情報漏洩対策はオンライン時代の要。対策が必要な背景やリスク、具体的手法を解説

情報漏洩対策はオンライン時代の要。対策が必要な背景やリスク、具体的手法を解説

December 6, 2021

記事の監修

S.Sato

記事の監修


S.Sato

マネジメント&イノベーション事業部 開発部/ユニット2 リーダー資格 Microsoft Offiece Specialist Master 2007、ITパスポート 2022年よりMicrosoft365とPowerPlatformの案件を担当。それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。

ITテクノロジーの進化に伴い、業務の利便性は大きく向上しました。反面、サイバーアタックにより情報が漏洩し、手痛い被害を受けてしまうリスクも生じています。

この記事では、情報漏洩および漏洩を防ぐための対策について解説します。情報漏洩を起こしてしまうと自社だけでなく他の人や組織にも迷惑がかかってしまうため、しっかりと学び適切な対策を行いましょう。
無料ご相談受付中 まずはお気軽にご相談ください

Contents

目次

情報漏洩対策が必要な時代背景

情報漏洩対策が必要な時代背景としては、下記のようなものが挙げられます。

オンラインでやり取りする情報量の増大

現代ではテクノロジーの進化により、オンラインで業務が行われる機会も増えました。オンラインで業務を行うことができればさまざまなメリットが生じますが、反面デメリットも発生します。

その一つに「情報漏洩リスク」が挙げられるでしょう。業務がオフラインで完結するからといって必ずしも情報漏洩リスクがゼロになるわけではありませんが、オンラインでは情報が漏洩する経路が増すことになります。

業務をオンライン化すればするほど、適切な情報漏洩対策を行う必要が高まるわけです。

モバイル端末の普及

業務にモバイル端末を利用している企業も多いかもしれません。軽くて高機能なモバイル端末を活用すれば業務の柔軟性が高まりますが、さまざまな場所やデバイスからのアクセスをシステムが適切に処理する必要が生じます。

不適切なデバイスからのアクセスを許可してしまうと、第三者による攻撃を受け情報が流出してしまう可能性があります。また、デバイス側でもセキュアでない通信を利用して社内システムと通信した場合、内容を第三者に盗み見られてしまうことも考えられます。

モバイル端末が普及しさまざまな環境からのアクセスが増えたことにより、適切な情報漏洩対策の必要性が高まっています。

テレワークなど、業務スタイルの柔軟性

一昔前は定刻にオフィスに出社し、そこで一日の業務を完遂するのが主流でした。しかし時代は変化し、テレワークなど柔軟な業務スタイルも浸透したのではないでしょうか。

テレワークの良し悪しを単純に論ずることはできませんが、オフィスで完結するスタイルに比べるとセキュリティ面に一層気を配る必要があるでしょう。モバイルの業務活用と同じく、テレワークにおいては「誰がどのような環境からアクセスを試みるか」が不明確になります。

仮に誰かが不適切な端末や通信回線を通じてアクセスしてきたとしても、社内のデータを保護する必要があります。

情報が漏洩するとどんなリスクがある?

では次に、情報漏洩が発生するとどのようなリスクが生じるかを見ていきましょう。情報が漏洩してしまうと、下記のような懸念が発生します。

自社だけでなく関係者や取引先にも迷惑がかかる

情報漏洩が発生すると自社に損害が生じますが、関係者や取引先にまで迷惑がかかってしまう可能性があります。事業の推進が自社のみで完結するケースは少なく、通常は多様な関係者や取引先を巻き込んで行います。

自社のデータが流出することで、彼らに被害が及ぶ可能性もあるでしょう。顧客情報が流出したら顧客に迷惑をかけてしまいますし、コラボしているプロジェクトの機密データが流出してしまうと相手先企業にも損害を与えてしまいます。

適切な情報漏洩対策を講じることは、自社のみでなく関係者や取引先を守ることにもなります。

自社の社会的評価が落ちる

外部に公開すべきでない情報が漏洩してしまうと、自社の社会的な評価が大きく低下する恐れがあります。関係者や取引先に迷惑をかけてしまうと以後関係性を保てなくなるかもしれませんし、世間から「あの会社の情報管理は信用できない」と思われてしまうかもしれません。

