1. コラム
  2. コラム
  3. 情報漏えい対策14選!基本ルールからシステム管理方法まで徹底解説

情報漏えい対策14選!基本ルールからシステム管理方法まで徹底解説

情報漏えいの原因はサイバー攻撃だけでなく、メールの誤送信など人為的ミスによるものも目立ちます。情報漏えい対策には、情報の取り扱いに関するルール作りやセキュリティ教育を実施しつつ、アクセス制御・ログ監査などのシステム管理を取り入れることが重要です。

情報漏えい・紛失事故のリスクを減らすために、対策方法について理解を深めたい方もいるのではないでしょうか。そこでこの記事では、情報漏えい対策の動向と必要性、ルール作りやシステム管理方法を紹介します。

東京商工リサーチの統計によると、2012年から2023年までに漏えい・紛失した可能性のある個人情報は累計1億6,662万人分に達し、日本人の人口を超えています。2023年の情報漏えい・紛失事故のうち、原因別の構成比は以下の通りです。

・ウイルス感染・不正アクセス:53.1%
・誤表示・誤送信:24.5%
・不正持ち出し・盗難:13.7%
・紛失・誤廃棄:8.5%

情報漏えいの原因はランサムウェア被害などサイバー攻撃によるものだけではありません。メール送信やシステムの設定ミス、情報の不正利用や持ち出しなど、人為的な原因によるものも目立ちます。

個人情報流出件数が数十万件~数千万件の大規模事故も発生しており、「情報漏えいはいつ起こってもおかしくない」と強い警戒心を持って対策することが必要です。

(参考: 『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社 東京商工リサーチ』

【関連記事:情報漏えいとは?原因や警戒すべき理由、対策をわかりやすく解説

情報漏えいを防止するために必須の対策8選

情報漏えい事故は従業員のセキュリティリテラシー不足や不注意によるものも多いため、「情報の正しい取り扱い方」を社内で共有することが大切です。ここでは、情報漏えいを防止するために必須の対策として、基本的なルール設定やセキュリティ教育を解説します。

情報の持ち出し・持ち込みに関するルール設定

人為的ミスによる情報漏えいを防ぐために、情報やデバイスの不要な持ち出し・持ち込みは原則として禁止するのが得策です。

個人情報を保存したノートPCやUSBメモリを持ち出し、紛失や盗難により情報漏えいを招く事故が度々報告されています。セキュリティ対策の脆弱な私用デバイスを社内ネットワークに接続し、マルウェア感染の拡大を招くことも懸念すべきリスクです。

ただし営業パーソンなどに関しては、「一切持ち出さない」というのは難しい場合もあるでしょう。そこで持ち出し・持ち込みに関するルールを設定することが重要です。BYOD(私用デバイスの業務利用)を認める際にも、社内ネットワークに接続する際のルールや仕組みを整備しましょう。

【関連記事:BYODとは?メリット・デメリットや導入時の環境整備を分かりやすく解説

情報資産を未対策のまま放置しない

PC・タブレット・スマホで仕事をする場合、盗み見を防止するために、場所にかかわらず離席時にデバイス画面をロックすることは必須です。

業務上重要な書類をデスク上に放置したまま帰宅すると、本来は閲覧権限のない従業員の目に触れる他、盗難のリスクもあります。ID・パスワードのメモを放置するのも危険です。盗み見られるリスクがあるだけでなく、誤廃棄により不正アクセスの原因を作ってしまうことも考えられます。

気の緩みが情報漏えいの経路を増やすケースは少なくないため、情報資産を未対策のまま放置しないことが大切です。

ストレージや紙の廃棄に関するルール設定

古くなったPC・サーバやUSBメモリなどを廃棄する際、「重要な情報が読み取り可能な状態で保存されたまま」という場合があります。またファイルは削除済みに見えても、専門知識があれば復元可能です。このため専用のソフトで全データを完全に削除するか、ストレージを物理的に破壊してから廃棄しましょう。

紙の場合、機密情報・個人情報が記載された書類をそのままごみ出しするか処分業者に外注すると、最終処分までに第三者が閲覧・盗難する恐れもあります。重要な書類は廃棄するまで施錠可能な場所に保管し、廃棄現場に立ち会うなどして悪用されないようにしましょう。

業務上知り得た情報を公言しない

守秘義務の意識が低い場合、「従業員の記憶の中にある情報が漏えいする」ということも起こり得ます。友人・知人との集まりやSNSなどで、業務上知り得た情報を公言しないことは必須です。飲食店や列車内など、不特定多数の耳に入る場所で機密情報に関する話を避けることも求められます。

情報システム部門の担当者などを装って情報窃取を狙う攻撃手法もあるため、機密情報を話すことについて勉強会を開くなどの対策を検討しましょう。

怪しいメールやWebサイトにアクセスしない

ID・パスワードといったアカウント情報やクレジットカード情報の窃取を狙ったフィッシング、メールアドレス・メールデータの窃取を狙ったウイルス「Emotet(エモテット)」などのサイバー攻撃の被害が相次いでいます。攻撃手法は巧妙化しており、一見すると正規のWebサイト・メールと見分けがつかないケースも珍しくありません。

