企業が情報漏えいを起こしてしまう原因と対策とは

企業が情報漏えいを起こしてしまう原因と対策とは

企業にとって情報漏えいは企業イメージの失墜や損害賠償、経済的損失に発展するおそれのある重大なインシデント(事故)です。情報漏えいはなぜ起こるのか、そしてどのようにして防げばよいのか、情報漏えいに関する原因と対策について解説します。

情報漏えいを起こしてしまう原因

まずは企業における情報漏えいインシデントを原因別に見ていきましょう。

社員の人為的ミス

国内における情報漏えいの原因の中で特に多いのが人間による誤操作だといわれています。

なかでも目立つのがメールの誤送信で、宛先や添付するファイルを間違えて個人情報や機密情報を送ってしまうという事例があとを絶ちません。情報漏えいの内容や規模次第では損害賠償に発展する可能性もあります。

また、持ち出した端末やメディアを置き忘れるなどして紛失するケースも人為的ミスに入ります。最近は仕事で使用するスマートフォンやタブレット、テレワークのために自宅に持ち帰ったノートPCなどの紛失も問題になっています。

内部不正

従業員や、元従業員が故意に情報を盗み出して情報を流出させる、あるいは悪用する内部不正も無視できない件数が発生しています。企業の情報セキュリティはそもそも内部者のみにIDとパスワードを与えて情報へのアクセスを制限するというのが基本的な仕組みです。そのため悪意のある内部者がいた場合、情報へのアクセスや持ち出しを防ぐのは難しいという弱点を抱えています。

情報を持ち出す手段としてはUSBメモリなどの記録媒体が使われることが多く、さらにメールで送信する、PCなどの端末ごと盗み出すなどの事例も見られます。盗み出された情報は国内外の競業他社に渡ってしまう可能性があります。

外部の人間による攻撃

外部からの攻撃では、まずインターネットを介したサイバー攻撃が挙げられます。最近の傾向では特定の企業や個人をターゲットとして仕事に関係しているかのように偽装したメールを送り、マルウェアを仕込んだ添付ファイルを開かせるといった標的型攻撃が増えています。

一方、インターネットを利用せずにシステムに侵入するために必要なパスワードなどを盗み出す、ソーシャルエンジニアリングと呼ばれる手法もあります。その手口は単純で、社内のシステム管理者になりすまして従業員に電話をかけてパスワードを聞き出す、オフィス内に何らかの方法で入り込んで肩越しにキー入力を盗み見る(ショルダーハッキング)、ゴミ箱を漁って何かしらの情報を得る(トラッシング)といった事例が報告されています。

企業が情報漏えいを起こさないための対策

情報漏えいを防止するには、上記の人為的ミス、内部不正、外部の人間による攻撃(サイバー攻撃とソーシャルエンジニアリング)というそれぞれのケースに合わせた対策を講じる必要があります。また、社内のセキュリティ教育・研修の実施はどのケースにも有効ですが、やはりケース別に注意点の情報共有や意識付けをしていくことが重要です。
ここでは、情報漏えい防止策のポイントを挙げていきます。

人為的ミス対策

人為的ミスに対しては、メールの送信方法やメディアの持ち出しに関する社内ルールを作ることが前提となります。

まず、メール送信時には宛先や添付ファイルの確認を必ず行うといった決め事を作りましょう。ただし、ルールを作ってもミスは起こり得るため、ルールに沿った誤送信防止機能を備えたツールを導入するのが効果的です。

メディアの持ち出しに関しても、USBメモリや端末を外部に持ち出すときは事前申請を行う、管理担当者を決めて常に所在を明確化するなどのルール作りが必須です。加えてメディア内部の情報の暗号化や装置・機器のロックなどの物理的なセキュリティ対策を施すとよいでしょう。

内部不正対策

内部不正に関しても社内ルールの周知徹底は効果があります。情報の扱いに関するルールが曖昧だと、「不正を働いてもとがめられない」という雰囲気がでてしまう可能性があります。従業員全員が情報の取り扱いに十分注意する、責任を持って厳格に管理するという土台を築くことが先決です。

同時に、技術的にも内部不正が困難な環境を構築します。重要な情報にアクセスできるのは一部の限られた従業員だけにする、アクセスログ管理を徹底する、不正行為を監視するための監視カメラやモニタリングシステムを設置する、定期的にパスワードを更新するなどの方法が考えられます。

内部不正はまた、正当な評価をされないなどの会社への不満が動機となって引き起こされる傾向があります。そのため従業員エンゲージメントの向上を図るという根本的な努力も求められます。

外部攻撃対策

サイバー攻撃に対してはウイルス対策ソフトの導入、OSやアプリケーションソフトの最新版への更新、マルウェアに感染した場合の対応のマニュアル化などが基本的対策となります。加えて、攻撃の入り口として利用されやすいメールに関しても、ツールを活用するなどして十分なセキュリティを施しましょう。

ソーシャルエンジニアリング対策としては、オフィス内の監視カメラの設置、入退室管理システムの導入などが有効です。とくに機密情報を扱う端末が置かれた部屋には生体認証システムを用いた入室制限などを設けるとより安全です。また最も率先して取り組むべきなのは、従業員各人が普段からパスワードの管理に十分に気をつけるという意識を持つための周知・啓蒙です。

情報漏えいを起こさないようにするには、原因ごとに問題の切り分けを行い、それぞれに適合した対策を施さなくてはなりません。セキュリティ対策は多角的に行うことがポイントです。

ファイル転送サービスである「メールdeファイル」は、メール誤送信防止機能や大容量の添付ファイルを安全に送受信するための機能を備えています。情報漏えいの中でも最も多いメール誤送信を防ぐために活用可能なツールです。詳しくはメールdeファイルのご案内をご覧ください。

関連記事はこちら

企業にはどのような損害が出るのか? メールの誤送信事例

企業にはどのような損害が出るのか? メールの誤送信事例

宛先欄にメールを送りたい相手と異なる人のメールアドレスを記入してしまったり、BCCとCCを間違えてしまったり、違う資料やデータを添...

詳細はこちら
企業に必要なメールセキュリティ対策とは? 把握しておきたい6つの脅威

企業に必要なメールセキュリティ対策とは? 把握しておきたい6つの脅威

企業で働く従業員たちが普段からやりとりしているビジネスメールは、実は常に攻撃者に狙われているといっても過言ではありません。機密情報...

詳細はこちら
証跡管理とは? 企業における目的や重要性について解説

証跡管理とは? 企業における目的や重要性について解説

企業内の情報資産をあらかじめ作られたルールに則って取り扱っているかどうかを把握するために有用なのが証跡管理です。本来は内部監査の際...

詳細はこちら
ビジネスメール詐欺とは? その手口と必要な対策

ビジネスメール詐欺とは? その手口と必要な対策

ビジネスメール詐欺は、多くのビジネスがデジタルコミュニケーションをベースとして行われている現代だからこそ成り立つ犯罪行為です。その...

詳細はこちら
標的型攻撃メールとは? 手口と対策の説明

標的型攻撃メールとは? 手口と対策の説明

特定の企業や人をターゲットにして、社内メールや外部からの依頼・問い合わせを装ったメールを送りつける「標的型攻撃メール」の被害が増加...

詳細はこちら