情報セキュリティコラム

機密情報、個人情報などの情報漏洩の発生パターンと対策

企業活動を脅かすものの一つが、個人情報や機密情報などの情報漏洩リスクです。特に顧客情報などが洩れると、被害者への損害賠償や社会的信用を落とすなどの甚大な損害を被ります。企業の経営層や管理職にとって、情報漏洩のセキュリティ対策は大きな関心事でしょう。
そこで今回は、情報漏洩の発生パターンとともに、その対策をご紹介します。

情報漏洩とは

情報漏洩とは、企業や組織が保有している機密情報や個人情報などの重要データが外部に漏れてしまうことを指します。

その発生件数は年々増加しており、個人情報の漏洩に限れば、「2018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編~」(出典:NPO日本ネットワークセキュリティ協会)のデータでは、2018年には443件で、前年より57件増えています。そして、その想定損害賠償総額は2,684億5,743万円にも上ります。

最も多かったインシデントは、情報通信業の「管理ミス」が原因のもので、漏洩人数は171万2,580人でした。次いで学術研究、専門・技術サービス業の「不正アクセス」が原因のものが多く、漏洩人数は57万人でした。

情報漏洩のリスクは、社員の管理ミスはもちろん、たとえ不正アクセスなどの外部の人間が原因だったとしても、被害者への慰謝料の支払いや損害賠償に対する訴訟費などの金銭的な損害がまず莫大な額となります。さらに、社会的信用も大きく傷ついてしまうため、売上や事業存続にも大きく影響してしまいます。

企業は、なんとしてもそうした深刻な事態を避けなければなりません。

情報漏洩の発生パターン

情報漏洩は主にどのようなことが原因で起きてしまうのでしょうか。典型的な発生パターンを見ていきましょう。

紛失・置き忘れ

業務使用のPCやモバイル端末、記録媒体や紙の重要書類など、物理的に駅や電車内、カフェなどに置き忘れてしまうことによるものです。悪意を持った何者かに持ち去られ、中の重要情報を流出させられるといったパターンです。

誤送信・Webでの誤公開

メールを利用したときに、誤って異なるファイルを添付してしまい、それが個人情報を含むものだったというものや、公開前の情報をSNSで誤って公開してしまったなどのケアレスミスによる情報漏洩パターンです。

不正アクセス・不正プログラム

外部の攻撃者からの攻撃によるものです。ネットワーク外部から不正に侵入し、不正アクセスをしかけてきたり、不正プログラムを送りつけてきたりして、企業の機密情報や個人情報を盗んだり、漏洩させたりするパターンです。

管理ミス

管理ミスは、作業手順や情報持ち出しルールが整備されていないことや、うっかりミスや不注意で起きてしまうものです。例えばデータ共有のUSBの記録媒体をデータ消去しないまま捨ててしまったり、社用のPCをセキュリティの低い公衆Wi-Fiに接続し、情報を盗み見られてしまったりするパターンです。

内部不正

内部の人員が、わざとルール違反を働いたり、職務で知りえた個人情報を持ち出して、競合他社に売却したりするなどのパターンです。

情報漏洩の対策

上記の情報漏洩の典型パターンは、どれも未然に防ぐことが可能です。それぞれのパターンの主な対策を確認しておきましょう。

紛失・置き忘れ

紛失・置き忘れなどは、端末や記録媒体、紙書類の持ち出しを制限するルールを設けることや、社員のセキュリティ教育を行うのが前提です。さらに、万が一、起き忘れてしまったというときに備えて、データを暗号化しておく、パスワードによるログイン認証を二重、三重にかけておくなどの予防策を徹底することで、情報漏洩のリスクが減ります。

誤送信・Webでの誤公開

メールの誤送信について、よくあるのが宛先をBCCにすべきところをTOもしくはCCに設定する、間違ったファイルを添付して送信することなどがあります。
これらの対策としては、送信前にメールの送信先の名前やメールアドレス、件名、添付ファイルが間違っていないか、BCCに入れるべき宛先をTOやCCに入れていないかなど、事前に確認するよう教育すること、ルール付けすることなどがあります。
また、メールを送信した直後にミスに気付くこともあるため、それに備えて、送信したメールは一定時間保留にする機能や、上司などが内容を確認した後で送信する機能を利用する方法があります。

不正アクセス・不正プログラム

外部からの不正アクセスや不正プログラムへの予防策としては、セキュリティの専門家と協議しながら、専門的に実施する必要があります。例えば、機密情報の領域にアクセスするには、会社が許可したプログラムからに限る、アクセス認証を設けるといった仕組み作りを行います。

管理ミス

管理ミスについては、社員へのセキュリティ教育の徹底や、機密情報や個人情報を管理するルールの策定、ファイルサーバーなど情報の管理をシンプルにしてミスを最小限にする仕組み作り、万が一の時に備えてデータは暗号化しておく、パスワードをかけるなどの対策があります。

内部不正

内部不正への対策としては、社員による不正なデータをコピーするのを防止したり、ファイルサーバーなどデータが格納されている場所へアクセスできる人を制限したりするなどの方法があります。

まとめ

情報漏洩対策の典型パターンと対策をご紹介してきました。情報漏洩は企業にとって大きな損害を生み出します。深刻な事態になることを知り、少しでも多く、情報漏洩リスクを減らす具体的な対策を実施しましょう。

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT Psol

2022年10月1日付で
PCIソリューションズ株式会社と
株式会社シー・エル・シーは、
合併しました。

システムの最適化を提案する
エキスパートとして、
PCIソリューションズ株式会社の
一員となり、活動していきます。
CLCとしてさまざまな業種のお客様から
システムについてのご相談をいただき、
そのつど問題の的確な解決に努力してきた経験を
PCIソリューションズでも
変わらずご提供させて頂きます。
引き続きご愛顧のほど宜しくお願い致します。