近年、機密情報や個人情報などの情報漏洩の報道が多発しています。情報セキュリティに対しての関心は高まり続けており、さまざまな観点からどのような対策をとっているのか、が企業に問われています。
政府も個人情報漏洩を起こした企業に報告を義務付ける方針を検討するなどしており、企業においては漏洩防止のための対策や意識がより重要になります。
ニュースでは航空会社、FX業者、SNSサービス、電気メーカーなど大手企業の情報漏洩をよく耳にすると思います。
これは何もテレビの向こうの話ではありません。不正アクセスやハッキングといった外部からの攻撃だけでなく、内部関係者のミスや故意による流出など内部不正が原因である事件も起きています。
そもそも「情報漏洩」とはその情報の利用許可がない者に情報資産が伝わってしまうことです。企業にとって保護すべき情報は数多くあり、情報自体が資産としての価値を持っている昨今、会社規模の大小に関わらず、狙いやすい会社はすでに標的になっている危険性があるのです。
どの企業にとっても信頼や存亡に関わる情報漏洩対策は非常に重要です。
今回は事例やその原因を交え、すぐに取り組める対策をご紹介します。
【1】情報漏洩が発生した場合の影響
情報漏洩が発生した際の影響は、法律上の罰則、ペナルティだけではなくデータの改ざんや破壊、サービスの妨害、なりすましや盗み見など企業活動へのダメージに加え、社会的信用を失うことにもなりかねません。
例えば
- パソコンのデータが突然使えなくなる
- 身に覚えのない不特定多数のメールが届く
- 外部顧客情報の流出
- 企業の情報資産の外部流出
- SNSアカウントやクレジットカード情報の不正利用
- WEBサイト改ざんや乗っ取り
など、ビジネスにおいて甚大な被害を与える可能性があります。
ここで個人情報漏洩の中で特に被害の大きかった事例を紹介します。
■2010年3月 三井情報株式会社
顧客から預かった約10万件の個人情報を含むデータが漏洩。
原因:ノートパソコンを派遣社員が帰宅途中に紛失。
■2014年7月 株式会社ベネッセコーポレーション
サービスを利用している会員の個人情報約3504万件が外部流出。名簿業者に売却された。
原因:システムエンジニアの派遣社員が情報を持ち出した。
■2017年12月 大阪大学
約8万人の教職員や学生含む個人情報が外部流出。
原因:学内の情報システムへの不正アクセス。
■2019年5月 Instagram
インフルエンサーやブランドなどの非公開情報(電話番号やメールアドレスを含む)4900万件超の個人情報が流出。
原因:データベースが誰でも閲覧可能な状態でオンライン上に公開されていた。
これらの報道をみていきますと自分の会社には関係ないと思ってしまいがちですが、以下の様な社員の行動からも情報漏洩は起こり得ます。
『ある会社の営業を担当するAさんは、会社の携帯で許可されていないゲームアプリをダウンロードしました。取引先との待ち時間つぶしにと軽い気持ちでインストールをしましたが、後日出会い系や身の覚えのないサイトからのメールが届く様に。
不審に思って調べたところ携帯の取引先の個人情報まで含む情報がそのアプリを通じ外部に流出していることがわかりました。思い返してみれば、アプリ使用時に電話帳へのアクセスを許可する通知があったのを思い出しました。』
今回の事例の原因は
- 軽い気持ちで許可されていないアプリケーションをインストールしたこと
- 顧客情報を含む個人情報とアプリケーションとの情報のやりとりを許可したこと
- アプリケーションやスマートフォンのOSアップデートを日頃から怠っていたこと
です。
【2】情報漏洩リスク対策3選
これまでの内容からみえる情報漏洩の原因としては
- 外部からハッキングされる
- データが入ったデバイスを紛失する
- 不正に情報を持ち出される
- セキュリティ対策意識の低さ
などが挙げられます。
そこでこのようなリスクに対しすぐに取り組める対策方法3選をご紹介します。
1.OSアップデートはセキュリティ対策の第一歩
ハッキングに対してはパソコン、スマートフォン、アプリケーションのアップデートが特に重要です。
アップデートを行うとすでに使用しているアプリケーションが使えなくなることがあるため、「新機能は求めていないし・・・不具合が発生するのが一番困る」と躊躇、先延ばしにする人も少なくありません。
しかしアップデートが行われるのには必ず理由があります。
