情報漏洩の原因を突き止める!デジタル化する社会で生き抜くための対策とは?
目次
こんにちは!イッツコムの池辺です!
「誰でも個人情報にアクセスできる状態になっていたことに今さらながら気づいた」
「外部から情報漏洩していることを知らされた」
ニュースなどで情報漏洩に関する報道を耳にすることも最近では多くなりました。「機密情報が漏れてしまった」「情報漏洩で多額の損害賠償を請求された」という事例は、デジタル化した現在では多々あるものです。
情報化社会が進展するにつれてますます情報セキュリティの重要度が高まっています。トラブル事例を耳にすると、自社のセキュリティは大丈夫なのか気になってしまうでしょう。そこで、この記事では情報漏洩の原因となるものを洗い出し、対策について詳しく考えていきましょう。
情報漏洩へのリスクに適切に対策するのが情報セキュリティを高めるコツです。自社のセキュリティを強化するためにも、しっかりとチェックしましょう!
情報漏洩の主な原因は何?
情報漏洩と言っても、その原因はさまざまです。情報漏洩の原因と聞いて「不正アクセス」をイメージする方も多いでしょうが、それだけではありません。
ここでは、情報漏洩を引き起こす4つの原因について詳しく解説します。適切な対策を考えるためにも原因についてしっかりと見ていきましょう。
社員の過失
社員の過失とは、社外に持ち出した情報を紛失したりメールを誤送信したりして情報が漏れることです。管理ミスで誰でも見られるところに情報を公開しているケースさえあります。「確かにありえる話だけど、そんな頻繁に起こるもの?」と考える方もいるでしょう。
しかし、2018年のデータによると、情報漏洩の原因で紛失・置き忘れ・誤操作・管理ミス・設定ミスが占める割合は66.6%です。
このように、情報漏洩のほとんどは社員の過失が原因だと言ってもいいでしょう。機密情報を守るには、紛失や管理ミスなどの社員の過失を防ぐことが大前提です。
内部不正
内部不正は従業員が悪意を持って情報を盗んだり漏洩させたりすることを指します。製品の設計情報を競合他社に売るケースなどがこれに該当します。
2018年に発生した情報セキュリティインシデントの原因のうち、内部犯罪・内部不正行為・不正な情報持ち出しは5%程度です。
頻繁に発生するものではありませんが、全く起こらないわけではありません。不測の事態に対して適切に対策することが大切です。悪意を持って大量の情報をばらまくケースもあり、その場合は被害が大きくなってしまいます。
サイバー攻撃
外部からの不正アクセス、フィッシングメール、SQLインジェクションなど、悪意を持った第三者が情報を盗むことを目的として攻撃を仕かけるのがサイバー攻撃です。情報漏洩と聞くとサイバー攻撃を思い浮かべる方も多いでしょう。
不正アクセスを原因とする情報漏洩は2018年時点で全体の20%になっており、油断するととても危険です。機密情報があるなら誰でも狙われる可能性があることを意識し、しっかり対策しましょう。
紛失や置き忘れに有効な対策
情報漏洩のリスクを下げるには、原因の多くを占めている紛失や置き忘れなどに対策することが重要です。紛失や置き忘れは過失で発生するものなので、いかに過失を防ぐかを考えましょう。
これから具体的な情報漏洩対策について3つご紹介します。何から始めればいいのか分からないという方は、まずはこちらをチェックしましょう。
情報の持ち出しを制限する
そもそも情報の持ち出しを制限してしまえば、紛失や置き忘れは発生しません。持ち出しを禁止するルールを作るだけではなく、社内の特定の場所からでなければ特に重要な情報にアクセスできないようにするのも有効です。
具体的には、ネットワークから切り離されたコンピュータに機密情報を保存し、特定のコンピュータでなければアクセス自体が不可能になるように設定します。ルールを決めるだけではいつの間にか形骸化する可能性もあるため、物理的に持ち出しできなくすると安全でしょう。
メール送信前の確認を徹底する
