企業が情報漏洩対策として行うべきポイントは?機密情報の守り方を解説
情報漏洩により企業が大きな被害を受けてしまうニュースをよく耳にすることが増えています。
そのような事態を防ぐには、多く発生している情報漏洩の原因を理解した上で、社内でできる対策を確実に行っていくことが大切です。
『情報の流出原因にはどんなものがあるの?』
『情報漏洩対策って具体的にどうすればいいの?』
今回は、そのような情シスの皆さんの疑問にお答えできるよう、情報漏洩の原因から情報漏洩の発生を抑えるために個人や企業が普段から取り組むべきポイント・対策を解説いたします。
ぜひ、企業の情報セキュリティの司令塔である情シスメンバーとして、自社が保有する機密情報をしっかりと保護できる体制作りの参考にしてください。
目次[非表示]
- 1.情報漏洩の原因
- 2.情報漏洩を防ぐ対策
- 2.1.社員個人が行うべき情報漏洩対策とは?
- 2.2.企業側で行うべき具体的な対策方法は?
- 3.まとめ
情報漏洩の原因
そもそも、情報漏洩はどのような原因で発生してしまうのでしょうか。
東京商工リサーチが発表した「2022年 上場企業の個人情報漏洩・紛失事故」のデータをみてみましょう。
※画像引用:東京工商リサーチ
個人情報の漏洩・紛失事故の年次水位をみると、2022年の事故件数は165件となっています。
この件数は前年と比較すると20.4%増加しており、2012年に調査を開始して以降最多の結果となりました。
またそれに伴い、個人情報漏洩・紛失事故を公表した上場企業の数も150社と、過去最多を記録しています。
※画像引用:東京工商リサーチ
なお2022年の情報漏洩・紛失事故の165件のうち、原因別では「ウイルス感染・不正アクセス」の91件が最多で、半数以上を占めるという結果でした。
次いで、メールの送信間違いやシステムの設定ミスといった「誤表示・誤送信」が43件、保管しておくべき書類や取引記録の「紛失・誤廃棄」が25件、従業員が社内規定に反して個人情報を持ち出したりした「盗難」が5件と続いています。
それでは、上記のような原因による情報漏洩が多発していることを理解したうえで
具体的にどのような情報漏洩対策をしていけばよいのでしょうか。
情報漏洩を防ぐ対策
情報漏洩を防ぐためには、「社員個人が行うべき情報漏洩対策」と「企業側で行うべき情報漏洩対策」の2つの視点で対策を網羅的に行うことが重要です。
社員個人が行うべき情報漏洩対策とは?
まず、企業に所属する社員個人が行うべき情報漏洩対策からご紹介します。
会社の情報漏洩を防ぐためには、企業に所属する個人個人のセキュリティ意識を高め、情報の取り扱いが慎重になることで情報漏洩の人的リスクを抑えることができます。
以下では個人が行うべき情報漏洩対策として、情シスから全社員へ注意喚起すべき内容をまとめました。
情報・機器を不用意に持ち出さない
情報漏洩が起こる原因の多くに、記憶媒体などの管理ミスがあげられます。
ルールを定めて情報・機器の不用意な持ち出しは避け、どうしても必要な場合は、管理者の許可を得たうえで、更に端末のロックを設定するなどといった対策を十分に講じましょう。
以下、決めておくと良いルールの一例です。
・パソコンや記憶媒体の持ち出しは基本的に禁止する
・どうしても持ち出す必要がある際は許可制とし、端末ロックなどを行う
・私物のパソコンを社内ネットワークに接続しない
・私物のメモリを業務用パソコンと接続しない
・業務用と私用のメールアドレスをそれぞれ用意する
機密情報の放置は絶対に行わない
情報漏洩・紛失事故の原因として3番目に多いのが、保管しておくべき書類や取引記録の「紛失・誤廃棄」です。
機密情報をうっかり放置してしまったことにより、漏洩につながるケースが多発しています。
情報漏洩に直結するような機密情報の放置や投棄は、絶対に行わないよう対策を講じましょう。
主な対策方法としては、以下のようなものがあげられます。
・業務用の携帯電話やスマホを放置したまま帰宅、外出しない
