一般的に企業の情報漏えいというと、サイバー攻撃や社員の不注意といったイメージがあるかもしれません。しかし、案外見落としがちなのが、処分するパソコンのデータ消去ミスです。そこで、今回は情報漏えいの種類やリスク、そして万が一の事故を防ぐための対策についてお伝えします。
企業の情報漏えいにはどういったものがあり、どういった原因で起こるのでしょうか。ここでは、IPA(独立行政法人情報処理推進機構)による「情報セキュリティ10大脅威2020(組織編)」のなかでも特に多い、上位5つの原因について見ていきます。
1. 標的型攻撃による機密情報の窃取
外部から機密情報の窃取(せっしゅ)を目的とし、標的型攻撃を行うものです。外部からの攻撃はどんなに対応をしても防ぎきれないケースもあり、「情報セキュリティ10大脅威2019」から連続して1位に選ばれています。
2. 内部不正による情報漏えい
従業員、元従業員のほか、関係者などによる機密情報の持ち出し、悪用です。2019年の5位から大きく順位を上げています。冒頭で紹介した、処分するパソコンのデータ消去ができておらず、それを社員が窃取するケースもこれに該当します。
2019年には、神奈川県庁で行政文書を保存していたハードディスク(HDD)を処分する過程で、処分担当だった外部企業の職員がそのHDDを不正に持ち出す事件が発生しました。その人物はそのHDDをネットオークションで転売したとして大きな話題となりました。
3. ビジネスメール詐欺による金銭被害
出納担当者に対してなりすましメールを送り、攻撃者が用意した口座に送金させるものです。海外の取引先や自社の役員になりすますなどやり口も巧妙で、2019年も2位と上位に位置しています。
4. サプライチェーンの弱点を悪用した攻撃
自社のオフィスにおけるセキュリティ対策を万全にしていたとしても、工場、倉庫、物流、販売といった自社にかかわるサプライチェーンを足掛かりとして、攻撃を仕掛けてくるケースも少なくありません。業務委託先から個人情報が流出するといった事件もあり、自社だけの対策では防げないリスクもあります。
5. ランサムウェアによる被害
企業のパソコンやスマートフォンに攻撃を仕掛け、ロックをかけてしまい、復旧と引き換えに金銭を要求するものです。不特定多数の企業に対して行うケースもありますが、特定の企業がねらわれる場合も少なくありません。
以上が、企業で情報漏えいが起こる原因として多いものですが、特に注目すべきなのは、2位の「内部不正による情報漏えい」です。ほかの原因はどれも外部からの攻撃のため、しっかりした対策を施しても、被害に遭ってしまう可能性があります。
しかし、内部不正に関しては、外部攻撃に比べればある程度防止できるはずです。神奈川県庁で起きた事件のように、組織内で使用しているパソコンや書類だけではなく、処分するものにまでしっかりと注意を行き届かせることが重要であるといえます。
情報漏えいが起きると、企業にはどういった影響があるのでしょう? ここでは3つの側面から見ていきます。
IBM社は毎年、情報漏えいにより企業が受ける経済的影響についての調査結果を公表しています。最新の調査は、2019年8月から2020年4月の間に情報漏えいの被害を受けた524件の事故を対象に実施されました(17か国17業種)。その結果、情報漏えい事故1件あたりの被害額は平均4億円で、個人情報の漏えいが全体の80%を占めていることが明らかになりました。金銭的損害のリスクは、前出の「情報セキュリティ10大脅威2020」で組織編6位に入った「予期せぬIT基盤の障害に伴う業務停止」でも想定されます。IT基盤に予期せぬ障害が発生した場合は、業務自体が止まってしまい、さらなる被害が増える恐れもあるのです。
情報漏えいにより顧客の個人情報が流出すれば、顧客はもちろん、そのほかの消費者の信頼も失ってしまいます。その結果、新規顧客獲得にも大きな影響がおよび、金銭的損害につながってしまうでしょう。
情報漏えいの種類にもよりますが、内部不正による情報漏えいであれば、当該社員はもちろん、経営者や役員が管理不足として法的制裁を受ける場合もあります。
情報漏えいを100%防ぐことは難しくても、しっかりとした対策を講じて確率を少しでも下げることは可能です。ここでは、内部要因、外部要因の情報漏えいについて、それぞれの対策を紹介します。
・セキュリティ教育の徹底
社員に対し、定期的にセキュリティ教育を行います。社員によってITリテラシーに差があるため、部署やチーム別よりも、ITリテラシーの高低により、内容、頻度を変えて行うとよいでしょう。特に外部からの添付メールへの対応や、外出先でのノートパソコン、スマートフォンの管理については、徹底的な教育が必要です。
また、最近はテレワークを実施している企業も増えています。自宅は会社に比べ、セキュリティ対策が甘くなりがちなため、テレワーク用のセキュリティ教育も必ず行いましょう。
・セキュリティ対策のためのルール設定
セキュリティ教育を行うと同時に、「USBメモリは使わない」「書類やデータを破棄する際は二重チェックを行う」など、セキュリティ対策のためのルールを策定、徹底するのも忘れてはなりません。冊子にしたり、グループウェアに掲載したりするなどし、常に閲覧できる状態にしておくのがポイントです。
・処分するデバイスのデータ消去
パソコン、スマートフォン、タブレットなどのデバイスを処分する際にデータ消去を必ず行うようにします。1人ではなく、必ず2人以上で二重、三重のチェックを徹底しましょう。
・ツールの活用
ウイルスソフト、WAF(Web Application Firewall)のほか、外部で利用するスマートフォンやタブレットのデバイス管理ソフトなど、セキュリティ対策ツールを活用します。また、パソコン内のアプリケーションやツールは常に最新の状態にしておきましょう。
また、外部攻撃は常に進化するため、感染を防ぐための入り口対策も重要ですが、感染してしまった際の対策も欠かせません。感染後に迅速な対応を行うためのEDR(Endpoint Detection and Response)も活用し、対策を行います。
・オフィスの入退出管理の徹底
基本的にオフィスに出入りするのは自社の人間か取引先、関係会社の人間のみです。しかし、監視を怠ってしまうと、外部の人間が入り込み、ノートパソコンやタブレットを持ち出されてしまう可能性があります。そうしたリスクの回避には、ICカードや暗証番号、指紋認証などによる入退室管理システムの導入がおすすめです。
どんなに注意をしていても、情報漏えいを100%防ぐことはできません。社内で十分な対策を講じていても、サイバー攻撃を仕掛ける側は日々新しい攻撃手法を生み出しているからです。そのため、外部からの攻撃には、パソコンやサーバーなどにセキュリティツールを入れて常に最新の状態に保つ、不審なメールは開封しないなどの対策を徹底するしかありません。
しかし、内部不正や不注意による情報漏えいに関しては、セキュリティ教育の実施やルールの策定によって、ある程度防ぐことは可能です。特に見落としがちな、処分するパソコンやスマートフォンのデータ消去は、一回ではなく二重、三重のチェックが万が一のリスクを削減します。
情報漏えいというと、ついサイバー攻撃やデータの搾取にばかり関心がいきがちです。もちろんこれらの対策も重要ですが、スマートフォン、パソコンなどの処分時にデータ消去を徹底することも忘れないようにしましょう。