IT資産管理

情報漏洩の対策10選がわかる!原因や被害件数も解説

Written by 夏野ゆきか

SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。

情報漏洩の対策10選がわかる!原因や被害件数も解説

目 次

情報漏洩の主な要因は「外部攻撃」「人的ミス」「内部不正」の3つ
2023年の情報漏洩・紛失事故の件数は過去最多に
「外部攻撃」に対する5つの情報漏洩対策
人的ミスに対する情報漏洩対策
内部不正に対する情報漏洩対策
社員のセキュリティ教育は、全ての情報漏洩要因において必要
内部要因による情報漏洩対策なら IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」にお任せ
まとめ

この記事では、企業・組織が取り組みたい、基本となる10の情報漏洩対策についてご紹介します。具体的な対策の説明から読まれる場合は、「外部攻撃に対する情報漏洩対策」の章よりご覧ください。

外部攻撃に起因する情報漏洩の対策
●アンチウイルスやEDRを導入し、エンドポイントを守る
●ネットワークの不正アクセスを検知するシステムを導入
●OS・ソフトウェアを最新の状態に保つ
●多要素認証など認証強化をおこなう
●信頼できないメールやWebサイト、添付ファイルの扱いに注意する

人的ミスに起因する情報漏洩の対策
●メール誤送信が発生しないよう、仕組み化する
●情報端末の持ち出し・持ち込みを制限する
●移動中や社外で重要情報を閲覧しない

内部不正に起因する情報漏洩の対策
●ユーザー操作のログを取得・監視する
●アクセス権限の最小化・最適化をおこなう

情報漏洩は企業規模や業種問わず、あらゆる組織で発生しており、その件数も増加の一途をたどっています。企業・組織が保有する個人情報や機密データが漏洩した場合、復旧対応へのコストだけでなく、業務停止に追い込まれたり、社会的な信用を失ったりと、さまざまな被害を招く可能性があります。

情報漏洩の要因には「外部攻撃」「人的ミス」「内部不正」の3パターンがあり、企業はそれぞれで適した対策に取り組むことが重要です。

またエムオーテックス(MOTEX)では、自社の情報セキュリティ対策の課題をセルフチェックできる、 43項目のチェックシートをご用意しました。ぜひ合わせてご活用ください。

5分でできる!
情報セキュリティセルフチェック
これだけは押さえておきたい
情報セキュリティ43項目

資料をダウンロードする

情報漏洩の主な要因は「外部攻撃」「人的ミス」「内部不正」の3つ


情報漏洩の原因は、大きく分けて外部攻撃・人的ミス・内部不正の3種類があります。

ここでは、それぞれの原因について詳しく説明します。

外部攻撃による情報漏洩とは?

情報漏洩の原因でもっとも発生件数が多いのが、「外部からのサイバー攻撃」です。具体的な攻撃内容として、以下のようなものがあります。

フィッシング攻撃:メールから偽のWebサイトへ誘導し、利用者から機密情報を騙し取る
ランサムウェア:ランサムウェアをシステムに感染させてデータを窃取・暗号化し、解除のための身代金を要求
SQLインジェクション:Webアプリのデータベースに不正なSQLクエリを送り込み、機密情報を抜き出す
ゼロデイ攻撃:OSやソフトウェアの未公開の脆弱性を悪用し、発見される前に攻撃を仕掛ける
サプライチェーン攻撃:組織のパートナーや子会社など、信頼された第三者を通じて、標的のシステムに侵入する攻撃手口

人的ミスによる情報漏洩とは?

人的ミスによる情報漏洩とは、故意ではなく操作ミスや不注意を原因としたものです。

▼人的ミスによる情報漏洩の例
メールの誤送信
宛先を間違える、異なるファイルを添付するなどのミスで、意図せぬ情報が外部に漏れてしまう

情報廃棄の方法が不適切
重要情報の載った書類をシュレッダーにかけず、通常のゴミ箱に捨てる。あるいはUSBやモバイル端末などのデータを削除せず廃棄し、情報が漏洩する

クラウドサービスの設定ミス
クラウド内の重要データが、外部から誰でも閲覧できる状態になっており、情報が漏洩する

置き忘れ・紛失
会社のPCやUSB、資料などを社外へ置き忘れたり、紛失したりすることで情報が漏洩する

内部不正による情報漏洩とは?

