テレワークが普及し、Webメールやビジネスチャット、クラウドストレージ、Microsoft 365（旧Office 365）などを使い、業務を行っている人が多いのではないでしょうか。そのような際にも、情報漏洩リスクについて考えておかなければなりません。
外部からの不正アクセスなどによりネット上に保管された業務情報が流出してしまう事案もたびたびメディアで報じられています。
AWSやAzure、GCPなどのデータセンターがサイバー攻撃の被害に遭わないとは限りませんが、一般的な企業のセキュリティに比べれば遙かに厳重な対策が施されているため、多くの場合は利用者側に問題があります。

まずはインターネットサービスの利用に伴う主な情報漏洩パターンを見ていくことにしましょう。

【パターン1】アカウントへの不正ログイン

サイバー犯罪者は不正に入手したアカウント情報（IDとパスワード）を使って被害者のアカウントに不正ログインし、情報を盗み出します。
一体、彼らはどのような方法でアカウント情報を入手するのでしょうか。ダークウェブでの売買などもあるようですが、代表的な手口がフィッシング詐欺です。
これは、ネット利用者を正規サービスのログインページなどを装った偽サイト（フィッシングサイト）におびき寄せ、そこで入力されたアカウント情報などを盗み出すものです。

フィッシングサイトへの主な誘導手段はメールやSMS（ショートメッセージサービス）になります。
年を追う毎にその手口は巧妙かしており、実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。たとえば、人事担当者を装って「業務メールシステムへの再ログインが必要」などと呼びかけるフィッシングメールが確認されています。

サービス利用者のアカウント管理の隙を突く不正ログイン事案も少なくありません。「異なるパスワードを考えるのが面倒」などの理由から複数のサービスに同一のIDとパスワードを使い回していると情報漏えいリスクが高まります。フィッシング詐欺やダークウェブでの売買などにより複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合を想像してみてください。
彼らはそのIDとパスワードを使って各種サービスのアカウントを芋づる式に乗っ取り、情報を盗み取ったり、犯罪に悪用したりするのです。

シャドーITなどとも言われていますが、企業が許可していない、あるいは利用ルールを設けていない私用のインターネットサービスをビジネスシーンに持ち込むことも情報漏洩の危険性が高まります。
利便性や作業効率の観点からついつい個人で利用登録しているクラウドストレージを勤務先に無断で利用し、取引先とファイルをやり取りしたり、業務情報を社外に持ち出してしまうことなどの経験があるのではないでしょうか。
コロナ禍によりテレワークが求められるようになり、PCを持ち出せる環境となった今ではあまり見かけないと思いますが、一昔前には自宅で仕事をするために、業務メールを私用のWebメールアドレス宛に自動転送しているということも多くあったと聞いています。
しかし、こうした行為から勤務先の情報漏えいにつながる可能性があります。

一定のセキュリティ基準を満たす為に企業では特定のインターネットサービスを安全に利用するためにさまざまなレベルで情報漏えい対策を講じています。無許可の端末・利用者によるデータへのアクセス制御、セキュリティポリシーに沿った設定の一括適用、ログ監視などです。

しかし、使われるべきでないインターネットサービスを管理するにはそれ相当のコストが必要になる為、一般的には管理の目が行き届きません。そのため、サービスの機能や仕様、利用規約の内容に対する理解不足、および設定ミスという利用者の過失による情報漏洩リスクがあります。
よく耳にする「公開範囲などのプライバシー設定に不備があり、ネット上にアップロードしたファイルが第三者から閲覧できる状態になっていた」というケースはその典型です。

また、サービス事業者の人為的なミスやサイバー攻撃がきっかけでネット上に保管された情報が外部に流出してしまう事故も起こっています。私用のインターネットサービスが漏洩元になった場合、企業によるインシデントの発見や対処が後手に回りがちで被害が広がりやすくなってしまうのです。そして、その対策のために企業が被る損害額は決して少額ではありません。

以下にインターネットサービスの利用に伴う情報漏えいを防ぐために従業員が行うべき5つの対策を紹介します。