情報漏洩の対策は何をすべき？企業を情報流出から守る方法も詳しく解説

情報漏洩の対策を原因別に紹介！

情報漏洩の原因と対策は一つだけではありません。情報漏洩の原因に応じた異なる対策を組みあわせて実践することで、初めてその効果を発揮します。まずは、企業が取るべき情報漏洩の対策を、原因別にわけて具体的に紹介します。

【外部攻撃】の対策

情報漏洩の原因となる「不正アクセス」や「ウイルス感染」という外部からの攻撃には、次のような対策が有効です。

1. セキュリティソフトの導入

情報漏洩の原因となる外部からの攻撃には、以下のようなものが挙げられます。

 

• マルウェア感染
•  Dos攻撃/DDos攻撃
• SQLインジェクション
• 標的型メール攻撃
• 不正アクセス
• ランサムウェア
• IoT機器およびスマートフォンを狙ったサイバー攻撃

これらのサイバー攻撃から情報漏洩を防ぐ最も有効な対策は、セキュリティソフトの導入です。ファイアウォールやIDS/IPSなどのセキュリティ製品を使用することで、自社のネットワークを多方向から防御することが可能です。

なお、近年は、パソコンだけでなく、IoT機器やスマートフォンを狙ったサイバー攻撃も増えています。そのため、タブレットやスマートフォンなどすべてのデバイスにセキュリティソフトを導入することが重要です。

ただし、複数のソフトを導入する場合は、相互作用によって正常に作動しない可能性があることに注意しましょう。また、セキュリティソフトの導入に際しては、検討しているセキュリティソフトが自社のニーズを満たすか、情報機器や端末に不具合を起こす可能性がないか、費用面での負担が大きすぎないかなどのポイントに留意して、慎重に選択することをおすすめします。

2. 不正アクセス検知システムの導入

不正アクセスとは、正当なアクセス権を持たない者がサーバー内部や情報システムにログインし、情報の漏洩や改ざん、その他の機能不全を引き起こす行為です。不正アクセスにより機密情報や顧客情報が流出すると、企業だけでなく社会全体に大きな影響を及ぼします。

この不正アクセスに対して高い効果を発揮するのが、不正アクセス検知システムの導入です。不正アクセス検知システムは、不審な取引やアクセスを判別し、遮断します。

近年は、手動で操作するポートスキャンやDDoS攻撃などのほかに、ロボットによるID/パスワードの総当たりログインやID/パスワードの盗用によるなりすましログインといった不正アクセスが増加しており、ファイアウォールやIDS/IPSなどの通常のセキュリティを簡単に突破してしまいます。

しかし、不正アクセス検知システムを導入していれば、これらのロボットによる不正アクセスも検知し、情報漏洩の脅威を防ぐことが可能です。

3. 複数の認証方式の導入

複数の認証方式を導入することも、情報漏洩を防ぐ効果的な対策です。「知識情報」「所持情報」「生体情報」という異なる特徴を持つ要素を2つ以上用いた以下のような認証方法を採用することで、ログインの安全性を高め、不正アクセスによる情報漏洩を防ぎます。

 

• 二段階認証
• ワンタイムパスワード
• リスクベース認証
• 生体認証

ただし、複数の認証方式を導入する際には、安全性と利便性に考慮することが大切です。まずは、複数の要素を組み合わせたものであること、予測されにくいものであること、さらには複製されにくいものであることが、安全性の判断基準となります。

そして、日常的に行う認証においては、利便性も重要な判断要素です。認証方法が複雑すぎたり、覚えにくいパスワードや携帯性の悪さによって多くの業務時間が割かれる事態は避けましょう。

4. パスワードの徹底管理

セキュリティ対策ソフトや複数の認証方式を導入しても、IDやパスワードの適切な管理の重要性は変わりません。IDやパスワードを第三者に教えたり、誰にでも見えるところに放置することはあってはならないことです。また、簡単に推測されやすいパスワードを使用しない、パスワードの使い回しを避けるといった対策をあわせて行うことで、さらにセキュリティを強化することができます。

なお、使用するパスワードは定期的に変更することをおすすめします。3か月に1度くらいのペースが適切でしょう。また、ファイル共有を行っている場合は、公開範囲が適切であるかを確認することも大切です。

5. システムの脆弱性を確認

外部の攻撃から情報漏洩を防ぐためには、セキュリティソフトを導入しただけで安心してはいけません。マルウェアによるサイバー攻撃など外部からの攻撃手段は日々進化しているため、定期的にシステムの脆弱性がないかを確認することが重要です。

なお、システムの脆弱性の確認には「脆弱性診断ツール」の活用がおすすめです。これにより、複数の項目を自動でチェックし、プラットフォームやアプリケーションに問題が発生していないかを確認できます。