情報管理への信用が低下すると、顧客がスムーズに情報を渡してくれなくなる可能性があります。BtoCのようなビジネスであれば、顧客が個人情報の入力や決済の登録を躊躇してしまうことも考えられます。

加えて、社会からの信用が落ちることで株価が下がり、資金調達に問題が生じる可能性もあるでしょう。そうならないためにも、情報漏洩対策に徹底して取り組む必要があるわけです。

最悪、データや情報がロックされてしまうことも

情報漏洩の他に、近年セキュリティ被害で増えているのが「データの改ざん」です。悪意ある第三者がランサムウェアと呼ばれるウイルスをユーザに送りつけ、「データが暗号化されてしまい利用不可になる」といった被害が発生しています。

データが暗号化されてしまうと、それらを使って業務を行うことができなくなります。解除するには攻撃者の意向に沿う(多くの場合は身代金を支払う)必要が生じ、少なくない打撃を受ける羽目になるでしょう。

そのような事態に陥らないためにも、日頃からセキュリティに気を配る必要があります。

具体的な情報漏洩対策

それでは、続いて具体的な情報漏洩対策をいくつかご紹介します。どのような対策を講じるかは自社のセキュリティや業務特性と相談し、総合的に決める必要があります。

情報へのアクセスを制限する

一つ目は、情報やデータへのアクセスを制限することです。システムにアクセスできる要件を厳しくすればするほど攻撃者が情報を盗みづらくなり、情報やデータを保護しやすくなります。

ただし、システムへのアクセスを制限すればするほど業務上の利便性は低下する傾向があります。たとえば、システムに登録されているデバイスからのみアクセスを許可している場合、突発的な事態が発生し登録外のデバイスからアクセスを試みてもブロックされることになるでしょう。

セキュリティと利便性を両立するためにも、適切なポリシーを設ける必要があります。

データやシステムをクラウドに移行する

データやシステムをクラウドに移行することで、情報漏洩対策にもなります。システムやツールには大きく分けて「オンプレミス」と「クラウド」の二つの導入形態があります。

オンプレミスはシステムを走らせる機器やストレージを自社もしくはベンダーが購入し、社内で管理する運用形態です。対して、クラウドはシステムやツールを提供しているサービス会社側がサーバーを用意しており、そこにアクセスしてシステムやツールを利用するといった形です。

クラウドの利点としては、主に下記のようなものが挙げられるでしょう。

  • 専用機器を購入する必要がないため、コスト減に繋がる
  • インターネットに繋がっていればどこからでもアクセス可能
  • メンテナンスや保守、アップデートがサービス提供会社側で行われる

情報漏洩対策の観点から見ると、アップデートやバグフィクスがサービス提供会社側で行われ、ユーザーは常に最新のソフトウェアを使えることが挙げられます。また、ソフトやデータを保管するサーバーはサービス提供会社側により強固なセキュリティ管理がなされていることも対策の一つとして考えられるでしょう。

端末やアクセス経路を管理する

システムにアクセスする端末やアクセス経路を適切に管理することで、情報漏洩対策に繋がります。望ましくない端末からのアクセスはできる限りブロックするのが望ましいですし、信頼できる端末でもセキュアでない通信回線からアクセスするのは好ましくありません。

また、モバイル端末を業務活用している場合、紛失による情報漏洩リスクも考えられます。高機能で軽量なモバイル端末は非常に便利ですが、そこには業務にまつわる情報が集約されているため、紛失した場合は拾得者に情報が筒抜けになってしまう恐れがあります。

適切なツールを導入し、デバイスの信頼性を保つことが大事です。

シャドーITを防ぐ

シャドーITを防ぐことで、情報漏洩リスクを下げられます。シャドーITとは、従業員が会社の了解を取らずに自己判断で機器やサービスを使用し業務に活用する行為です。

シャドーITを行ったからといって、直ちに組織のセキュリティレベルが低下するとは限りません。大半のハードウェアやアプリはセキュリティに問題が生じないよう設計および開発されているからです。

