情報漏洩の原因とその対策とは?
目次[非表示]
- 1.情報漏洩とは
- 2.情報漏洩の実態
- 2.1.情報漏洩の原因
- 2.2.どのように情報漏洩が起きるのか
- 3.個人情報だけではなく営業秘密の漏洩にも注意
- 4.情報漏洩を防ぐために
- 5.行動分析による最先端情報漏洩対策
> 情報漏洩対策について無料相談する
> 関連資料・関連サービスを見る
情報漏洩とは
企業の信用性を脅かすリスクとして、個人情報や営業秘密などの情報漏洩、情報流出が挙げられます。
一度、企業が情報漏洩を起こしてしまうと、企業としての信頼性が低下する上に、賠償金の請求など金銭的な負担が発生してしまう可能性があります。更に取引の停止など売上に影響を与えるだけでなく、セキュリティの強化施策実施などの現場従業員の業務負担の増加につながり、企業としての生産性が低下する可能性があります。
企業の大きなリスクである情報漏洩の実態をもう少し詳しく見ていきたいと思います。特定非営利活動法人日本ネットワークセキュリティ協会が実施した「2018年情報セキュリティインシデントに関する調査結果~個人情報漏洩編~」によると2017年に比べて、個人情報の漏洩人数、件数、被害想定額が増加しています。
ここでまとめられている数字は、営業秘密、企業秘密の漏洩等は含まれず、あくまで個人情報の漏洩の範囲であることを考えると情報漏洩は、いつどこの企業に襲いかかるか分からないリスクであるとも言えるのではないでしょうか。
2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)
情報漏洩の実態
情報漏洩の原因
前述の調査では、情報漏洩の原因がまとめられています。情報漏洩と聞いて、外部からのサイバーアタックをイメージされる方も多いも知れませんが、外部からの攻撃である「不正アクセス」や「ワームウイルス」は、全体の2割程度に留まります。
情報漏洩の主な原因は、「紛失・置き忘れ」「誤作動」が、約5割を占めています。その他に、「不正な情報持ち出し」、「内部犯罪・内部不正行為」が原因となるケースも存在します。つまり、情報漏洩は、外部からの脅威ではなく、内部不正や人的なミスなど企業内部からの脅威がより大きな原因を締めます。
2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)
どのように情報漏洩が起きるのか
では、個人情報はどのような経路で漏洩していくのでしょうか。前述の調査によると、最も多い漏洩経路は意外にも紙媒体です。更に、インターネット、メールやUSBを介した情報漏洩も多く発生しており、それらは増加傾向を示していることは、驚きの数値ではないでしょうか。
2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)
経路の実態から情報漏洩の対策を考えてみましょう。
紙媒体、USBからの情報漏洩は、印刷時の個人情報掲載のチェック管理やUSBへのデータコピーを禁止するなど、仕組みである程度の改善することが出来そうです。
電子メールでの情報漏洩に関しても、データ送付時のチェック体制の強化などが挙げられます。一方で、インターネットはHPなどへの不正アクセスが挙げられ、こちらは外部からの脅威を守るセキュリティ対策が求められます。
万が一、紙媒体やUSBから情報漏洩した場合に、どのような情報が含まれていたのかをIT資産管理ツールを用いて、PCログから確認できる体制構築は、個人情報漏洩の経路を鑑みて、実施すべきセキュリティ対策といえます。
さらに詳しく情報漏えい対策についてを学ぶならこちら
→【調査レポート】情報漏えいの実態
個人情報だけではなく営業秘密の漏洩にも注意
個人情報の漏洩の実態や原因を中心に紹介しましたが、もちろん企業にとっては営業秘密の情報漏洩も重大なインシデントのひとつです。近年は、個人情報と同様に営業秘密の情報漏洩被害も目立っています。
