サイバー攻撃や情報漏洩事故のニュースが頻繁に報じられる現状に、危機感を抱くようになったという経営者の方も多いのではないでしょうか。業務のデジタル化が進み、ネットワークが欠かせない状況のなか、情報漏洩のリスクは高まる一方です。リスクを軽減するためには、その原因を知り、適切な対策を取ることが求められます。今回の記事では、経営層と従業員、それぞれに必要な情報漏洩対策を詳しく解説します。ぜひ、自社のセキュリティ対策の参考になさってください。
目次
( 1 ) 情報漏洩の対策方法【経営層編】
情報漏洩は企業に大きな被害をもたらすだけでなく、経営存続にかかわる大きな課題と言えます。多様化・複雑化する脅威から組織を守るために、経営層が行うべき情報漏洩対策について紹介します。
①適切なセキュリティツールを導入して多層防御を行う
従来のセキュリティ対策は、社外と社内のネットワークの境界にファイアウォール(※1)などを導入していましたが、これでは侵入された場合の対策として十分ではありません。昨今は、すべての構成要素を信用できないものとみなすゼロトラストセキュリティ(※2)が求められています。有効なセキュリティツールとして、さまざまなセキュリティ機能が1台に集約されているUTMが注目されています。ファイアウォールに加え、アンチウイルス、IDS/IPS(※3)などが搭載されているため、コスト軽減も期待できます。
〈お役立ち資料はこちら〉
ゼロトラストセキュリティについて詳しく解説しています。
②多要素認証を取り入れて認証を強化する
サイバー攻撃者は、不正に入手したパスワードなどの認証情報を悪用して社内のシステムに侵入します。近年では、不正ログインを防止する有効な手段の一つとして、多要素認証の導入が推奨されています。多要素認証とは、認証の3要素とされる「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる認証方法です。
- 知識情報:パスワード、秘密の質問など
- 所持情報:スマートフォン、ICカードなど
- 生体情報:指紋、声紋など
これらを組み合わせることで、万が一パスワードが漏れても認証を突破されるリスクを軽減できます。
③情報セキュリティに関するルールを設ける
自社の情報セキュリティ対策を具体的に定め、明文化しておきましょう。特に顧客情報や機密情報などの重要なデータへのアクセス権限の制限は重要です。権限の範囲を広げるほど情報漏洩のリスクが高くなるため、適切に管理しなければなりません。
また、業務で使用するパソコンやタブレットなどの端末を社外に持ち出す場合や、個人の端末を業務で使用する場合のルール策定も必要です。事前申請・承認のフロー、パスワードの設定に加え、データの暗号化など、情報漏洩が起きた場合のことも想定しておきましょう。
④定期的に情報セキュリティ教育を実施する
従業員に対して情報セキュリティに関する教育を行うことも、会社として取り組まなければならない対策です。具体的には、以下のような内容を周知します。
1回限りの実施では自分ごととして捉えにくいため、定期的に実施することが有効です。繰り返し研修を受けることで、知識と意識の両面でレベル向上を図り、従業員のセキュリティリテラシーを高めることができます。
※1 ファイアウォール:「防火壁」の意。インターネットを経由して侵入してくる不正なアクセスから社内のネットワークを守る仕組み。※2 ゼロトラストセキュリティ:情報セキュリティにおいて「何も信用しない」という考え方。社内アクセスも含め、すべての安全性を検証する。
※3 IDS/IPS:IDSは「Intrusion Detection System」の略で、日本語では「不正侵入検知システム」。IPSは「Intrusion Prevention System」の略で、日本語では「不正侵入防御システム」。
〈お役立ち資料はこちら〉
経営者が取り組むべきサイバーセキュリティ対策について詳しく解説しています。
( 2 ) 情報漏洩の対策方法【従業員編】
続いて、従業員が行うべき情報漏洩対策について紹介します。従業員一人ひとりが正しい知識を身に付け、日常的にセキュリティを意識した行動をとることで、情報漏洩によるリスクを軽減することができます。
①OSやソフトウェアを最新の状態に保つ
サイバー攻撃者は、OSやソフトウェアの脆弱性を狙ってきます。脆弱性は「セキュリティホール」とも呼ばれ、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥を指します。