パソコンのアップデートで有名なWindowsOSのアップデートの目的のひとつは、セキュリティホールの修正プログラムを適用することです。
セキュリティホールとは、コンピュータOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生する情報セキュリティ上の欠陥のことを指します。アップデートが放置された状態が続いている間はこのセキュリティホールが残されたままなので、ウイルス感染やハッキングに利用されるリスクが高まった状態といえます。
以前Windowsのサポート切れとなった脆弱性を利用し「WannaCry」というランサムウェアが問題になりました。
またiPhoneやAndroid端末等のスマートデバイスには、App StoreやGoogle Playなどから入手できるアプリがあります。
パソコンと比べ気軽にダウンロードができるのでついついたくさんのアプリをインストールしてしまう方も多いのではないでしょうか。
ですが数多く存在するアプリの中には、初めからサイバー攻撃や情報漏洩を目的としたものがあるのも事実です。
アプリはとても便利ですが、サイバーセキュリティに関するニュースや情報には常にアンテナを張っておくことが大切です。
とはいえアップデートによってうまく動作しないなどの不具合が起こる可能性もありますので、企業で利用しているパソコンやソフトウェアではテスト環境でアップデートを試すなどの確認を行う方がよいでしょう。
OSやソフトウェアのアップデートは、自社の被害を避けるだけでなく他社への攻撃を防ぐことにもつながるため、非常に重要です。こまめなバージョン管理で対策することを心がけましょう。
社内の脆弱性を一元管理!自動で脆弱性を診断、グラフで可視化する機能の詳細はこちら!
2.デバイスの自動ロック
家を出るときは必ず鍵をかけると思います。
しかしパソコンとなると鍵をあけたまま離れる人は少なくありません。
盗難や紛失、不正操作への対策のひとつとして難しいパスワード設定がよく挙げられますが、そもそもロックがかかっていないデバイスはパスワードをいくら複雑な組み合わせで設定していたとしても鍵があいている状態です。
パソコンや情報資産を守る身近な方法はパソコンを使用していない時や離席時の自動ロックです。
サイバーセキュリティときくと、ついついサイバー攻撃やウイルス感染といったインターネットを通じた脆弱性だけに気が向いてしまいがちです。
しかしオンライン環境を必要とせず起こる情報漏洩が、盗難や紛失によるケースです。
パソコン起動時のログインパスワードの複雑化、更新時期の設定を厳格ルール化している会社は多いですが、一定時間経過後に自動でロックがかかる様に設定することをルール化していない会社は少なくありません。
オートロックの家に住む感覚で自動ロックを設定するようにしましょう。
3.ロックはショートカットで習慣化
数分間操作がないとロックがかかる様にパソコンの設定をしている企業であっても、そのわずかな時間に不正な行為がされる可能性は十分にあります。
そのため離席時にロックをかける習慣を促すことも効果的です。
ロックをかける方法としてショートカットを使用すると、習慣化も広めやすくなります。
- Windowsであれば[Windows]キーと[L]のキー
- Macであれば[Command]キー、[control]と[Q]のキー
をショートカットとして覚えておくと良いでしょう。
全社員でセキュリティリスクやその対策を意識し、一人ひとりが取り組んでいくことが大切です。
【3】属人化された情報漏洩対策では限界。社内セキュリティシステムの利用のすすめ
アップデートやロックの習慣が属人的である限り、
習慣化されていない人が使用する危険性を完全に排除することが難しいことも事実です。
一番の脆弱性はそのパソコンやスマートフォンを使用する「人」、ヒューマンエラーにあるといっても過言ではありません。
「ISM CloudOne」は
- 顧客情報を不正に持ち出していないかなどの操作状況の把握
- ソフトウェア、アプリケーションの配布、削除、アップデート等の一元管理
- 紛失・盗難時における緊急遠隔操作
など、情報漏洩に対するセキュリティ対策機能を備えています。
情報漏洩のリスク低減の対策を、ISM CloudOneの無料トライアルから始めてみてはいかがでしょうか。
この記事を読んだ方にお勧めの記事はこちら!