情報漏えい対策とは?企業のセキュリティ対策・教育の重要性

情報漏えい対策とは?企業のセキュリティ対策・教育の重要性
2022.3.14(2024.03.27更新)

企業による重要情報の漏えい事故に関する報道を、たびたび目や耳にする機会があります。これらの事故は場合によっては重大な責任問題に発展するケースもあり、企業の存続にかかわる事態にもなり得ます。この記事では企業の情報漏えい対策の重要性をご説明し、セキュリティ対策の強化や社内教育の必要性についてご紹介します。

セキュリティ無料相談

目次

企業にとって情報漏えい対策が重要な理由

企業が管理している重要な情報が外部に漏れ、大きな問題へと発展したケースがたびたび報じられています。ここでは、企業の情報管理や漏えい防止がなぜ必要で、重要な取り組みであるのかについてご紹介します。

情報漏えいによる影響とは?

1.企業の信頼喪失

企業による情報漏えい事故の発生が報じられると、多くの方がその事実を知ることになります。そのなかには「情報の管理を適正に行わない企業」とイメージを持ってしまう方も一定数いるため、企業そのものの社会的な信頼度は悪化してしまいます。また失った信頼を取り戻すには長い時間が必要になります。こうした企業のイメージダウンや信頼喪失は多くの顧客や取引相手を失うなど、多大な損失につながるケースも少なくありません。

2.損害賠償などによるダメージ

顧客データなどの情報漏えい事故により、顧客や取引先がSNSでの風評被害や取引先の営業活動やサービス運営の停止といった直接的な損害を受けることとなった場合、損害賠償を負担する必要が出てきます。その金額が膨大なものとなったケースも実際にあり、企業の存続にかかわる事態を招く可能性もあります。

情報漏えいの原因

情報漏えい・紛失事故 原因別件数
出典:東京商工リサーチ「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」

情報漏えい事故が起こる過程には、必ず何らかの原因があります。東京商工リサーチの調査によると、情報漏えい・紛失事故でもっとも多い原因は「ウイルス感染・不正アクセス」です。ついで誤表示・誤送信が多い結果となっていて、人的ミスによる情報漏えいや紛失事故も多いことがわかります。ここでは、情報漏えい事故が引き起こされる理由や要因について詳しく見ていきましょう。

内部の人間によるミス・不正によるもの

まず、従業員による人的ミスや不正により、情報が外部に流出してしまうケースが挙げられます。

誤表示・誤送信

誤送信・誤表示により、個人情報が漏えいしてしまうケースがあります。
メールの誤送信の例としては、BCCとCCを間違え、送った相手に全員のメールアドレスが閲覧できるようになっていたり、機密情報が記載されたファイルを本来送る相手とは別の方に送ったりといったケースがあります。
誤表示はWebサービスのマイページにログインしたら、別の方の個人情報が出てきたというケースがあります。

紛失・盗難・廃棄

自宅で業務を行う為に書類や端末を持ち帰ろうとした際、電車内などの公共の場に置き忘れ、紛失してしまうこともあります。特に最近は多くの企業でテレワークが導入されている影響から、持ち運びしているノートPC・タブレット端末の紛失・盗難が目立っています。
その他、事務所に盗難目的に侵入され、個人情報を含む書類やHDDが被害に遭うケースの他、ノートPC・スマホ・タブレット・USBメモリが置き引きや車上荒らしの被害に遭うケースもあります。
また、個人情報が記載された書類などの誤廃棄も個人情報の漏えいにあたることがあります。

不正持ち出し

ミス以外でも、従業員や退職者など、内部の者の不正行為によって故意に情報を外部に渡してしまうケースも散見されます。

内部不正による情報漏えい事故の詳細は、以下の記事でもご紹介しています。

外部からの攻撃によるもの

情報漏えいの原因として、もっとも多いのは「ウイルス感染・不正アクセス」といった外部からの攻撃によるものです。標的型攻撃による企業内端末のマルウェア感染や、何者かによる情報端末の盗難など、悪意ある第三者によって情報流出を図られます。

