企業が行うべき情報漏洩対策とは？情報漏洩の原因とあわせて解説

情報漏洩は、被害者への賠償金の支払いや補償による直接的な金銭的損害をもたらすだけでなく、顧客や取引先、株主からの信用を失墜させ、企業の評判やブランド価値を低下させる可能性もあります。取引の中止が相次げば、企業の存続にも影響が及ぶでしょう。さらに、情報漏洩の原因調査や対策には膨大な時間と人員が必要になるため、プロジェクトや顧客対応に遅れや混乱を招く場合があります。

また、第三者に被害を与えない場合でも、企業の機密技術や知識が外部流出すれば競合他社や悪意ある人物に利用され、マーケットにおける自社の優位性を喪失する恐れがあります。

これらのリスクを回避するために、情報漏洩対策は非常に重要です。

情報漏洩の主な原因は、大きく「人的ミス」「不正アクセス」の2つにカテゴライズされます。それぞれについて以下で説明します。

人的ミス

人的ミスとは、人（従業員）の不注意や認識違いなどで生じるミスを指します。情報漏洩の原因として、最も大きな割合を占めるとされています。

誤操作

従業員によるメールの誤送信、機密情報シェア時のファイルの権限の設定ミス、データの削除忘れなどが該当します。とくに多いのがメールの誤送信で、送信先や送信設定を誤り顧客や取引先の情報を流出させてしまうケースが代表的です。

紛失・盗難

従業員の不注意によるノートパソコン（PC）やスマートフォンなどの情報機器の紛失・盗難も、情報漏洩の原因のひとつです。近年はテレワークの普及にともない情報機器の持ち出しの機会が増え、カフェやコワーキングスペースでの作業の際や移動中に紛失・盗難が発生するケースが増えています。

不正アクセス

不正アクセスとは、アクセス権限を持たない者がシステムやデータに無断で侵入し、不正な操作を行うことを指します。不正アクセスによる情報漏洩も年々増加しており、その手段として主に下記のものがあります。

ウイルス感染

システムやネットワークがウイルスに感染することで、情報が漏洩することがあります。メールの添付ファイルから侵入し、情報窃取やほかのウイルスの媒介を行うマルウェアや、ファイルを暗号化し復号と引き換えに金銭を要求するランサムウェアなどが猛威を振るっています。
Webブラウザからハッキングツールやアドウェアをダウンロードさせられ、踏み台として侵入される手口もありますので、メールやSNSで送られてきた不審なリンクや添付ファイルは安易に開くことのないよう、注意が必要です。

RDP（リモートデスクトッププロトコル）の悪用

リモートワークの普及により、外部ネットワークとのアクセス時に通信を許可・ブロックするファイアウォールのRDPが標的になっています。パブリックアクセスを許可するためにRDPポートが開かれていた、メンテナンス時にフィルタリング機能を無効にしていたといった無防備な状態が狙われます。

サプライチェーン攻撃

セキュリティが脆弱な子会社やグループ会社を攻撃し、標的とする企業のシステムへ侵入するサプライチェーン攻撃も頻繁に発生しています。子会社やグループ会社のセキュリティ統制がとれておらず、アクセス許可のルールが甘くなっている場合は要注意です。

情報漏洩のリスクは幅広く、新しい脅威が次々と現れていますが、まずは基本的な情報漏洩対策をしっかりと行うことが大切です。以下では基本的な対策の具体例を紹介します。

従業員の情報リテラシー強化

最も多い人的ミスを防ぐためにも、従業員への情報リテラシー教育は最優先で実施するべきでしょう。

具体的には、怪しいメールへの対応手順や業務に使用する機器の取り扱い、社外で業務を行う際の注意点などを網羅したマニュアルを策定し、従業員に周知します。不審なメールや実行ファイル、パソコン上に表示されるポップアップがあった場合は、情報システム部へエスカレーションをするというルールを周知することも大切です。被害事例を取り上げた研修を定期的に行うのも効果的でしょう。

端末管理の徹底

企業内で使用されるすべての情報機器に対して、管理番号や管理場所の登録を徹底し、不要な持ち出しを禁止するといった適切な運用を実施します。また、BYOD（Bring Your Own Device）を導入している場合は、その適正管理も、情報漏洩対策として見落とせないポイントです。

ウイルスソフトの導入とパターンファイルの最新化

ウイルスソフトの導入とパターンファイルの最新化は、情報漏洩対策において非常に重要な要素です。ウイルスソフトは悪意あるソフトウェアの検出や駆除に効果的であり、パターンファイルの更新によって新たな脅威に対応する機能を保持します。ただし、これらは既知のマルウェアにのみ対応でき、未知のマルウェアやゼロデイ攻撃に対しては限界があります。

そのため、より効果的な情報漏洩対策を実現するには、ほかのセキュリティツールとの併用が重要です。ウイルスソフトの適切な運用と最新化に加えて、ほかのセキュリティツールとの組み合わせによる網羅的な対策を行うことで、企業の重要な情報資産をしっかりと保護することができるでしょう。 詳しくは、こちらのコラムもご参照ください。

ウイルスを「検知しない」セキュリティ製品 AppGuardとは

これらの対策を組み合わせることで、情報漏洩のリスクを軽減することが可能です。ただし、情報セキュリティに関する状況は常に変化しているため、定期的な対策の見直しやアップデートを行う必要があります。リソースの問題などでこうした管理を自社で行うことが難しい場合は、専門業者へのアウトソーシングを検討するのもおすすめです。

ここまでに、企業が情報漏洩対策を実施する重要性と、情報漏洩の原因および対策を取り上げました。情報漏洩対策には、従業員へのリテラシー教育や端末管理の徹底が重要です。

PCの調達・導入・運用・管理・処分までをトータルサポートするDRSのPCLCM（PCライフサイクルマネジメント）では、適切な端末管理を可能にするクラウドデータベース「DREAMS（ドリームス）」を提供しています。 詳しくは以下のページをご覧ください。

DRSのIT資産管理サービス「DREAMS」

DRSのPCLCMサービス

また、DRSではセキュリティサービスも取り扱っています。豊富なPCLCMサポートの実績とノウハウを活かし、セキュリティの専門家がセキュリティ製品の導入から運用までお手伝いいたします。未知のマルウェアやゼロデイ攻撃にも対応可能な「AppGuard」をはじめとした、さまざまなセキュリティ製品をラインナップしお客様の安心・安全をサポートしています。

DRSのセキュリティサービスやAppGuardについては、以下のページをご覧ください。

DRSのセキュリティサービス

端末管理やセキュリティ対策に関心のある方は、ぜひDRSにお問い合わせください。