情報漏えい(情報漏洩)に関する事件がたびたび世間を騒がせ、起こした企業は大きな社会的制裁を受けますが、それでも情報漏えいはなくなりません。
企業は情報漏えいを防ぐためにどのような対策や対応が必要なのでしょうか。
情報漏えいが企業に与える影響やリスク、情報漏えいの原因と対策をわかりやすく解説します。
情報漏えい(情報漏洩)とは
「情報漏えい(情報漏洩)」とは、本来は外部に出すべきではない重要情報が、何かしらの原因によって外部に漏れ伝わってしまうことです。
企業の場合、重要情報として次のようなものがあげられます。
- 顧客や取引先などの情報
- 社員の個人情報や人事情報
- 新商品の開発資料や営業秘密などの経営に関わる情報
これらの情報が外部に漏れてしまうと、情報を悪用された場合に社外にも被害が広がり、重大な事案に発展する可能性があります。
情報漏えいによる企業への影響とリスク
情報漏えいを発生させた場合、相手に迷惑をかけるだけでなく、漏えいさせた企業自身にも多くの影響とリスクをもたらします。
被害を受けた相手への賠償責任
顧客や取引先の情報が漏えいし悪意のある人の手に渡ると、その情報を使って悪質な勧誘や、サイバー攻撃などが仕掛けられるリスクが高まります。
顧客や取引先に被害が及んだ場合には、原因となる情報を漏えいさせた企業に、賠償責任が問われる可能性が高いでしょう。
事後対応による社員の疲弊
一度情報漏えい事案が発生した場合、被害者への対応や原因究明、再発防止策の検討など、事後対応に追われることでしょう。
これら事後対応は、情報漏えいがなければ本来やる必要がない後ろ向きな作業であり、社員のモチベーションや生産性の低下を招く可能性があります。
企業の社会的な信用低下
近年はインターネットやSNSの発展により、以前に増して情報が拡散しやすくなっています。
情報漏えいを起こして広く社会に知れ渡った場合、企業の社会的な信用は低下し、その後のビジネスにも悪影響を与えることになるでしょう。
企業の業績悪化
ここまであげた賠償責任による金銭的な負担や社員の生産性低下、社会的信用の低下などが積み重なると企業業績への影響は免れません。
情報漏えい後の業績悪化はもちろん、最悪の場合には倒産につながる可能性も否定はできないでしょう。
情報漏えいの原因:内部が原因の場合
情報漏えいを防ぐには、どのような原因で起こるのかを知ることが大切です。
情報漏えいの原因は、大きく「内部」と「外部」に分けられます。内部とは企業内に潜む原因、外部とは社外からの攻撃などです。
まずは、内部に潜む、情報漏えいの代表的な原因を解説します。
メールの誤送信
業務でメールを利用している方なら、ついうっかり宛先を誤ってメールを送信してしまった経験はあるのではないでしょうか。
これが顧客情報や機密情報を含んだ重要なメールで起こった場合、大きな問題に発展してしまいます。
多くの場合、
- 送信前に宛先をしっかり確認しなかった
- 不適切な宛先が入っていることに気づかず流れ作業で返信してしまった
- 本来BCCに設定すべきメールアドレスをCCに設定しメールアドレスが流出
といった不注意や気の緩みなどが原因で発生します。
情報機器や資料の紛失・不適切な廃棄
情報機器や資料を紛失したり、不適切な方法で廃棄した場合にも、それが悪意のある人の手に渡ると情報漏えいにつながります。
- 会社帰りに同僚と飲んで帰宅したら、会社支給のスマホがなかった
- 個人情報入りの資料が入ったカバンを、営業帰りに電車に置き忘れた
- 重要なプロジェクト資料をシュレッダーせずにゴミに出した
など、情報漏えいのリスクは身近な不注意やミスの中に潜んでいます。
システムの不具合や操作ミス
社内システムの不具合や、ユーザーの操作ミスが原因で情報漏えいが起きてしまうこともあります。
- ディレクトリ設定を誤り、非公開情報がWebサイトに公開された
- プログラムミスで顧客向け帳票に誤って他人の情報を記載
- 顧客情報が含まれた添付ファイルにパスワードをかけず社外へ送付
など、システム開発段階のテストや、操作時のチェックなどで防げるものが大半です。
悪意のある内部者による不正
メディアで報じられる大規模な情報漏えい事件の中には、社員や関係者による犯行も少なくありません。
- 重要な情報が誰でも見られる場所に置かれている
- 社内システムで本来必要のない情報にアクセスできる
- ルールが適切に運用されておらず、重要情報を簡単に持ち出せる
といった環境は、内部不正を働こうという者に機会を与えてしまいます。
また、監視の目が行き届きにくいリモートワークも、悪意ある者にとっては不正しやすい環境といえるでしょう。
情報漏えいの原因:外部が原因の場合
悪意のある第三者が重要な情報を盗み出す、「外部」が原因の情報漏えいです。
内部にミスがない場合でも攻撃などを受ければ情報漏えいにつながる場合があります。
不正アクセス
