情報漏洩の原因とその対策とは?


目次

1.情報漏洩とは

企業の信用性を脅かすリスクとして、個人情報や営業秘密などの情報漏洩、情報流出が挙げられます。

一度、企業が情報漏洩を起こしてしまうと、企業としての信頼性が低下する上に、賠償金の請求など金銭的な負担が発生してしまう可能性があります。更に取引の停止など売上に影響を与えるだけでなく、セキュリティの強化施策実施などの現場従業員の業務負担の増加につながり、企業としての生産性が低下する可能性があります。

企業の大きなリスクである情報漏洩の実態をもう少し詳しく見ていきたいと思います。特定非営利活動法人日本ネットワークセキュリティ協会が実施した「2018年情報セキュリティインシデントに関する調査結果~個人情報漏洩編~」によると2017年に比べて、個人情報の漏洩人数、件数、被害想定額が増加しています。

ここでまとめられている数字は、営業秘密、企業秘密の漏洩等は含まれず、あくまで個人情報の漏洩の範囲であることを考えると情報漏洩は、いつどこの企業に襲いかかるか分からないリスクであるとも言えるのではないでしょうか。

2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)

2.情報漏洩の実態

情報漏洩の原因

前述の調査では、情報漏洩の原因がまとめられています。情報漏洩と聞いて、外部からのサイバーアタックをイメージされる方も多いも知れませんが、外部からの攻撃である「不正アクセス」や「ワームウイルス」は、全体の2割程度に留まります。

情報漏洩の主な原因は、「紛失・置き忘れ」「誤作動」が、約5割を占めています。その他に、「不正な情報持ち出し」、「内部犯罪・内部不正行為」が原因となるケースも存在します。つまり、情報漏洩は、外部からの脅威ではなく、内部不正や人的なミスなど企業内部からの脅威がより大きな原因を締めます。

2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)

どのように情報漏洩が起きるのか

では、個人情報はどのような経路で漏洩していくのでしょうか。前述の調査によると、最も多い漏洩経路は意外にも紙媒体です。更に、インターネット、メールやUSBを介した情報漏洩も多く発生しており、それらは増加傾向を示していることは、驚きの数値ではないでしょうか。

2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA)

経路の実態から情報漏洩の対策を考えてみましょう。

紙媒体、USBからの情報漏洩は、印刷時の個人情報掲載のチェック管理やUSBへのデータコピーを禁止するなど、仕組みである程度の改善することが出来そうです。

電子メールでの情報漏洩に関しても、データ送付時のチェック体制の強化などが挙げられます。一方で、インターネットはHPなどへの不正アクセスが挙げられ、こちらは外部からの脅威を守るセキュリティ対策が求められます。

万が一、紙媒体やUSBから情報漏洩した場合に、どのような情報が含まれていたのかをIT資産管理ツールを用いて、PCログから確認できる体制構築は、個人情報漏洩の経路を鑑みて、実施すべきセキュリティ対策といえます。

3.情報漏洩を防ぐために

企業が受ける損害・企業活動への影響を考えると、情報漏洩は避けなくてはならないものです。ここまでの原因や経路からどのような対策をもう少し整理したいと思います。

例えば、機密情報を紙媒体で持ち出す場合は、上司への持ち出し申請を行う、持ち出し情報の管理を行うなどルールを制定することが考えられます。ルールの徹底により、持ち出し情報が“機密情報”であるという従業員の意識の高まりや、万が一紛失が生じた際も、どのような情報を紛失してしまったのかが把握できるため、企業にとってのリスク管理が行いやすくなることが考えられます。

その他にも、メールを送信前に送信先、添付資料の再確認を行うようなダブルチェックの仕組みを取り入れる、USBへのデータコピーをできないように社用PCを設定することも、内部からの情報漏洩を防ぐ重要なアプローチです。

4.行動分析による最先端情報漏洩対策

近年、サイバーアタックやマルウェア感染などの外部からの攻撃による情報漏洩などの取り組みは高度化されています。

一方で、情報漏洩の主な原因の5割が「紛失・置き忘れ」「誤作動」であることを考えると、人間の不注意や悪意を起因とした情報漏洩にも目を向けなければなりません。

また、従業員などが悪という考えを持つのではなく、誰しもが状況によっては、ミスや悪事を犯してしまいうる、そのような決定的な行動に移る前に、従業員の異変に気づき、企業が従業員を守るための仕組みを導入することがセーフティーネットを設けることが現実的です。

そこでは、エルテスでは人の行動に基づく、最先端情報漏洩対策の取り組みを提唱しています。具体的には、ファイルアクセスログ、勤怠ログ、Web閲覧ログ、メールログなどを横断的に分析することで、情報漏洩に繋がりうる従業員のメンタルヘルス不調や過重労働などのうっかりミスの原因を検知することや、シャドーITなどの情報セキュリティの抜け穴となる行動を検知することが出来ます。

つまり、ログを活用し、自社の情報漏洩に繋がりうるシグナルを早期に検知し、従業員のフォローやシャドーITなどへの全社での取り組みを行い、情報漏洩の抜け穴を塞ぐことが可能です。

社内に眠るログ分析を行うIRI(Internal Risk Intelligence)は、既に保有する10,000以上のリスクシナリオに加えて、国内のセキュリティインシデント事故などの機械学習機能も搭載し、情報漏洩の予兆を検知する最先端の情報漏洩対策サービスです。ログを用いて従業員を見守り、取り返しのつかない行動が起きる前にインシデントを防ぐことが出来るサービスでもあります。
▶ IRIの詳細はこちら

情報漏洩は、外部のアタック攻撃だけに備えていても十分ではありません。内部からの脅威対策は、エルテスにまずはご相談ください。

【参考】
2018年 情報セキュリティインシデントに関する調査報告書【速報版】(JNSA )

【解説者】
株式会社エルテス マーケティング部  
マーケティングGr マネジャー
奥村高大
プロフィール:
大学卒業後、金融機関、コンサルティングベンチャーを経て、2018年に株式会社エルテスに入社。マーケティングGrにて、デジタルリスクラボの立ち上げ、運営、執筆を行う。