記事の監修
S.Sato
記事の監修
S.Sato
マネジメント&イノベーション事業部 開発部/2グループ グループマネージャー
資格:Microsoft Offiece Specialist Master 2007、ITパスポートなど
2022年よりMicrosoft365とPowerPlatformの案件を担当。
それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。
IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。
趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。
この記事では、情報漏洩および漏洩を防ぐための対策について解説します。情報漏洩を起こしてしまうと自社だけでなく他の人や組織にも迷惑がかかってしまうため、しっかりと学び適切な対策を行いましょう。
Contents
目次
情報漏洩対策が必要な時代背景
情報漏洩対策が必要な時代背景としては、下記のようなものが挙げられます。
オンラインでやり取りする情報量の増大
現代ではテクノロジーの進化により、オンラインで業務が行われる機会も増えました。オンラインで業務を行うことができればさまざまなメリットが生じますが、反面デメリットも発生します。
その一つに「情報漏洩リスク」が挙げられるでしょう。業務がオフラインで完結するからといって必ずしも情報漏洩リスクがゼロになるわけではありませんが、オンラインでは情報が漏洩する経路が増すことになります。
業務をオンライン化すればするほど、適切な情報漏洩対策を行う必要が高まるわけです。
モバイル端末の普及
業務にモバイル端末を利用している企業も多いかもしれません。軽くて高機能なモバイル端末を活用すれば業務の柔軟性が高まりますが、さまざまな場所やデバイスからのアクセスをシステムが適切に処理する必要が生じます。
不適切なデバイスからのアクセスを許可してしまうと、第三者による攻撃を受け情報が流出してしまう可能性があります。また、デバイス側でもセキュアでない通信を利用して社内システムと通信した場合、内容を第三者に盗み見られてしまうことも考えられます。
モバイル端末が普及しさまざまな環境からのアクセスが増えたことにより、適切な情報漏洩対策の必要性が高まっています。
テレワークなど、業務スタイルの柔軟性
一昔前は定刻にオフィスに出社し、そこで一日の業務を完遂するのが主流でした。しかし時代は変化し、テレワークなど柔軟な業務スタイルも浸透したのではないでしょうか。
テレワークの良し悪しを単純に論ずることはできませんが、オフィスで完結するスタイルに比べるとセキュリティ面に一層気を配る必要があるでしょう。モバイルの業務活用と同じく、テレワークにおいては「誰がどのような環境からアクセスを試みるか」が不明確になります。
仮に誰かが不適切な端末や通信回線を通じてアクセスしてきたとしても、社内のデータを保護する必要があります。
情報が漏洩するとどんなリスクがある?
では次に、情報漏洩が発生するとどのようなリスクが生じるかを見ていきましょう。情報が漏洩してしまうと、下記のような懸念が発生します。
自社だけでなく関係者や取引先にも迷惑がかかる
情報漏洩が発生すると自社に損害が生じますが、関係者や取引先にまで迷惑がかかってしまう可能性があります。事業の推進が自社のみで完結するケースは少なく、通常は多様な関係者や取引先を巻き込んで行います。
自社のデータが流出することで、彼らに被害が及ぶ可能性もあるでしょう。顧客情報が流出したら顧客に迷惑をかけてしまいますし、コラボしているプロジェクトの機密データが流出してしまうと相手先企業にも損害を与えてしまいます。
適切な情報漏洩対策を講じることは、自社のみでなく関係者や取引先を守ることにもなります。
自社の社会的評価が落ちる
外部に公開すべきでない情報が漏洩してしまうと、自社の社会的な評価が大きく低下する恐れがあります。関係者や取引先に迷惑をかけてしまうと以後関係性を保てなくなるかもしれませんし、世間から「あの会社の情報管理は信用できない」と思われてしまうかもしれません。
情報管理への信用が低下すると、顧客がスムーズに情報を渡してくれなくなる可能性があります。BtoCのようなビジネスであれば、顧客が個人情報の入力や決済の登録を躊躇してしまうことも考えられます。