怪しいリンクや添付ファイルをクリック/タップしないこと、偽サイト・メールの判断基準を周知することなど、詐欺手法に引っかかって情報漏えいを起こさないための対策が求められます。

ID・パスワードを適切に管理する

認証方法としてIDとパスワードを利用するシステムは数多くあります。不正アクセスおよび情報漏えいのリスクを抑えるためには、ID・パスワードに関して以下のようなルールを設定することが重要です。

・ID・パスワードの使い回しをしない
・推測されにくいパスワードを設定する
・パスワードは定期的に更新する
・ID・パスワードを第三者に教えない

使用するシステムが多くなると覚えやすいID・パスワードを使い回しがちですが、1つのログイン情報の漏えいによる連鎖的な被害を抑えるには、使い回しを避けることをおすすめします。

また、業務システムの利用権を他者に譲渡すると、ログインしたアカウントから重要な情報にアクセスできてしまうため、無許可で権限を譲渡しないルールも必須です。

教育によりセキュリティ意識を向上させる

各従業員が対策しにくい原因による情報漏えい事故もありますが、多くは従業員のセキュリティリテラシー不足や不注意によるものです。情報の持ち出し・放置・廃棄・公言はもちろん、フィッシングやEmotetによる情報漏えいも、各自の判断力により防止できます。

従業員に情報漏えいのリスクと対策方法を理解させるために、多角的なセキュリティ教育を実施することは重要です。基礎的な内容から最新のサイバー攻撃手法まで、研修や勉強会を通じて周知し、各従業員のセキュリティ意識を高めましょう。

セキュリティソリューションを導入する

不正アクセスなどによる情報漏えいを防止するなら、社内ネットワークにセキュリティソリューションを導入することも効果的です。例えば以下3種類のツールを組み合わせ、多層的に不正アクセスを防止できます。

・ファイアウォール:ネットワークレベルの防御。ポートスキャンなどを防止
・IDS/IPS(不正侵入検知):プラットフォームレベルの防御。OS・ミドルウェアの脆弱性を悪用する攻撃などを防止
・WAF(Webアプリケーションファイアウォール):Webアプリケーションに特化した防御。SQLインジェクションやクロスサイトスクリプティングなどを防止

他にもモバイルデバイスやクラウドなど、複雑なシステム環境に対応するセキュリティソリューションもあります。

【関連記事:エンドポイントセキュリティとは?必要性とゼロトラストの実現方法

情報漏えい対策の効果を高めるシステム管理方法6選

情報の取り扱いについてルールを作成し、セキュリティ教育を実施しても、排除できない情報漏えいリスクもあります。不正アクセス・ウイルス感染やメールの誤送信などデジタルデータの情報漏えいリスクを抑えるには、企業側のシステム整備・管理が重要です。

脆弱なVPNの運用を見直す

インターネット境界に設置されたVPN装置の脆弱性(セキュリティ上の欠陥)を悪用し、社内ネットワークに不正アクセスして情報窃取活動を展開するサイバー攻撃が相次いでいます。テレワーク導入企業の間でVPNの利用が一般化していますが、自社内にVPN装置を設置する場合、サイバー攻撃者の標的になる恐れがあることは懸念点です。

VPN装置はランサムウェアの侵入経路として悪用されることもあるため、インターネットを経由しない閉域網接続など、より安全なリモートアクセスの方法を検討する必要があります。

【関連記事:ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説

システムの定期更新と脆弱性診断を行う

システムをアップデートしないまま使い続けると、既知の脆弱性を放置してしまい、サイバー攻撃に対して無防備になってしまう恐れがあります。VPN装置の脆弱性を狙ったサイバー攻撃のように、システム全体に1か所でも脆弱性があると、そこから社内ネットワーク内に侵入を許すかもしれません。このためシステムの更新と脆弱性の診断は重要です。

「脆弱性診断サービス」と呼ばれるソリューションを利用すると、SQLインジェクション・OSコマンドインジェクション・ポートスキャンなど、Webアプリケーション・OS/ミドルウェア・ネットワークの各階層でサイバー攻撃を許すリスクがないかを診断できます。

またシステム全体で利用しているOSやソフトウェアの既知の脆弱性を診断したり、更新プログラムの適切な管理・配布を支援したりすることも可能です。

クラウドストレージで情報を管理・共有する

メールの誤送信や受信メールのフィッシング、Emotetの感染などを避けるために、「メールを使わない情報共有の仕組み」を持つことも有用です。最適解は、大容量ファイルをスムーズにやり取りできるクラウドストレージでしょう。

例えば、各国の政府機関も採用する「Box」の法人向けプランは容量無制限です。ファイル単位のコメント・タスク機能などもコミュニケーションに役立ちます。サービスによってはセキュリティリスクもあるため、Boxのような信頼性の高いサービスを選びましょう。