マルウェア・ランサムウェア

マルウェアは、悪意のあるソフトウェアのことで、ウイルスやワーム、トロイの木馬など、ユーザーのデバイスに悪影響をもたらします。ランサムウェアは、マルウェアの1種です。ランサムウェアに感染した端末はロックしたりファイルを暗号化させたりして、使用できないようにしたのち、元に戻すことと引き換えに身代金を要求してくるという特徴があります。
さらに、ランサムウェア攻撃は何重にも脅迫を行うよう進化しており、現在では四重脅迫まで存在しています。

  • (1重脅迫)システムを暗号化し、業務を停止させランサム(身代金)を要求。
  • (2重脅迫)データの暗号化と同時に窃取。公開されたくなければ身代金を支払うよう要求。
  • (3重脅迫)攻撃対象のパートナーや顧客に、情報が洩れていることをリークし、身代金を支払うことを攻撃対象企業に提案させる。
  • (4重脅迫)DDoS攻撃でさらに追い打ちをかける。

そのほか「ノーウェアランサム」という新たな脅威を見つかっています。ノーウェアランサムとは、データを暗号化せずに盗み出し、それを公開しないように身代金を要求する「2重脅迫」を起点とするサイバー攻撃のことです。

詳細は、関連コラム「被害が増加する新たな脅威「ノーウェアランサム」とは?その手口や対策をご紹介」で紹介していますので、ぜひ参考にしてください。

また、情報漏えいを伴うマルウェアもあるため、注意しなければなりません。

標的型攻撃

標的型攻撃とは、機密情報を盗むことを目的として、特定の個人や組織を狙った攻撃のことです。たとえば、取引先などを装いマルウェアが添付されたメールやファイルを送り、感染させて情報を盗み取るという手口があります。
標的型攻撃は近年、取引がある企業を装い安全なメールだと思いこませるなど手口が巧妙化しています。代表的なものは次の3つとなります。

・問い合わせ後のフィッシングメール
BtoBサービス経由で送られてきた問い合わせから、フィッシングサイトへアクセスさせた事例が報告されています。内容は、「カタログがほしい」といった攻撃のそぶりが見えないやり取りから始まり、最終フィッシングサイトに誘導するというものです。

・Emotet感染を企図した攻撃メール
Emotetとはマルウェアの一種で、情報を抜き取るだけではなく、他者へウイルス感染を拡大させるコンピューターウイルスです。Emotetに感染すると、まずコンピューター内に保存されたメールの連絡先や本文などが攻撃者のサーバーに送信され、それらの連絡先に、Emotet付きのメールを送信することで、さらに感染を拡大させます。

攻撃者は、Emotetに感染させるため、さまざまなパターンのメールや不正ファイルを使用します。特に、「正規のメールへの返信を装う」攻撃メールには注意が必要です。この種類の攻撃メールは、受信者が過去に取引先などに送信したメールを引用し、返信部分に攻撃者が付け加えた文章が書かれています。この文章は添付ファイルの開封を促すものや不正ファイルのダウンロード先のURLリンクが記載されているなど、複数のパターンが確認されています。
メールの差出人は、受信者が過去にメールをやり取りした取引先の相手になりすまし、メールの件名も実際に過去送信したものを流用します。受信者が過去に送ったメールから返信されてきたように見せかけるため、URLリンクや添付ファイルを開いてしまいやすく、開いてしまうとEmotetに感染するというものです。
IPA(情報処理推進機構)ではEmotetによる攻撃メールに関する注意喚起を行っています。

・ヘルプファイルを悪用した攻撃メール
ヘルプファイル(コンパイルされたHTMLファイル)を悪用して攻撃を仕掛けるメールもあります。メールに添付された圧縮ファイル内に仕組まれており、ヘルプファイルを閲覧しようと開くと感染する仕組みです。
特徴として、メールにはRAR形式やZIP形式といったいくつかの圧縮形式のファイルが添付されています。圧縮形式のファイルにはヘルプファイルやWord文書ファイルが格納されています。