しかし、使い方によっては情報が盗み見られ、全世界に公開されてしまう可能性があります。企業側が管理しておけば防げた事故を防げなくなってしまう、それがシャドーITにおける問題として挙げられるでしょう。

情報の持ち出しを禁止する

社外への情報の持ち出しを禁止することで、情報漏洩を防ぐ効果が見込めます。社内の情報を外部に持ち出すルートとしては、主に

  • USBメモリなどの物理的ストレージを介して
  • メールやクラウドストレージなどのオンラインサービスを通して
  • 印刷された資料などの紙媒体を通して

などが考えられます。これらを全て禁止して一切の情報を漏らさないようにすればセキュリティは向上しますが、反面業務の利便性は低下してしまうでしょう。

何を制限し何を許容するかを総合的に判断する必要があります。

OSやアプリケーションを最新に保つ

業務に使用しているOSやアプリケーションを最新に保つことで、情報漏洩リスクを下げることができます。つい後回しにしがちかもしれませんが、アップデートには機能追加だけでなくセキュリティの強化が含まれていることもあります。

特に、致命的なセキュリティの欠陥が修正されているような場合、可能な限り早期にアップデートすることをおすすめします。サービス提供会社から送られてくる情報にはしっかりと目を通し、システムやデバイスを安全に保ちましょう。

情報漏洩対策のポイント

それでは、最後に情報漏洩対策のポイントをいくつかご紹介します。100%安全な対策というものはありませんが、複数の手法を組み合わせることでリスクを大きく低下させられます。

セキュリティについて学ぶ

セキュリティの基礎を学ぶことで、情報漏洩に対する理解を深められます。情報漏洩経路はある程度パターン化されているため、余程斬新な手法が生まれない限りは既存の対策が有効です。

オンラインに関して言えば、下記のようなものが挙げられるでしょう。

  • 不審なメールに記載されているURLや添付ファイルを開かない
  • 暗号化されていない通信を利用しない
  • 登録されていないデバイスからのアクセスを許可しない

時代によって主流となる攻撃方法は変化するため、ある程度は最新のセキュリティについて知っておくことも大事です。

デジタルだけでなくアナログへの対策もぬかりなく

情報漏洩というとオンラインからの流出をイメージしがちですが、アナログ部分への対策も忘れてはいけません。アナログ(オフライン)を介した情報流出経路としては、下記のようなものが挙げられます。

  • 業務のデータが保存されているUSBメモリやスマホを紛失した
  • 電車やカフェでPCを開き仕事をしていたら、画面を覗き込まれた
  • 持ち出した紙の資料を誰かに見られてしまった

アナログを介した情報流出は、主に人的エラーによって生じます。データを社外に持ち出さないのが一番ですが、それが難しい場合は細心の注意を払って行いましょう。

情報漏洩を100%防ぐのは難しいという前提で行う

どれほど完璧な対策を施しても、情報漏洩を100%防ぐことはできません。テクノロジーの進化は日進月歩なため、昨日までは考えられなかった攻撃手法が試みられる可能性もあるからです。

加えて、人的エラーを100%防ぐことも難しいでしょう。情報漏洩を起こさないよう対策することは重要ですが、万一起こってしまったらどうするかも合わせて考える必要があります。

場合によっては、ITシステムに頼らず業務を進められる体制を整えておいた方がよいかもしれません。そうすれば、万一システムやデータが使えなくなった場合でも業務を遂行することができます。

しかし、あまりにコストがかかりすぎる場合は経営を圧迫してしまうため、天秤にかける必要があります。

まとめ

業務に関する情報が漏洩してしまうと、自社だけでなく多くの人や組織に迷惑をかけてしまいます。それによる社会的地位の低下や、シェアの喪失が発生すると、事業継続が困難になってしまう恐れもあるでしょう。

