情報漏洩の原因には、誤操作や紛失・置き忘れなどの内的要因と、ウイルス感染や不正アクセスなどの外的要因があります。本記事では、情報漏洩の具体的な原因やリスクについて、また、有効な対策まで詳しく解説しています。
企業の財務情報を扱う中で、情報漏洩の可能性について考えたことはございませんか?
情報漏洩の原因は、社員による誤操作や、紛失・起き忘れ、不正アクセスなど様々で、クラウドストレージ導入やセキュリティソフト導入などの具体的な対策を先延ばしにしてしまうと、思わぬ事案に巻き込まれてしまうケースがあります。
本記事では、情報漏洩の原因を実際に発生したケースとともに詳しく解説し、具体的な対処法まで掲載しています。
また、本記事を読むことで、情報漏洩に関する話題を全体的に把握し、周辺の社員に向けて具体的な周知が行えるようになります。是非最後までご覧ください。
目次
情報漏洩の原因【社内編】
社内の人間や環境が原因となり、情報漏洩が発生する場合があります。具体的には、誤操作による漏洩、紛失や置き忘れ、内部不正などが挙げられます。
ここからは、上記の情報漏洩の原因について詳しく解説します。
誤操作による漏洩
社内でどれだけ対策を施しても完全に防ぎきれない事案として、ヒューマンエラーが挙げられます。
ヒューマンエラーには、誤操作による漏洩、紛失や置き忘れなどがあり、これらの事案を効果的に予防する際は、人事の面で徹底した教育を施す必要があります。
特に、誤操作による漏洩では、以下の様なトラブルが発生します。
- 取引先や関係のない企業に顧客データの一部を送ってしまった
- 財務データや取引情報を誤って外部に公開してしまった
- 経営戦略に関する機密情報をうっかり口に出してしまった
誤操作による漏洩を防ぐ場合、ユーザーの権限を管理した上で必要以上の権限を与えない、情報漏洩に関するマニュアル策定を行う、従業員教育を徹底することなどが有効な対策となります。
なお、アクセス権の付与において、必要以上の人物にデータの操作を行えるようにしてしまうと、誤操作がより増える傾向にあります。
特に重要性の高い機密文書については、重要度を分け、重要度の定義や管理方法についても、社内で統一したルールを設けておくことが望ましいです。
紛失や置き忘れ
紛失や置き忘れも、代表的なヒューマンエラーの一つです。
紛失や置き忘れの具体的なシチュエーションについては、以下の様な状況が考えられます。
- 暗号化されていないノートパソコンをトイレに置き忘れたうえ、誰かに盗まれてしまった
- 財務情報や取引データの入ったUSBを帰宅途中に失くしてしまった
- 顧客情報が入ったタブレットを電車のシートに置いてきてしまった
- 重要な取引先の財務に関する資料を社員宅のどこかへ紛失した
上記の様なヒューマンエラーを起こしてしまうと、社外秘の情報があっという間に流出してしまう恐れがあります。
被害を最小限に抑えたい場合は、ハードウェア自身を暗号化する、端末にパスワードを設定する、書類にパスワードをかけるなどの対応するなどが対策として挙げられます。
ただし、上記対策をとっても、紛失や置き忘れといったヒューマンエラーを完全に解決することは不可能です。
根本的な解決を図りたい場合は、データをオンライン上でやり取りできるクラウドストレージの導入がおすすめです。
内部不正
内部不正が発生すると、以下のトラブルに見舞われることが考えられます。
- 元従業員が退社時、不正に情報を持ち出しており、ある日突然情報の一部を外部に公開されてしまった
- 取引に関する全てのデータが派遣社員の手によって外部に公開されてしまった
- 新製品の技術情報を競合他社に提供してしまった
- 会社の経営方針に不満を持った従業員にシステムを破壊されてしまった
- 重要な経営方針や財務に関する情報を勝手にメディアにリークされ、会社の評判を著しく下げられてしまった
- 社員が競合して会社の顧客のデータベース内にあった大量の個人情報を窃盗し、ダークウェブで販売した
内部不正は、悪意を持った人物が引き起こす事案であるため、発生するトラブルは非常に多岐にわたります。
一度このような状態になってしまうと、経営上の観点から収拾がつかなくなってしまうため、何としても避けなくてはなりません。
このような事態に陥ることを未然に防ぐためには、やはり従業員教育やアクセス権統制の徹底が必要となってくるでしょう。また事後にはなりますが、監査ログを記録できるクラウドサービスを使用し、内部不正が起きたときに損害賠償請求や不正競争防止法等での裁判の証拠に使えるようにしておきましょう。また監査ログ機能があることを事前に周知しておくことで不正に対する抑止力になります。
