情報漏洩対策は企業において必須!情報漏洩の原因や備え方を紹介します
情報漏洩対策は企業にとって非常に重要な問題です 。報道でも、毎月のようにマルウェア感染や個人情報の漏洩が取り上げられています。さらにテレワークの導入によりセキュリティ対策はますます難しくなってきました。
しかし、多くの企業では情報システム部門の人手が足りていません。中小企業・中堅企業ではそもそも情報システムの専門家がいなかったり、情報システム部門の担当者が1人しかいない「1人情シス」であったりします。そのため十分な対策ができていない、どこから手をつければよいのかわからないという企業も多いでしょう。
ここでは、情報漏洩の概要と基本的な情報漏洩対策およびそのポイントを紹介します。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
情報漏洩の概要とその原因
ビジネスにおける「情報漏洩」とは、企業・団体などの組織や個人が保有している重要なデータが外部に漏洩することです。漏洩を防ぎたい「重要なデータ」とは、機密情報や個人情報などを指します。
最近は、企業・団体などからの情報漏洩が特に問題になっています。ITツールやインターネットが個人の生活だけでなくビジネスに多用されることで、企業からの情報漏洩も年々増えているからです。
企業からの情報漏洩については、次のような調査もあります。東京商工リサーチによると、「2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)だった」とあります。事故件数の165という数字は、国内の上場企業の4%超に相当するため、決して少なくないといえるでしょう。
また同調査には「調査を開始した2012年以降の11年間で、社数と事故件数は2年連続で最多を更新した」ともあり、情報漏洩対策の重要性が増していることが見て取れます。
引用:個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~ | TSRデータインサイト | 東京商工リサーチ
どのような情報が漏洩するのか
主に、次のような情報が漏洩しています。
個人情報の場合
個人を特定できる住所や電話番号や決済情報、企業システムへのログイン情報などがあります。
企業の機密情報の場合
顧客リストや社員・役員の個人情報、取引先の情報、業務に関する情報、決済情報などがあります。
情報漏洩の原因
情報漏洩の原因で多いのは次のようなものです。
端末の紛失・置き忘れ
外出先での業務やテレワークなど、端末を持って移動する際に多く発生するミスです。端末ではなく、USBなどの記憶媒体のみを持ち歩き、紛失・盗難・置き忘れにあうこともあります。
誤操作
メールの誤送信、添付ファイルの間違い、アクセス権限の設定ミスなどがあります。
マルウェア感染、不正アクセス
マルウェアに感染すると、多くの場合、ログイン情報が漏洩して不正アクセスを招きます。そこからさらに情報漏洩が起こることも多いです。
情報漏洩が起きると企業はどうなるか
情報漏洩が発生すると、業種・規模に関わらず企業は大きな損失を受けます。また、情報漏洩を止めないと被害が出続けてしまうため、自社業務をいったん停止しなければならないことも少なくありません。
場合によっては被害が自社だけに留まりません。サプライチェーンの一部として取引先の企業にも被害がおよぶこともあります。それを防ぐため、中小企業・中堅企業が大手の取引先からセキュリティ強化を求められることも増えています。
情報漏洩の対策を行わないままでいる場合や、対策が甘くて情報漏洩が起こってしまった場合は、企業の社会的信用が低下するため、その後の取引が減る可能性もあります。その結果、企業の経営そのものにも影響がおよぶことも考えられます。
取引先との関係性やリソース、対応力に限りがあることから、情報漏洩の経営に対するダメージは中小企業・中堅企業の方が大きいといえるでしょう。中小企業・中堅企業こそ、しっかりした対応を行う必要があります。
情報漏洩が発生した際の対応について、特に重要なものは以下のとおりです。
1. 被害の範囲を調査する
自社の持つ情報のうち、どの部分が漏洩したのか、顧客への影響はどの程度かなどを調査します。
2. 情報漏洩の原因を調査する
同時に情報漏洩の原因を調査します。このとき、ネットワークの停止、それによる業務停止などが発生することがあります。
3. 被害を報告する
顧客や取引先、および個人情報保護委員会への報告を行います。これは、2022年の個人情報保護法改正により、情報漏洩が発生した場合は企業には個人情報保護委員会への報告と本人への通知の義務ができたためです。場合によっては、委任先府省庁へ報告することもあります。この法令違反には罰則もあります。
また、報道関係者や被害を受けた顧客からの問い合わせにも対応しなければなりません。
4. 法的責任
顧客や取引先への損害賠償を行います。個人情報など、法的に管理義務がある情報の管理が適切でなかった場合は法的責任が問われることもあります。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
企業に求められる情報漏洩対策
情報漏洩を防止するため、企業は次のような対策を行う必要があります。
セキュリティポリシーやルールを策定する