メールで情報をやり取りする機会が多い場合は、送信前に複数人で宛先とファイルを確認するなどの対策が有効でしょう。1人で送信するよりミスが発生するリスクを大幅に減らせるので、とても効果的な方法です。
デバイスやファイルにパスワードをかける
持ち出し制限や送信前の再確認では不十分だと感じるなら、デバイスやファイルにパスワードをかけてしまいましょう。パスワードがかかっていれば、万が一ファイルが流出してもパスワードを破られない限り情報が流出しません。
同じ理由で、ファイルの暗号化もとても有効な方法です。暗号化したファイルは復号化しない限り中身が分からないため、誤送信等で流出した場合でも重要な情報にアクセスされることを防げます。
内部不正に有効な対策
内部不正は発生するケースが少ないとはいえ、一度発生すると被害が大きく、社会的な信用度に及ぼす影響も甚大です。このリスクに適切に対策するには、アクセス権限を細かく設定したり本当に限られたユーザーしか重要な情報にアクセスできないようにしたりするのが有効です。
ここでは内部不正対策について詳しく解説しますので、現状を把握した上で適切に対策してくださいね。
情報にアクセスできるユーザーを限定する
機密情報にアクセスできるユーザーを限定するのは基本中の基本。限られた人しか情報にアクセスできなければ、不正を働くユーザーが紛れ込むリスクを減らせます。
権限を設定するときは、「この情報に本当にアクセスする必要があるのはどのユーザーだろうか?」と考え、必要ないユーザーに権限を付与してはいけません。また、特定のユーザーに多くの権限が集中しないようにすることも大切です。
監視を強化する
もうひとつの基本的なセキュリティ強化策が「監視の強化」です。アクセスログやセキュリティルームへの入退室記録などをしっかり取り、正しく管理することで不正を働きにくくなります。
これはオンラインサービスを使用してデータを管理している場合にも有用なもの。仮想PC環境を介して機密情報にアクセスする仕組みを構築することで、監視体制を強化するとともに情報のコピーや外部送信などを防げます。
サイバー攻撃に有効な対策
サイバー攻撃も多数発生しており、その手口は多様化・巧妙化しております。悪意を持った第三者にセキュリティホールを突かれて侵入されてしまえば、情報を根こそぎ奪われてしまうかもしれません。
これらを防ぐためにも、サイバー攻撃対策を万全にしておく必要があります。ここでは、主な対策を3つご紹介します。自社を守るためにも対策は急務です!
セキュリティホールを解消する
セキュリティホールとは、プログラムのバグによって発生した重大なセキュリティ上の欠陥を指すものです。これを放置すると、そこが不正アクセスやマルウェアをはじめとした不正プログラムの入り口になる可能性があります。
セキュリティホールは極めて危険なものなので、速やかに解消する必要があります。ただし、サードパーティのサービスを使っている場合は、セキュリティホールの修正パッチを用意するのはサービス提供元です。
情報セキュリティの専門家を設置する
自社でシステムを運用しているなら、情報セキュリティの専門家を設置することが必要です。サイバー攻撃の手口は巧妙化しており、適切かつスピーディに対策するには専門家の力が欠かせません。
もし、あなたの会社がまだ情報セキュリティの専門家を設置していないなら、セキュリティインシデントが発生して手遅れになる前に急いで設置しましょう。
セキュリティの高いサービスを活用する
現在使用しているサービスの提供元がセキュリティホールの修正パッチを配布しないときや、さまざまな事情で情報セキュリティの専門家を設置できないこともあるかもしれません。
その際は、セキュリティ強度に定評があるサードパーティのサービスを活用するのもひとつの方法です。近年はビジネス用途に特化したセキュリティ重視のサービスなどもあるので、うまく活用すればコストを抑えつつセキュリティの強化を図れます。
情報をハイセキュリティのクラウドストレージに保存してまとめて対策!