例えば、データの保存にハードウェアが多く使用されており監査が隅々まで行き届いていなかったがゆえに発生した内部不正は、ヒューマンエラーではなくともヒューマンエラーが密接に関わって発生してしまった事案であるとも言えます。
情報漏洩の原因【外部編】
続いては、社外の人間など外部が原因となって起きてしまう情報漏洩の原因について解説します。
具体的には、外部からの不正アクセスやウィルス感染、盗難、内部不正などが挙げられます。
不正アクセス
2022年に東京商工リサーチが行った調査によると、情報漏洩や紛失事故件数の全体の約半数である55%を、ウイルス感染・不正アクセスが占めています。
参考:個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~
つまり、情報漏洩事案の約半分は外部が要因となって発生していることが分かります。
ここでは、ウイルス感染や不正アクセスの具体例について確認してみましょう。
- 社員がメールのリンクをクリックしたら、企業のネットワークに不正アクセスされてしまった。重要なアカウント情報やアクセス権まで奪われ、財務データなどの機密情報も流出してしまった(フィッシング詐欺)
- ハッカー集団による攻撃で、社内や関連他社の多くの機密情報が流出してしまった(サイバー攻撃)
- 社内システムがランサムウェアに感染したことでデータが暗号化されてしまい、重要な財務データを見られなくなってしまった。復旧するために多額の身代金が要求され、長期間業務が停止した上に、多額の経済的損失が発生した。(ランサムウェア攻撃)
- 従業員が複数サイトと同じパスワード使いまわしをし、外部サイトで情報漏洩事故が起きることで自社のシステムに侵入された、または、従業員が安易なパスワードを設定してしまい自社のシステムに侵入された(パスワード漏洩)
ウイルス感染や不正アクセスによる被害は、社外で情報が流出するだけでなく、アクセス権剥奪により多額の身代金を要求されることもあり、内的要因よりも多くのリスクを発生させる恐れがあります。
紛失や置き忘れ
紛失や置き忘れ自体は外的要因ではありませんが、これらが盗難や置き引きに発展してしまった場合、外的要因になり得ることがあります。
仮に盗難が発生した場合、重要な情報が外部へ流出したり、返ってこなくなったりする可能性があるため、気をつけなくてはなりません。
内部不正
「内部不正」は、仮にすでに退職した職員が悪意を持って情報を公開した場合、外的要因になり得ます。
元従業員による内部の不正行為は後を絶たず、IPAが行った調査「企業における営業秘密管理に関する実態調査 2020」では、営業秘密の漏洩ルートの36%以上が中途退職者によるものであることが明らかになりました。
既に退職してしまったからといって、アカウント削除などの退社処理を行わずそのままの状態にしてしまうと、直近で取引された重要データなども全て元従業員に把握されてしまい、最悪の場合、情報を知らない誰かに持ち出されてしまうケースもあります。
また退職直前に営業機密や顧客一覧、技術的機密(設計書やソースコード)を取得して転職先で利用するというケースもあります。この場合も事前に監査ログで様々な操作が記録されていて裁判等での証拠になる旨を従業員に周知することで抑止力になります。
クラウド型ストレージ「ibisStorage (アイビスストレージ)」なら、経営に関わる重要なデータへのアクセス権を細かく設定できます。
情報漏洩の対策法
先に述べたような情報漏洩のトラブルを対策する方法としては、以下の3つが挙げられます。
- 社内のリテラシーを強化する
- セキュリティソフトを導入する
- クラウドストレージを導入する
ここからは、上記3つの対策法について解説していきます。
1. 社内のリテラシーを強化する
情報漏洩を根本的に対策したいと考えた場合、まずは社内の情報に関するリテラシーを強固な物にする必要があります。
「情報を扱う上で、サイバー攻撃や内部流出など、どのような脅威が存在するのか?」
「情報漏洩などの脅威を防ぐために、どのような対策を施さなければならないのか?」
上記の様な内容を全社員で共有できる機会を設けることで、有効な対策を施すことが出来るようになります。
会社の方針に沿った具体的なセキュリティ案やマニュアルについて、隅々まで策定し、社員全員に周知できるよう心がける必要があるでしょう。
具体的には入社時にセキュリティ教育と試験を行い、またその後も毎年春にセキュリティ教育と試験をするなどで周知およびセキュリティリテラシーをあげるなどがよいです。
2. セキュリティソフトの導入
先に述べた通り、情報漏洩の実に半分がマルウェア感染や標的型攻撃などの外部要因で占められています。
上記の様なサイバー攻撃を未然に防ぐためには、会社のPCやスマートフォンにアンチウィルスソフトや端末監視ソフトなどセキュリティソフトを導入することが推奨されます。