そもそも営業秘密とは、不正競争防止法第2条第6項において、「この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。」とされています。たとえば、顧客名簿や価格表、対応マニュアル、事業計画や製造方法、設計図面なども企業の日々の活動によって生まれたものは営業秘密となり、さらにそれらが「有用性・秘密管理性・非公知性」を満たす場合は不正競争防止法において保護されます。
IPAの「企業における営業秘密管理に関する実態調査2020」報告書によると、営業秘密の漏洩は中途退職者による漏洩や現職従業員の誤操作。誤認による漏洩が半数を占めています。前回調査の2016年と比べると、現職従業員による漏洩は大きく減少していますが、2020年は特に退職者による漏洩が増加しています。いずれにしても個人情報の漏洩と同様に、営業秘密も内部起因による情報漏洩が起きていると考えられ、対策が必要です。
【用語解説】 有用性 :有用な営業上、または技術上の情報であること 秘密管理性:秘密として管理されていること 非公知性 :公然に知られていないこと |
情報漏洩を防ぐために
企業が受ける損害・企業活動への影響を考えると、情報漏洩は避けなくてはならないものです。ここまでの原因や経路からどのような対策をもう少し整理したいと思います。
例えば、機密情報を紙媒体で持ち出す場合は、上司への持ち出し申請を行う、持ち出し情報の管理を行うなどルールを制定することが考えられます。ルールの徹底により、持ち出し情報が“機密情報”であるという従業員の意識の高まりや、万が一紛失が生じた際も、どのような情報を紛失してしまったのかが把握できるため、企業にとってのリスク管理が行いやすくなることが考えられます。
その他にも、メールを送信前に送信先、添付資料の再確認を行うようなダブルチェックの仕組みを取り入れる、USBへのデータコピーをできないように社用PCを設定することも、内部からの情報漏洩を防ぐ重要なアプローチです。
行動分析による最先端情報漏洩対策
近年、サイバーアタックやマルウェア感染などの外部からの攻撃による情報漏洩などの取り組みは高度化されています。
一方で、情報漏洩の主な原因の5割が「紛失・置き忘れ」「誤作動」であることを考えると、人間の不注意や悪意を起因とした情報漏洩にも目を向けなければなりません。
また、従業員などが悪という考えを持つのではなく、誰しもが状況によっては、ミスや悪事を犯してしまいうる、そのような決定的な行動に移る前に、従業員の異変に気づき、企業が従業員を守るための仕組みを導入することがセーフティーネットを設けることが現実的です。
そこでは、エルテスでは人の行動に基づく、最先端情報漏洩対策の取り組みを提唱しています。具体的には、ファイルアクセスログ、勤怠ログ、Web閲覧ログ、メールログなどを横断的に分析することで、情報漏洩に繋がりうる従業員のメンタルヘルス不調や過重労働などのうっかりミスの原因を検知することや、シャドーITなどの情報セキュリティの抜け穴となる行動を検知することが出来ます。
つまり、ログを活用し、自社の情報漏洩に繋がりうるシグナルを早期に検知し、従業員のフォローやシャドーITなどへの全社での取り組みを行い、情報漏洩の抜け穴を塞ぐことが可能です。
社内に眠るログ分析を行うIRI(Internal Risk Intelligence)は、既に保有する10,000以上のリスクシナリオに加えて、国内のセキュリティインシデント事故などの機械学習機能も搭載し、情報漏洩の予兆を検知する最先端の情報漏洩対策サービスです。ログを用いて従業員を見守り、取り返しのつかない行動が起きる前にインシデントを防ぐことが出来るサービスでもあります。
▶ 【リスク検知】内部不正検知(IRI)サービスの詳細はこちら
情報漏洩は、外部のアタック攻撃だけに備えていても十分ではありません。内部からの脅威対策は、エルテスにまずはご相談ください。
情報漏洩対策は、エルテスへ
【関連情報】
〇関連資料
・情報漏えいの実態~セキュリティ・コンプライアンス担当者必見~
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム
・従業員からの技術情報漏えいを防ぐ。情報持ち出しへの対策とは?
・危機管理広報が知っておくべき、SNS空間における内部告発の実態とその影響