情報漏洩対策とは？

情報漏洩。年に数回は有名企業や官公庁のデータベースから情報が流出・漏洩したニュースを聞くものです。今やネットワーク環境における情報漏洩対策は必須のものといってもよいでしょう。

セキュリティ環境をしっかり整えているはずの有名企業でさえ漏洩が起こってしまうのだから、中小企業や個人経営のネットショップなどでは手を施しようがないと思う方も多いかもしれません。しかし実際に漏洩した事例を見ていると必ずしもそうとは言えない面もあります。

これは有名企業の方が大規模なハッカー集団の標的にされやすいといった面もありますが、ほかにも企業や団体のネットワーク環境が原因で事件が発生するケースも多いのです。中には「そんな理由で漏洩したのか」と驚きと疑問を覚える事例も見られます。

情報が漏洩しないための対策にはまず何が原因で起こるのかを確定しておくことが大事なのです。原因を把握していないとしっかりとセキュリティ対策を行っているつもりでも思わぬ落とし穴で被害を受けてしまう可能性もあります。

では何が原因で情報が漏洩するのでしょうか？おそらく多くの方はウイルスや不正アクセスをはじめとしたサイバー攻撃を連想するのではないでしょうか。先ほども触れたように有名企業や官公庁の場合は確かにサイバー攻撃の標的になりやすい面もあります。またネットショップなど顧客の個人情報を扱っている企業・店舗の場合もサイバー攻撃を受けやすい傾向があるのは事実です。

しかしじつは漏洩した原因の中でも最大のものは「情報の管理ミス」なのです。これは実際にセキュリティ問題を扱っている調査機関によって行われた調査の結果から明らかになっています。漏洩した事例のじつに3分の1はこの管理ミスで占められていると言います。

例えば携帯可能なUSBメモリに顧客の個人情報を保管していたのがそれを紛失してしまったケース。これは後述する内部犯行でもよく見られるものです。記録媒体の小型化と大容量化が進んだことで大量の個人情報をスーツの胸ポケットに入るようなUSBメモリに保管することができるようになったことで紛失・漏洩のリスクが増大しているのです。

ほかにも引っ越しの際や引継ぎの際に個人情報が失われてしまった、さらにHDDなどの記憶媒体を買い替える時に前に使っていたものの記録を十分に消去しないまま廃棄した結果漏洩が起こることもあります。実際に個人情報の記録が残ったままHDDを不正に転売した事件なども起こっています。

この管理ミスに次いで多いのが誤操作。これは悪意もなくうっかり起こしてしまうことがあるので特に注意が必要です。

例えばメールの一斉送信。本来ならごく限られた人にしか見せられない機密情報をついうっかり登録していたメールアドレスに一斉送信してしまう。もう送ってしまったメールを回収することはできませんから、この段階で情報の漏洩が確定してしまい、後は受け取った側が悪用しないよう祈るほかありません。

ほかにもメールの宛先を間違えて送信する、送るべきではない添付ファイルを送付してしまうといったケアレスミスもよく見られます。

メールの機能も向上し、より手軽に複数の相手に送信したり、データを添付できるようになりました。こうした便利な環境に慣れてしまうと油断が生じてこうしたうっかりミスを起こしてしまうのです。

この管理ミスと誤操作が情報漏洩の事例全体の半分以上を占めるともいわれています。

そうなると「万全なセキュリティ環境を構築する」といった一般的な漏洩対策は決して最優先事項ではなく、もっと根本的な次元で漏洩を防ぐ環境づくりが求められることになります。

まず管理ミスを防ぐためには情報を扱う従業員の意識を高めることはもちろん、誰がどの情報を扱っているのか、アクセスする権限を持っているのか、責任の所在を明確にしておくことも大事です。誰もがアクセスできるような状況では管理ミスはもちろん、内部犯行による持ち出しの被害も起こりやすくなります。

また、USBメモリなどの媒体を外部に持ち出さないようにすること。これは社員・店員に徹底するだけでは不十分です。いくら禁止しても残業が多い、家に持ち帰って仕事をしないととうていノルマをこなせないといった環境では徹底するのは無理というもの。「働き方改革」と言われて久しいですが、情報管理がしっかりできる環境づくりも欠かせません。

誤操作に関してはミスを起こさないよう社員教育をしっかり行うことが唯一にして最良の選択肢となるでしょう。

そのうえでサイバー攻撃を含めた「悪意のある情報の持ち出し・改ざん」に備える環境づくりを行っていくことになります。サイバー攻撃でもっとも多いのは不正アクセス、そのためにもセキュリティソフトを導入する、そのうえでつねに最新版を使用するようにアップデートを定期的に行うといった対策が有効です。

またサイトによってはWebアプリケーションの脆弱性の問題を抱えていることもあるため、不安な場合には脆弱性の診断を行ったうえでより安全なWebアプリケーションの導入やwaf(Webアプリケーションファイアーウォール)の導入などの対策を検討しましょう。

無視できないのが不正な持ち出しと紛失です。管理ミスともかかわってきますが、USBメモリを紛失してしまった、または内部の人物がこっそり持ち出してしまうケースも少なからずあるのです。

これは先ほども挙げた管理ミスの対策が重要ですが、併せて内部の人間による不正アクセスを防ぐのも忘れないようにしましょう。例えば重要な情報が保管されているパソコンをだれでもアクセスできる状態にしてある、テキストデータにID・パスワードがメモされているのですぐに発見できるといった環境です。そのパソコンで仕事を担当している人がちょっと席を外している間にあっという間に情報を盗み出されてしまう可能性もあるわけです。何しろデータの処理も通信速度も飛躍的に早くなった現在、10分もあれば何万人分ものデータを外部に送信させたり、他の記録媒体にコピーすることも可能なのですから。

こうした職場環境のレベルで徹底する必要がある対策に加えてちょっとした工夫で漏洩を防げる方法もあります。例えばパスワードの定期的な変更。ずっと同じパスワードを使い続けていると一度外部に漏洩してしまうと簡単に不正アクセスされてしまいますし、内部犯行が起こりやすくなります。定期的な変更するようにすることでこうした問題を防ぐことができます。

そして先ほど担当者が席を外した時に持ち出されるリスクについて触れましたが、席を外すときにはパスワードロックをするよう設定しておくと隙をつかれるのを防ぐことができます。加えてパスワードの定期的な変更を行えばより効果的になるでしょう。

仕事用のパソコンを個人で利用しないよう徹底するのも基本的ではあるが有効です。というより基本的であるにもかかわらず徹底されていないというのが実情です。例えば休憩中にフィッシングサイトにアクセスした結果マルウェアに感染されてしまう、パスワードやIDを盗み出されてしまうといった問題も起こりえます。

情報の漏洩を防ぐためにはまず人為的なミスを防ぐこと、そのためにも「防げる環境づくり」が欠かせません。従業員に全面的に責任を負わせるのではなく、企業が率先して漏洩を防げる環境づくりを行っていく必要があるのです。サイバー攻撃の備えについても同様です。現在どのような対策が施されているのかを現場レベルではなく経営レベルで把握し、つねにそれが適切なものかどうかを見極めておくことも必要でしょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。