加えて、社会からの信用が落ちることで株価が下がり、資金調達に問題が生じる可能性もあるでしょう。そうならないためにも、情報漏洩対策に徹底して取り組む必要があるわけです。
最悪、データや情報がロックされてしまうことも
情報漏洩の他に、近年セキュリティ被害で増えているのが「データの改ざん」です。悪意ある第三者がランサムウェアと呼ばれるウイルスをユーザに送りつけ、「データが暗号化されてしまい利用不可になる」といった被害が発生しています。
データが暗号化されてしまうと、それらを使って業務を行うことができなくなります。解除するには攻撃者の意向に沿う(多くの場合は身代金を支払う)必要が生じ、少なくない打撃を受ける羽目になるでしょう。
そのような事態に陥らないためにも、日頃からセキュリティに気を配る必要があります。
具体的な情報漏洩対策
それでは、続いて具体的な情報漏洩対策をいくつかご紹介します。どのような対策を講じるかは自社のセキュリティや業務特性と相談し、総合的に決める必要があります。
情報へのアクセスを制限する
一つ目は、情報やデータへのアクセスを制限することです。システムにアクセスできる要件を厳しくすればするほど攻撃者が情報を盗みづらくなり、情報やデータを保護しやすくなります。
ただし、システムへのアクセスを制限すればするほど業務上の利便性は低下する傾向があります。たとえば、システムに登録されているデバイスからのみアクセスを許可している場合、突発的な事態が発生し登録外のデバイスからアクセスを試みてもブロックされることになるでしょう。
セキュリティと利便性を両立するためにも、適切なポリシーを設ける必要があります。
データやシステムをクラウドに移行する
データやシステムをクラウドに移行することで、情報漏洩対策にもなります。システムやツールには大きく分けて「オンプレミス」と「クラウド」の二つの導入形態があります。
オンプレミスはシステムを走らせる機器やストレージを自社もしくはベンダーが購入し、社内で管理する運用形態です。対して、クラウドはシステムやツールを提供しているサービス会社側がサーバーを用意しており、そこにアクセスしてシステムやツールを利用するといった形です。
クラウドの利点としては、主に下記のようなものが挙げられるでしょう。
- 専用機器を購入する必要がないため、コスト減に繋がる
- インターネットに繋がっていればどこからでもアクセス可能
- メンテナンスや保守、アップデートがサービス提供会社側で行われる
情報漏洩対策の観点から見ると、アップデートやバグフィクスがサービス提供会社側で行われ、ユーザーは常に最新のソフトウェアを使えることが挙げられます。また、ソフトやデータを保管するサーバーはサービス提供会社側により強固なセキュリティ管理がなされていることも対策の一つとして考えられるでしょう。
端末やアクセス経路を管理する
システムにアクセスする端末やアクセス経路を適切に管理することで、情報漏洩対策に繋がります。望ましくない端末からのアクセスはできる限りブロックするのが望ましいですし、信頼できる端末でもセキュアでない通信回線からアクセスするのは好ましくありません。
また、モバイル端末を業務活用している場合、紛失による情報漏洩リスクも考えられます。高機能で軽量なモバイル端末は非常に便利ですが、そこには業務にまつわる情報が集約されているため、紛失した場合は拾得者に情報が筒抜けになってしまう恐れがあります。
適切なツールを導入し、デバイスの信頼性を保つことが大事です。
シャドーITを防ぐ
シャドーITを防ぐことで、情報漏洩リスクを下げられます。シャドーITとは、従業員が会社の了解を取らずに自己判断で機器やサービスを使用し業務に活用する行為です。
シャドーITを行ったからといって、直ちに組織のセキュリティレベルが低下するとは限りません。大半のハードウェアやアプリはセキュリティに問題が生じないよう設計および開発されているからです。
しかし、使い方によっては情報が盗み見られ、全世界に公開されてしまう可能性があります。企業側が管理しておけば防げた事故を防げなくなってしまう、それがシャドーITにおける問題として挙げられるでしょう。
情報の持ち出しを禁止する
