企業にとって情報漏洩は、重大なインシデントです。ただ、実際には突然の不正アクセスや、社員による情報の誤送信、悪意のある不正な持ち出しなどによって、社内情報が外部に漏れてしまうケースが存在しています。
情報漏洩してしまうと、損害賠償や企業イメージダウンなど企業に与える影響は大きいでしょう、そのため、企業は情報漏洩の対策に力をいれる必要があります。
本記事では、情報漏洩に効果的な対処法ついて詳しく解説しています。
是非最後までご覧ください。
目次
情報漏洩の原因
2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分によると情報漏洩の原因TOP3は、下記の順番になります。
- ウイルス感染・不正アクセス
- 誤送信
- 不正の持ち出し
ここからは、上記のトラブル原因について詳しく解説します。
1. ウイルス感染・不正アクセス
ウイルス感染や、不正アクセスなどの「外的要因」によって発生する具体的なセキュリティのインシデントとしては、以下のような項目が挙げられます。
- マルウェア
- 標的型攻撃
- 不正アクセス
- ゼロデイ攻撃
マルウェアとは、悪意のあるプログラムの総称です。
| 種類 | マルウェアの特徴 |
|---|---|
| ワーム |
|
| ランサムウェア |
|
| トロイの木馬 |
|
| スパイウェア |
|
近年話題のマルウェアには、ワームやランサムウェア、トロイの木馬、スパイウェアなどがあります。
仮にマルウェアに感染してしまうと、端末内に保存されていた個人情報や社外秘の機密情報などが漏洩してしまいます。
最悪の場合、デバイスやシステム全体が停止することもあるため、マルウェアの感染対策を施すことは、喫緊の課題となっています。
2. 誤送信
誤送信や誤表示は、情報漏洩事故の原因の4分の1を占めています。事故の当事者に悪意がないにも関わらず、情報が漏洩してしまうことが特徴の1つです。
具体的な誤送信の行動動線としては、
- データ消去を十分に行うことなくUSBなどのストレージ機器を破棄してしまった
- 非公開だったつもりの情報が公開状態になっていた
- メール送信の設定を間違えて送信してはいけない人間に情報を送信してしまった
などの項目があります。
この様な人為的ミスによる情報漏洩を防ぐためには、
- 従業員のアカウント管理を徹底する
- アクセス権限について基準を見直す
- 一時的に付与したアカウント情報について注意する
などの項目に焦点を絞り、社内教育を通じて情報管理を徹底することが重要です。
3. 不正の持ち出し
従業員による不正な情報の持ち出しにより、情報が漏洩してしまうケースがあります。特に、退職者が退職時に情報を持ち出してしまい情報が漏洩してしまうケースが多いです。
近年では、人材の流動化が進んでおり、フリーランスとして独立したり、数年働いて同業界に転職したりすることも少なくありません。そのため、競合他社に自社の情報が流れてしまう可能性が高まっております。
退職者による情報漏洩を防ぐには、情報のアクセス制限を管理するだけではなく、接続元のIP制限は、監査ログ機能によりどの従業員がどのファイルをダウンロードしたのかを把握しておけるようにする必要があります。
情報漏洩の対策法
情報漏洩を未然に対策する方法としては、機器の扱いを改める・社内の教育を徹底することなどが挙げられます。
ここからは、具体的な対策方法について解説します。
1. 機器の扱いを改める
PCやUSBメモリーなどの情報機器の扱い方について考えたことはあるでしょうか。
もし行動動線の中で、社内で使用している情報機器を外へ持ち出す機会がある場合は、一度管理方法を見直した方が良いでしょう。
ハードウェアに保存されている情報へのアクセスには暗号化や端末ロックを用いるなど、不用意に情報が外部へ漏洩することを防ぐシステムを構築しましょう。
また、これらの情報統制を徹底したい場合は、オンラインで利用できるクラウドストレージを利用するなど、社内のリテラシーを強化することも有効です。
2. 社内の教育を徹底する
意図せぬ情報漏洩を防ぐためにも、具体的な対策方法や過去の事例について、従業員教育を通じて周知徹底することが重要です。
従業員教育を通じて、社内のセキュリティリテラシーを恒常的に強化させ、経営層や従業員、情報管理担当者ごとに必要な対策を講じられる仕組みを整えておきましょう。
