企業の情報漏えいの原因について。知らないと危険なセキュリティリスクとは
昨今、企業の顧客情報漏えいの事件がメディアで相次いで報道されています。
このような企業の不祥事は、社会的信用を低下させ、取引の中止や契約の解除による業績の悪化など、社会的・金銭的な損失を発生させます。
情報漏えいはサイバー攻撃や脆弱性をついた攻撃といった、外部からの要因で起きる場合や、怠慢による社内情報の杜撰な管理が要因であり、それぞれに適した対策が必要です。
今回は、情報漏えいの概要やそれが起こる原因、その対策について解説いたします。自社のセキュリティに不安のある企業の方はぜひ参考してください。
目次
情報漏えいについて
情報漏えいとは、機密情報や個人情報が意図せず外部に流出することを指します。主な情報漏えいルートとして、従業員や退職者・取引先・外部者などに分類できます。
情報漏えいが起こる原因
IPAの「企業における営業秘密管理に関する実態調査2020」の報告書によると、2020年のデータを見ると、上から「中途退職者(役員・正規社員)による漏えい」と「現職従業員等の誤操作・誤認等による漏えい」「現職従業員等ルール不徹底による漏えい」という結果になっており、内部的な要因が70%以上を占めています。
※ 画像内の上位2項目で過半数を占めていることを表しています。
これにより、内部的な要因はニュースなどのメディアによって事態が世間に知れ渡る機会が多くはありませんが、情報漏えいが発生する要因の大部分を占めていることが分かりました。
しかし、ランサムウェアなどのサーバー攻撃による情報漏えいも、2016年から3.2%増加しており、外部要因の対策も講じる必要があります。
実際に、近年では世界各地で重要インフラの機能停止や、機密情報の窃取を目的としたサイバー攻撃が相次いで発生し、日本でも政府機関等において、DDoS 攻撃とみられる被害が発生しているほか、生成AIを悪用した事案も発生しているとの情報も記載されています。
※「令和6年 上半期におけるサイバー空間をめぐる脅威の情勢等について」から引用
対策について
情報の整理と管理方法を決定
情報漏えいの対策を行う上で、まずは情報の整理が必要です。「自社がどんな情報を持っているか?」を洗い出すことによって、情報の重要度の階層分けを行い、その重要度によって適切な対策を講じることが可能です。
具体例をとしては、顧客情報や製品やサービスの製作方法、市場分析・競合分析結果をまとめたExcelデータ、仕入れ値などの価格決定に必要な情報などが挙げられます。
情報の整理が完了した後は、その重要度に沿って管理方法を決定します。具体例としては、重要な情報を保存しているファイルには、権限を付与されたアカウントのみが閲覧できるように設定したり、重要度が低く頻繁に編集や追記を行う議事録の場合には、従業員全員が閲覧できる共有フォルダに保存するなど、その情報に合わせた管理方法を設定しましょう。
社内情報の持ち出しを制限する
従業員や退職者によって社内情報が持ち出され、情報漏えいにつながるケースは非常に多いです。そのため、社内情報の取り扱いについての規約を定め、それを破った場合についての対応を明記し周知することで、事前に情報漏えいを防ぐことができます。
具体的には、USB の利用・持ち込みの禁止、情報端末の管理、全社員に対して秘密保持契約を締結する等が挙げられます。
情報漏えいが発見しやすい環境づくり
万が一外部に情報を持ち出そうと考える従業員がいた場合、その行動を察知できる環境を整えておくことで情報漏えいを未然に防ぐことができます。
具体的には、座席配置やレイアウトを工夫することで、常に死角を生まず他の従業員の目が届くように設計したり、防犯カメラを設置し、従業員の行動を映像として残す等、PCログや作業の様子を記録しておく等が挙げられます。
またセキュリティソフトを導入することで、フィッシングメールなどの不審なメールを事前にブロックしたり、悪質なWebサイトにアクセスする前に警告を出すことで、情報漏えいの原因になる脅威を未然に防ぐことが可能です。
社員の情報に関する意識向上
情報を扱う人物が意図せず情報漏えいをおこなってしまうケースも存在します。このような事態が起こらないように、情報セキュリティに対する知識を習得させておく必要があります。これにより、
また、サイバー攻撃や不正アクセスなどの知識を習得することで、ウイルスに感染する可能性のある行動を控えるよう促したり、利用しているサービスを定期的にアップデートしたりとセキュリティリスクを回避する行動を促すことができます。
外部からの攻撃手法として挙げられる脆弱性をついた攻撃は、サービスのアップデートを行わず、サービス提供元から発行されたセキュリティパッチを適用していなかったことが原因である可能性があります。普段から定期アップデートを行うよう従業員に周知することも重要な対策の1つです。
このように、セキュリティインシデントに対する意識を高めておくことで、内部要因での情報漏えいの可能性を下げることができます。
※サイバー攻撃や不正アクセスについて詳しく知りたい方は、下記のブログも併せてご覧ください。
情報セキュリティ最大の脅威であるランサムウェアの攻撃パターンと対策について
不正アクセスの手口と対策について解説。事前準備と事後対応が重要です!
働きやすい環境づくり
従業員に情報を外部に持ち出そうという考えを持たせないことも情報漏えい対策の1つです。普段から従業員とコミュニケーションを図り、信頼関係を気づくことによって情報漏えいの可能性を無くすことができます。
まとめ
今回は企業が行うべき情報漏えいの対策について解説しました。情報漏えいは、企業にとって重大なリスクです。適切な対策を講じることで、その影響を最小限に抑えることができます。
情報セキュリティを強化し、今後のリスクに備えることが求められます。あなた自身やあなたのビジネスを守るために、上記で解説した行動を起こしましょう。
もし、情報漏えいが起こった際には
経済産業省が公開している資料に相談内容に合わせた窓口が記載されておりますので、ぜひご活用ください。
各種窓口一覧(P.35以降)