セキュリティについてしっかりと学び、適切な対策を施すことが大事です。そのためには「既存の攻撃方法を学ぶ」「自社に合ったセキュリティシステムを導入する」といった方法が有効です。

無料ご相談受付中 まずはお気軽にご相談ください

Microsoftを導入してコスト効率をよくしたい

Microsoftを導入して
コスト効率をよくしたい

Microsoftに関して気軽に聞ける相談相手が欲しい

Microsoftに関して
気軽に聞ける相談相手が欲しい

Microsoftを導入したが、うまく活用できていない・浸透していない

Microsoftを導入したが、うまく活用できていない・浸透していない

社内研修を行いたいが社内に適任者がいない

社内研修を行いたいが
社内に適任者がいない

Bizwindでは、Microsoft導入支援事業などを中心に
IT・DX推進に関する様々なご相談を承っております。
ご相談・お見積りは無料です。まずはお気軽にお問い合わせください。

無料ご相談はこちら
Ranking

ランキング

Business Efficiency

January 12, 2024

SharePointとは?SharePointの機能や使い方を徹底解説!
SharePointとは?  SharePointとは、マイクロソフト社が提供する企業向けのファイル共有・コラボレーションを行うためのサービスです。  SharePointと比較されるサービスとして、マイクロソフト社が提供するOnedriveがあります。  どちらもファイル共有サービスですが、違いを簡単に述べるとすれば、SharePointは組織向け、OneDriveは個人向けのサービスです。  また、SharePointはポータルサイト(チームサイト)を作成できます。  部署やチーム、プロジェクト毎にファイルや情報を管理する場合により効果を発揮します。  そのためSharePointはビジネスの現場で広く利用されています。 ShrePointでできること  SharePointでできることについてご紹介します。 ポータルサイト(チームサイト)の作成 SharePointでは、チームや部署、プロジェクト毎にポータルサイト(チームサイト)を作成することができます。  作成したポータルサイト上では、情報共有や共同作業を行うことができます。  チームで共有したい情報はポータルサイト上に共有することで、複数人宛に情報を共有することができます。そのため業務効率化に繋がります。  ポータルサイトは、予め特定のビジネスニーズに合わせて設計されているテンプレートが用意されているので、そこから簡単に作成することができます。  チームの特色や業務内容に合わせてカスタマイズすることも可能です。  ポータルサイトは簡単に作成することができ、情報共有を効率化することができます。  ドキュメント管理 SharePointでは、ポータルサイト上で様々なドキュメントや画像などを管理することができます。  マイクロソフトの高品質なセキュリティ対策を活用し、契約書などの重要書類もSharePoint上で管理する企業も増えています。  SharePointでは、ポータルサイトで安全かつ効率的にドキュメントを管理することができます。  ワークフロー SharePointでは、業務フローを自動化することができるワークフローの構築ができます。  例えば、特定のフォルダからファイルが削除された場合は、承認者に承認メールを送信、承認者の承認を得られたらファイルが削除される、といった仕組みです。  このようなワークフローを構築することで、重要なファイルが誤って削除されるミスを防止することができます。  ワークフローを設定することで、日々の業務効率化や誤操作の抑止をすることができます。  モバイルアプリが利用可能 SharePointは、PCだけでなくスマートフォンからもアクセスすることができます。  SharePoint Onlineのモバイルアプリをインストールすることで、自宅や外出先などからでも簡単に情報にアクセスすることができます。  これにより時間や場所を選ばず、いつどこからでも必要な情報にアクセスすることが可能になります。  SharePointの強み SharePointの強みについてご紹介します。 Microsoft製品とのシームレスな連携 SharePointは、マイクロソフトが提供するSaaSのサービスです。  マイクロソフトが提供するその他のサービスとの親和性が高く、連携を行うことでより業務効率化を実現することができます。  例えば、Teamsと連携すればTeams上でファイルを管理することが可能になります。  他にも、Outlookと連携することでスケジュールの共有なども可能になります。  このように、SharePointはマイクロソフト製品との親和性が高く、連携も簡単にできる点が大きな強みです。  万全のセキュリティ対策 SharePointは、マイクロソフトが万全のセキュリティ対策を行っています。  また、管理者はユーザーのアクセス権をコントロールすることができます。  ユーザー毎に適切なアクセス権を付与することで、外部に対するセキュリティ対策に加え内部対策も行うことができるので、より厳重なセキュリティ対策を行うことができます。  SharePointは、マイクロソフト社によるクラウドサービスに対する最適なセキュリティ対策を行っているので、ユーザーは安心してサービスを利用することができます。  バージョン管理 SharePointでは、ドキュメントのバージョン管理をすることができます。  バージョン管理とは、ドキュメントに対する変更履歴を記録するものです。  例えば、SharePoint内のWordファイルを修正した場合、修正前の状態を記憶します。  これにより、修正したWordファイルを修正前の状態に復元することも可能になります。  要するに、SharePointが自動でバックアップをとってくれているということです。  もし、誤ってファイルを修正したり削除したりしてしまってもバージョン履歴から復元できるので安心です。  バージョン管理によって、ユーザーの誤操作にも対応することが可能です。  SharePointの導入方法 SharePointの導入方法についてご紹介します。 SharePoint Online SharePointを単体で利用したい場合は、SharePoint Onlineを契約することで利用することができます。  […]
営業/マーケティング支援

