メニュー

情報漏洩が起きるパターン事例!企業が取り組むべき対策とは?

 2022.08.29  CLOUDIL 【クラウディル】

企業が中長期的に発展していくためには、リスクマネジメントへの取り組みが不可欠であり、なかでも重要となるのが情報漏洩対策です。現代は情報爆発時代と呼ばれており、いかにしてデータを戦略的に活用するかが重要課題となっています。本記事では、企業で起きやすい情報漏洩の事例や、取り組むべきセキュリティ対策について解説します。

中小企業では情報漏洩対策が進んでいない現状

現代は情報通信技術が加速度的なスピードで進歩・発展しており、それに伴って企業が取り扱うデータの総量は指数関数的に増大し続けています。変化の加速する現代市場で競争優位性を確立するためには、データの戦略的活用が不可欠であり、企業経営における情報の重要性は年々高まっていく傾向にあります。ところが、情報処理推進機構の調査(※1)によると、中小企業の33.1%は「情報セキュリティに投資していない」と回答しており、情報漏洩対策が進んでいないのが現状です。

その理由として最も多かった回答が「必要性を感じていない(40.5%)」であり、次いで「費用対効果が見えない(24.9%)」「コストがかかり過ぎる(22.0%)」となっています。セキュリティインシデントは企業の社会的信用を失墜させるリスクを孕んでおり、最悪の場合、事業停止にまで追い込まれる可能性も否定できません。こうしたリスクを最小化するためにも、情報漏洩が発生するパターンや、企業が取り組むべきセキュリティ対策を理解する必要があります。

(※1)参照元:2021年度 中小企業における情報セキュリティ対策に関する実態調査 ― 調査報告書 -(p.16・p.18)|独立行政法人情報処理推進機構

企業で起きやすい情報漏洩の事例

セキュリティインシデントを防止するためには、情報漏洩の事例を把握することが大切です。企業経営の領域で起こりやすい情報漏洩の事例としては、以下の4つが挙げられます。

紛失や置き忘れ・管理ミスによる流出

コンピュータセキュリティサービスを提供する「McAfee」の調査(※2)では、セキュリティインシデントの原因ワースト5は上から順番に「管理ミス」「誤操作」「不正アクセス」「紛失・置き忘れ」「不正な情報持ち出し」となっています。つまり、マルウェアや不正アクセスなどの外部に起因する脅威よりも、情報管理のミスや不注意、端末の紛失や記憶媒体の置き忘れなど、内部のヒューマンエラーによるセキュリティインシデントが多数を占めているのです。

(※2)参照元:情報漏えいインシデントの発生原因ワースト10とそれを克服する最適な対策|McAfee

端末や記憶媒体などを紛失あるいは置き忘れた場合、悪意ある人物によって盗難され、そこから情報漏洩につながるおそれがあります。また情報管理の体制が甘いと、重要なデータが入った記録媒体をそのまま捨ててしまう、喫茶店など公共の場でPC作業を行う、社用端末でセキュリティの低い公衆Wi-Fiに接続するなど、従業員の不注意な行動を招きかねず、盗聴や盗み見のリスクにさらされることも考えられます。

誤送信による流出

データやファイルの誤送信は、情報漏洩につながる大きな要因のひとつです。たとえば、Eメールに添付するファイルや宛先を誤り、そこから機密情報が流出するというケースは少なくありません。とくに不特定多数の相手にEメールを一斉送信する際や、「To」「Cc」「Bcc」の設定ミスなどで起きやすい傾向にあります。また、SNSに公開前の機密度の高い情報を誤って投稿してしまう事例もあります。

外部からの不正アクセスによる流出

マルウェアや不正アクセスなどの脅威は年々巧妙化しており、近年はサイバー攻撃によるセキュリティインシデントが増加傾向にあります。たとえば、2014年に猛威を振るった「Emotet」が、2021年11月頃から感染拡大の兆候が確認されています。また、「SQLインジェクション」や「クロスサイトスクリプティング」など、従来の境界防御型のファイアウォールでは防ぎきれないサイバー攻撃による被害事例も少なくありません。