自社にあったセキュリティソフトを導入しておくことで、サイバー攻撃などの可能性が減るため、様々な角度で情報漏洩のリスクを減らせる様になるでしょう。
3. クラウドストレージの導入
紛失や置き忘れ、内部不正などの内的要因を減らす場合は、クラウドストレージを導入しましょう。
社内のデータが、PC上のハードディスクやUSBなどのハードウェアに保存されている場合、情報の維持・管理が大変ですし、セキュリティ上の観点からも大きなリスクを抱えてしまいます。
これらのデータを一括してクラウドストレージへ預けることで、社員同士でのデータ共有が簡単になり、アクセス権も柔軟に設定できるため、内的要因による情報漏洩のリスクまで大幅に抑えることができるようになります。
情報漏洩におすすめのクラウドストレージ
ここからは、情報漏洩の防止におすすめのクラウドストレージサービスについてご紹介します。
ibisStorage
| サービス名 | ibisStorage |
|---|---|
| おすすめポイント |
|
| 料金プラン |
【フリープラン】
【スタンダードプラン】
【エンタープライズプラン】
|
| メールサポート | ◎ |
| 電子帳簿保存 | ◎ |
| 端末認証 | ◎ |
ibisStorage (アイビスストレージ) は、高いセキュリティ機能を持つ国産クラウドストレージです。ibisStorage では、クラウドストレージとしての基本機能はもちろん、セキュリティ対策の機能があります。
| 機能名 | 詳細 |
|---|---|
| 端末認証機能(ゼロトラストセキュリティ) | 未承認のパソコンからibisStorageへのアクセスをすべてブロックします。端末を紛失した場合でもすぐにログインを止めることができます。会社貸与の端末からのみ許可をすることでテレワーク・リモートワークにも対応できます。 |
| 接続元IP制限機能 | 接続元のIPアドレスを使用して利用者を制限します。オフィスで固定IPを取得し、オフィスからしかibisStorageにアクセスできなくすることができます。 |
| 監査ログ機能 | 誰がいつどのデータをダウンロードしたか、ログインした時刻、権限変更した記録などを確認することができます。なにか問題が発生した際のエビデンスとなります。 |
| アクセス権限管理機能 | フォルダへのアクセス権限管理ができます。所有者権限、読み書き権限、読み取り権限等を設定することが可能です。 |
| ランサムウェア対策 | ファイルをランサムウェアに暗号化されて上書き保存されても過去のファイル更新履歴をすべて保存しているため暗号化前のファイルを取り出すことが可能です。 |
端末認証機能により、会社が承認したPCのみクラウドストレージにアクセスできますし、接続元IP制限をすることで、オフィスのみクラウドストレージにアクセスすることができるようになります。よって、プライベートPCから情報のダウンロードをすることが防げるため、情報漏洩の対策となります。国産クラウドストレージであるため電子帳簿保存法にも対応しています。
Dropbox
| サービス名 | Dropbox |
|---|---|
| おすすめポイント |
|
| 料金 |
【Business】
【Business Plus】
|
Dropboxは、クラウドストレージ分野で長い歴史を持ち、7億人以上の利用者がいます。
無料プランではデータ容量が2GBという少なさですが、高度なセキュリティ機能や柔軟性が魅力的です。
法人用のBusinessプランもご利用できます。セキュリティ対策としては2段階認証やパスワードなどが用意されており、作業効率を高めるための関連ソフトも豊富です。
情報漏洩の対策は ibisStorage がおすすめ!
ibisStorage (アイビスストレージ) は、データ保存のためのサービスとしておすすめできるポイントがいくつかあります。まず、電子帳簿保存法に対応している点が大きな利点です。
電子帳簿保存法に適合するためには、保存要件を満たす必要があります。
ibisStorage は端末認証機能があるためサイバー攻撃にも強く、誰がいつ何をダウンロードしたか等の監査ログも確認ができるため、安心してファイルを保存することができます。
また、料金面でも魅力的な点があります。適切な容量を選択すれば、リーズナブルな価格でデータを安全に保存することも可能です。これにより、コストを抑えながら信頼性の高いデータ管理ができます。
総合的に考えると、ibisStorage は信頼性、コストパフォーマンス、使いやすさといった面で優れたデータ保存サービスであり、ビジネスにおいて重要な情報の保管に最適な選択肢になるでしょう。
