情シス Secret Method

情報漏えい対策の基本!当たり前のようで知らない情シスが行うべきこととは?

「株式会社●● フィッシング詐欺で約△△件のメールアドレスが流出!!」
「■■株式会社 クレジットカードの情報が約××件流出!!」

など企業の情報漏えいに関するニュースが、日々新聞や各ニュースメディアをにぎわせており、目にされることも多いことと思います。
そんな日々起こっている漏えい事件の発生原因のうち、「社員のうっかりミス」が7割を占めると言われたらどう思われますでしょうか?

『当社の社員もありえそうだから気を付けないと..』
『7割は盛りすぎなんじゃないか!?』

どちらの感想を持たれた方もいらっしゃると思います。
実は、日本ネットワークセキュリティ協会の調査(2018年度)によると、発生件数全体の71.1%が、紛失や置き忘れ、誤操作、不正アクセスであるとしています。

これら3大原因が発生する根本理由は、社員へのセキュリティ教育が十分にされていない、もしくはセキュリティに対する考えが文化として醸成できていないことではないでしょうか?

少しドキッとされたセキュリティ担当の情報システム部門の方々に向けて、今回は情報漏えいの実例から発生原因、対策まで詳しく解説していきます。


目次[非表示]

  1. 1.企業における情報漏えいの実例
  2. 2.情報漏えいの原因
  3. 3.情報漏えいによる企業のリスク
  4. 4.企業における情報漏えいの防止策
  5. 5.根本的な情報漏えい対策
  6. 6.まとめ

企業における情報漏えいの実例

まずはじめに、情報漏えいの実例を2件紹介します。

▽ファイル共有ソフトが原因で情報漏えい
音楽が大好きなTさんが、音楽データをダウンロードするため、“ちょっとの間”の安易な気持ちで会社のネットワークを無断借用しました。

そして、ファイル共有ソフトでダウンロードしたファイルの1つを開いた時、Tさんが使用している会社支給のパソコンがウイルスに感染します。
Tさんはそれに気づきませんでしたが、しばらくするとインターネットの電子掲示板に、自社名が出ている話を耳にしました。

Tさんがその電子掲示板にアクセスしてみると、そこにはTさんのデスクトップ画面の画像が公開されており、その中には大切な取引先に送信した重要な電子メールの内容まで記されていました。

ファイル共有ソフトをインストールしたパソコンがウイルスに感染すると、自社の機密情報や取引先情報が流出する危険性が高いことへのTさんの認識不足が招いた結果でした。

▽中古パソコンによる情報漏えい
ある大学生が中古パソコンを購入しました。
購入後、その大学生が市販のデータ復元ソフトを使用し、ハードディスクのデータを復元してみたところ、医療機関が健康保険組合などに医療費を請求するために作成した診療報酬明細書の画像データが残されていました。

悪意のある方がこの情報を入手していたらどうでしょう?
自社の情報を守るため、パソコンのハードディスクなどの記憶媒体は必ずデータが復元できない状態にしてから廃棄しなければなりません。

これら2件の共通点として、“社員のセキュリティリテラシーの低さ”から情報漏えいが発生していることが分かります。

※出典:総務省「事故・被害の事例 | 国民のためのサイバーセキュリティサイト」


情報漏えいの原因

実際、『2018年 情報セキュリティインシデントに関する調査報告書』でも、社員のセキュリティリテラシーの低さが情報漏えいの7割を引き起こしているという結果が出ております。


表1.個人情報漏えいの原因別発生割合_日本ネットワークセキュリティ協会


対して、内部不正などの作為的な要因は全体の5.4%を占めるに留まっています。
したがって、社員へ情報セキュリティ教育を行い、セキュリティリテラシーが向上すれば、約7割の情報漏えいは防げるのです。

2018年には、実際に約440件の漏えい事故が起こっており、約2,680億円の損害賠償が発生しております。
いつ自社が情報漏えいの加害者となってしまうかが分からないため、社員へのセキュリティ教育は必須項目であると再確認頂けるのではないでしょうか。

※出典:2018年 情報セキュリティインシデントに関する調査報告書 |特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)


