内部不正による情報漏洩対策とは
- 情報漏洩対策
-
個人情報を始めとした情報漏洩が起きる要因は様々です。昨今では、外部標的型攻撃のリスクが高まっていますが、その一方で企業(組織)関係者による情報の持ち出しや、誤操作/誤送信などによって発生する『内部情報漏洩事故』も後を立たず、企業には両面からの対策が求められています。
特に、「内部情報漏洩の3大要因」といわれる「管理ミス」「誤操作」「紛失/置き忘れ」はヒューマン・エラーに起因するため、ウイルス対策ソフトやファイアウォールの導入などといった一面的な対策だけでは防止できません。
利用実態を把握した上で、従業員や関係者に対してリテラシーやセキュリティコンプライアンス教育をくり返し徹底していく必要があります。
また、セキュリティの為に運用を著しく損なうような、「運用に即しない無理なルール」を作ってしまった場合、業務効率を大きく下げてしまったり、そのルールを守る人がおらず逆に大きなセキュリティホールとなることもよくあります。
セキュリティと生産性のバランスの取れたルールを作った上で、ルール違反を素早く発見し教育をくり返し徹底していく必要があります。
01現状把握
情報漏洩対策は「禁止より抑止」
必要な対策を打つためには、まずは社内にどんなリスクがあるのかを把握することが大切です。
IT資産管理・情報漏洩対策ツール LANSCOPE
エンドポイントマネージャー オンプレミス版 では、“人のログ(PC操作ログ)”
を取得することで、社内のPCでいつ/誰が/どんな操作をしたのかを把握することができます。
また、操作ログを取得することは、「見られている」という意識から抑止環境を作ることができます。
有効な対策を行うためにも、まずはパソコンがどのように使われているか把握しましょう。
陥りがちなセキュリティ
- 禁止のセキュリティ
- リスクがよく分からないまま、あれもダメ!これもダメ!と“禁止”で対策をしてしまうと仕事に使いたいのに使えないなど、社員がセキュリティを不便に感じ、モチベーションが下がってしまいます。
理想のセキュリティ
- 抑止のセキュリティ
-
PCの操作ログ取得により、誰が何をしているかが分かり、社員は「見られている」という意識が働きます。
“抑止”対策はむやみに制限がかからないので、社員の生産性を落とすことなくセキュリティモラルを向上できます。
02対策の実施
リスクをリアルタイムに把握し必要な対策を打つ
「操作ログ」を取得することで、機密情報へのアクセス、アプリの活用、Web閲覧、USBメモリの利用状況などを把握することができます。IT資産管理・情報漏洩対策ツール
LANSCOPE エンドポイントマネージャー オンプレミス版
では、「操作ログ」を取得するだけでなく、予め決めたルールに違反した場合には、
リアルタイムに管理者はマネージャーにアラーム通知することができます。
リアルタイムに把握することで、リスクを最小限に抑えたり、必要な対策を即座にうつことで、問題を発生させない環境を作ることができます。
陥りがちなセキュリティ
- 事後対策のセキュリティ
-
ログが大量にあるが、よく分からないからと誰も確認しないでいると、リスクが放置されたままになります。
情報漏洩事故が起きてしまった後はじめて何が問題か検索することになり、原因を特定する為の後追いのセキュリティになってしまいます。
わかりやすい”抑止”のセキュリティ
- 未然に防ぐセキュリティ
-
分かりやすいレポートで何が課題か誰でも確認できるのでリスクを事前に把握することができます。
情報漏洩事故が起こらないように定期的にレポートをチェックし、先手で対策をすることで問題を発生させない環境をつくれます。
03個人情報漏洩の原因
個人情報漏洩の原因は「紛失・置き忘れ」「誤操作」「不正アクセス」「管理ミス/設定ミス」に次いで、「内部犯罪/内部不正/情報持ち出し」が多いとされており※1、内部不正による情報漏洩対策が企業には求められています。
※1:JNSAセキュリティ被害調査ワーキンググループ
紛失・置き忘れ
パソコン/スマートフォンやUSBメモリの入った鞄の置き忘れや紛失、パソコンが盗難にあうといった事件により情報漏洩をしてしまうケースです。
- (例)
-
- パソコン/スマートフォンを電車の荷物棚に置き忘れ、紛失してしまった。
- パソコン/スマートフォンを飲み会にて飲食店に置き忘れ、紛失してしまった。
- 事務所荒らしに遭い、パソコンや記録媒体を盗まれた。
- 自宅に空き巣が入り、テレワークに利用していた業務用パソコンが盗難されてしまった。
誤操作
本来行ってはならないシステムの操作、設定、人的ミス等により情報が流出するケースです。
- (例)
-
- 相手のメールアドレスを打ち間違え、関係のない人に誤送信した。
- 同報メールの宛先をBCCに書くべきところ、CCにして送信した。
- 個人情報を誤ってインターネット上からアクセスできるサーバーに保管してしまった。
不正アクセス
アクセス制限を設けているコンピュータにネットワーク外部から不正に侵入されて情報を盗まれるケースです。
- (例)
-
- 他サイトで流出したID・パスワードを使って自社のWebサイトにログインされ個人情報を盗まれた。
- Webでの脆弱性を悪用し不正アクセスされ、非公開情報を盗まれた。
- Webシステムの脆弱性を悪用され、マルウェアを埋め込まれた。
管理ミス/設定ミス
管理・設定ミスは、情報漏洩を防止するシステム設定・ルールが未整備、あるいは設定・ルールが不十分等で情報漏洩が起きるケースです。
- (例)
-
- Webサイト等で本来アクセス権限を設定すべきフォルダを公開状態にしてしまい、誰でも閲覧できるようになっていた。
- オフィスのキャビネットにしまったはずの重要資料が紛失した。
内部犯罪/内部不正/情報持ち出し
企業(組織)内部の従業員や退職する社員が不正に情報を持ち出し、外部の第三者に売ったり渡したりするケースです。
- (例)
-
- 社内データベースから顧客情報を不正に持ち出し転売した。
- 社外Webシステムに、過去に業務で使用していたIDを利用してアクセスし、不正にデータを持ち出した。
- 社内から設計機密情報を不正に持ち出し、他社に渡した。