内部の不正行為による流出

内部の不正行為によって機密情報が流出する事例も少なくありません。代表的な事例として、2014年には国内最大手の教育関連企業が、約2,895万件の顧客情報を流出させてしまったケースが挙げられます。事件の原因は、システム運用を委託していたグループ企業の派遣社員による不正な情報流出でした。製品開発情報や顧客情報などが競合他社に渡れば、大きな損失を招く可能性があるのはもちろん、発覚しても内部処理で済ませられるパターンが多く、問題が長期化しやすい傾向にあります。

企業が取り組むべき情報漏洩対策

企業にとって情報は、人的資源・物的資源・資金に次ぐ第4の経営資源であり、組織の情報資源を保護するためには強固なセキュリティ体制が求められます。具体的な情報漏洩対策として挙げられるのが、以下の5つです。

ガイドラインやマニュアルを策定・浸透させる

セキュリティインシデントを防止するためには、まず組織全体におけるデータガバナンスの整備が欠かせません。データガバナンスとは、データ管理におけるルールを策定し、そのルールを遵守する体制を構築する仕組みのことです。IDやパスワードの管理ルールを浸透させたり、セキュリティに関する教育を実施したりするなど、データ管理のガイドラインやマニュアルを策定することで情報漏洩の防止に寄与します。

アクセス制御で機密情報の流出を防ぐ

情報セキュリティに対する要求がますます強まる昨今において、アクセス権限の管理は非常に重要な課題です。たとえば、機密情報を管理する部門であれば、部門管理者のみが情報にアクセス可能にすることで、機密情報の流出リスクを最小化できます。強固な認証方式の採用とデバイス制限が必要になるものの、不特定多数の従業員が機密情報にアクセスするリスクを抑え、さらにマルウェアや不正アクセスへの対策にもつながる点が大きなメリットです。

物理的にセキュリティレベルを上げる

入退室管理システムやスマートロック、生体認証などのソリューションを活用し、物理的なセキュリティレベルを高めるというのも有効な施策です。とくに近年は、「知識要素」「所持要素」「生体要素」という3つの要素によってユーザーの真正性を確かめる、「多要素認証」の導入率が高まっています。複数の要素によってユーザーを照合する多要素認証は、従来のパスワード認証とは比較にならないほど強固なセキュリティを実現できるため、さまざまなITシステムやデバイスに実装されています。

セキュリティ対策ツールを導入する

先述したように、マルウェアや不正アクセスなどのサイバー攻撃は年々巧妙化しており、従来のファイアウォールでは組織の情報資産を保護することが困難になりつつあります。とくにWebアプリケーションの脆弱性を突くサイバー攻撃が増加傾向にあるため、「WAF(Web Application Firewall)」のようなセキュリティソリューションの活用が求められます。境界防御型のファイアウォールだけでなく、WAFを重ねて多層防御を構築したり、IT資産管理ツールの導入や定期的なアップデートを実施したりといった情報漏洩対策が重要です。

データをクラウドに移す

これまでクラウドコンピューティングは、パブリック環境でデータを共有する性質上、セキュリティの脆弱性が懸念されていました。しかし、近年は国際標準であるISO規格のセキュリティ認証を獲得しているクラウドサービスも多く、端末上にデータを残さない状態にもできるため、紛失や盗難時の情報漏洩リスクを最小化できます。ただし、ネットワーク上でデータやファイルを窃取されるリスクや、操作や設定のミスから情報漏洩につながる可能性がある点には注意が必要です。

まとめ

企業にとって情報は重要な経営資源のひとつであり、情報漏洩インシデントを防止するためには、高度なセキュリティレベルを保つ必要があります。そのためには、データガバナンスの整備やアクセス権限の設定、クラウドコンピューティングの導入といった情報漏洩対策が必要です。

CLOUDILでは、中小企業を対象としたセキュリティやクラウドの活用セミナーを提供しています。全国各地でさまざまなセミナーやイベントを開催していますので、ぜひご参加ください。

中小事業者困ったときのDX事典

RECENT POST「コラム」の最新記事


情報漏洩が起きるパターン事例!企業が取り組むべき対策とは?
メールマガジンのご案内

RECENT POST 最新記事

RANKING人気記事ランキング