共有すべき情報としては、以下のような点が挙げられます。
- 社員の操作ログの記録と管理について
- データ損失防止(DLP)ソフトウェアや暗号化 ツールなどの情報漏洩対策ツールの導入について
- 取引先や業務委託先への監視チェックについて
- クラウドストレージなどのインフラストラクチャー構築について
- メールやウェブサイト・情報資産の扱い方について
- 情報機器のOSのアップデート、セキュリティパッチ適用ルールについて
上記は、あくまでもセキュリティ対策の一例に過ぎません。部署や担当者ごとで個別に対応できるよう、信頼できるマニュアル作成を心がけましょう。
3. セキュリティソフトを導入する
セキュリティソフトを導入することで、マルウェア感染などの外的要因による情報漏洩を防止することが可能です。
この他、マルウェア感染だけでなく、標的型のメール攻撃や不正アクセス、サイバー攻撃などの事案にも有効です。
セキュリティソフトを導入する際は、以下のポイントを考慮することが重要となります。
- 自社のニーズにあったセキュリティソフトであるか
- 適切にアップデートが行われているか
- 導入コストが予算の範囲内であるか
- ソフト導入により動作が重くなる等の弊害が発生しないか
上記の主なポイントに気を配りながら、セキュリティソフトの選定を進めていくようにしましょう。
4. データの暗号化や認証方法
第三者によるデータの閲覧を防ぐ手段として、最も有効な方法はデータの暗号化や端末認証の導入です。
これらの措置を施すことで、外部にデータが漏洩するリスクを最小限まで抑えられます。
ログイン認証では、IDとパスワードだけでなく、知識情報や所持情報、生態情報のうち2つ以上の要素を組み合わせて認証される「多要素認証 (MFA)」を導入するとなお良いです。多要素認証の中では端末認証がセキュリティレベルが高いためおすすめです。
認証を突破するまでのプロセスを簡易化し、利便性を向上できるうえ、セキュリティ性が向上する等のメリットがあります。また、従業員のセキュリティ意識の向上にも一役買うでしょう。
情報漏洩対策としてクラウドストレージの導入もおすすめ
ibisStorage (アイビスストレージ) は、高いセキュリティ機能を持つ国産クラウドストレージです。ibisStorageでは、クラウドストレージとしての基本機能はもちろん、情報漏洩を対策する機能が複数あります。
| 機能名 | 詳細 |
|---|---|
| 端末認証機能 | 未承認のパソコンからibisStorageへのアクセスをすべてブロックします。端末を紛失した場合でもすぐにログインを止めることができます。会社貸与の端末からのみ許可をすることでテレワーク・リモートワークにも対応できます。 |
| 接続元IP制限機能 | 接続元のIPアドレスを使用して利用者を制限します。オフィスで固定IPを取得し、オフィスからしかibisStorageにアクセスできなくすることができます。 |
| 監査ログ機能 | 誰がいつどのデータをダウンロードしたか、ログインした時刻、権限変更した記録などを確認することができます。なにか問題が発生した際のエビデンスとなります。 |
| アクセス権限管理機能 | フォルダへのアクセス権限管理ができます。所有者権限、読み書き権限、読み取り権限等設定することが可能です。 |
| ランサムウェア対策 | ファイルをランサムウェアに暗号化されて上書き保存されても過去のファイル更新履歴をすべて保存しているため暗号化前のファイルを取り出すことが可能です。 |
| データ保護機能 | 常に3重のバックアップを取っているためお客様のデータをお守りします。データは国内のサーバーに保存されます。 |
例えば、退職者の情報漏洩を防ぐために、接続元を制限したり、監査ログにはどのファイルをダウンロードしたのかをログとして保存することができます。他にも、ランサムウェア対策やデータ保護機能により、外部からの不正な攻撃に対してデータを守ることもできます。
また、ibisStorageは1アカウント月額600円~といった低予算で利用できます。
現在情報漏洩対策が不十分な企業や、情報漏洩対策に費用や工数がかかりすぎているといった企業は、ぜひibisStorageを活用して低予算で情報漏洩対策を実現してください。