OSやソフトウェアは定期的に修正プログラムを適用しなければなりません。修正プログラムは、脆弱性を修正するためのアップデートのことで、「パッチ」とも呼ばれます。最新の状態を保つことで脆弱性が解消されます。
②怪しいメールや添付ファイル、Webサイトに注意する
多くのサイバー攻撃は、メールや添付ファイルを通して仕掛けられます。そこからマルウェアに感染し、システム内に侵入されると、情報を窃取される恐れがあります。
またWebサイトを経由して偽サイトに誘導し、個人情報を盗み出すのもよくある手口です。信用できないWebサイトにはアクセスせず、不審なメールや添付ファイルの開封には注意しましょう。
③パスワードなどログイン情報を適切に管理する
パソコンにログインする際などのパスワードは、推測されにくいものを設定します。10桁以上で、大文字や小文字、数字、記号を組み合わせたものが推奨されています。また同じパスワードを使い回さないことも大切です。
パスワードなどのログイン情報を紙や付せんに書いておく場合は、デスクやパソコンに貼ることはせず、人目に触れないように鍵のかかるキャビネットなどに保管しましょう。
④社外で重要な情報を閲覧する場合は注意する
政府による働き方改革の推進やテレワークの普及により、パソコンを社外で使用する機会が増えています。自宅や外出先などで、顧客情報や機密情報といった重要なデータにアクセスする際は、第三者に情報を傍受されるリスクがあるため、十分な注意が必要です。
こうしたリスクは、VPN(※4)を活用することで軽減できます。VPNなら、社外からも仮想のネットワークを経由して社内のシステムやサーバに安全にアクセスできます。
( 3 ) 情報漏洩の対策をするときの注意点
経営層と従業員、それぞれが取り組むべき対策を紹介してきましたが、これらはどれか一つを行えばいいというものではありません。情報漏洩は企業に甚大な被害を及ぼす危険性があるため、すべてを実現していくことが理想的です。
ここでは、情報漏洩対策時に注意すべき点を3つ紹介します。
社内の実態を把握することからスタート
情報漏洩対策は厳密にするほど、業務の利便性や効率性が従来よりも低下してしまうことが考えられます。また、生産性への影響や従業員の不満につながる可能性もあります。
このような事態を回避するため、事前に従業員の意見を聞き、自社の状況を把握することから始める必要があります。そのうえで、安全性を担保しながら利便性や効率性を損なわないツールやソリューションを導入しましょう。
外部事業者の検討はじっくり慎重に
ツールやサービスを提供する外部事業者の選定は安易に行わず、慎重に検討しましょう。事業者によっては、セキュリティ対策の範囲が限定される場合もあります。また、クラウドサービス(※5)のように、セキュリティ対策の責任が外部事業者側にある場合、セキュリティ対策が十分ではなくても利用者側では気づけない可能性があります。
外部事業者の選定に際しては、以下のような点をチェックしてみてください。
- 多層防御ができるツールがあるか
- 多くの優良企業と取引実績があるか
- プライバシーマークなどの認証を取得しているか
PDCAサイクルを回して継続させる
セキュリティ対策は一度実施すれば終わりというものではなく、継続的に取り組む必要があります。サイバー攻撃の手口はますます多様化・巧妙化しており、同時に自社の状況も月日を経るごとに変化します。これらに対応するためには、最新のセキュリティトレンドを踏まえ、継続的な見直しと強化をしていかなければなりません。情報漏洩対策においても、以下のようにPDCAサイクルを回し、改善していくことが重要です。
※5 クラウドサービス:クラウドは「雲」の意。インターネット環境が整っていれば時間や場所、端末を選ばずファイルのアップデートやダウンロードができる。( 4 ) 情報漏洩の原因
多くの企業でセキュリティ対策がなされているにもかかわらず、情報漏洩は後を絶ちません。2024年に東京商工リサーチが発表した調査結果によると、2023年の「個人情報漏洩・紛失事故」は175件に及び、3年連続で過去最多を更新しています。
原因の上位3つは以下の通りです。
1位:ウイルス感染・不正アクセス 93件(53.1%)
2位:誤表示・誤送信 43件(24.5%)
3位:不正持ち出し・盗難 24件(13.7%)
情報漏洩が起きる3つの要因とは?