・離席する際には必ず、業務用パソコンにロックをかけておく
・紙の書類は必ず、鍵のかかっている棚などで保管する
・紙の書類をシュレッダーにかけずゴミ箱に捨てるなど、不適切な処分は行わない
・記憶媒体を処分する際は、必ずデータが完全に削除されていることを確認する、もしくは専門の業者に依頼する
許可を得ず権限の譲渡や、情報の公言をしてはいけない
企業に所属していると、業務上で知り得た情報を口外してはいけない義務、すなわち「守秘義務」が発生します。
しかし守秘義務を果たせなかったことにより、情報漏洩事故が起きてしまう事例も多いものです。
そのような事態に陥らないために、以下のような点に注意しておきましょう。
・ログインIDやパスワードは絶対に第三者に公開しない、また見られる場所に放置しない
・情報を扱っている媒体や書類が保存されている部屋の鍵などを、第三者に渡さない
・個人で利用しているSNSに業務のことを書き込まない
・電車の中や飲食店など、不特定多数の中で業務の話をしない
パソコンがウイルスに感染しないように気を配る
情報漏洩・紛失事故の原因で、構成比の半数以上を占めるのが「ウイルス感染・不正アクセス」と述べました。
パソコンがウイルスに感染してしまった場合、インターネット上に機密情報が流出してしまう危険性が大いに考えられます。
故意でなくとも、取引先や顧客にウイルスが含まれたメールを送信してしまう危険性も否定できません。
企業がセキュリティソフトなどを活用して万全なる対策を講じるのが大前提ですが、社員の立場からも、不審なメールが届いた場合など、すぐ上長に相談するように社員教育が必要です。
万が一ウイルスに感染していると発覚した場合は、パソコンのLANケーブルを抜くなどの方法で、社内のネットワークからすぐに切り離すことで、被害の拡大を抑えることができるため、そういった処置の方法を社員一人ひとりが理解していることが、ウイルス感染対策の第一歩となります。
怪しいホームページへの接触を避ける
ホームページのなかには、アクセスしただけでウイルスに感染するような、非常に悪質なものも存在します。
そのようなホームページを閲覧したことを発端に、社内のネットワークにウイルスが広まってしまい、上で述べた通り取引先や顧客へ甚大な被害をもたらしてしまう可能性も否定できないのです。
業務用パソコンで不審なホームページを閲覧しないように気を配りましょう。
情報漏洩事故が発生したらすぐに然るべき報告を
ここまで取り上げた事を社員一人ひとりが厳守できれば、情報漏洩事故の多くは防止できるといって過言ではありません。
しかし情報漏洩は、企業の営業活動や取引先、顧客の生活を脅かす危険性をはらむものであるがゆえに、万が一情報漏洩事故が起きた際の対処法も用意しておく必要があります。
まず、事故を起こしてしまったら、すぐに上長に報告をしましょう。
被害が広範囲へと及ぶ前に速やかに対処する必要があります。
その後は、企業が定めたセキュリティポリシーなどに即して、慎重な対処を行いましょう。
企業側で行うべき具体的な対策方法は?
情報が重要視される現在、企業としても情報漏洩の防止に取り組む必要があります。
ここからは、企業側が講じるべき対策を具体的に解説いたします。
セキュリティ教育や守秘義務契約の締結を行う
社員のセキュリティ意識や知識の向上を図るべく、セキュリティ教育の場を設けることが必要です。
これにより、社員一人ひとりの意識向上が期待できます。
また社員が業務内容を外部で公言しないように、守秘義務契約も必ず締結するようにしましょう。
わざわざ契約を結ぶことを大袈裟に感じるかもしれませんが、改めて契約をきちんと結ぶことで、社員に対し強い危機感を芽生えさせることが重要です。
加えて、事故が発生してしまった際の対応方法もしっかりと検討しておくべきです。
事故を起こした場合は誰に連絡するべきか、報告を受けた上長の対応はどのようにするべきか、マニュアル化して十分に整備しておくと良いでしょう。
※社員向けセキュリティ教育ならアイエスエフネットの「セキュリティベーシック研修」!