不正アクセス

不正アクセスとは、アクセス権限のない悪意のある第三者がサーバーや情報システムの内部へ侵入する行為のことです。他人のID・パスワードを盗んでログインしたり、システムの脆弱性を突いたサイバー攻撃を行ったりするケースがあります。不正アクセスにより、企業の機密情報が漏えいしたり、システムダウンしてしまったりなどのリスクがあります。

このように、情報漏えいの原因は内部、外部どちらにも存在し、加えて従業員に由来するケースもあります。そのため、それぞれの観点からセキュリティ対策を考えていく必要があるといえます。

情報漏えいを防ぐための対策

情報漏えいを防ぐための対策

ここでは、情報流出を防ぐための具体的な情報漏えい対策をご紹介します。

内部からの流出を防ぐために

内部からの流出を防ぐために必要なことは以下となります。

メール誤送信の防止

誤送信が起こらないように、メールの扱いには、運用ルールを決めましょう。たとえば、重要な情報を含むメールは第三者のチェックを経てから送信したり、宛先の候補表示を無効にしたりすると安心です。

情報の持ち出しを禁止する

企業内でセキュリティガイドラインや運用ルールのマニュアルを作成し、会社の承認なく情報の持ち出しができないよう具体的な規制と物理的な仕組みを設け、全従業員に周知を図りましょう。
データに対するアクセス権限の付与やデータ持ち出し申請・承認フローなどの仕組みを設けることでデータアクセス権限を与えられていない従業員の持ち出し防止につながります。ただし、データアクセス権限を持つ従業員の故意のデータ持ち出しはアクセス権限では防ぐことができないため、権限の設定とあわせて、アクセス履歴を記録する仕組みの導入をするとよいでしょう。
また、正規の手続きを経て情報をUSBやCD等の電子媒体に書き込み、持ち出したとしてもうっかり紛失してしまう場合が想定されます。電子媒体にパスワードを設ける、データそのものを暗号化する等の対策を施しましょう。
さらに、社内から個人のメールアドレス宛にファイルを送信するとデータを持ち出せてしまいます。ファイルを添付したメールの送信を禁止することも、データ持ち出しを防ぐ方法の一つです。

情報へのアクセスを制限

書類やデータの管理を徹底し、機密情報にアクセスできる社員を絞り込むことが必要です。また、USB経由でスマホからパソコンにアクセスできないようにUSBポートを物理的に、あるいはソフトで使用できないようにすることも必要です。

出入管理装置や防犯カメラの設置による抑止

悪意を持った情報漏えいを未然に防ぐ為には、出入管理装置や防犯カメラを設置するなどの対策を行っておくことが重要です。さらに、上記のような管理を行っていることを伝えておくだけでも情報漏えいの抑止効果があるといえます。
万が一、情報の持ち出しが発生しても発生日時の特定、犯行の証拠の確保ができます。

外部からの攻撃を防ぐために

外部からの攻撃を防ぐために必要なことは以下となります。

ウイルス対策ソフトを導入する

外部からの攻撃を防ぐためにまず導入したいのが、ウイルス対策ソフトです。ウイルス対策ソフトの中には、マルウェアやウイルスを検知して駆除してくれる機能や、外部ネットワークとの通信を制御するファイアウォール、迷惑メール対策などさまざまな機能が備わっています。

ネットワーク監視を導入する

ネットワークが正常に機能しているか、確認ができるネットワーク監視の導入も有効です。ネットワーク監視は、内外の不審な通信をブロックでき、性能に異常がないか障害につながる前兆がないかなどを確認できます。

適切なパスワード管理

IDとパスワードを適切に管理することも大切です。推測されにくいパスワードの設定はもちろん、パスワードの使いまわしは禁止にすると良いでしょう。
パスワードを忘れてしまわないようにメモを作成した場合、他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう。また、サービスごとに異なるパスワードを覚えておくのは大変です。パスワード管理ツールやサービスの利用もおすすめといえます。もちろん、充分に信頼できる安全なツールやサービスを利用することが重要です。これらのツールやサービスは、マスターパスワード(覚えられる充分に安全なもの)や、スマートフォンやノートパソコンといった利用デバイスのロック(顔や指紋といった生体認証など)で守る必要があります。
なお、上記ツールサービスの利用にあたっては、企業ごとに決まりを定めていることもあるため、情報システム担当者に相談・確認しましょう。