従業員など組織の内部犯によって、機密情報が不正に窃取・流出されることを指します。

▼内部不正による情報漏洩の例
アクセス権限の悪用
現職の従業員や、役員などが業務用のアクセス権限を悪用し、重要情報を持ち出したり、売却したりする。また退職者が元就業先の権限を利用し、情報を持ち出すケースも多い。

内部不正による具体的な事例として、2023年に大手通信会社で起きた顧客情報の不正持ち出し事件があります。犯人はコールセンター用システムの運用保守を依頼していたパートナー企業の元派遣社員で、システムの管理用アカウントを悪用し、サーバに不正アクセスして顧客情報928万件を不正に持ち出したとのことです。

元派遣社員は顧客情報をUSBに保存して持ち出しましたが、記録媒体の持ち込みをチェックする体制が取られていなかったことも、原因の1つとされています。

2023年の情報漏洩・紛失事故の件数は過去最多に

国内の情報漏洩被害は、サイバー攻撃や働き方の多様化が進むとともに、右肩上がりで増加しています。

株式会社東京商工リサーチが2024年に発表した調査結果によると、2023年の個人情報の漏洩・紛失事故は175件で、事故件数は調査を開始した2012年以降、最多となりました。
株式会社東京商工リサーチにおける、2024年「情報漏洩・紛失事故の年次推移」グラフ
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ

情報漏洩の原因は「外部攻撃」が最多。しかし「内部不正」は昨年の5倍に増加

2023年の情報漏洩・紛失事故“原因”の内訳を見ると、外部攻撃にあたる「ウイルス感染・不正アクセス」が93件(構成比53.1%)で最多となっています。
株式会社東京商工リサーチにおける、2024年「情報漏洩・紛失事故の原因内訳」グラフ
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ

次いで、人的ミスに起因する「誤表示・誤送信」が43件(同24.5%)、内部不正による「不正持ち出し・盗難」が24件(13.7%)と並ぶ結果となりました。

とくに「不正持ち出し・盗難」は、前年の5件から約5倍に増加するなど、内部不正による情報漏洩事故へ改めて注意する必要性が伺えます。

「外部攻撃」に対する5つの情報漏洩対策


外部攻撃に対する情報漏洩対策は主に以下の5つがあげられます。

1.アンチウイルスやEDRを導入し、エンドポイントを守る
2.ネットワークの不正アクセスを検知するシステムを導入
3.OS・ソフトウェアを最新の状態に保つ
4.多要素認証など認証強化をおこなう
5.信頼できないメールやWebサイト、添付ファイルの扱いに注意する

ここからは、それぞれの対策について解説します。

1.アンチウイルスやEDRを導入し、エンドポイントを守る

外部攻撃による情報漏洩では、ウイルスなどのマルウェアに感染し、攻撃者にPCやサーバ内の情報を盗まれてしまうケースが多く報告されています。攻撃に利用されるマルウェアは「未知のマルウェア」であることも多いため、企業はこうしたマルウェアにおいても検知も可能な、強力なアンチウイルスを導入し、エンドポイント(PCやスマートフォンなど)を感染から守る対策が欠かせません。

またアンチウイルスとあわせて、マルウェアの事後検知に強い「EDR」の導入もおすすめです。EDRはエンドポイントを24時間365日監視し、万一感染した場合も、速やかな検知と対応をサポートするセキュリティです。

関連ページ

アンチウイルスとセットで導入する!運用負荷の少ないEDR「CylanceOPTICS」

2.ネットワークへの不正アクセスを検知するシステムを導入

社内ネットワークの不審な通信を検知することで、システムやネットワークに侵入した脅威を早期に検知・対応することが可能です。

例として
・ネットワークへの外部侵入を境界型でブロックする「ファイアウォール
・ネットワークの異常な通信を検知・遮断する「IDS / IPS
・Webアプリケーションの保護に特化した「WAF