多層防御を図る
セキュリティ対策を何層にも行う方法を多層防御といいます。
例えば、まず不正アクセスをファイアウォールで防ぎ、万が一それが突破されてしまった時のために機密情報を暗号化しておくなどといった方法が挙げられます。
社員がID・パスワードを漏洩してしまい、悪意ある第三者が不正アクセスを行ったとしても、暗号化しておけば情報を保護することができるでしょう。
多層防御を行っておくことで、人的ミスも最小限に抑えることが可能です。
また、強固な多層防御を実現するにはセキュリティソフトを利用することも必須です。
社員への教育や注意喚起はもちろんですが、セキュリティソフトでシステム面の対策を十分に行うことも忘れてはいけません。
※多層防御による万全な標的型攻撃対策なら「WatchGuard」!
メール訓練を実施する
情報漏洩の原因で最も多いのが「ウイルス感染・不正アクセス」ですが、とくに2022年2月以降、マルウェア「Emotet」による感染が急拡大しました。
社内のパソコンが感染し、メールアドレスをはじめパソコン内部の情報窃取や、なりすましによる不審メール被害が多発しています。
⇒Emotet(エモテット)とは? 最恐マルウェアから情報資産を守る方法とは
パソコンのEmotet感染のリスクを軽減するためには、社員のセキュリティリテラシーを向上させることが重要となりますが、『自社の社員のセキュリティリテラシーレベルがいまいち把握できていない』という企業には、標的型攻撃メール訓練の実施をおすすめします。
標的型攻撃メール訓練とは、重大な情報を盗むことなどを目的としたウイルス付きメール(標的型攻撃メール)をなぞらえた「訓練メール」を、抜き打ち的に社員へ送信するものです。
標的型攻撃メール訓練を実施することで、自社の社員のうちどのくらいの割合で誤ってクリックしてしまっており、マルウェア感染のリスクがあるのかが把握できるとともに、メール文面という会社の文化的な側面が、サイバーアタックに気づくきっかけになることを社員に周知することができます。
⇒実体験!標的型攻撃メール訓練とは?目的と3つの効果について解説!
※標的型攻撃メール訓練サービスなら「MIERUTRAP(ミエルトラップ)」!
まとめ
以上、情報漏洩対策として、社員と企業が行うべきポイントをそれぞれ分けて解説いたしました。
社員一人ひとりが情報の扱いやパソコンでの情報閲覧に注意するだけでなく、企業としてもセキュリティツールの導入やセキュリティ教育などを通して対策を講じることで、リスクを軽減することができます。
それぞれの立場で然るべきポイントをしっかりと守り、情報漏洩が起こりにくい体制を構築することが何より大切です。
『情報漏洩対策についてのポイントは分かったけれど、何からはじめていけばいいのかな?』
という新たな疑問が生まれた方は、まずは自社でどれくらいの情報漏洩が起こっているかのチェックをしてみてはいかがでしょうか。
また、情報漏洩対策についてプロに相談したいという方は、こちらまでご相談ください。
\アイエスエフネットのセキュリティサービス/
・情報漏えい調査サービス MIERUPASS(ミエルパス)
・エンドポイントセキュリティ MIERUDR(ミエルダー)
・標的型攻撃メール訓練サービス MIERUTRAP(ミエルトラップ)
・従業員へのセキュリティ教育サービス セキュリティベーシック研修
■関係記事
・情報漏えい対策の基本!! 当たり前のようで知らない情シスが行うべきこととは!?
・クラウド利用での情報漏洩に備える! 情シスが知っておくべきリスクとその対策とは??
※この記事は、公開時点の情報をもとに作成しています。