このデータからわかる通り、情報漏洩が起きる要因には「外部要因」「ヒューマンエラー」「内部要因」があります。それぞれの要因を詳しく説明します。
●外部要因
サイバー攻撃によって起こる情報漏洩は全体の半数以上にのぼります。偽サイトに誘導するフィッシングを典型として、ランサムウェア(※6)、ゼロデイ攻撃(※7)、サプライチェーン攻撃(※8)など、近年ますます手口が複雑化しています。
●ヒューマンエラー
2位の「誤表示・誤送信」は、誤った相手に大事なデータを送ってしまうなど、従業員によるうっかりミスです。メールの誤送信を防ぐツールを使用することで、ある程度リスクを軽減することができますが、従業員のセキュリティ意識を向上させることが重要なポイントとなります。
●内部要因
3位の「不正な持ち出し・盗難」は、外部だけでなく内部にもリスクがあるということを示しています。故意によるものに限らず、盗難のように外部に端末を持ち出すことで被害にあうことも少なくありません。
※6 ランサムウェア:ランサムは「身代金」の意。パソコンやデータなどに制限をかけ、解除と引き換えに金銭を要求する。※7 ゼロデイ攻撃:OSやソフトウェアの脆弱性を狙って、修正が行われる日(ワンデイ)より前(ゼロデイ)に行われる攻撃。
※8 サプライチェーン攻撃:サプライチェーンとは企業活動のネットワークのこと。セキュリティ対策が手薄と考えられる取引会社を「踏み台」として、ターゲットとなる企業に攻撃を仕掛ける。
( 5 ) 情報漏洩が起きてしまったときの対処法
情報漏洩対策で重要なのは、情報漏洩が発生してしまった場合を想定しておくことです。対策によって発生リスクを減らすことはできますが、ゼロになることはありません。万が一に備え、どのように対応するかをあらかじめ定めておくことで、スムーズに対処することができます。
実態を把握し、初期対応を行う
まずは実態を正しく把握しましょう。何がどの範囲で起きているのか、どこまで影響が及んでいるのかを確認したうえで、ネットワークの遮断、システムやサービスの停止を速やかに行います。
被害の拡大や二次被害を防ぐ
初期対応後は、被害の拡大や二次被害を防止するための措置を講じます。情報漏洩の被害を受けた企業や個人に連絡し、状況説明とともにパスワードの変更などを依頼します。被害の拡大を最小限に食い止めるため、迅速な対応が求められます。
情報を公開し、問い合わせ窓口を開設する
関係者への情報公開、問い合わせ窓口の開設を行います。同時に、なぜこのような事故が起きてしまったのか原因の究明にあたります。そのうえで今後は同様の事故が起きないよう再発防止策を検討します。
適切な機関に報告する
情報漏洩が起きた場合、個人情報保護委員会に報告する必要があります。改正個人情報保護法では、個人情報の取り扱いが厳格化され、情報漏洩時の通知が義務化されました。報告義務違反などの法令違反に対しては、罰則・罰金などのペナルティが強化されています。
また、場合によっては所管の省庁、警察、IPA(独立行政法人
情報処理推進機構)への報告が必要になります。
( 6 ) まとめ
ここまで情報漏洩対策について、経営層と従業員がそれぞれ気をつけるポイントや、情報漏洩が起きてしまった際の対処法などを詳しく解説してきました。情報漏洩のリスク軽減のためには、原因を知り、対策していくことが重要です。
セキュリティ対策においては、まず自社の現状を確認し、何が必要かを把握することから始めましょう。SAXA-DX
Naviでは、自社の情報漏洩対策の現状や今後取り組むべき方向性がわかる情報漏洩対策チェックリストをはじめ、さまざまなお役立ち資料をご提供しています。ぜひ自社のセキュリティ対策にお役立てください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。