シリーズ【企業の情報漏洩の原因】#02 従業員のミスや不正行為がきっかけとなる情報漏洩と対策-is702
たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏洩は、企業に致命的なダメージをもたらすことは、情シスの皆さんには言わずもがなでしょう。
今回はシリーズの第2回、「紛失・置き忘れ」「誤操作」「内部不正」に起因する企業の情報漏洩と、従業員が行うべき対策をis702の記事より紹介します。
この記事の目次
情報漏えいを引き起こす内部要因とは?
企業における情報漏洩と聞くと、サイバー攻撃による不正アクセスなどの外部要因をイメージするのではないでしょうか。しかし、実は従業員の不注意によるミス、あるいは不正行為などの内部要因が大きな割合を占めています。
日本ネットワークセキュリティ協会(JNSA) が公表した「2018年情報セキュリティインシデントに関する調査報告書」によると、企業における情報漏洩の7割以上が内部要因によるものなのです。
内訳は「紛失・置き忘れ」が全体の26.2%と最も多く、次いで「誤操作」の24.6%と続きました。「内部犯罪・内部不正行為(2.9%)」「不正な情報持ち出し(2.3%)」などの不正行為も見られますが、被害は深刻かもしれませんがその割合は多くないのです。では、それぞれの原因を掘り下げましょう。
「紛失・置き忘れ」「誤操作」「内部不正」による情報漏えい
●紛失・置き忘れ
パソコンやスマホには紛失や置き忘れによる情報漏洩リスクがつきものです。このため、企業が従業員に貸与している端末には通常、情報漏洩対策が講じられています。リモートから端末のロックや内部データの消去を行える仕組みなどです。
では従業員が企業に無断で業務利用している私用端末はどうでしょうか。情報漏洩対策レベルはユーザの知識やモラルによってまちまちです。企業の管理も行き届かないため、漏洩元になりやすいのです。
また、ビジネスシーンに勝手に持ち込まれる私用のUSBメモリも情報漏洩経路の1つです。従業員が私用のUSBメモリを紛失し、業務情報を流出させてしまう事故も起こっています。
もし、このようなUSBからマルウェアに感染したデータを経由して外部へのバックドアとなるような悪意のあるアプリケーションが起動・増殖するようなことがあれば、目も当てられません。
●誤操作
誤操作の代表例はメールの宛先間違いです。こればかりは”送信”をしてしまうと原則として取り戻すことはできません。
たとえば、コピー&ペーストや入力のミスによって本来の宛先と類似のメールアドレスや同性の人物に誤送信してしまうパターンもあります。自動入力で宛先候補が出てくる場合は、しっかりと宛先を確認する必要があります。また、宛先は正しくても、添付ファイルの選択ミスということも起こり得ます。
イベントの案内や長期休暇の通知など、同じ内容のメールを取引先に一斉送信するシーンにも落とし穴があります。たとえば、すべての取引先担当者をBCCに指定して一斉送信するべきところを誤ってA社担当者だけCCで送ってしまい、すべての取引先にA社担当者のメールアドレスを開示してしまうケースがあります。
●内部不正
内部不正による情報漏えいも起こっています。たとえば、従業員や関係者、委託先担当者などによる意図的な情報の持ち出しがこれにあたります。より悪質な内部不正の例としては、企業内ネットワークにマルウェアを仕込み、第三者の不正アクセスをアシストする行為もあります。その目的の多くは、名簿業者などに情報を売却することで金銭的利益を得ることです。
国内のある通信教育会社は2014年7月、内部不正によって顧客の個人情報が漏洩したことを公表しました。この事件は、同社の子会社からシステム保守を委託されていた企業の派遣社員が顧客データベースにアクセスし、情報を持ち出したことが発端です。当該社員は約2,900万件の個人情報を名簿業者に売り払い、対価を得ていました。事件発覚後、同社は被害者への謝罪や事後調査、再発防止策の実施などに追われ、莫大な損失を計上。当該派遣社員も不正競争防止法違反に問われ、最終的に実刑判決が確定しました。
