防災・BCP・リスクマネジメントが分かるメディア

【本当に怖い情報漏洩の話】企業のセキュリティ対策は「教育」で防ぐ

昨今、情報セキュリティ関連の事件や不祥事が多発しています。国内の大きなニュースだと2014年のベネッセ・コーポレーションの情報漏洩、漏えい・紛失件数3504万人分。その後、外部会社の派遣社員が顧客情報を名簿業者へ売却していたことが発覚し、社会問題となりました。

セキュリティ関連の事件は1位が紛失・誤廃棄、2位が誤表示・誤送信、3位がウイルス感染・不正アクセスで、実は紛失が1番の原因です。紛失対策なら、総務が意識して確認・教育することもできそうですよね。今回は二の次になりがちな「セキュリティ対策」の原因と、注意点を調査しました。ちょっとした改善が高度なセキュリティ対策に繋がります。

事業継続を揺るがす情報漏洩の原因とは


NPO日本ネットワークセキュリティ協会の「2015年 情報セキュリティインシデント*に関する調査報告書」によると、企業の情報漏洩の原因は以下のようになっています。

*セキュリティインシデントとは、コンピュータの利用や情報管理、情報システム運用に関して保安(セキュリティ)上の脅威となる事象のこと

「紛失・置き忘れ」
「誤操作」
「管理ミス」
「不正アクセス」
「盗難」
「不正な情報持ち出し」
「内部犯罪・内部不正行為」
「設定ミス」
「バグ・セキュリティホール」
「ワーム・ウィルス*
「目的外使用」

*ワーム・ウィルスとは、単独で行動し、自己感染力を持つ、不正かつ有害に動作させるマルウェアの一種。

ここで注目すべきは、情報漏洩の1番の原因はどこか。実は約75%が内部の人間が引き起こしているのです。外部からの悪意ある攻撃(不正アクセス)による割合はたったの8%にすぎません。

言い換えれば、情報漏洩の4分の3は、紛失、誤操作、管理ミスといったヒューマンエラー。内部の人間の認識不足や不注意を解決することで防げるのです。

企業情報の漏洩を防ぐためにできること

今回提案する企業のセキュリティ対策の方法は、独立行政法人情報処理推進機構の「情報セキュリティ対策のしおり」の内容を元にしています。詳細は各組織の詳細を記したページを確認してください。

「紛失・置き忘れ」

パソコン、スマートフォン、タブレット、USBメモリ、紙資料などの紛失・置き忘れは、個人情報の漏洩に繋がります。「さすがにパソコンは無くさないよ」と思っていても、USBメモリを紛失しそうになった方は多いのではないでしょうか。

外出先や交通機関内で無くしてしまうと、探して見つけるのは大変です。また個人の連絡先が流出する可能性が高く、紛失した事実が判明した場合、被害者への通知と謝罪も不可欠に。紛失・置き忘れの予防対策はしっかりと周知しましょう。

<予防対策>
・情報の紛失を防ぐため、常に机の上を整理整頓すること
・重要情報の入ったモバイル機器を社外に持ち出すときは、パスワードロックをかけること
・パソコンで使用するHDD(ハードディスクドライブ)は、丸ごと暗号化すること
・電子機器や電子媒体の持ち出しをする場合は、上長の許可を必要と定めること。事故後の対応がすぐできるように持ち出し情報の記録を取ること

「誤操作」

メールやFAX等を用いて通信する場合、宛先あるいは送信内容を間違えるといったケースが挙げられます。具体的には次の2パターンに分類されるでしょう。

(1)BCC/CC間違え
BCCにすべきところ、誤ってTOやCCで送ってしまった結果、受け手側にその他の宛先メールアドレスが漏れ、個人情報が流出するケースです。受け手側に不信感を与え、今後一切の取引停止となるケースもあります。

(2)送信ファイルの誤り
添付ファイルには最重要レベルの機密情報が含まれていることがあり、送ってはならない相手に誤送信したことで被害が拡大するおそれがあります。

<予防対策>
・電子メールを送る前に、目視で送信先アドレスの確認など送信ミス防止を徹底すること
・重要情報をメールで送る場合は、重要情報を添付ファイルに書きパスワードで保護すること

「管理ミス」

情報の管理ルールが社内で規定されているにもかかわらず、守られていなかった場合「管理ミス」にあたります。特に金融業や保険業を代表とする大量の個人情報を抱えている業種では、徹底した管理が必要です。

