企業ができる情報漏洩の対策は? 内部・外部の要因別に紹介
近年企業からの情報漏洩は増え続けており、対策が急務となっています。社内の重要な情報を守るためには、どのような対策を行えばよいのでしょうか。
今回は、企業ができる情報漏洩対策を、外部要因・内部要因によるものに分けて解説します。情報セキュリティの管理体制を構築する方は、ぜひ参考にしてください。
情報漏洩の対策前に解明しておきたい原因
情報漏洩の対策をする前に、情報漏洩を引き起こす原因について理解しておきましょう。
1.ウイルス感染・不正アクセス
パソコンがウィルスに感染することで、情報が漏洩することがあります。特に、個人のパソコンはウィルス対策が施されていないことが多く、私物のパソコンに持ち込んだ会社のデータが流出するケースが多く報告されています。
また、流出したIDとパスワードを用いた不正アクセスによって、情報を抜き取られる危険性もあります。
2.誤送信・誤表示
電子メールの送り先や添付するファイルを間違えるなど、誤送信が原因の情報漏洩は少なくありません。また、BCC機能を活用せずにメールを送信し、メールアドレスを誤って他人に伝えてしまうこともあります。
Web会議が一般化した昨今は、意図しない画面を共有してしまう、誤表示による情報漏洩も起こっています。
3.紛失・廃棄ミス
社用のパソコンやUSBメモリの紛失も、情報漏洩の原因となります。また、重要な書類やCDをそのままゴミ箱へ廃棄し、悪意のある者に物色されて情報が奪われるといった、廃棄ミスによる情報漏洩も起こり得ます。
なお、USBメモリなど記憶媒体を廃棄する場合は「ファイル削除」などの操作では不十分です。専用のソフトウェアを使用するか、業者へ依頼して情報を確実に消去する必要があります。
4.情報の持ち出し
内部の人間が勝手に情報を持ち出したことが、情報漏洩につながるケースがあります。
退職間際の従業員が社外秘データを大量にダウンロードすることや、内部情報が入ったUSBメモリの盗難や紛失、持ち出し先の個人パソコンからの情報流出など、持ち出しからの情報漏洩は多岐にわたります。
内部要因によって生じる情報漏洩の対策
ここからは、企業の体制や内部関係者といった、内部要因によって起こる情報漏洩の対策について解説します。
1.外部に情報を持ち出さない
外部への情報持ち出しを制限することは、一定の漏洩対策になります。たとえば、社用パソコンの社外への持ち出し制限やUSBメモリの使用禁止といった、ハード的な制限が有効です。また、プライベートのクラウドサービスへ業務データをアップロードすることを禁止するなど、ソフト的な制限も効果に期待できます。
どうしても持ち出しが必要な場合は上長の承認を得る、持ち出し記録をつけるといった対策や、万が一の盗難・紛失に備えたパスワード設定やデータの暗号化を事前に行いましょう。
2.私物機器を持ち込まない
私物機器には、情報持ち出しとウィルス感染の危険性があります。いくら会社管理のデバイスに対して持ち出しの制限を行っていても、私物機器へ保存されてしまっては情報の持ち出しを防ぐことはできません。
また、私物機器はウィルスに感染している場合が多く、私物機器から社用パソコンやネットワークへ接続することで、社内へのウィルス感染が広まる恐れがあります。私物機器のセキュリティ管理などが難しい場合は、持ち込み自体を制限しましょう。
3.情報の管理体制を整える
社内で、情報セキュリティ対策を推進する管理体制を整えることも大切です。たとえば、情報セキュリティ事故が発生した際の報告先やセキュリティ担当者、担当者への報告フローおよび連絡体制を設けます。
セキュリティ担当者ごとの役職と役割、責任を持つ範囲については、情報処理推進機構 (IPA)が公開する「中小企業の情報セキュリティ対策ガイドライン」の「管理体制の構築」に具体例が記載されています。自社の組織体制に合った形の管理体制を整えましょう。
4.情報を公言しない
