Written by 夏野ゆきか
SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。
目 次
企業が行うべき情報漏洩対策
個人が行うべき情報漏洩対策
情報漏洩の主な要因は「外部攻撃」「人的ミス」「内部不正」の3つ
2023年の情報漏洩・紛失事故の件数は過去最多に
情報漏洩が起きてしまった場合の対処方法
内部要因による情報漏洩対策なら IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」にお任せ
まとめ
近年、国内での情報漏洩事故は増加傾向にあります。
株式会社東京商工リサーチが2024年に発表した調査結果によると、2023年の個人情報の漏洩・紛失事故は175件で、事故件数は調査を開始した2012年以降、最多となりました。
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ
企業・組織が保有する個人情報や機密データが漏洩した場合、復旧対応へのコストだけでなく、業務停止に追い込まれたり、社会的な信用を失ったりと、さまざまな被害を招く可能性があります。
そのため、企業・組織においては以下の対策を行うことが求められます。
- ●多要素認証による認証の強化
- ●エンドポイント対策の強化
- ●ネットワークの不正アクセスを検知するシステムの導入
- ●情報端末の持ち出し・持ち込みの制限
- ●情報セキュリティ教育の実施
- ●ユーザー操作のログの取得・監視
- ●アクセス権限の最小化・最適化
また従業員個人としては、以下の対策を行うようにしましょう。
- ●OS・ソフトウェアを最新の状態に保つ
- ●信頼できないメールやWebサイト、添付ファイルの扱いに注意する
- ●移動中や社外で重要情報を閲覧しない
この記事では、企業・個人それぞれの情報漏洩対策や情報漏洩の原因などについてご紹介します。
またエムオーテックス(MOTEX)では、自社の情報セキュリティ対策の課題をセルフチェックできる、 43項目のチェックシートをご用意しました。ぜひ合わせてご活用ください。
企業が行うべき情報漏洩対策
企業が行うべき情報漏洩対策としては、以下の7つが挙げられます。
- 1. 多要素認証による認証の強化
- 2. エンドポイント対策の強化
- 3. ネットワークの不正アクセスを検知するシステムの導入
- 4. 情報端末の持ち出し・持ち込みの制限
- 5. 情報セキュリティ教育の実施
- 6. ユーザー操作のログの取得・監視
- 7. アクセス権限の最小化・最適化
1. 多要素認証による認証の強化
攻撃者は、不正に入手したIDやパスワードなどの認証情報を利用し、組織のシステムやサーバへと侵入します。
第三者の不正ログインを防止するには「多要素認証」などを導入し、認証を強化する対策が有効です。
多要素認証とは、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。
▼多要素認証のイメージ
仮にIDやパスワードが漏れてしまっても、多要素認証を導入しておけば認証を突破されるリスクを軽減できます。
2. エンドポイント対策の強化
ウイルスなどのマルウェアに感染すると、PCやサーバ内の情報を盗まれてしまうケースがあります。攻撃に利用されるマルウェアは「未知のマルウェア」であることも多いため、企業はこうしたマルウェアにおいても検知も可能な、強力なアンチウイルスを導入し、エンドポイント(PCやスマートフォンなど)を感染から守る対策が欠かせません。
またアンチウイルスとあわせて、マルウェアの事後検知に強い「EDR」の導入もおすすめです。EDRはエンドポイントを24時間365日監視し、万一感染した場合も、速やかな検知と対応をサポートするセキュリティです。
3. ネットワークの不正アクセスを検知するシステムの導入
社内ネットワークの不審な通信を検知することで、システムやネットワークに侵入した脅威を早期に検知・対応することが可能です。
例として
などがあります。
またネットワーク全体を監視し、脅威の侵入にリアルタイムで対応できるセキュリティ製品「NDR」の導入もおすすめです。弊社では、ネットワーク全体の通信状況を可視化し、異常な挙動を速やかに検知する、NDR「Darktrace(ダークトレース)」を提供しています。
4. 情報端末の持ち出し・持ち込みの制限
PCやスマートフォンなどの情報端末を外部に持ち出すと、紛失や置き忘れ、盗難などが発生する可能性があります。外部への情報端末の持ち出しは基本的に禁止にするか、持ち出す場合は上長の承認を得るなど、厳格なルールを設けることが有効です。
また、持ち出しとあわせて「私物端末の持ち込み」も、適切なルールの設定や利用制限を行いましょう。許可なく私物端末を利用してしまうことで、悪気なくUSBやモバイル端末に会社の情報を入れて持ち出したり、接続した使用デバイスからマルウェアが広がったり、といったリスクも考えられます。
5. 情報セキュリティ教育の実施
