企業では常に多くの情報を取り扱っています。その情報の重要性や価値も高まっており、管理や情報セキュリティ対策について頭を悩ませている担当者の方も多いようです。

特に、情報漏えいは企業や組織にとって大きなリスクとなります。組織としての信用を失うのみでなく、個人情報が漏えいすると多額の損害賠償を請求されるケースも少なくありません。今回は情報漏えいの発生パターンとその対策についてご紹介します。

情報セキュリティについて詳しく知りたい方はこちら

情報漏えいの発生パターンは?

NPO日本ネットワークセキュリティ協会(JNSA)の調査によると2018年の1年間で443件の個人情報漏えいが発生しており、漏えい人数は560万人以上にのぼります。

これは個人情報に限定したデータであり、その他の情報漏えいまで含めるとその数はさらに多くなります。

情報管理やセキュリティ対策への意識が高まったことにより、漏えい件数、人数ともに減少傾向にありますが、一方で1件あたりの平均想定損害賠償額は増加しているため、依然として企業にとって大きなリスクであることに変わりはありません。

そんな情報漏えい事故にはいくつかの発生パターンがあります。情報の多くが紙媒体で管理されていた頃は物理的な原因がほとんどでしが、近年では原因や発生パターンも多様化しています。

人的ミスによる情報漏えい

NPO日本ネットワークセキュリティ協会(JNSA)の「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」によると、情報漏えいの原因としてもっとも多かったのが「紛失・置き忘れ」で、次いで「誤操作」となっています。この2つの原因で全体の半数以上を占める225件の情報漏えいが起こっています。

「紛失・置き忘れ」では、情報の記載された書類などの紙媒体のみでなく、業務上のデータの入ったUSBメモリなどのメディアやノートPCやタブレットなどの端末そのものを置き忘れたり紛失したりすることによって多くの情報漏えいが起こっています。

「誤操作」では、メールやFAXの誤送信によって多くの情報漏えいが引き起こされています。

媒体や経路別に確認してみると、依然として紙媒体による漏えいがもっとも多い一方で、近年ではインターネット経由の件数も増加傾向にあります。

不正アクセスによる情報漏えい

人的なミスに次いで多いのが、不正アクセスによる情報漏えいです。同調査によると、割合としては約20%を占めています。世界的にセキュリティ対策が進められている一方で、不正アクセスの手口も巧妙化しており、防ぎきれないのが現状です。そのため、全体として情報漏えいの件数は減少傾向にありますが、不正アクセスの件数は逆に増加しています。

具体的な方法としては、外部の第三者がさまざまな手段でネットワークのアクセス制限を突破して個人情報などを盗まれるといった被害が挙げられます。

ワームやウイルスの感染によって情報漏えいが起こるケースもあります。こちらはウイルス対策ソフトの進化などによって減少傾向にあり、2018年にはわずか1件に留まっていますが、依然としてリスクがあることは頭に入れておくべきです。

そのほかにも情報漏えいのリスクは多くあります。以下の記事でご紹介していますので、ぜひ参考にしてみてください。

マルウェアの脅威や対策について知りたい方はこちら

情報を盗み出すソーシャルエンジニアリングについて詳しく知りたい方はこちら

盗難や内部犯罪・不正行為による情報漏えい

2018年同調査では、盗難による情報漏えいの占める割合は全体の約4%、内部犯罪や不正行為は約3%です。こちらも年々減少し続けていますが無視できる数値ではありません。

第三者が訪問者や清掃人、他支店の社員などを装って内部に入り込み、物理手段によって情報が盗まれるという実例もあります。

現代ではあらゆる情報がデジタルデータ化されていますので、USBメモリなどを使用することで大量の情報を盗むことができます。そのため、件数は少なくても1度に大量の情報が盗まれる可能性が高いのです。

 情報漏えいを防止するためには?

前述の通り、情報漏えいの防止は現代の企業にとって大きな課題のひとつです。以前と比べると社会全体でセキュリティに対する意識は高まっていますが、依然として情報漏えい事故は発生し続けています。

そこで、続いては情報漏えいへの対策をご紹介します。

多角的なセキュリティ対策を行うことが企業にとって重要です。サーバーのセキュリティ対策やクラウド型の対策についても知っておきましょう。

以下の記事で詳しくご紹介していますので、ぜひご覧ください。

企業組織内でのサーバーのセキュリティ対策について知りたい方はこちら

クラウド型の対策について知りたい方はこちら

身のまわりの情報漏えい対策

普段の業務の中にも情報漏えいのリスクは潜んでいます。オフィスにはあらゆる場所に情報資産が溢れていますので常に注意を払う必要があります。

まず、常に机の上を整理整頓することが大切です。機密情報や個人情報などが記載された書類がすぐに見える場所に置きっぱなしになっているだけでも、情報の紛失や漏えいのリスクが高まります。

パソコンやタブレットにも多くの情報が保存されています。そこで、わずかな時間であっても席から離れる際にはディスプレイに情報が表示されないようにスリープやスクリーンセイバーに切り替えることはもちろんのこと、他人が容易に操作できないようにシステムからのログアウトやロックをかけることも重要です。

企業で使用されるノートPC、スマホ、タブレットの情報セキュリティについて知りたい方はこちら

情報取り扱いのルール化

上記の通り、情報漏えい事故の多くが人的ミスによって引き起こされています。これを防止するために有効なのが情報取り扱いのルール化です。

重要な情報の所在を明らかにし、管理を強化した上で取り扱い方法を定め、明文化します。具体的にはデータを外部に持ち出す際の許可手続きや、持ち運びの方法、不要になった際の処理の方法に至るまでルール化し、周知することで多くの人的ミスを防止できます。

万が一情報漏えいが発生した場合の対処や、報告の手順についてもあらかじめルール化しておくことによって被害を最小限に留めることが可能です。

システム管理体制・セキュリティの強化

人的ミスに次いで多い不正アクセスによる情報漏えいを防止するために重要なのがシステム管理体制の強化です。重要な情報へのアクセス権限を設定し、情報の閲覧が可能な人数を減らすだけでも大幅にリスクを軽減できます。

管理権限者を設定して情報を持ち出す際には必ず管理者を通して日時や用途などを記録しておけば、常に情報の所在を把握することが可能です。

不正アクセスやサイバー攻撃対策としては、システムで使用しているOSや各種アプリケーションのバージョン管理も欠かせません。バージョンを常に最新に保つことで、セキュリティホールが発生するリスクを減らせます。

現代ではゲートウェイでの不正アクセスの防止は当たり前に行われています。それでも、完全に不正アクセスを防止することは困難です。フォルダやファイルのパスワード設定や、暗号化などによる悪用防止対策も大切です。

サイバー攻撃の手口が多様化していることもあり、1種類のセキュリティで重要な情報を守りきるのは困難です。現代では多層エンドポイント管理やセキュリティの構築が求められています。

社内の情報を確実に守るために、ファイル共有ソフトやメール、無線LANの使用時にもセキュリティ対策を行うことが重要です。以下の記事で詳しくご紹介していますので、ぜひご覧ください。

ファイル共有ソフトの危険性と対策について知りたい方はこちら

メールを使用する際の情報セキュリティ対策について知りたい方はこちら

企業組織内で使われる無線LAN使用で起こりうる情報セキュリティ問題と、その対策について知りたい方はこちら

まとめ

情報の保護やセキュリティは現代の企業や組織にとって、大きな課題のひとつです。万が一情報漏えい事故が発生すれば、大きな打撃を受けることになります。そこで、情報漏えいの発生パターンや原因を知った上で、自社に必要なセキュリティ対策を行うことが大切です。