不正アクセスとは、正規の権限を持たないものが、他人のIDやパスワードでシステムなどにログインすることです。
犯人は、次のようなさまざまな方法でID・パスワードを入手し、情報を盗み出そうと試みます。
- 不正に出回っているID・パスワードを入手
- すべての文字列を組み合わせた総当たり攻撃
- マルウェアに感染させてID・パスワードを盗む
- フィッシングサイトにID・パスワードを入力させる
パスワードの使い回しや単純なパスワード、推測しやすいパスワードなどは不正アクセスしやすく危険です。
マルウェア感染
マルウェアとは、悪意のあるプログラムやソフトウェアの総称です。
企業のパソコンや社内ネットワークに侵入して情報を盗む目的のマルウェアも多く存在します。
マルウェアの主な感染経路は次のとおりです。
- スパムメールや標的型メールの添付ファイルやリンクから感染
- マルウェアが仕掛けられた不正なサイトへのアクセス
- マルウェアが仕掛けられた不正なアプリのインストール
不用意にURLや添付ファイルを開く行為や、OSやアプリの更新を怠ることで、マルウェア感染の可能性が高まります。
脆弱性をついたサイバー攻撃
企業システムの脆弱性をついて社内ネットワークに侵入し、情報を盗み出すサイバー攻撃も情報漏えいの原因のひとつです。
攻撃者が狙う脆弱性には次のようなものがあります。
- OSやソフトウェアのセキュリティホール
- 社内システムのプログラムバグや設計不良
- ネットワークの設定不備
セキュリティパッチの速やかな適用や、脆弱性診断を怠るとサイバー攻撃の隙を与えることになってしまいます。
悪意ある第三者による盗難や盗み見
オフィス外に情報機器や資料を持ち出す際には紛失だけでなく、盗難や盗み見などによる情報漏えいのリスクもあります。
例えば、次のようなケースが考えられます。
- 帰宅途中の電車でノートPCの入ったカバンを盗まれる
- カフェでリモートワーク中に肩越しにディスプレイの重要情報を見られる
- なりすましのフリーWi-Fiに接続して通信を盗聴される
社外で大切な情報を扱う際に周囲への警戒を怠ることにより、情報漏えいの可能性が高まるのです。
情報漏えいの原因やリスクを減らすための対策
情報漏えいの原因やリスクから企業を守るためには対策が必要です。
情報漏えいの原因やリスクを減らす主な対策を解説します。
情報管理ルールの策定と社員への周知・徹底
情報漏えいを防ぐうえで最も大切なのは、情報を扱う社員のリテラシーを向上させ、高いセキュリティ意識を持たせることです。
情報管理ルールを策定し、情報漏えいの原因やリスクなどとあわせて、定期的にセキュリティ研修などで社員に周知・徹底しましょう。
社員のセキュリティ意識を高めてチェックなどの基本動作を守ることで、ミスや不注意の多くは防止できます。
また、不審メールや不正サイトへの正しい対処法を知ることで、外部からの攻撃による情報漏えいのリスクも減らすことが可能です。
セキュリティ対策ソフトや自動暗号化ツールなどの導入
セキュリティ対策ソフトや自動暗号化ツールなどのシステム面の手当を行うことも重要です。
社員のセキュリティ意識をどれだけ高めても、ミスを100%なくすことはできません。
また、脆弱性を狙う外部からの攻撃も防げないでしょう。
セキュリティ対策ソフトを導入すれば、万が一、マルウェアに侵入された場合にも、素早く検知して駆除できる可能性が高まります。
さらに、自動暗号化ツールを導入すれば、添付ファイルをメールする際にパスワード設定漏れのリスクを減らせるでしょう。
このように、人に頼ることなく情報漏えいのリスクを減らすシステムの導入は非常に有効です。
アクセス権限の適正化と操作ログの監視
社員のセキュリティ意識の向上や、セキュリティ対策ソフトなどを導入しても、内部者が悪意を持って働く不正を防ぐのは簡単ではありません。
内部からの情報漏えいを防ぐには、重要な情報に対して業務に関わる最低限の人しかアクセスできないよう、適切に権限を管理することが重要です。
また、操作ログの取得や監視カメラなどにより行動を記録している事実を周知することも、一定の抑止力になるでしょう。
悪意のある内部者による犯行を防ぐには、情報を持ち出そうとする動機と機会を減らす対策が求められます。
情報漏えいの原因の解消やリスク削減にオンラインストレージ
情報漏えいを発生させると、相手に迷惑をかけることはもちろん、企業の信用低下による業績への影響も免れません。
情報漏えいの原因は、ミスや不注意、内部不正など社内に起因するものから、不正アクセスやマルウェア感染といった外部攻撃など実にさまざまです。
社員のリテラシー向上とともに、システム的な手当や内部不正を牽制する対策などにより、情報漏えいを防止しましょう。
情報漏えいの防止には、クラウド上に情報を保管するオンラインストレージの活用も有効です。
オンラインストレージなら、無料から始められてセキュリティ対策も万全なセキュアSAMBAのご利用をご検討ください。