企業・組織が情報漏洩を防ぐためには、従業員のセキュリティリテラシーを向上させるための取り組みが欠かせません。セキュリティへの知識や危機意識は個々で差があるため、セキュリティ教育によって底上げを図る必要があります。
教育の具体的な例
- ●不審なメールの添付ファイルや文面の URL を安易にクリックしない
- ●業務に関係ない Web サイトやフリーソフトを利⽤しない
- ●私物のデバイスを会社のネットワークに接続しない
- ●SNSで業務に関する情報を発信しない
- ●簡易で推測されやすいパスワードを利用しない
また情報資産の取り扱いについて、セキュリティポリシーを策定・周知することも、組織全体のセキュリティの向上を図る上で重要です。
6. ユーザー操作のログの取得・監視
ログを見ることで、社員のうち「いつ」「だれが」「どのような操作をしたか」がわかるので、情報漏洩が発生した際、速やかに原因を特定できます。
また事前に「ログ取得」の件を社内周知することで、内部不正の抑止にも効果を発揮します。
7. アクセス権限の最小化・最適化
社内機密など重要なデータへのアクセス権限を広げるほど、不正アクセスや持ち出しのリスクも高まります。
例えば、システムの管理アカウントには情シス部門のみ権限を付与する、機密情報は幹部陣のみアクセス権限を与えるなど、アクセス権限の最適化・最小化をおこないましょう。
個人が行うべき情報漏洩対策
個人が行うべき情報漏洩対策としては、以下の3つが挙げられます。
- ●OS・ソフトウェアを最新の状態に保つ
- ●信頼できないメールやWebサイト、添付ファイルの扱いに注意する
- ●移動中や社外で重要情報を閲覧しない
OS・ソフトウェアを最新の状態に保つ
攻撃者は、OSやソフトウェアの脆弱性(セキュリティ上の欠陥)を突いて、組織のネットワークやシステムに侵入し、情報窃取を試みます。
よってOSやソフトウェアをこまめにアップデートし、修正プログラムを適用して、小まめに脆弱性を解消する取り組みが重要です。
信頼できないメールやWebサイト、添付ファイルの扱いに注意する
メールの不審な添付ファイルを開封する、あるいは不正なWebサイトに訪問することで、意図せずマルウェアに感染し、システム内へ侵入されたり情報を窃取されたりする可能性があります。
またフィッシング詐欺のように、偽サイトへ誘導して個人情報を盗む手口も常習化しているため、企業は従業員に対し、怪しいWebサイトやメールの取り扱いについて、注意喚起することが重要です。
Webサイト訪問時は、URLに不審な点がないか、アドレスが「https」から始まっているか等を確認します。メールについても安易に添付ファイルやURLをクリックせず、送信元への問い合わせや、速やかな上長への報告・相談をおこないましょう。
移動中や社外で重要情報を閲覧しない
商談や自宅作業のため、業務用端末を社外に持ち出すこともあるでしょう。しかし、移動中やカフェなどの公共の場で、顧客情報や機密データを閲覧すると、第三者にのぞき見される危険性があります。
また、通信が暗号化されていないフリーWi-Fiを利用した場合、悪意ある第三者にデータが傍受される可能性もあります。
重要な情報は社内の安全なネットワーク環境でのみ閲覧する、ポケットWi-Fiやデザリングを使用するなど、あらかじめルールを設けておくと良いでしょう。
情報漏洩の主な要因は「外部攻撃」「人的ミス」「内部不正」の3つ
情報漏洩の原因は、大きく分けて外部攻撃・人的ミス・内部不正の3種類があります。
ここでは、それぞれの原因について詳しく説明します。
外部攻撃による情報漏洩とは?
情報漏洩の原因でもっとも発生件数が多いのが、「外部からのサイバー攻撃」です。具体的な攻撃内容として、以下のようなものがあります。
●フィッシング攻撃:メールから偽のWebサイトへ誘導し、利用者から機密情報を騙し取る
●ランサムウェア:ランサムウェアをシステムに感染させてデータを窃取・暗号化し、解除のための身代金を要求
●SQLインジェクション:Webアプリのデータベースに不正なSQLクエリを送り込み、機密情報を抜き出す
●ゼロデイ攻撃:OSやソフトウェアの未公開の脆弱性を悪用し、発見される前に攻撃を仕掛ける
●サプライチェーン攻撃:組織のパートナーや子会社など、信頼された第三者を通じて、標的のシステムに侵入する攻撃手口
人的ミスによる情報漏洩とは?
人的ミスによる情報漏洩とは、故意ではなく操作ミスや不注意を原因としたものです。
▼人的ミスによる情報漏洩の例
●メールの誤送信
宛先を間違える、異なるファイルを添付するなどのミスで、意図せぬ情報が外部に漏れてしまう
●情報廃棄の方法が不適切
重要情報の載った書類をシュレッダーにかけず、通常のゴミ箱に捨てる。あるいはUSBやモバイル端末などのデータを削除せず廃棄し、情報が漏洩する
●クラウドサービスの設定ミス
クラウド内の重要データが、外部から誰でも閲覧できる状態になっており、情報が漏洩する
●置き忘れ・紛失
会社のPCやUSB、資料などを社外へ置き忘れたり、紛失したりすることで情報が漏洩する
内部不正による情報漏洩とは?
