情報漏洩とは!?
企業における情報漏洩のリスクと対策方法

天災や事故、製品やサービスの不良など、企業活動を脅かすリスクにはさまざまなものがあります。そんななか以前から、経営者の注目を集めているのが、個人情報や機密情報の漏洩によるリスクです。情報漏洩が起こると被害者への慰謝料の支払いや損害賠償に対する訴訟費など金銭的な負担に加え、社会的信用も大きく傷ついてしまいます。では、どのように情報漏洩が起こるのでしょうか?具体的な事例をご紹介しながら、情報漏洩の対策を考えていきます。

なくならない脅威。ニュースで話題の情報漏洩とは?

情報漏洩とは、機密情報や個人情報など企業が保有している重要データが外部に漏れてしまうことを言います。PCやタブレットといったデジタル機器、そしてネットワークがビジネスで広く利用されるようになったことで顧客データの保存や管理がしやすくなった反面、管理する情報の量や情報を扱う人も増え、漏洩するリスクも増大しています。 株式会社東京商工リサーチ「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~」(https://www.tsr-net.co.jp/data/detail/1197322_1527.html)によると、2022年の情報漏洩・紛失事故165件の原因は、「ウイルス感染・不正アクセス」の91件(構成比55.1%)が最多で、半数以上を占めました。次いで、「誤表示・誤送信」が43件(同26.0%)で、メールの送信間違いやシステムの設定ミスなどの人為的なミスが中心になっています。では、どのようにして情報漏洩は起きるのでしょうか?一つ目が、外部からの不正アクセスによる情報漏洩です。不正アクセスとは、情報へのアクセス権を持っていない外部の第三者が不正な手段でサーバーやPCに侵入し、データを盗む行為を言います。不正に取得したIDやパスワードを使って、アクセス権保持者になりすましたり、ソフトウェアの脆弱性を悪用して侵入したり、あるいはマルウェアなどコンピュータウイルスに感染させることで情報を取得したりと、その手法はさまざまです。IPA 独立行政法人 情報処理推進機構のコンピュータウイルス・不正アクセスの届出状況 [2022年(1月~12月)](https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108005.pdf)によると、2022年に寄せられた不正アクセス届出のうち最も多く見られた被害原因は、前年と同様に「古いバージョンの利用や修正プログラム・必要なプラグインなどの未導入によるもの」で、全体の40%を占めました。使用している機器やソフトウェアに関する脆弱性情報の収集やパッチの適用といった基本的な対策を怠ることで、不正アクセスのリスクが高まることがわかります。二つ目が人的ミスによる情報漏洩です。確認不足や不注意が原因の人的ミスによる情報漏洩も多発しています。たとえば、機密データが入った社外持ち出しPCの紛失やメールの誤送信、シュレッダーにかけずに重要情報を破棄するなどの管理ミスがこれにあたります。 そのほか、システム障害などによって、非公開のはずのデータが意図せずに公開されてしまうようなケースもあります。

企業における情報漏洩の対策方法とは?

企業はこうした情報漏洩に対して、どのような対策をとればよいのでしょうか? 外部からの不正アクセスを防止するには、デバイスをセキュアな状態に維持することが重要です。例えば定期的に脆弱性診断を実施し、脆弱性がある場合には、セキュリティパッチを適用し是正します。また、OSのセキュリティ設定が正常か、ウイルス対策ソフトが稼働しているかなどを定期的に確認することが重要です。さらに、会社が許可したプログラムからのみ機密データやOS管理領域にアクセスできる仕組みにしておけば、不正アクセスによってマルウェアに感染しても、情報の窃取を防止できます。人的ミスによる情報漏洩に対しては、なぜそのようなミスが起こってしまったのか、原因を追求し、管理体制や運用のルールの是正を行う必要があります。たとえばメールの誤送信については、事前にメーラーで宛先オートコンプリートの使用を無効化しておけば、誤送信防止につながります。また、PCのデータ暗号化や、パスワードによるログインなどが徹底されていれば、PCの置き忘れなどが起こったとしても、情報が漏洩するリスクは減らせます。そのため情報管理に対するマニュアルを整備し運用ルールを徹底することが大切です。社員のモラルやセキュリティに対する意識を高める教育や、ルールが守られているか定期的なチェックを行うことも重要です。 また、データへのアクセス権のある内部の人間が、安易にデータをコピーして外部に持ち出したり、外部からの不正アクセスをほう助したりすることもあります。こうした内部不正への対応策としては、デバイスの利用を制限して、従業員による不正なデータコピーを防止したり、ファイルサーバーへのアクセス権限をきちんと設定したりして、データにアクセスできる人を制限するといった方法などがあります。また、管理者が許可したアクセスポイントのみ接続可能とすることで、私物スマートフォンのテザリングなどで、会社のフィルタリングを通らない外部へのアクセスを禁止することなどもできます。