なお「誤破棄」は書類や記録メディアの廃棄処分が社内調査等で判明したケースがほとんど。東京商工リサーチの分析によれば、実際に社外へ流失した可能性は低いものの、公表されることによる、企業の社会的信用の失墜を招くおそれがあります。

<予防対策>
・電子機器・電子媒体を机の上に放置せず、鍵付き書庫に保管施錠すること
・電子機器・電子媒体(VD、FD、DVD、SD、USBメモリ)等の廃棄は、消去ソフトを利用したり、業者に消去を依頼したり、電子媒体は細かく裁断したりすること
・パスワードは複雑に設定し、定期的に変更したり他人から見られないように管理すること
・クラウドサービス等の共有範囲を限定すること
・従業員の異動時に設定変更(削除)漏れがないか確認すること
・取引先との契約書に秘密保持の条項を入れ、取引先に機密の保持を求めること

「不正アクセス」

会社のパソコンに不正アクセスされると、部外者が自由に出入りできるように。情報を盗んだりHPを改ざんするだけでなく、悪質なプログラムを実行し社内の人間を加害者に仕立て上げることも可能になってしまいます。

<予防対策>
・定期的なバックアップの実施をすること
・パスワードの適切な設定と管理をすること
・アクセス権限の再承認をすること
・情報持ち出しルールの徹底(私用の電子媒体を持ち込ませない)をすること
・不審なメールの取り扱いの徹底(メールの発信先に当該メールの信頼性の問い合せをする)

また経済産業省では、独立行政法人情報処理推進機構とともに、平成27年12月28日、「サイバーセキュリティ経営ガイドライン」を策定しました。サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が担当幹部に指示すべき「重要10項目」をまとめてあります。参考にしてみてください。

「盗難」

モバイルパソコンは「携帯に容易な小型軽量の機器」という特性のため、盗難の被害に遭う可能性が高いといえます。社外への持ち出しを念頭に置いていないモバイルパソコンだった場合、会社の機密情報が保存されている可能性も高く、情報漏洩に直結してしまうことも。警察への届け出、流出したアカウントの停止など迅速な対応が求められます。また紛失者による「隠ぺい工作」が起こらないよう注意する必要があります。

<予防対策>
・事務所で見知らぬ人を見かけたら声を掛ける、清掃等外部作業員だけが事務所に残らないようにすること
・退社時にノートパソコン、携帯電話、USBメモリなど備品を鍵のかかる引き出しに片付けること
・事務所の最終退出者が日時、氏名を記載するなど施錠を管理すること

「不正な情報持ち出し」

従業員など内部関係者による不正な情報の持ち出しも、企業のセキュリティ対策を考えたいひとつ。

情報処理推進機構の調査(2015年)によると、故意の情報持ち出しによる内部不正は、USBメモリによるものが53.0%と最多でした。予防策として、USBメモリ利用の管理をより厳重にする方法がありますが、管理負担が大きくなることに加え、内部不正は職務上与えられた権限を使い行われるため「リスクを完全になくすことは難しい」のが実情です。それでも対策できることはあるので、実施して周知しましょう。

<予防対策>
・罰則規定を強化すること
・離席時にパソコンにコンピュータロックを掛けること
・各種システムにアクセスできる権限が適切に割り当てられているかを定期的に確認すること
・各種情報をセキュリティの重要度毎にゾーニング(区分)し、絶対守らなければいけない重要な情報資産にセキュリティソースを集中的に投下し、常に目を光らせておくこと

災害時に事業を存続するために、今できる対策とは

ハード面に費用をかけ、バックアップ機器などに十分な対策をすることも大事ですが、セキュリティ対策は全社的に何度も働きかけることが重要です。従業員に情報管理の大切さを定期的に説明する「セキュリティ教育」の機会を設けることはもちろん、日常的な働きかけとして、以下のような工夫を全社的に行うといいでしょう。

・重要情報のバックアップを定期的に行うなどして、情報の消失を防ぐ対策を講じておく。
・情報管理の重要性を従業員に意識付け、従業員採用時に守秘義務があることなど知らせる。
・重要情報の流出・紛失・盗難があった場合の対応手順書を作成し、予行演習をする。

まとめ

情報漏洩は、ほんの些細なミスや気のゆるみから起こりうるもの。防ぐためには、セキュリティ対策の重要性の認識が全社的に必要です。

企業内のすべての社員、および企業内のインターネットに接続する可能性の外部の協力者を対象とするセキュリティ勉強会を開催できれば、それが1番の「セキュリティ対策」かもしれません。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です