従業員など組織の内部犯によって、機密情報が不正に窃取・流出されることを指します。
▼内部不正による情報漏洩の例
●アクセス権限の悪用
現職の従業員や、役員などが業務用のアクセス権限を悪用し、重要情報を持ち出したり、売却したりする。また退職者が元就業先の権限を利用し、情報を持ち出すケースも多い。
内部不正による具体的な事例として、2023年に大手通信会社で起きた顧客情報の不正持ち出し事件があります。犯人はコールセンター用システムの運用保守を依頼していたパートナー企業の元派遣社員で、システムの管理用アカウントを悪用し、サーバに不正アクセスして顧客情報928万件を不正に持ち出したとのことです。
元派遣社員は顧客情報をUSBに保存して持ち出しましたが、記録媒体の持ち込みをチェックする体制が取られていなかったことも、原因の1つとされています。
2023年の情報漏洩・紛失事故の件数は過去最多に
国内の情報漏洩被害は、サイバー攻撃や働き方の多様化が進むとともに、右肩上がりで増加しています。
株式会社東京商工リサーチが2024年に発表した調査結果によると、2023年の個人情報の漏洩・紛失事故は175件で、事故件数は調査を開始した2012年以降、最多となりました。
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ
情報漏洩の原因は「外部攻撃」が最多。しかし「内部不正」は昨年の5倍に増加
2023年の情報漏洩・紛失事故“原因”の内訳を見ると、外部攻撃にあたる「ウイルス感染・不正アクセス」が93件(構成比53.1%)で最多となっています。
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ
次いで、人的ミスに起因する「誤表示・誤送信」が43件(同24.5%)、内部不正による「不正持ち出し・盗難」が24件(13.7%)と並ぶ結果となりました。
とくに「不正持ち出し・盗難」は、前年の5件から約5倍に増加するなど、内部不正による情報漏洩事故へ改めて注意する必要性が伺えます。
情報漏洩が起きてしまった場合の対処方法
もしも情報漏洩が発生した場合、以下の対処法を行うようにしましょう。
紛失・盗難 | ●警察に盗難届もしくは紛失届を提出 ●リモートワイプで端末に保存されているデータを削除(またはリモートロックで端末を遠隔ロック) ●ログインしているアカウントのID・パスワードの変更 |
---|---|
誤送信・誤表示 | ●受信者に連絡して情報を破棄してもらう ●Web上に誤って公開した情報の削除 |
内部不正 | ●重要な情報に再度アクセスされないようアクセス制御を行う |
マルウェア感染 | ●感染端末の特定 ●感染端末をネットワークから切り離す |
不正アクセス | ●不正アクセスを受けた機器の使用停止 ●不正アクセスを受けた機器をネットワークから切り離す |
こうした対処法を速やかに行うことで、被害の拡大を防ぐことができます。
内部要因による情報漏洩対策なら IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」にお任せ
MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版 」なら、業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末を一元管理し、セキュリティを向上することが可能です。
LANSCOPE エンドポイントマネージャー クラウド版には、情報漏洩対策に有効な以下の機能が備わっています。
▼機能の一例
・PC・スマホの「操作ログ」を自動で取得
・PC・スマホ・タブレットの利用状況を「レポート」で見える化
・あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
・万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
・Windowsアップデートの管理
など
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。
また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
詳しい機能は、以下のページよりご覧ください。
まとめ
今回は「情報漏洩」をテーマに、原因別に10の対策をご紹介しました。
本記事のまとめ
- 情報漏洩の原因は、大きく分けると、「外部攻撃」「人的ミス」「内部不正」の3種類
- 外部攻撃に対する対策は、「アンチウイルスやEDRの導入」「ネットワークへの不正アクセスを検知するシステムの導入」「OS・ソフトウェアのアップデート」「多要素認証などによる認証強化」がある
- 人的ミスへの対策として、「メールの誤送信が発生しない仕組みづくり」「情報端末の持ち出し・持ち込みの制限」「社外での重要情報の閲覧制限」などがある
- 内部不正への対策としては、「ユーザー操作のログ取得・監視」「アクセス権限の最小化・最適化」などが有効
- セキュリティ教育やポリシーの周知は、情報漏洩を防ぐうえで必要不可欠
企業・組織が保有する個人情報や機密情報が漏洩してしまった場合、社会的な信用を失うだけでなく、損害賠償責任が生じる恐れもあります。「外部攻撃」「人的ミス」「内部不正」など原因によって行うべき対策は異なりますので、最適な対策を講じるようにしましょう。
またエムオーテックス(MOTEX)では、自社の情報セキュリティ対策の課題をセルフチェックできる、43項目のチェックシートをご用意しました。ぜひあわせてご活用ください。
関連する記事