社外への情報の持ち出しを禁止することで、情報漏洩を防ぐ効果が見込めます。社内の情報を外部に持ち出すルートとしては、主に
- USBメモリなどの物理的ストレージを介して
- メールやクラウドストレージなどのオンラインサービスを通して
- 印刷された資料などの紙媒体を通して
などが考えられます。これらを全て禁止して一切の情報を漏らさないようにすればセキュリティは向上しますが、反面業務の利便性は低下してしまうでしょう。
何を制限し何を許容するかを総合的に判断する必要があります。
OSやアプリケーションを最新に保つ
業務に使用しているOSやアプリケーションを最新に保つことで、情報漏洩リスクを下げることができます。つい後回しにしがちかもしれませんが、アップデートには機能追加だけでなくセキュリティの強化が含まれていることもあります。
特に、致命的なセキュリティの欠陥が修正されているような場合、可能な限り早期にアップデートすることをおすすめします。サービス提供会社から送られてくる情報にはしっかりと目を通し、システムやデバイスを安全に保ちましょう。
情報漏洩対策のポイント
それでは、最後に情報漏洩対策のポイントをいくつかご紹介します。100%安全な対策というものはありませんが、複数の手法を組み合わせることでリスクを大きく低下させられます。
セキュリティについて学ぶ
セキュリティの基礎を学ぶことで、情報漏洩に対する理解を深められます。情報漏洩経路はある程度パターン化されているため、余程斬新な手法が生まれない限りは既存の対策が有効です。
オンラインに関して言えば、下記のようなものが挙げられるでしょう。
- 不審なメールに記載されているURLや添付ファイルを開かない
- 暗号化されていない通信を利用しない
- 登録されていないデバイスからのアクセスを許可しない
時代によって主流となる攻撃方法は変化するため、ある程度は最新のセキュリティについて知っておくことも大事です。
デジタルだけでなくアナログへの対策もぬかりなく
情報漏洩というとオンラインからの流出をイメージしがちですが、アナログ部分への対策も忘れてはいけません。アナログ(オフライン)を介した情報流出経路としては、下記のようなものが挙げられます。
- 業務のデータが保存されているUSBメモリやスマホを紛失した
- 電車やカフェでPCを開き仕事をしていたら、画面を覗き込まれた
- 持ち出した紙の資料を誰かに見られてしまった
アナログを介した情報流出は、主に人的エラーによって生じます。データを社外に持ち出さないのが一番ですが、それが難しい場合は細心の注意を払って行いましょう。
情報漏洩を100%防ぐのは難しいという前提で行う
どれほど完璧な対策を施しても、情報漏洩を100%防ぐことはできません。テクノロジーの進化は日進月歩なため、昨日までは考えられなかった攻撃手法が試みられる可能性もあるからです。
加えて、人的エラーを100%防ぐことも難しいでしょう。情報漏洩を起こさないよう対策することは重要ですが、万一起こってしまったらどうするかも合わせて考える必要があります。
場合によっては、ITシステムに頼らず業務を進められる体制を整えておいた方がよいかもしれません。そうすれば、万一システムやデータが使えなくなった場合でも業務を遂行することができます。
しかし、あまりにコストがかかりすぎる場合は経営を圧迫してしまうため、天秤にかける必要があります。
まとめ
業務に関する情報が漏洩してしまうと、自社だけでなく多くの人や組織に迷惑をかけてしまいます。それによる社会的地位の低下や、シェアの喪失が発生すると、事業継続が困難になってしまう恐れもあるでしょう。
セキュリティについてしっかりと学び、適切な対策を施すことが大事です。そのためには「既存の攻撃方法を学ぶ」「自社に合ったセキュリティシステムを導入する」といった方法が有効です。
Microsoftを導入して
コスト効率をよくしたい
Microsoftに関して
気軽に聞ける相談相手が欲しい
Microsoftを導入したが、うまく活用できていない・浸透していない
社内研修を行いたいが
社内に適任者がいない
Bizwindでは、Microsoft導入支援事業などを中心に
IT・DX推進に関する様々なご相談を承っております。
ご相談・お見積りは無料です。まずはお気軽にお問い合わせください。