などがあります。

またネットワーク全体を監視し、脅威の侵入にリアルタイムで対応できるセキュリティ製品「NDR」の導入もおすすめです。弊社では、ネットワーク全体の通信状況を可視化し、異常な挙動を速やかに検知する、NDR「Darktrace(ダークトレース)」を提供しています。

関連ページ

AIがサイバー攻撃を自動検知。全世界で 9,200社以上が導入する NDR「Darktrace」

3.OS・ソフトウェアを最新の状態に保つ

攻撃者は、OSやソフトウェアの脆弱性(セキュリティ上の欠陥)を突いて、組織のネットワークやシステムに侵入し、情報窃取を試みます。

よってOSやソフトウェアをこまめにアップデートし、修正プログラムを適用して、小まめに脆弱性を解消する取り組みが重要です。

4.多要素認証など認証強化をおこなう

攻撃者は、不正に入手したIDやパスワードなどの認証情報を利用し、組織のシステムやサーバへと侵入します。

第三者の不正ログインを防止するには「多要素認証」などを導入し、認証を強化する対策が有効です。

多要素認証とは、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。

▼多要素認証のイメージ

仮にIDやパスワードが漏れてしまっても、多要素認証を導入しておけば認証を突破されるリスクを軽減できます。

関連ページ

例でわかる!多要素認証(MFA)とは?仕組みや種類・二段階認証との違いをわかりやすく解説

5.信頼できないメールやWebサイト、添付ファイルの扱いに注意する

メールの不審な添付ファイルを開封する、あるいは不正なWebサイトに訪問することで、意図せずマルウェアに感染し、システム内へ侵入されたり情報を窃取されたりする可能性があります。

またフィッシング詐欺のように、偽サイトへ誘導して個人情報を盗む手口も常習化しているため、企業は従業員に対し、怪しいWebサイトやメールの取り扱いについて、注意喚起することが重要です。

Webサイト訪問時は、URLに不審な点がないか、アドレスが「https」から始まっているか等を確認します。メールについても安易に添付ファイルやURLをクリックせず、送信元への問い合わせや、速やかな上長への報告・相談をおこないましょう。

5分でできる!
情報セキュリティセルフチェック
これだけは押さえておきたい
情報セキュリティ43項目

資料をダウンロードする

人的ミスに対する情報漏洩対策


「人的ミス」に対する情報漏洩対策は、主に以下の3つがあげられます。

1.メール誤送信が発生しないよう、仕組み化する
2.情報端末の持ち出し・持ち込みを制限する
3.移動中や社外で重要情報を閲覧しない

1.メールの誤送信が発生しないよう、仕組み化する

人的ミスによる情報漏洩で頻発しているのが「メールの誤送信」であり、ミスを防ぐには、誤送信が発生しない仕組み作りが重要となります。

▼誤送信を防ぐ仕組みの例
・第三者を入れて、ダブルチェックを行う
・送信の一時保留機能を有効にする
・CCやBCCに、上長のアドレスを入れる
・オートコンプリート機能を無効にする

また誤送信対策に関する、セキュリティツールを導入するのも1つの手です。

2.情報端末の持ち出し・持ち込みを制限する

PCやスマートフォンなどの情報端末を外部に持ち出すと、紛失や置き忘れ、盗難などが発生する可能性があります。外部への情報端末の持ち出しは基本的に禁止にするか、持ち出す場合は上長の承認を得るなど、厳格なルールを設けることが有効です。

また、持ち出しとあわせて「私物端末の持ち込み」も、適切なルールの設定や利用制限を行いましょう。許可なく私物端末を利用してしまうことで、悪気なくUSBやモバイル端末に会社の情報を入れて持ち出したり、接続した使用デバイスからマルウェアが広がったり、といったリスクも考えられます。

3.移動中や社外で重要情報を閲覧しない

商談や自宅作業のため、業務用端末を社外に持ち出すこともあるでしょう。しかし、移動中やカフェなどの公共の場で、顧客情報や機密データを閲覧すると、第三者にのぞき見される危険性があります。