情報漏えいによる企業のリスク

企業の機密情報が第三者に漏えいした場合、大きく分けると以下5点の損害が発生するリスクがあります。

▽初動対応コスト
▽損害賠償コスト
▽利益損害
▽行政損害
▽無形損害

▽初動対応コスト
自社で情報漏えいが発生すると初動対応が重要になります。
初動対応は社内対応社外対応に分かれており、社内対応に要するコストは漏えいの規模やその範囲により異なります。

◇社内対応
社内向けの初動対応として、次の3点を検討し、対応を行う必要があります。

・情報漏えい経路の遮断と被害拡大防止策の策定(社内全システムの一時的な運用停止など)
・フォレンジック調査(情報漏えいの痕跡を解析し、その原因と被害範囲を特定する調査)
・再発防止対策(セキュリティツールの強化や社内へのセキュリティ教育の強化など)

◇社外対応
社外に被害が及ぶ可能性がある場合、二次被害を防ぐため次の5点を検討し、対応を行う必要があります。

・事故発生の発表とメディアへの謝罪広告の出稿
・法律事務所へ法的対応の依頼
(取引先に対する各種対応策の策定など)
・専用の問合せ対応用コールセンターの臨時開設
・被害が及ぶ可能性のある取引先への、見舞い金や見舞い品の贈呈
・取引先の被害範囲調査

▽損害賠償コスト
自社の情報漏えいにより取引先に損害を与えた場合、損害賠償金を支払う可能性があります。
また賠償請求をされた場合、裁判に向けた弁護士費用なども必要になる場合があり、多額のコストがかかります。

▽利益損害
自社がサイバー攻撃や標的型攻撃により情報を漏えいさせた場合、初動対応コストや損害賠償コストだけに留まらず、会社のブランドイメージを大幅に損ねてしまうため、将来の見込み取引も含め甚大な利益損害が発生します。

▽行政損害
自社が取引先の個人情報を漏えいさせた場合、行政に個人情報保護違反を問われて罰金を科されるなどの行政損害を被るケースがあります。
また、この漏えいがEUや米国にも及んだ場合は、海外でも行政損害を被る可能性があり、国際弁護士との契約費用も必要になる可能性があります。

▽無形損害
自社が情報漏えいを発生させた場合、ブランドイメージの毀損や株価下落のほか、以下のような無形の損害が発生する可能性があります。
・既存取引先との取引停止
・営業機会の逸失による売上の減少
・社員の離職
・将来の見込み顧客との取引停止


企業における情報漏えいの防止策

企業における情報漏えいの防止策としては以下のようなものが考えられます。

▽メール誤送信による情報漏えい対策
 ・メール送信の際の指差し確認、ダブルチェックの徹底
 ・送信取り消し機能や添付ファイル自動暗号化機能を持ったセキュリティツールの導入
▽フィッシング詐欺による情報漏えい対策
 ・フィッシング詐欺対策セキュリティソフトの導入
▽情報持ち出しやウイルス感染による情報漏えい対策
 ・私物のノートパソコンやUSBメモリなどを職場に持ち込んで使わせない
 ・業務で使用したUSBメモリなどの電子媒体を勝手に廃棄させない
 ・自社の機密情報へアクセスできる範囲を制限する
 ・守秘義務に関する自分の権限を部下に代行させない

これらは社内のセキュリティ規定への追加や、会社や部門のルール化することも含め検討する必要があります。

しかしながらいくら厳重な規定を作ったとしても、規定のみで全従業員が腹落ちし100%遵守させることは、ほぼ不可能です。
そのため、企業における情報漏えいが起こった際の企業ならびに個人の責任でどういった賠償リスクがあるのかを定期的に社内教育し、全従業員に納得してもらわなければなりません。


根本的な情報漏えい対策

会社を守るためには、前章で述べた社員のミスを防ぐ対策に加え、情報漏えいのリスクを分析、評価するリスクアセスメントと、それにもとづく組織的かつ継続的な対策の実施が重要です。