【関連記事:Boxとは?クラウドコンテンツ管理の魅力や解決できる課題を解説

データへのアクセスを制御する

データへのアクセス制御は基本といえる情報漏えい対策です。例えば社内ネットワーク内にあるファイルに誰でもアクセスでき、閲覧・コピー・ダウンロードなどの操作を自由にできる場合、情報漏えいのリスクはかなり高いといえます。ファイルの重要性に応じて特定の操作ができる人物を限定し、情報漏えいの経路を遮断することが重要です。

OSのアクセス制御機能は限定的であるため、追加のセキュリティソリューションによるアクセス権限のコントロールが求められます。例えばBoxなら7段階のアクセス権限設定に対応し、ファイルやフォルダごとに詳細なアクセス制御が可能です。

システムへのログインを制御する

不正アクセスの懸念を払拭するために、システムへのログインを制御することも重要です。ID・パスワードは「知識」に依存する情報であるため、他者と簡単に共有できてしまいます。

このため顔認証・指紋認証などの生体認証、スマホで受信するワンタイムパスワードなどを組み合わせた、二要素認証を選択できるシステムも一般的です。知識・生体・所有物のいずれか2種類の認証情報(ユーザー本人であることを確認できる情報)を組み合わせることで、悪意ある第三者による不正アクセスを防止できます。

ゼロトラストに基づくログ監査を行う

社内でセキュリティ関連のルールを設定しても、不注意などで想定外のWebアクセスをする従業員が出る恐れもあります。また不正アクセスや情報窃取をするのは、外部のサイバー攻撃者だけとは限りません。「ゼロトラストセキュリティ(何も信用せず全てを検証する)」の考えを持ち、内部犯や退職者による不正アクセスなども情報漏えいリスクとして想定する必要があります。

このためWebアクセス・システムへのアクセス・ファイル操作など、各種ログを監査することも重要です。誰が・どこから・どこへアクセスし、どのような操作をしたかというログを取得することで、不審な挙動を検知できます。監査するログは膨大になりがちなため、使いやすいログ監査機能を備えたソリューションを導入・運用しましょう。

【関連記事:ゼロトラストとは?クラウド時代のセキュリティ対策をわかりやすく解説

情報漏えい対策に効くシステム整備はイッツコム!

情報漏えいの経路を減らすには、VPN装置やメールの脆弱性を対策することが大切です。イッツコムなら「モバイル閉域接続」によりVPN装置不要の安全なリモートアクセスを、容量無制限の「Box」でメール不要の安全なファイル管理・共有をサポートできます。

「モバイル閉域接続」でVPN装置不要の安全なリモートアクセス

テレワーク導入企業はVPNを導入することが一般的ですが、VPNにはID・パスワードの傍受やVPN装置のハッキングなどの情報漏えいリスクがあります。より安全なリモートアクセス環境を構築するには、閉域網接続を利用するのが得策です。

イッツコムの「モバイル閉域接続」なら、VPN装置を使わず、安全なリモートアクセスができます。デバイスに挿入した専用SIMカードにより経路判別し、NTTドコモ網・イッツコム網による閉域網を経由して社内ネットワークに接続する仕組みです。インターネットを経由しないため通信の事実自体を秘匿できる上、管理外のデバイスによる不正アクセスも防止できます。

また社外からインターネット接続する際も、社内LANを経由する仕組みです。このためWebアクセスログを監査でき、情報漏えいリスクの高い挙動も検知できます。

容量無制限の「Box」でメール不要の安全なファイル管理・共有

膨大な業務ファイルを安全に管理するのは悩ましい問題です。またメール依存の情報共有には、フィッシングやEmotet感染などのリスクがあり、不注意による情報漏えいを防ぎきれないこともあるでしょう。

法人向けに開発されたコンテンツクラウド「Box」なら、これらの悩みを総合的に解決できます。最高峰のセキュリティが求められる各国の政府機関などにも採用される上、法人向けプランは容量無制限です。

7段階のアクセス権限設定・70種類以上のログ監査・二要素認証など、総合的なアクセス制御機能が備わり、全てのファイルを安全に管理できます。デバイスを問わずいつでもどこからでもアクセスできるため、情報の持ち出しの必要もありません。

またBox単体でファイルへのコメント・タスク付与やプロジェクト管理もできます。Box上でコミュニケーションを完結できるため、メールを使う必要がなくなるのも大きな利点です。さらにAIによる未知のサイバー攻撃の挙動検知も可能で、情報漏えいリスクを最小限に抑えられます。

まとめ

情報漏えいの原因はサイバー攻撃だけでなく、メールの誤送信など人為的ミスによるものも目立ちます。従業員向けにセキュリティ教育を実施すると共に、VPNやメールから脱却して情報漏えいの経路を減らしつつ、ゼロトラストに基づくログ監査を実施しましょう。

イッツコムなら「モバイル閉域接続」や「Box」により、VPNとメールの脆弱性対策、さらにアクセス制御・ログイン制御・ログ監査の仕組み作りをサポートできます。情報漏えい対策に効くシステム整備をお求めなら、ニーズに合った多角的なアプローチを提案できるイッツコムにご相談ください。