万が一、システムに脆弱性が見つかり、攻撃を受ける可能性が確認された場合には、システムの改修や新しいセキュリティソフトの導入など必要な対策を検討しましょう。

【内部不正】の対策

多くの企業では、外部からの攻撃だけでなく内部不正による情報漏洩の被害も増えており、以下の2点の対策を講じる必要があります。

1. 徹底した従業員教育

社員など契約状況に関わらず、個人情報などの重要な情報に携わる全員に対して、情報漏洩対策の重要性の教育を徹底することが大切です。定期的に機密情報の取扱いに関するセキュリティリテラシーを高める社内教育を実施し、内部不正を正当化できない環境を整えましょう。

具体的には、重要な情報が記載された書類や記録媒体、デバイスなどの取扱い方法、情報漏洩を防ぐための社内のルール、および社外での業務に際して守るべきルールを周知することで、犯罪行為がやりにくい環境を整えます。また、情報を漏洩させた場合に受ける処分について伝えておくことで危機感を持たせ、犯罪を行う気持ちにさせないことも重要です。

2. 秘密保持義務に関する書面

企業が自社の内部不正による情報漏洩を防ぐためには、従業員と情報を流出させないとの約束をさせる秘密保持義務に関する誓約書を交わしておくことも重要です。秘密保持義務に関する書面を交わすことにより、情報漏洩防止の重要性と情報漏洩が企業に与える影響の深刻さを理解させ、さらに、情報を漏洩させた場合に受ける処分を明らかにすることで、従業員に高い意識と危機感を持たせることが期待できます。

なお、秘密保持に関する誓約書を交わす適切なタイミングは、入社時です。これにより、社員自身が情報漏洩の重大さをイメージしやすくなります。また、さらに重要な機密を扱う機会が増える昇進時や退職時には、それぞれ内容の異なる誓約書を取得することも重要です。

【人為的ミス】の対策

外部からの攻撃に次いで「誤表示」「誤送信」「誤廃棄」といった人為的ミスが原因の情報漏洩も多く、効果的な対策が必要です。

1. 誤送信が起きないルール作り

業務上「誤送信」をしてしまうリスクは誰にでもあります。しかし、個人情報や機密情報を誤ってメールに添付・送信してしまうと、深刻な情報漏洩事案に発展する恐れがあります。また、漏洩させてしまった情報によっては、多大な賠償金を請求される可能性もあります。

このような誤送信による情報漏洩を防ぐためには、単なる「注意」だけでは不十分であり、誤送信を起こさないための根本的な解決策を提示することが必要です。例えば、以下のような具体的な内容をルールとして示し、社内全体で徹底することが大切です。

 

• 個人情報をはじめとする重要な情報は、社内も含めメール送信を一切禁じる
• 重要情報を含むメールは、担当者によるダブルチェックと上長の承認を得てから送信する
• 誤送信が発覚した場合に迅速な対処ができるよう、情報を添付したメールの送信は一定時間保留する

2. 情報・PCの持ち出しに関するルール作り

置き忘れや紛失、盗難による情報漏洩を防ぐには、社外に個人情報や機密情報などの重要情報を持ち出さないことが大切です。しかし、取引先での商談では、パソコンやタブレット、重要情報を載せた書類を使用することが避けられません。

そこで必要となるのは「情報とPCの持ち出しに関するルール」です。原則として、情報の持ち出しは禁止し、具体的な持ち出しに関する内容を明確にすることが重要です。

 

• 情報を持ち出す理由と日時、担当者などの詳細を記録と報告
• 情報を持ち出す場合は、上長の許可を得る
• 持ち出した情報は家に持ち帰らない
• 持ち出したパソコンやタブレットを、企業外のネットワークに接続しない
• 業務利用のために持ち出したパソコンを、業務以外の目的で使用しない

3. 情報を安易に放置・破棄しないルール作り

誰もがアクセスできる状態で、重要な情報資産を放置するミスにより発生した情報漏洩の事例は今でも多く見られます。これは、情報を取り扱う際の基本的な対策が社内全体で徹底されていないためです。

情報の安易な取扱いによる情報漏洩の危険性を防ぐためには、以下に示すような初歩的とも思えるルールの重要性を社内全体で改めて確認し、周知・徹底する必要があります。

 

• 業務用PCやタブレット、スマートフォンを机上に放置したまま退勤しない
• 業務用PCやタブレット、スマートフォンにロックをかけずに離席しない
• 大切な情報が記載された書類を机上に放置しない
• 大切な情報を含む伝言メモを安易に放置しない
• USBメモリやSDカードなどの記録媒体を机上に放置しない
• 情報が記載された媒体は、施錠できるところに保管する
• 情報が記載された媒体を宴席に持ち込まない
• プリンタに出力した印刷物は速やかに取る