▽リスクアセスメント

リスクアセスメントは、自社固有の情報と取引先から預かっている情報のリスク項目をランク付けをする手法で、基本的に次の手順で行います。

1.厳密に管理すべき社内外情報の洗い出し
2.洗い出した情報に対するリスク分析と識別
3.分析、識別した各情報のリスク評価
(発生頻度や自社が被る被害想定など)
4.リスク評価にもとづいたリスク回避のランク付け
5.ランクに対応した適切な情報漏えい対策の策定

このリスクアセスメントにより、どの項目にコストをかけて対策するのか、もしくはコストをかけない簡単な対策に留めるのかなどを決定できるため、会社全体で適切な対策を立てることが可能です。

▽組織的かつ継続的な情報漏えい対策

リスクアセスメントにもとづいた、組織的であり継続的な対策は基本的に次の手順で進めると良いと言われています。

1.対策ガイドラインと対策ルールの策定
2.組織的かつ継続的な対策を構築し、運用するためのシステム設計
3.社員の情報セキュリティ意識を向上させる研修
4.定期的なPDCAチェックによる対策の評価や改善

1.対策ガイドラインと対策ルールの策定
まず自社固有の情報と取引先から預かっている情報をいかにして漏えいから守るかの方針とその手段を明確にしたガイドラインを策定し、文書化します。
次にそれをどのような業務フローで実施すれば、日常業務の効率を妨げずにリスクを回避できるかの分析を行い、分析にもとづく対策ルールを策定します。

2.組織的かつ継続的な対策を構築し、運用するためのシステム設計
対策ルールを日常業務に組み込み、全社員がスムーズかつシームレスにルールを守れる環境を構築するためのシステム設計をします。

3.社員の情報セキュリティ意識を向上させる研修
定期的な全社員向け情報セキュリティ研修と、階層別の研修を継続的に実施し、対策ルールの社内定着を図ります。
この研修は「社員うっかりミス」消滅にも効果的と言われています。

4.定期的なPDCAチェックによる対策の評価や改善
情報システムや業務ツールは年々進化しているため、既存の対策ルールではカバーしきれない状況が生まれてきます。
また悪意の第三者による攻撃も年々巧妙化しています。
そのため定期的にルール運用についてのPDCAを回し、情報漏えい対策の改善と向上を継続的に測る必要があります。


まとめ

DX化が叫ばれている昨今、企業が持つ情報資産の量は日々増加の一途を辿っております。
また、情報資産の取り扱い方も複雑化を増す一方です。
こうしたデジタル環境の中で、企業はいかにして自社固有の情報と取引先から預かっている情報を守るかが問われ、漏えい対策の重要さが経営レベルの課題になっています。

そのため自社が情報漏えいの加害者側にならないために、以下2点の対応は必ず実施しなければなりません。

・各情報資産を評価、分類するリスクアセスメント
・組織的であり、かつ継続的な情報漏えい対策

その中でも、実際に情報資産を扱う社員の方のセキュリティリテラシー向上は喫緊の課題です。

どれだけルールを手厚くしても、どんな素晴らしいツールを利用しても情報を扱う方の意識が低ければ、セキュリティ事故が起こる確率が上がってしまうためです。

情報セキュリティに関して専門の機関(情報セキュリティ委員会など)が無い企業では、情報システム部門が牽引役となるでしょう。
自社社員のセキュリティ教育に充てる工数や知見に不安がある場合は、専門の企業に相談するのもひとつの手段として有効です。


■関連記事

標的型攻撃メール訓練サービスとは? 自社で利用してみたら、3つの大きな効果があった話

情報セキュリティの基本(cia)と3大脅威への対策とは

情報漏洩どう防ぐ?テレワークにおける企業データの守り方!|認証・認可

※この記事は、公開時点の情報をもとに作成しています。

土井 広毅
土井 広毅
営業兼ライター。 アイエスエフネットの多岐に渡るソリューションの営業業務、部門のマネジメントを行う傍らで、 WEBコンテンツの制作に悪戦苦闘する日々を送る。 座右の銘は「為せば成る」

サービスについてのお問い合わせはこちら

お電話でのお問い合わせはこちら
平日9:00-18:00
ご不明な点はお気軽に
お問い合わせください。
課題解決の資料は
こちらからダウンロードできます。
情報漏えい調査に関する
ご相談はこちら

おすすめの資料


おすすめの記事

カテゴリー

タグ