社員に対するセキュリティ教育

内部でのミスによる情報漏えい事故は、セキュリティ対策に対する意識の低さ・知識の乏しさにより起こるとも考えられます。全従業員の意識を高めるため、セキュリティ教育を目的とした研修活動などを積極的に実施しましょう。
業務を行う上で必要なシステムやツールは、社員のITリテラシーが十分であることを前提に作られているという認識を持つことが重要です。社員のITリテラシーが不十分だとツール類も正しく機能せず、業務効率が上がらないばかりか、情報漏えいリスクを増加させる危険があります。そのため、社員に対するセキュリティ教育は定期的に継続して実施することが大切でしょう。
次の項目では、社員へのセキュリティ教育の必要性についてもう少し詳しくご紹介します。

求められる社員のセキュリティ教育

ここでは、従業員へ向けたセキュリティ教育活動の具体的な内容の例をご紹介します。

社員に対するセキュリティ教育の例

先の項目でもご説明した情報漏えいによる具体的なリスクを、従業員に向けても啓蒙します。実際に起こった事案の例や、自社に当てはめた場合の詳細なリスクなど、情報漏えいに関する意識付けを行いましょう。
また自社で設けたガイドラインやマニュアルについても、定期的に確認を促す機会を設けましょう。せっかく設けたマニュアルや規約を形骸化させず社員に伝え、常時徹底できるよう取り組みましょう。
新人スタッフの入社時やプロジェクトへの参加時、あるいは退職時などに秘密保持誓約書の確認および署名を行うなど、機密情報に対する認識を徹底させることも重要です。

社員に対するセキュリティ教育活動の実施方法として

  • e-ラーニング
  • 座学(内製|外部講師を招聘)
  • 自主学習など

さまざまな実施方法がありますが、自社の課題感によって適切な方法を選びましょう。

これらを都度実施することで、内部不正を思いとどまらせるための心理的ハードルにもなるでしょう。

各種就業規則の例や誓約書のテンプレートは、以下に記載されています。
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/reference2.pdf

標的型攻撃メールに各従業員が正しく対応するための訓練も、定期的に実施しましょう。標的型攻撃メールは年々巧妙化しているため、対応方法もアップデートが求められます。実際に模擬メールを送って標的型攻撃メールに対する正しい対応方法を確認するなど、社員のITリテラシーの向上を図りましょう。

情報漏えい対策はALSOKにお任せください

ALSOKでは、企業向けのセキュリティサービスを多数ご提供しています。
ウイルス対策ソフトやIT資産管理といったセキュリティサービスはもちろん、標的型攻撃メールの訓練といった実践的なサービスもご用意しています。
警備会社であるALSOKならではの情報漏えい対策サービスを各種ご利用いただけます。

まとめ

情報漏えい事故を引き起こしてしまうと、企業の信頼喪失や取引先への損害賠償など大きな問題に発展する可能性があり、企業規模に関わらず情報漏えい対策は必要といえます。情報漏えいの要因は内部・外部どちらもあり、セキュリティガイドラインの設定やアクセス権の管理、ウイルス対策ソフトの導入やパスワードの適正な管理といったさまざまな要因にあわせた対策を行うことが必要です。また、内部でのミスによる情報漏えい事故は、セキュリティ対策に対する意識の低さ・知識の乏しさにより起こるとも考えられるため、社員に対するセキュリティ対策は定期的に継続して実行していきましょう。
情報漏えい防止を意識したセキュリティ対策の導入や強化をお考えの企業様は、ぜひALSOKまでお気軽にご相談ください。最適なサービス導入のアドバイスから、導入後のアフターサービスまで丁寧にサポートいたします。

セキュリティ無料相談