企業や組織からの情報漏洩と聞くと、不正アクセスやクラッキングといった、IT技術を駆使した外部からの攻撃に起因すると思われる方も多いのではないでしょうか?
NPO日本ネットワークセキュリティ協会によると、情報漏洩の一番の原因は「誤操作」であると報告されています。
実際にどのような経路・原因で情報が漏洩しているのかを正確に知っておかないと、適正な対策を取ることもできません。
上記協会による調査結果を元に、情報漏洩の原因とその対策について順次紹介していきます。
※参考資料:2017年情報セキュリティインシデントに関する調査報告書
https://www.jnsa.org/result/incident/data/2017incident_survey_sokuhou_ver1.1.pdf
セキュリティインシデントに関する調査報告結果
・第1位:誤操作(25.1%)
特に多いのが、メールやFAXの宛先間違いです。
また、メールの場合、BCCに記載すべきアドレスを、TOやCCに設定してしまうことで、メールアドレスが流出するといった事案も多発しています。
・第2位:紛失、置き忘れ(21.8%)
従業員が、社内のコンピュータを持ち出し、どこかで紛失したり置き忘れたりすることで、情報が漏洩するというインシデントです。
・第3位:不正アクセス(17.4%)
外部からの攻撃によって、内部のネットワークに侵入され情報が窃取されるという事例です。
・第4位:管理ミス(13.0%)
情報管理が行き届いておらず、管理ルールが明確でないため、組織内の情報がどこにあるのか分からなくなってしまうというケースが多く報告されています。
・第5位:不正な情報の持ち出し(6.5%)
悪意のある内部の人間により、組織内の情報が外部に持ち出されるというケースはもちろんですが、許可を得ず自宅にデータを持ち帰って作業し、自宅のコンピュータがマルウェアなどに感染していたり、ファイル共有ソフトを利用していたりすることが原因で、情報が漏洩する場合もあります。
・第6位:盗難(6.5%)
ここでいう盗難とは、第三者が、情報が保存されている端末や記録媒体を盗むことを指します。内部の悪意のある人間による情報の窃取は含まれません。
・第7位:設定ミス(4.7%)
通常、社内の情報は社外のネットワーク(インターネットなど)からは隔離された場所に保存されており、外部からアクセスすることはできません。
ところが、システム担当者が設定を誤り、社内情報を社外に公開されている場所に保存するといったアクセス権の設定を間違ってしまうことで、情報が漏洩する事案も発生しています。
・第8位:内部犯罪、内部不正行為(2.1%)
内部の人間が悪意を持って、機密情報などを窃取する行為を指します。
無断で情報をコピーしたり、本来アクセス権限のない情報を上司のID、パスワードを盗み見るなどして手に入れたりといった行為が後を断ちません。
・第9位:バグ、セキュリティホール(1.3%)
いわゆる脆弱性に起因する情報漏洩です。
組織内で利用しているサーバやコンピュータのOS、アプリケーションに脆弱性が存在するにもかかわらず、ソフトウェアベンダーから提供されている更新プログラムを適用せずに放置していたために、マルウェアなどに感染し、情報が漏洩するという事案です。
・第10位:ワーム、ウィルス(0.5%)
組織内のコンピュータがコンピュータウィルスなどに感染してしまうことで、そこに保存されている情報が外部に勝手に送信されるといったケースが該当します。
情報漏洩への対策
情報漏洩の原因を見ると、およそ7割が「人為的ミス」や「従業員のリテラシー、モラルの欠如」といった「人」によるものであることが分かります。
不正アクセスは第3位と今でも上位にランクインしていますが、全体としてコンピュータウィルスなど外部からのコンピュータやネットワークに対する攻撃については、企業・組織として一定程度の防御策が施されていると言えます。
こうした傾向を踏まえると、これからの情報漏洩対策はまず「人」に対して徹底する必要があるでしょう。
情報セキュリティポリシーの策定
情報セキュリティポリシーとは、企業・組織が、その保有する情報資産をどのように取り扱い、どのように保護するのかを明文化したものです。
企業が取り扱う情報は、業種や業態によって異なるので、自社にあった情報セキュリティポリシーを作成するためには、情報セキュリティの専門家によるカウンセリングなどを受けることも大切です。
情報管理体制の確立
以下のような情報管理体制を整えることが必要です。
・どの情報をどこに、どんな形で保存・保管するかを明確にする
・情報を使用する際の手続きを明文化する
・どのレベルの人がどんな情報にアクセスすることができるのかを明確にし、IDやアクセス権限などを厳密に管理する
従業員に対する教育
人為的な原因が多いのは、やはり従業員の情報に対するリテラシーやモラルの低さであると言わざるを得ません。
そのため、情報セキュリティポリシーに基づいた自社の情報の管理についての手順や情報の取り扱い方法、万が一情報漏洩インシデントを引き起こした場合についても具体的にどうするのかを決めておく必要があります。
こうした教育は一度きりでは意味がありませんので、定期的に行うことが必要です。
また、職位が上がると、取り扱う情報の機密性も高まるので、昇級のタイミングでの教育も有効です。
これまでは不正アクセスやマルウェア対策などシステム面での情報漏洩対策が注目されてきました。もちろん、それらも重要ですが、今後はこうした「人」への対策が情報漏洩防止の鍵を握るでしょう。