪用され大きな問題に発展する可能性があります。
内部不正による発生
情報漏えいの見過ごせない要因の一つに「内部不正」があります。内部不正の事例としては「アクセス権限の悪用」や「退職時の情報持ち出し」などが挙げられます。
顧客情報の持ち出しや、開発中の新製品の情報持ち出しはしばしば事件としてニュースにもなります。内部不正の場合は、情報を利用することを目的にして意図的に持ち出しているため、データが悪用されて企業に損害をもたらす危険性も高く、注意が必要です。
外部からの攻撃による発生
組織内部の要因による漏えいのほか、悪意のある第三者による「不正アクセス」や「マルウェア(不正・悪質なソフトウェア)」による攻撃、「PCなどのウイルス感染」による漏えいなど、外部からの攻撃に起因する情報漏えいもあります。
さらに、PCについては十分なセキュリティ対策が施されていても、スマートフォンや各種IoT機器などについては対策が不十分であることも多く、そうしたセキュリティの弱い部分を狙って不正アクセスが行われる事例も増えつつあります。
外部からの攻撃は本質的に悪意を持って行われるものであり、被害が深刻になる傾向があるため、特に十分な対策を行う必要があると言えるでしょう。
情報漏えい対策は何をすればよい?
では、情報漏えいを防ぐためには、どのような対策を行えばよいのでしょうか。ここでは情報漏えいを防ぐ有効な対策について紹介します。
情報を社外に持ち出さないようにする
情報漏えいの4分の1以上は「紛失・置き忘れ」が原因で発生しています。ということは、重要な情報が保存されているPCやスマートフォン、USBメモリなど外部記憶装置を社外に持ち出さず、また、個人所有のデバイスや私用ソフトウェアなどを社内に持ち込まない、ID・パスワードの貸し借りをしないなどの施策が有効であると言えます。
もちろん、これらの端末を不特定多数が出入りする場所に放置したり、不要端末を未対策で廃棄したりすることも厳禁です。退職者による情報持ち出しと悪用を防ぐための管理や監視を行うことも重要です。
ウイルス対策ソフトのインストール・ウイルス対策サービスの利用
現代のシステム運用では、外部からの攻撃を防ぐためにウイルス対策ソフトウェアやアプリケーションをインストールして、定期的にアップデートを行い最新の状態にしておくことが欠かせません。スマートフォンやタブレットを業務に利用する場合は、これらの端末についても対策を万全にしておく必要があります。
参照: JNSA(日本ネットワークセキュリティ協会)「2018年情報セキュリティインシデントに関する調査結果」
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
参照:IPA(情報処理推進機構)「情報漏えい対策のしおり」
(https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf)
情報漏えい対策のソフトやサービスの種類
では、情報漏えい対策ソフトを導入する場合には、どのようなサービスを選べばよいのでしょうか。
まずは、特に被害が大きくなりやすい「外部からの攻撃」を防ぐ性能が重要です。コンピューターウイルス感染が発端になることも多いためウイルスに強いことも大切ですし、業務上の作業を快適に行えることもポイントです。
現代ではUSBメモリなどの紛失を防いだり、社外からでも安全なアクセスを確保したりする目的でクラウド型サービスの利用が増えています。クラウド型サービスはインターネット上での利用が前提になっているため、セキュリティ対策や情報漏えい対策が入念に行われており、ビジネスの場面でもクラウドの利用が主流になりつつあります。
情報漏えい対策に Google Workspace を活用
「Google Workspace(旧 G Suite)」は、Google が提供するビジネス向けクラウドサービスで、Gmail や Googleカレンダー、ドライブ、ドキュメント、スプレッドシート、Googleフォームなどおなじみのオフィス機能がまとめられたグループウェアです。Google Workspace にはメールサーバーの機能も含まれており、自社ドメインのメールアドレスで Gmail を利用できます。
また、Google Workspace では個人向けの Google サービスに比べセキュリティ機能が強化されており、社内の管理者が情報の共有範囲を制御する機能もあります。
また、Google Workspace ではログイン端末の限定や、メール誤送信を防ぐ仕組みを設定することなどもできます。これらの設定を行う Google Workspace の管理者はITの専門家である必要はなく、専用の管理画面から操作を行えます。Google Workspace はクラウド型のサービスであるため、常に最新の状態で提供されており、アップデートの必要もありません。
このように、Google Workspace ではクラウド型の統合ワークスペースを、使い慣れたツールで利用できるので比較的スムーズに移行しやすいのも魅力です。
ログインを許可する場所・端末を限定
DSKでは Google Workspace の導入サポートの一環として、セキュリティ機能を強化する「CloudGate」や「Active!gateSS」のシステム組み込みを追加オプションで用意しています。
このうち、「CloudGate」は Google Workspace にログインする場所やログイン端末を特定のものに指定するなど、企業独自のITポリシーを Google Workspace に適用するためのセキュリティサービスです。
社外からのアクセス制限機能、添付ファイルのダウンロードを制限してデータが端末に保存されないようにする機能、リモートでデバイスのデータをリセットする機能などが利用できます。
うっかりミスによる情報漏えいを防止
もう一つの「Active!gateSS」は Google Workspace に連携できるクラウド型のメール誤送信防止システムです。
メールを送信する際の「宛先入力」「本文入力」「ファイル添付」はミスが起きやすい作業です。Active!gateSSはメール送信で起きやすいミスに対して「送信メールの一時保留」「添付ファイルの暗号化」「宛先のBcc強制変換機能」など7通りのアプローチを行い、うっかりミスによる誤送信を可能な限り防ぐように設計されています。
セキュリティ性能が高く不正アクセス対策も万全
ビジネス向けサービスである Google Workspace では Google の個人向け無料サービスに比べセキュリティ性能が非常に高くなっています。
「2段階認証プロセス」の設定や、「SSO(シングルサインオン)」を設定してサードパーティーを含むログイン情報を管理することができます。
管理画面から行った操作を記録する「管理者の監査ログ」もあり、管理者の操作が適切か確認することもできるのです。また、電話サポートやメールサポートも完備されています。
まとめ
情報漏えいは作業ミスや不正アクセスなどが原因で発生します。ひとたび情報漏えいが起きれば、発端は小さなミスでも企業の存続にかかわる大問題に発展することもあります。
ですから、現代のビジネスでは情報管理に関して正しい知識を持ち、適切な対策を行うことが非常に大切です。
情報漏えいを防止するには「Google Workspace」など最新の対策が施されたサービスの利用が非常に有効です。DSKでは Google Workspace の導入サポートを行っており、独自のオプション機能を追加してセキュリティをさらに強化することもできます。この機会にDSKの導入サービスで Google Workspace を活用してみてはいかがでしょうか。