January 12, 2024

Microsoft Dynamics 365とは?その概要を分かりやすく徹底解説!
Dynamics 365とは? Dynamics 365とは、Microsoft が提供するビジネスアプリケーションです。  Dynamics 365は、企業活動を効率的に進めるために必要な業務システムを統合的に提供しています。  Dynamics 365がカバーする領域は様々で、CRM、SFA、ERP、マーケティング、顧客サービスなど、幅広い領域をカバーしています。  Dynamics 365が提供するこれらの機能により、生産性向上や業務効率化の実現をサポートします。  Dynamics 365の強みや導入メリット? Office 製品との連携 Dynamics 365の大きな強みの一つが、 Office 製品との連携が容易にできる点です。 同じ Microsoft 製品ですので 、Microsoft 365を導入していれば、そのアカウントで Dynamics 365を利用することができます。 Microsoft 365のポータル画面上からアクセスすることが可能なので、他の Microsoft 365製品との使い分けも容易にできます。 Outlook の予定表との同期や、SharePoint同期機能を使って、Word, Excel, PowerPoint などのドキュメントを一元管理することができます。 これまで、バラバラに保管していた見積書、注文書、請求書などシステム上で一括管理することもでき、ペーパーレス化の実現もできます。 豊富な導入実績 Dynamics 365は、世界中の様々な規模や業種の企業に導入されています。 その数は、2019年6月時点で約196か国22万社に導入されています。 世界的な企業である Microsoft 社が提供していることもあり、システムに対する信頼度も高く、近年では、三菱地所、住友不動産、森ビル、大東建託、日立など多くの日本企業も導入に踏み切っています。 大手企業のみならず、近年では中小企業の導入も増えており、企業規模や様々な業種の垣根を超えて利用されています。 自社に合わせたカスタマイズが可能 Dynamics 365は様々な業種の企業に導入されています。 その理由の一つがカスタマイズの自由度が高いことです。 多くのSaaS系の業務システムは、既に用意された機能を使って運用していくため、業種によっては必要な機能が不足しているといったこともあるでしょう。 しかし、Dynamics 365では、 Microsoft Power Apps を使うことでノンコーディングでカスタマイズすることができます。コーディングなどの専門知識がないユーザーでもカスタマイズすることが可能です。 自社でカスタマイズを行うことに不安がある場合は、Dynamics […]
Business Efficiency