「自社では十分なセキュリティ対策を施せない」「予算や人材確保が高いハードルになっている」と感じる方もいるでしょう。また、「できる限り簡単に高いセキュリティを確保したい」と思う方も多いでしょう。
そこでおすすめなのが「ビジネス向けクラウドストレージ」です。ビジネスで使うことを前提に開発しているものなら、セキュリティを重視したものも多く、機密情報を安心して保存できます。自社でハイセキュリティのファイルサーバーを構築したりセキュリティルームを運営したりするのが難しい場合は、この機会に乗り換えましょう!
ゼロトラストアーキテクチャの導入も効果的
テレワークなどでオフィス以外の場所で勤務する人が増えたことによるセキュリティ対策で悩んでいる方も少なくはないでしょう。テレワークにも対応できるセキュリティ対策をお探しなら、ゼロトラストアーキテクチャの導入もご検討ください。
ゼロトラストアーキテクチャは、あらゆるデバイスが社内ネットワークやアプリケーションにアクセスする際に一定の認証をすることで高いセキュリティを確保するものです。具体的には以下の要素を認証に用います。
・アクセスを要求しているデバイスが承認済みか
・セキュリティソフトをインストールしており、最新版にアップデートしているか
・不正プログラムがインストールされていないか
・正規のユーザーが使用しているか
社内・社外を問わず一律で上記の認証をすることで、危険なデバイスが社内ネットワークにアクセスすることを防げます。テレワーク環境にもスムーズに対応できますので、テレワークの際のセキュリティ対策にお悩みの際は、ぜひこちらもご検討ください。
イッツコムではISO27001を取得した「box」を提供
イッツコムでは、数あるビジネス向けクラウドストレージの中でもセキュリティに定評がある「box」を提供中!
boxは情報セキュリティの国際規格であるISO27001に準拠しており、必要なセキュリティを高いレベルで備えているのが特徴です。具体的には、以下のような機能を実装しています。
・細かいアクセス権限設定
・ログ管理
・不正アクセス検知
・メール通知
もちろん、boxはセキュリティが高いだけではなく使い勝手も良好。多くのユーザーが共同で1つのファイルを編集したり、ビジネス向けツールと連携したりすることも可能です。
セキュリティと利便性を両立させたい方におすすめなので、boxをご検討中の方やもっと詳しく知りたい方は一度イッツコムにご相談ください!
インターネットを使わない「モバイル閉域接続」も併用すればもっと安全
イッツコムでは、インターネットを使わずに社内サーバーなどにアクセスできる「モバイル閉域接続」も提供中です。使用するのはNTTドコモとイッツコムの閉域網で、相互に接続しているのでインターネットを経由する区間はありません。
「業務でインターネットを使うときには社内のルータを経由してほしい」などのニーズにも対応可能です。すべての通信を社内ネットワーク経由にできるので、社外のアクセスに社内のセキュリティポリシーを適用できますよ。
複雑な作業は必要なく、専用SIMを使うだけでOKなのでとても簡単です!「手間やコストを抑えたいけどセキュリティレベルはできるだけ高めたい」と思っている方にも有用なので、ぜひこちらもご検討ください。
まとめ
情報漏洩は社員の過失やサイバー攻撃など、さまざまな原因で発生するものです。総合的にこれらのリスクに対策するには、ハイセキュリティの情報管理システムを構築しなければなりません。
手間をかけずにハイセキュリティの情報管理システムを構築したいなら、ぜひboxをご活用ください。boxなら自社で複雑な作業をする必要はありません。簡単にセキュアな情報管理システムを入手できますよ。
イッツコムではboxの導入をサポートしていますので、興味をお持ちの方は一度ご相談ください。ほかにもさまざまなサービスを提供しており、あなたの会社の状況にあわせたサービスをご提案いたします。