会社や取引先、業務に関わる情報を交えた会話は、公の場で控えることも忘れてはなりません。特に、業務後の飲み会や友人と過ごす休日は、気が緩みがちです。上司の愚痴や技術ノウハウなど、何気なく口にした言葉が、悪意のある第三者の耳に入る可能性は大いに考えられます。
会社側の対策としては、情報セキュリティについての教育体制を設けることが有効です。従業員に対し、計画に従った定期的かつ継続的な教育を行うようにしましょう。
外部要因によって生じる情報漏洩の対策
ここからは、不正アクセスやウイルス感染などの、外部の要因による情報漏洩に対する対策について解説します。
1.パスワードを強化する
パスワードは「長く」「複雑に」「使い回さない」が原則です。「Pass1234」などの予測が可能なパスワードを利用していては、ブルートフォース攻撃(総あたり攻撃)で容易に突破されてしまいます。また、さまざまなサイトで同じパスワードを使い回している場合、1つのサイトで漏れたパスワードから、芋づる式に不正アクセスを受ける危険性があります。
多要素認証やパスワードレス認証を導入するなど、認証の強化も効果的です。
2.忘れずアップデートを行う
OSやシステムのアップデートは、必ず実施してください。古い状態で放置されたままのOSやシステムは、脆弱性を狙ったサイバー攻撃のターゲットになります。
残念ながら、サイバー攻撃の手法は日々進化しています。重大な脆弱性の場合、数日アップデートが遅れただけで被害を受ける可能性もあります。WindowsアップデートやGoogle Chromeの更新プログラムなど、業務ツールのアップデートはできるだけ速やかに対応するようにしましょう。
3.デバイス制御によってセキュリティを強化する
セキュリティ上、好ましくない操作をあらかじめ禁止するデバイス制御は、情報漏洩対策として有効です。たとえば、外部ストレージの利用禁止、業務に不要なカテゴリのWebサイトへアクセス禁止といった制限を行うことができます。
デバイス数が多い企業では、MDM(モバイルデバイス管理)がおすすめです。業務端末を一括管理しながら、一斉にデバイス制限を行うことができ、管理負荷が削減できます。
4.セキュリティソフトを導入する
パソコンやスマートデバイスには、セキュリティソフトを導入しましょう。ウィルスに感染したデバイスから資格情報(IDとパスワード)を盗まれたり、データが暗号化され、復元のために身代金を要求されたりすることがあります。
BYOD(Bring Your Own Device、私物機器を業務で利用すること)を許可している組織の場合、私物のデバイスにもセキュリティソフトが導入されていることを確認したうえで、使用を許可しましょう。
【企業の備え】情報漏洩が起きた場合の対応プロセス
万が一情報漏洩が発生した場合の対応には、情報処理推進機構 (IPA)が公開する「情報漏えい発生時の対応ポイント集」が参考になります。
「①発見・報告」「②初動対応」「③調査」「④通知・報告・公表等」「⑤抑制措置と復旧」「⑥事後対応」の6つのフローと、それぞれの具体的な対応内容が紹介されています。
注意点としては、そもそも、この6ステップで対応するための管理体制が必要であることです。たとえば、「①発見・報告」では報告を行う先が明確な必要がありますし、「②初動対応」では想定されるセキュリティ事故への対応を、あらかじめ決めておかなければなりません。
情報漏洩が発生する前に情報セキュリティ管理体制を設け、ステップに応じた対応ができる準備をしておきましょう。
情報漏洩の対策についてのまとめ
企業の情報漏洩には、ウイルス感染や不正アクセスといった外部要因によるものと、社員の情報持ち出しやメールの誤送信などの内部要因によるものがあります。それぞれの要因に対して、適切な対策が必要です。
また、万が一情報漏洩が起こった場合に備えて、社内でセキュリティ管理体制を整えることが重要です。情報処理推進機構 (IPA)の「中小企業の情報セキュリティ対策ガイドライン」を参考に、自社にあった体制作り
を行うようにしてください。
【書式のテンプレートをお探しなら】
この記事に関連する最新記事
おすすめ書式テンプレート
監修者プロフィール