シリーズ【企業の情報漏洩の原因】#01 従業員の不注意が引き金となる情報漏洩パターンと防止策-is702

たびたび世間を騒がせている企業の情報漏洩。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらすことは、情シスの皆さんには言わずもがなでしょう。
今回はシリーズの第1回、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏洩パターンと防止策をis702の記事より紹介します。

事業継続を脅かす情報漏洩リスク

みなさんは企業の情報漏洩と聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかしながら、従業員の不注意や認識不足をきっかけとする情報漏洩事故も少なくありません。
もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏洩が生じてしまった場合、どうなるでしょうか。当事者はもちろんのこと、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。

一口に情報漏洩を引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏洩のパターンと防止策を見ていくことにします。

シーン1:文書ファイルの共有時

ビジネスシーンではMicrosoft Office(Word、Excel、PowerPointなど)で作成した文書ファイルを取引先や社外の関係者に送る機会も多いのではないでしょうか。
その際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)もチェックすることが必要です。
うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏洩につながる可能性があるのです。

ちなみにMicrosoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除することができます。覚えておくと便利な使い方です。

 

☑ドキュメント検査を使用する
https://docs.microsoft.com/ja-jp/office/vba/library-reference/concepts/using-the-document-inspector
 
 

また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。


図:「名前を付けて保存」機能からPDFを生成する際のオプション選択画面

シーン2:クラウドサービス利用時

利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏洩リスクがつきものです。
フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。
何故ならば、サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も実際に発生しています。
勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。

勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容(アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など)も十分に理解した上でサービスを利用しなければ、意図しない情報漏洩を招いてしまうかもしれません。
過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。

また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はどこにもありません。
クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかの判断が必要です。クラウドサービスを利用したい場合、まずは情シスに相談してみましょう。

シーン3:テレワーク時

テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏洩リスクは高まります。

オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。
通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏洩対策がとられています。
一方、私用端末のセキュリティ対策はユーザの知識やモラルによってまちまちです。
セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏洩を引き起こしてしまうかもしれないので、使用してはならないのです。

また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。しかしながら、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。
どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。許されるのであればモバイルWi-Fiルータや会社支給のスマートフォンのテザリングを利用することが望ましいでしょう。

また、公共の場でのパソコン作業時は覗き見による情報漏洩にも配慮しなければなりません。
最低限、端末画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、壁を背にするなど、周囲の目線に気を配るなどの心がけは必須です。
また、カフェを含む公共の場でパソコン作業中に離席する際は端末の盗難のリスクがあるのでやめましょう。トイレや商品の受け取りなど、ごく短時間であっても離籍する場合は必ず目を離さないように注意する必要があります。

さらにスクリーンロックをかけるのは基本の”き”です。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除します。自分の名前や生年月日、規則的な数字(1234)など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。

このようにテレワーク時はマルウェア感染や情報漏洩などのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従いましょう。
また、忘れがちではありますが、在宅勤務時は家族であっても業務上は”部外者”であることを忘れずに業務にあたることが必要です。


本記事は、トレンドマイクロ様の許諾によりインターネットセキュリティナレッジ「is702」の内容を元に作成しております。
ソース:https://www.is702.jp/special/3838/

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る