また、通信が暗号化されていないフリーWi-Fiを利用した場合、悪意ある第三者にデータが傍受される可能性もあります。

重要な情報は社内の安全なネットワーク環境でのみ閲覧する、ポケットWi-Fiやデザリングを使用するなど、あらかじめルールを設けておくと良いでしょう。

内部不正に対する情報漏洩対策


内部不正に対する情報漏洩対策として、以下の2つがあげられます。

1.ユーザー操作のログを取得・監視する
2.アクセス権限の最小化・最適化をおこなう

1.ユーザー操作のログを取得・監視する

内部不正による情報漏洩対策として、ユーザーの操作ログの取得・監視が有効です。

ログを見ることで、社員のうち「いつ」「だれが」「どのような操作をしたか」がわかるので、情報漏洩が発生した際、速やかに原因を特定できます。

また事前に「ログ取得」の件を社内周知することで、内部不正の抑止にも効果を発揮します。

2.アクセス権限の最小化・最適化をおこなう

社内機密など重要なデータへのアクセス権限を広げるほど、不正アクセスや持ち出しのリスクも高まります。

例えば、システムの管理アカウントには情シス部門のみ権限を付与する、機密情報は幹部陣のみアクセス権限を与えるなど、アクセス権限の最適化・最小化をおこないましょう。

社員のセキュリティ教育は、全ての情報漏洩要因において必要


外部要因・内部要因を問わず、企業・組織が情報漏洩を防ぐためには、従業員のセキュリティリテラシーを向上させるための取り組みが欠かせません。セキュリティへの知識や危機意識は個々で差があるため、セキュリティ教育によって底上げを図る必要があります。

教育の具体的な例
・不審なメールの添付ファイルや文面の URL を安易にクリックしない
・業務に関係ない Web サイトやフリーソフトを利⽤しない
・私物のデバイスを会社のネットワークに接続しない
・SNSで業務に関する情報を発信しない
・簡易で推測されやすいパスワードを利用しない

また情報資産の取り扱いについて、セキュリティポリシーを策定・周知することも、組織全体のセキュリティの向上を図る上で重要です。

関連ページ

情報セキュリティポリシーを見直して安全な業務環境を構築する

内部要因による情報漏洩対策なら IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」にお任せ


MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版 」なら、業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末を一元管理し、セキュリティを向上することが可能です。

LANSCOPE エンドポイントマネージャー クラウド版には、情報漏洩対策に有効な以下の機能が備わっています。

▼機能の一例
・PC・スマホの「操作ログ」を自動で取得
・PC・スマホ・タブレットの利用状況を「レポート」で見える化
・あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
・万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
・Windowsアップデートの管理
など

内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。

情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。

また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。

詳しい機能は、以下のページよりご覧ください。

関連ページ

LANSCOPEエンドポイントマネージャークラウド版について

まとめ

今回は「情報漏洩」をテーマに、原因別に10の対策をご紹介しました。

本記事のまとめ

  • 情報漏洩の原因は、大きく分けると、「外部攻撃」「人的ミス」「内部不正」の3種類
  • 外部攻撃に対する対策は、「アンチウイルスやEDRの導入」「ネットワークへの不正アクセスを検知するシステムの導入」「OS・ソフトウェアのアップデート」「多要素認証などによる認証強化」がある
  • 人的ミスへの対策として、「メールの誤送信が発生しない仕組みづくり」「情報端末の持ち出し・持ち込みの制限」「社外での重要情報の閲覧制限」などがある
  • 内部不正への対策としては、「ユーザー操作のログ取得・監視」「アクセス権限の最小化・最適化」などが有効
  • セキュリティ教育やポリシーの周知は、情報漏洩を防ぐうえで必要不可欠

企業・組織が保有する個人情報や機密情報が漏洩してしまった場合、社会的な信用を失うだけでなく、損害賠償責任が生じる恐れもあります。「外部攻撃」「人的ミス」「内部不正」など原因によって行うべき対策は異なりますので、最適な対策を講じるようにしましょう。

またエムオーテックス(MOTEX)では、自社の情報セキュリティ対策の課題をセルフチェックできる、43項目のチェックシートをご用意しました。ぜひあわせてご活用ください。

5分でできる!
情報セキュリティセルフチェック
これだけは押さえておきたい
情報セキュリティ43項目

資料をダウンロードする

関連する記事