企業にとって情報漏洩は事業継続を揺るがしかねない大事件です。
会社内には取引先の重要情報、社内の開発情報、お客様の個人情報などがあります。これらの情報が万が一漏洩してしまった場合、「社会的信用の失墜」「損害賠償請求」に発展してしまう事は想像に難くありません。
そうならないためにも情報漏洩のリスク対策は必要不可欠となります。
しかし今や情報漏洩は様々な要素、シチュエーションで起こりえるものとなっています。
例えばIoT機器がインターネットに繋がっているという認識が低いことから脆弱性が放置され漏洩の温床となることや、不審なWebサイトにアクセスしてしまったことで起こるもの、PCやモバイルデバイスの紛失から起こるもの、退職者が機密情報や個人情報を不正に持ち出したことから起こるものなど、例をあげれば限りがありません。
今回は退職者による情報の持ち出しからおこる情報漏洩の対策についてお伝えします。
【1】情報漏洩の実例
元社員が競合企業に転職する際、機密情報を不正に持ち出した事件があったことは記憶に新しいのではないでしょうか。
あの事件は、退職後に返却されたPCに痕跡が残っていたから発覚したもので、少し知識のある人がその痕跡すら消していた場合、事件が発覚することすらなかったかもしれません。
こういった情報漏洩は、一部の大企業などでのみ起こることだと考えている人もいますが、実際はそうではなく、中小企業の約4割が経験している調査結果もありいつどこででも起こりえるものです。
【2】退職者による情報漏洩を防ぐためには?
では一体どのように対策を立てればよいのでしょうか。
今回の事件は、元社員が転職する前に転職先に送ったメールに機密情報を添付することで情報漏洩が発生したものです。
転職というのはどこの企業にもあるものです。しかしながら、考えたくはありませんが中には次の企業に移るときに機密情報や個人情報を持ち出すような人も存在します。
そのため対策としてよくとられる方法は、退職が決まった段階で対象者のPCデータに関するアクセス権などの処理です。
アクセス権がなければ情報にアクセスできず、外に持ち出すことができなくなります。
しかし、実状はアクセス権のある時期に個人情報の持ち出しが可能であるため、対策としては十分なものではありません。
推奨するのは操作ログと呼ばれるPCで行われた操作が記録される機能があるツールです。
万が一情報漏洩が発生した場合でも、操作ログを追うことでどのような経路で発生した漏洩なのかが確認でき、次の対策につなげることも可能になるためです。
今回の情報漏洩事件は、メールの送信履歴に機密情報を送ったという痕跡が残っていたため発覚したもので、仮に痕跡が残っていなかった場合は情報漏洩が発生したことに気づくことができなかった可能性もあります。
また、操作ログ機能と併せて情報漏洩に繋がる行為が行われた段階でアラートを出す機能をもつツールもオススメします。理由としては、時期にかかわらず情報漏洩を行おうした際には発見、警告ができますので、情報漏洩を未然に防ぐことにもつながります。
これら二つの機能を持つツールを組み合わせることが、情報漏洩の未然防止、発生時の原因の追究から対策までを行える具体的な手段となります。
【3】操作ログ+アラート機能を持つツールのご紹介
メールによる情報漏洩を防ぐためのツールは、これらの機能が搭載されたものは最低限必須です。管理できていなければ簡単に情報を漏洩させることが可能なメールの対策が出来ていない企業は早急な対応をおすすめします。
弊社が提供しているクラウド型のIT資産管理ツール「ISM CloudOne」にも情報漏洩が発生する段階で実行者と管理者にアラートによる警告を出す機能と、実際に情報漏洩が発生した際その経路を割り出すことに利用できる操作ログ機能が搭載されています。
操作ログ機能は今回の事件で使われたツールであるメールの本文や件名、添付ファイルなどが分かるほか、仮に添付したファイルがリネームされていた場合も追跡できるなどの柔軟な追跡が可能です。
操作ログ機能の詳細はこちら>>https://ismcloudone.com/function/log/