January 3, 2024

仕事の時短を実現する!エンジニアが教える圧倒的な仕事時短術!
業務効率化とは 業務効率化とは、少ない労力で仕事の生産性をあげることです。 要は、今まで1時間かかっていた仕事を30分で終われるようにすることです。 そうは言っても、そんな簡単なことではありません。 「日々の業務に一生懸命取り組んでいるし、これ以上どうすればいいんだ」 そんな風に感じている人もいると思います。 でも日々の業務を見直せば、誰しも少なからず業務効率化できる部分があります。 そして、最近では業務効率化を手助けしてくれる様々な便利アプリやツールがあります。 今日は、そんな難しい業務効率化を実現できる方法を、現役エンジニアも実際に使っている便利アプリなども含めてご紹介します。 タスク管理 業務効率化と言ってまず最初に見直すべきポイントが、このタスク管理です。 しかし、多くの人は「タスク管理なんて毎日やってるよ」と思っているかもしれません。 そうです。タスク管理は必ず毎日行うものです。 だからこそ、そのタスク管理の方法を見直すことで日々の業務効率化に繋がります。 では、具体的にどうすれば良いのでしょうか。 まずは、その日のタスクと今後のタスクを「目に見える形」にして洗い出すことです。 その際のポイントは、優先順位とざっくりとした所要時間を割り出すことです。 優先順位は、緊急度と重要度を縦軸と横軸に設定し、割り振っていきます。 そして、洗い出したタスクを処理するのにかかるであろう時間を割り出します。 その際のポイントは、緊急度や重要度の指針にしたがってかける時間を設定すること、そしてまずは全てのタスクが就業時間内に終えられるように設定することです。 そうすることで、これから取り掛かるタスクの重要度とそれにかけられる時間を可視化することができます。 例)スパイスカレーを作る場合 例えば、あなたがシェフ見習いだとして「明日のランチまでに」本格スパイスカレーを作るようにシェフから指示を受けたとしましょう。 条件として、本格なスパイスカレーの調理は今回が初の試みで、またスパイスの調達が必須とします。 その際の調理開始までのタスクは以下のようなものがあると思います。 レシピの調査・作成 → 使えそうな具材のチェック → スパイスの調達・必要な具材の調達と仕込み → 自分なりのアレンジを考える 緊急かつ重要なタスク 最も緊急かつ重要なタスクは、「レシピの調査・作成」です。 今回、スパイスカレーは初めて作るので、必要な食材、工程を知るためにもレシピの確認を優先的に行う必要があります。 レシピを知ることは、タスクの洗い出しです。 また、レシピの調査から「スパイスの調達」は、スーパーには売っていないものなどは早めに調達方法を調べる必要があることに気付がつくことができます。 ですから「スパイスの調達」も、緊急かつ重要なタスクと言えすぐに対応すべきです。 これらの所要時間はおよそ1時間くらいに設定しましょう。 緊急だが重要度は低いタスク 緊急だが重要度は低いタスクは、「使えそうな余り物の具材のチェック」です。 このタスクでは使えそうな余り物が冷蔵庫にないかどうかチェックします。 余り物で使えそうな具材を調べることはレシピを作るためにすぐに知る必要がありますが、最悪調達すればいいのでそこまで重要度の高いタスクではありません。 所要時間はおよそ15分くらいに設定しましょう。 緊急ではないが重要なタスク 緊急ではないが重要なタスクは、「具材の調達」や仕込みなどです。 レシピの調査から、スパイス以外の具材は、スーパーなどで簡単に手に入ることがわかりました。 スパイス以外の具材は明日の調理開始までに調達できればいいので、緊急ではありませんが必ず必要なので重要なタスクです。 また具材の仕込みも必ず必要なので重要なタスクです。 優先順位は上記の二つよりは低いが、仕込み時間などもしっかりと計算した上である程度余裕を持って取り組むべきタスクです。 所要時間はおよそ3時間くらいに設定しましょう。 緊急でもなく重要でもないタスク 緊急でもなく重要でもないタスクは、自分好みのアレンジを探したりすることです。 これは時間があれば対応すれば良いことなので、特に緊急でも重要でもありません。 上記のタスクが完了し、時間があれば対応しましょう。 […]

ビズウインドでは、 様々な課題でお困りの お客様に対して、 無料相談を実施しております。

無料相談に申し込む