企業全体に対するセキュリティポリシーを策定します。さらに、それに基づき端末や媒体の扱いについてのルールやマニュアルを制定します。テレワークや外出先での業務を行う場合はとくに注意しましょう。
例えば、マルウェア感染を防ぐためには、受信メールの取り扱い、勝手にアプリケーションをインストールしない、設定を変更しない、私物の端末の持ち込みを制限するなどのルールが必要です。
誤操作を防ぐ仕組みをつくる
メールの誤送信や添付ファイルに関する誤操作も、情報漏洩の大きな原因です。これを防ぐため、送信時のチェック、自動チェック機能つきメールシステムなどを導入しましょう。
アクセス権限の設定についても、自動的にチェックする体制を導入するのが効果的です。できれば業務フロー全体を見直し、セキュリティリスクのある場所を発見して改善していきます。
基本的な脆弱性対策を欠かさず行う
ウィルス対策ソフトをインストールし、常に更新します。また、OSやアプリケーションなどのアップデートもこまめに行いましょう。さらにファイアウォールなどを導入して、多層的な防御を行います。
必要に応じて「脆弱性診断サービス」を受けると、気づかなかった脆弱性を発見できます。
社員教育を行う
端末や媒体を持ち出さない、持ち出す際はルールを守るなど、社員ITリテラシーを高めて情報漏洩を起こさないような教育を行います。守秘義務に関する誓約書などの書類を作成するのも有効です。
関連情報を収集する
管理担当者は、IPAや経済産業省、その他報道などでマルウェアや情報漏洩に関する事例を定期的に収集し、社内に周知します。情報を社内に共有することで自ら資料を作成することなく、自社のセキュリティ意識を高めることができます。
情報漏洩対策のポイント
攻撃する側も、常に新しい手法を開発して攻撃してきます。そのため、情報漏洩対策も一度で終わりではなく、常に更新していかなくてはなりません。
また、どこかに穴があれば狙われてしまうため、全方位に目を配った包括的な対策が必要です。さまざまな対策をリストアップし、そのなかで優先順位をつけて、重要度の高いものから順に対応していきます。
例えば独立行政法人情報処理推進機構(IPA)では「情報漏えい対策のしおり 」で次のようなポイントを紹介しています。
1. 企業(組織)の情報資産を、許可なく、持ち出さない
2. 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
3. 企業(組織)の情報資産を、未対策のまま廃棄しない
4. 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
5. 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
6. 業務上知り得た情報を、許可なく、公言しない
7. 情報漏えいを起こしたら、自分で判断せずに、まず報告
引用:情報漏えい対策のしおり|IPA 独立行政法人 情報処理推進機構
さらにIPAでは「初めての情報セキュリティ対策のしおり」や「中小企業のためのセキュリティインシデント対応手引き」など、さまざまな資料を公開しています。これも参考になるでしょう。
参考:対策のしおり | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報漏洩対策に効果的なセキュアPC
インターネットのビジネスへの導入やテレワークの普及により、対策を行わなければならない箇所はどんどん増えています。またテレワークを導入する際は、端末だけでなくリモートアクセスにも対応が必要です。
そのため、情報漏洩対策はさらに難しくなっています。中小企業・中堅企業では情報システム部門の担当者が少なかったり、専任者はいないというケースもあったりして、とても手が回りません。
そこで、利用する端末そのものを安全なものに切り替えることで安全性を確保するという方法があります。
「Jasmy Secure PC」なら、既存の端末にツールをインストールするだけで、サーバーやネットワークの追加は不要です。仮想デスクトップ環境を経由しないので、パフォーマンスも落ちず、快適に作業できます。設定は最小限、ユーザー管理や端末管理なども一括で行えるので、専任の担当者も不要です。契約はライセンスごとで、1台あたり440円からと低コストなので、中小企業・中堅企業でも導入しやすいでしょう。
※ログ管理については、「ログ管理はなぜ必要?その理由とログ管理システムの選び方を解説」もご覧ください。
情報漏洩対策には包括的で継続的な対策が重要
ビジネスにもクラウドサービスが当たり前に使われるようになり、業種・規模を問わずに、あらゆる企業に情報漏洩対策が求められています。情報漏洩が発生したときのリスクは大きく、ときには事業運営にまで影響を与えることもあります。そのため、企業は情報漏洩対策に力を入れなければなりません。必要なのは、包括的な情報漏洩対策を継続的に行うことです。
しかし、情報システム部門の人数が少ない、担当者がいないという場合には、情報漏洩対策にも限界があるでしょう。そこで、効率的に情報漏洩対策を行えるツールの導入をおすすめします。
例えば 「Jasmy Secure PC」なら、既存の端末へのインストールだけで情報漏洩対策を実現できます。仮想デスクトップ環境やVPN環境の構築など、コストや手間のかかる対策も不要です。初期費用は不要で月額料金も低く、情報処理システムの人数が少なくても導入しやすいでしょう。
※資料ダウンロードページへのリンク