Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
現代におけるセキュリティ対策の重要性は、今では常識と言ってもいいほどに誰もが認識しています。しかし、組織の情報漏洩事故は後を絶たず、その原因はサイバー攻撃による被害から担当者の不注意など様々です。完全なセキュリティは存在しませんが、可能な対策を怠っている状態では企業の信用にも関わります。
ですが、セキュリティを担当する専門部署が無い企業では、情報漏洩のリスクとどのように向き合えば良いのかわからないかもしれません。そこで今回は、情報漏洩が起こってしまう理由や、防止するための考え方をご紹介します。
すべての会社が流出させてはならない機密情報を保持している
機密情報とは、大企業が保持する膨大な顧客データや企業秘密データだけを指すものではありません。厳密な定義はありませんが、外部への開示予定がなく、開示されることで保有者や関係者に損害が生じる恐れのある情報は全て機密情報であると考えてよいでしょう。
そのため、小規模事業者や個人事業主であっても機密情報を保持していると自覚し、適切な管理を行う必要があります。
機密情報に該当する情報例
業務を行っていると様々な情報に触れますが、下記のような情報は全て機密情報に該当する可能性が高いです。
- 端末やシステムのアカウント情報
- 顧客情報
- 人事、給与情報
- 企画書、提案書
- 設計図、構成図
- 議事録
- マニュアル
作成中のデータであっても、内容によっては流出すると大きな問題となる恐れがあります。小規模事業者であっても油断せず、情報の取り扱いに最新の注意を払うことが求められます。
情報漏洩が発生するとどうなる?
情報漏洩が発生すると、長年積み上げてきた組織の信用は失墜し、多額の賠償金や対応費用が発生するケースも多くあります。情報漏洩が発生した直後から対応に追われ、事態の終息後も長期的に信用回復に務めなければなりません。
また、情報漏洩の根本原因を究明し、業務改善やセキュリティ向上施策を実施するなどの対応も必要です。本来の業務を継続しながらこれらを行うことは従業員リソースへの影響も大きく、情報漏洩前の状態に戻るためには多くの時間がかかってしまいます。顧客や取引先との関係性の悪化も無視できない問題です。
漏洩した情報を不特定多数が閲覧できる環境に公開されてしまった場合、そこからどのように情報が拡散したかを把握することは困難を極めます。流出したメールアドレスの悪用など、予期できない二次被害が報告されるケースもあり、組織として非常に苦しい状態になってしまうと認識することが大切です。
情報漏洩が発生した際のリスクに関しては、こちらの記事で詳しく解説しております。
なぜ情報漏洩は発生するのか
情報漏洩の原因は大きく分けて「内部要因」と「外部要因」の2つがあり、それぞれ状況が異なります。
内部要因
「内部要因」は、担当者のミスや、悪意を持った内部人員の意図的な行動によって発生するものを指します。組織全体のセキュリティ意識や労働環境を疑われやすく、1つのインシデント(事件)の影響は甚大です。
アンチウイルスソフトやファイアウォールなど、外部からの攻撃に対するセキュリティ製品では防ぎにくいため、内部要因で情報漏洩が発生するリスクがある業務の有無には常に注意しておく必要があります。
外部要因
「外部要因」は、外部からの攻撃により発生するものを指します。クラッカー※1が情報を盗み出した場合、すぐに機密情報が公開されるとは限りません。例えば、金銭等の利益を目的としたクラッカーは、被害者がその情報を見ることができないよう暗号化し、脅迫を行うケースが多くあります。暗号化が解除されなければ事業が停止してしまう他、クラッカーの要求に応じなければ盗み出した情報を公開するといった脅迫も行われます。
情報漏洩した企業はサイバー攻撃の被害者とも言えますが、やはり情報を漏洩させてしまった組織としての対応は必要になります。
※1:悪意を持ってネットワークへの侵入し、データの改ざんや不正取得を行う者のこと。
当記事ではハッカーと区別するため、クラッカーと表記します。
このように、情報漏洩のリスクは内部外部問わずに存在しています。そのため、まずはリスクが存在することを認識し、問題点に対するアクションを起こす体制を作ることが重要です。
基本的な情報漏洩対策
情報漏洩が発生する前に、可能な対策は事前に実施しておくべきです。ここからは、比較的取り組みやすい基本的な対策を紹介します。
端末やシステム機器の最新化
外部からの侵入を防ぐためには専用のセキュリティシステムも効果的ですが、まずは社内のIT資産に対して最新のセキュリティパッチやOSのアップデートを適用することが大切です。悪意を持ったサイバー攻撃は、日々新しい方法が生み出されています。システムが古い状態では最新の攻撃を防げず、情報を盗み出されてしまうリスクが激増します。
従業員へ貸与している端末についても、組織として適切に管理するべきです。パッチの適用は再起動を要求されることもあり、後回しにされてしまうことが多くあります。従業員へのITリテラシー教育を実施する、資産管理ソフトで一括管理することも効果的です。
デバイスの持ち込み・持ち出しの管理
原則として、不要なデバイスは社内に持ち込まないことが重要です。現実問題として持ち込み禁止が難しい場合は、社内機器への接続を禁止し、サーバー室などの特に重要な区画においては持ち込み禁止のように、可能な限りの対応を行いましょう。
社内のデバイスを外部へ持ち出す運用に対しては、承認フローや管理台帳を作成すると良いでしょう。いつ・だれが・どこへ社内デバイスを持ち出し、いつ返却したのか(返却予定なのか)が分かる状態にしておくことで、不要な情報の持ち出しを防ぐことができます。
社外へデバイスを持ち出すパターンのひとつとして、在宅勤務が挙げられます。こちらの記事では、在宅勤務を行う際の情報漏洩対策について解説していますので、併せてご覧ください。
情報の取り扱いルールを定める
社内であっても、機密情報を取り扱うための一貫したルールが必要です。印刷物や紙面の資料であれば鍵のかかるキャビネットに収納し、閲覧後は速やかに元の場所へ戻すことを徹底しましょう。
例えば、パソコンを起動したまま離席する際は、端末をロック状態にしてデータが見えない状態にすることが効果的です。機器を廃棄する際は適切にデータの消去を行い、廃棄業者へ破砕処理を依頼するなど確実なデータの抹消を心がけましょう。
インシデント発生時の行動をルール化する
インシデントが発生した際は内容に関わらず上長へ報告することを徹底することが基本です。個人の判断で行動してしまうと事態が悪化するだけではなく、組織として初動が遅れ、適切な対応が難しくなってしまいます。報告を受けた上長の対応を含め、解決までの対応をフロー化し、全従業員がそれを理解・遵守する環境を作りましょう。
インシデントの種類や特徴は多岐にわたります。こちらの記事では、情報漏洩のインシデントについて解説していますので、併せてご覧ください。
できる範囲の情報漏洩対策から始めよう
情報漏洩は身近にある小さなリスクからでも発生します。それを防ぐためには業務の中にミスが発生しやすいポイントはないか?その気になれば持ち出し等を行える環境にないか?といった視点で日常的に目を光らせる必要があります。コストをかけずに実践できる対策は存在します。できることから着手し、機密情報を守りましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