実際にあった情報漏洩の事例

最後にいくつか実際にあった情報漏洩の事例と被害の内容について、ご紹介しましょう。 近年発生した流出規模の大きいインシデントを見てみると、漏洩人数が多かった事案は、物流・運送業を営む企業の例で不正アクセスにより800万人分の個人データが流出しました。不正アクセスが原因として考えられる大規模流出としてはほかにも、フリマアプリを運営する企業の約275万人分の個人データの漏洩があります。また、PCの紛失・置き忘れで漏洩人数が多かった事案には電気・ガス・熱供給・水道業者の約80万人のデータ漏洩などがあります。

まとめ

情報漏洩は物損事故や器物破損などとは違い、流出しても被害を実感しにくい面があります。しかし、情報はコピーや流布が簡単で一度、漏洩すると回収が困難です。大きな被害が発生し、会社の存続すら危うくするケースもあるため、漏洩が起こってしまう前に対策をしっかり取っておくことが大切です。

この記事に関連するおすすめの秘文機能

Outlookのオートコンプリート機能が無効化されているか、スクリーンセーバーが設定されているかなど、PCやアプリケーションのセキュリティ設定の点検を自動で実施し、是正します。

「可視化」、「分析・評価」、「対策」の3つのステップで、侵入、被害拡大の主な原因となる脆弱性や、セキュリティ設定の不備がない状態を常に維持できるよう、エンドポイントを自律的にコントロールします。

安全性が確認できるプログラムのみ、機密データやOS管理領域にアクセスを許可します。
ランサムウェアなど不正なプログラムに窃取や破壊されることを防止します。

管理者が許可したアクセスポイントのみ接続可能とすることや、指定されたVPNサーバーを利用したネットワークアクセスを強制します。

PCのハードディスクや、USBメモリーなどのメディア、ファイルサーバーを暗号化して、内部不正や盗難・紛失から守ります。

この記事に関連する特別コンテンツ

効率的なセキュリティ運用を支えるエンドポイントの「ポスチャマネジメント」を解説

おすすめの秘文機能を紹介したカタログ

カタログダウンロード

おすすめコラム

個人情報の流出をどう防ぐ?なくならない被害とその対策

2018年11月7日(2023年7月21日更新)
企業が保有している重要情報には、特許や独自テクノロジーといった機密情報のほか、顧客の属性、取引履歴などの個人情報もあり、以前から、企業経営のリスクのひとつ …

GDPR(EU一般データ保護規則)とは?日本企業が対応すべきポイントを考える

2018年8月6日(2023年9月29日更新)
2018年5月にEUで施行されたGDPR(EU一般データ保護規則)。これは、いったいどのようなものなのでしょうか。GDPRの意味や定めている事項を理解し、日本企業が…

難しいエンドポイントのセキュリティリスク管理。
運用負荷を低減可能な対策方法とは?

2022年4月28日(2023年9月29日更新)
サイバー攻撃への対策は、多くの企業の課題となっています。中でも働き方の変化によって利用シーンが広がったPC・スマートデバイスなどのエンドポイントは、標的とし…

秘文 コンテンツ一覧