情報漏洩してしまったらどうなる？

情報漏洩を防ぐための手段のひとつとして、情報が漏洩してしまうとどのような事態に陥るのかを、実際に起きた事例から学ぶことも大切です。今回は、ある教育関連企業の事例を紹介します。

① 概要

2014年7月、ある教育関連企業が、最大で約3500万件の顧客の個人情報が漏洩したことを公表しました。

② 原因

顧客情報データベースの運用を委託したグループ企業から派遣されたシステムエンジニアの派遣社員が「USBメモリーへのデータ書き込みについては禁止する」という契約上の盲点を突き、私物のスマートフォンにデータをコピーして持ち出していたことが判明しました。

③ 被害額

お詫びにかかる費用として260億円の特別損失が発生しました。また、この問題が原因で顧客数が減少し、決算にも影響を及ぼしたと報告されています。

④ 事後対応

事件後、グループ会社の元社員が逮捕され、企業側では取締役二人が引責辞任しました。さらに、経済産業省からの勧告を受け、委託先を含めた個人情報の保護に関するセキュリティ対策と再発防止策を盛り込んだ改善報告書を提出しました。

以下のリンクでは、さまざまな原因から起こる情報漏洩の例と恐ろしさを、さらに詳しく学ぶことができます。ぜひ、参考にしてください。

関連リンク：16の事例から学ぶ情報漏洩の全て｜怖さや原因、対応策まで

個人情報保護法が関連してくることも

企業が個人情報保護を怠ると、データ漏えいのリスクが高まるだけでなく、利用者からの信頼を失うことにつながります。また、個人情報保護法の規制違反や、主務大臣の勧告や命令に従わない場合には、企業に対して6ヶ月以下の懲役、30万円以下の罰金が科されます。

個人情報を適切に扱うことは企業の信頼度を守り、経済的な損失を発生させないためにも日頃から個人情報の保護を徹底していくことが欠かせません。下記のリンクを参考に、個人情報保護法の詳細と企業ができる対応について詳しく学びましょう。

関連リンク：個人情報保護法（個情法）とは？改正のポイントと企業の対応を解説

情報漏洩を防ぐために企業が意識すべきポイント

情報漏洩を防ぐための対策が適切に運用されるために必要となる企業が意識すべきポイントを紹介します。

1. 複数の対策を組み合わせる

情報漏洩対策をより強固なものにするためには、単独の対策に依存せず、自社が必要とする複数の対策を組み合わせて運用することが有効です。

例えば不正アクセス対策では、ファイアウォールで防げなかった不正アクセスをIPSでブロックし、その後、不正アクセス探知システムで検知して遮断します。さらに、機密情報を暗号化するなどの多層防衛策を講じることで、より強固な情報漏洩対策が実現できます。

また、会社の財産である重要な情報をありとあらゆる情報漏洩の脅威から守るためには、網羅的な情報漏洩対策を構築することが不可欠です。外部からの攻撃、内部不正、人為的ミスなど、原因別の対応策を単独で選ぶのではなく、自社の状況に応じた組み合わせでアレンジを施した対策を実践することが推奨されます。

2. 全関係者に対策を周知する

会社の業務においては、取引先との商談や外注先への情報提供など、重要な情報の社外との共有は避けられません。しかし、外注先や取引先の関係者が情報セキュリティに対する意識が低い場合、情報の取り扱いが不十分になり、漏洩の危険性が高まります。

このため、自社の情報漏洩対策の詳細な内容やルールを、役員や従業員だけでなく、外注先や取引先の全関係者にも周知徹底させることが重要です。社内外を含めて万全な対策を講じ、情報漏洩のリスクを最小限に抑えることを目指しましょう。

3. PDCAを回し、マンネリ化させない

情報漏洩対策は、システムを導入するだけでは終わりません。マンネリや慣れを防ぐためにも、定期的にPDCAサイクルを回し、情報漏洩対策を定着させることが重要です。少なくとも年に1度は対策の運用を見直し、実施時の改善点がないかを検討することをおすすめします。

まとめ

情報の漏洩は、不正アクセスなどの外部からの攻撃、内部不正、人為的ミスなどさまざまな原因によって引き起こされます。また、情報漏洩がもたらす被害は、企業の社会的信頼を大きく低下させ、取引停止や損害賠償などの経済的損失を招く可能性があります。

このため、それぞれの原因に応じた複数の対策システムの導入や、人為的ミスを防ぐためのルール策定、さらには社内だけでなく全関係者に対する情報漏洩対策の周知徹底とセキュリティ意識の向上が不可欠です。さらに、これらの情報漏洩対策を安全性の高い状況で維持する心がけも重要です。