また前職の在籍中に営業秘密を不正に持ち出し、その後、ライバル企業に転職していたエンジニアが逮捕されたニュースも世間の注目を集めました。
従業員が行うべき情報漏えい対策とは
勤務先のセキュリティポリシーやガイドラインにもとづいて行動することは従業員の責務です。一人ひとりが高い危機管理意識を持って以下の情報漏洩対策に取り組んでください。
紛失・置き忘れ対策
勤務先の許可を得て私用のパソコンやスマホ、USBメモリをビジネスシーンに持ち込む場合、紛失・置き忘れ対策が必須です。
【Windowsパソコンの場合】
- ログオンパスワードを有効にする
パソコン起動時にあらかじめ登録したパスワードの入力が必要になるため、第三者に端末を不正操作されにくくなります。 第三者に推測されにくいパスワードを設定しましょう。Windows 10では、パスワード認証の代わりに、顔認証または指紋認証を選択することもできます。
- 紛失時に見つけられるようにする
Windows 10に搭載される「デバイスの検索」機能とGPS(位置情報サービス)を有効にすれば、ネットに接続された別のデバイスから端末の位置を特定したり、端末をロックしたりすることが可能です。端末がネット接続された際にIPアドレスから位置を特定できる機能を持つセキュリティソフトも利用しましょう。
【スマホの場合】
- 画面ロックを有効にする
一定時間触れずにいると自動で画面がロックされるようにしましょう。ロックを解除するためには、あらかじめ登録したパスワードや暗証番号を入力しなければならないため、第三者にスマホを不正操作されにくくなります。機種によっては顔認証、あるいは指紋認証を利用できます。
- 紛失時に見つけられるようにする
スマホの標準機能である「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」とGPSを有効にすれば、ネットに接続されたパソコンなどから端末の位置を特定したり、遠隔から端末をロックしたり、端末内のデータを消去したりすることができます。スマホ向けセキュリティアプリの中には、遠隔から端末のロックやデータの消去、端末の捜索、不正利用者の撮影などを行えるものもあります。
【USBメモリの場合】
- セキュリティ機能付きのUSBメモリを使用する
保管されたデータを暗号化したり、ウイルス検索を自動で行ったりしてくれるUSBメモリを使用しましょう。
メール誤送信対策
メールを利用する以上、誤送信のリスクはつきものです。勤務先によって定められているメールの利用ルールを確認し、遵守しましょう。
- 宛先や添付ファイルに誤りがないことを送信前にチェックする
一般的なメールソフトやWebメールには宛先欄に入力された任意のアルファベットから始まるメールアドレスを一覧表示する機能が備わっています。これを利用する場合はメールアドレスの候補が1つに絞り込まれるまで手入力する慎重さが必要です。また、添付ファイルの選択ミスを防ぐため、日頃からフォルダを整理しておきましょう。
不正行為に手を染めないために…
セキュリティやコンプライアンスの研修を受け、情報の不正な持ち出しが倫理的に許されないということを理解することが第一歩です。
一定のセキュリティ基準を満たす企業は、入退室管理システムや防犯カメラの導入、外部記憶媒体などのデバイス制御、サーバへのアクセス権限の設定など、さまざまな情報漏洩対策を講じています。
また、サーバへのアクセス履歴やユーザの操作履歴なども記録し、情報漏洩が発生した場合の原因や被害状況を追跡できる体制になっています。不正行為が明るみになれば、それによって生じた企業の損害を代わりに負うことになり、刑事責任を問われる可能性もあることも覚えておきましょう。
本記事は、トレンドマイクロ様の許諾によりインターネットセキュリティナレッジ「is702」の内容を元に作成しております。
ソース:https://www.is702.jp/special/3887/