保有する重要な情報が外部に流出することを総称して、情報漏洩と呼びます。万が一、自社が保有する機密情報が漏洩すると、多方面に大きな影響を及ぼすため適切な管理が必要です。

しかし、具体的にどのように対策すればよいか分からず悩んでいる方もいるのではないでしょうか。この記事では、機密情報を安全に管理する上で有効な取り組みを紹介します。

情報漏洩のリスクを可能なかぎり低減させるには、ハードとソフトの両面の対策が欠かせません。自社でできる対策に取り組み、機密情報を安全に保護しましょう。

情報漏洩が企業に与える大きな影響

自社が保有する顧客情報や商品開発に関する情報といった機密情報が流出すると、大きな影響を受けます。情報漏洩が与える主な影響は以下のとおりです。

• 社会的信用の失墜
• 顧客離れ
• 損害賠償責任
• 売り上げの低迷
• 取引先企業への被害

情報漏洩が起きた事実は情報セキュリティが不十分であったことを意味し、取引先や顧客の信頼を失います。その結果、売り上げが低迷して回復に時間がかかるケースも少なくありません。

情報漏洩が取引先に影響を及ぼせば、損害賠償や契約終了といった事態も考えられるでしょう。一度の情報漏洩が与える影響は大きく、状況によっては大きな損失が発生します。

情報漏洩が発生する主な原因

情報漏洩が発生する原因はさまざまです。ヒューマンエラーが原因になるケースもあれば、悪意を持った第三者の攻撃を受けたことが原因の場合もあります。

ここでは、情報漏洩が発生する代表的な原因を5つ見てみましょう。どのような原因があるか正しく知ることは、適切な対策を考える上で欠かせません。

不正アクセス

特定のシステムやネットワークにアクセスする権限を持たないユーザーが何らかの方法で侵入することを「不正アクセス」と呼びます。具体的な手口は、ID・パスワードの盗用やセキュリティホールを狙った攻撃などさまざまです。

不正アクセスの被害を受けた場合、保存した機密情報の窃取にとどまらず、不正プログラムをインストールしたりネットワークを経由して別のデバイスに侵入されたりして、被害が拡大するケースがあります。

マルウェアへの感染

悪意を持って制作されたソフトウェアで、インストール先のデバイスに悪影響を及ぼすプログラムがマルウェアです。コンピューターウイルスやスパイウェアなど、さまざまな種類があります。

数あるマルウェアの中でも、インストール先のデバイスに保存したデータを暗号化するランサムウェアの被害が増加傾向です。

ランサムウェアに感染すると多くのデータが暗号化されるため、デバイスがまともに使用できなくなります。復号するために身代金を要求するのが、ランサムウェアの手口です。

メールの誤送信

ヒューマンエラーによる情報漏洩の代表例が、メールの誤送信です。宛先のメールアドレスを間違えたり違うファイルを添付して送信したりすることで、機密情報が漏洩します。

メールは一度送信すると、送信を取り消したり相手先に届いたメールを送信者が削除したりできません。誤送信が情報漏洩に直結するため、送信前の確認を徹底するといった対策が求められます。

物理メディアの盗難・紛失

スティックSSDやUSBメモリー、光学ディスクといった物理メディアを使用している場合、置き忘れや紛失、盗難によって情報漏洩が発生するケースがあります。

自社で物理メディアを運用しているのであれば、本体を適切に管理する必要があります。代替方法があるなら、物理メディアを使わない体制にすることも有効です。

社内スタッフの不正行為

悪意を持った社内スタッフが意図的に情報を流出させるケースもあります。退職時に情報を持ち出して転職先に提供したり、解雇されたことへの報復として機密情報を公開したりするなど、手口はさまざまです。

内部不正のリスクを可能なかぎり低減するために、システムログを細かく取得して監視するといった施策が求められます。

PPAPは情報漏洩対策にならない

かつて広く使われていた情報漏洩対策手法のひとつにPPAPがあります。PPAPは以下の順番で機密情報を送信する方法です。

• 暗号化したZIPファイルをメールで送信する
• 複合するのに必要なパスワードを別のメールで送信する
• 受信者は受け取ったパスワードでZIPファイルを復号する

効果的に思えますが、同じメールアドレスにファイルとパスワードを送信すること、ZIPファイルのセキュリティがそこまで強固でないことから意味がない取り組みとされています。

政府機関でも使われていたものの、2020年にはPPAPの使用を禁止していることから効果がないことが分かるでしょう。PPAPをまだ使用している場合、すぐに見直すことをおすすめします。

効果を期待できる情報漏洩対策

情報漏洩のリスクを可能なかぎり低減するには、強固なセキュリティを実現する必要があります。ここでは、セキュリティを強化する具体的な方法を5つ見てみましょう。

自社で運用しているシステムやネットワークの仕様によって、実用的な施策は異なります。それぞれの特徴を正しく理解し、自社の環境に合ったものを選ぶことが大切です。

PCやサーバー・ネットワークのセキュリティを万全にする

代表的な攻撃手法である不正アクセスやマルウェアを対策するため、PCやサーバー、ネットワークのセキュリティを強化しましょう。具体的な取り組みの例は以下のとおりです。

• 定期的に更新プログラムをインストールして最新バージョンにアップデートする
• 信頼性が高いセキュリティソフトを使用する
• ファイアーウォールを適切に設定する
• VPNや閉域網アクセスサービスを活用する

不正アクセスやマルウェアの入口となるネットワークと攻撃対象のデバイスのセキュリティを強化すれば、被害に遭うリスクを低減できます。

セキュリティが強固なクラウドストレージを活用する

不正アクセスやマルウェアから大切なデータを守る別の方法は、セキュリティレベルが高いクラウドストレージへの保存です。

万が一、社内のネットワークやコンピューターが攻撃を受けても、クラウドストレージにデータを保存すれば窃取されるリスクを低減できます。

クラウドストレージのセキュリティレベルはサービスによって異なるため、事前に確認して十分なレベルに達しているサービスを選ぶことが大切です。

ファイルを暗号化して保存する

保存するファイルを暗号化することも不正アクセスやマルウェアからデータを守るのに有効です。暗号化したデータは、復号しないかぎり中身が何か分かりません。

そのため、不正アクセスやマルウェアへの感染が理由でデータが流出しても、中の情報を知られることを防げます。ファイルを暗号化するときは、破られにくい強固な暗号化方式を使用することが大切です。

メール誤送信を防ぐシステムを整備する

メールの送信ミスによる情報漏洩を防ぐには、送信前に複数人でチェックするといった対策が一般的です。しかし、人に依存する対策ではヒューマンエラーを予防できないため、専用のシステムを導入することをおすすめします。

あらかじめ登録した送信先だけに送信できる機能や添付ファイルを暗号化する機能など、メールのセキュリティレベルが高まる機能を搭載したシステムを活用しましょう。

誤送信対策をより強固にしたいなら、メール以外のコミュニケーション手段を使用するのが最適です。

管理体制・アクセス権限を厳格化する

内部不正や物理メディアの紛失・盗難対策には、管理体制の強化とアクセス権限の厳格化がおすすめです。

ユーザーごとにアクセスできるファイルを細かく制限することで、本当に必要な情報にのみアクセスできます。情報が不要なユーザーには渡さないことを徹底しましょう。

物理メディアを使用している場合、社外持ち出しに関するルールを明確に定めたり格納するデータを厳選したりと、管理体制を強固にする必要があります。保存するファイルの暗号化も有効な方法です。

より情報漏洩への対策を念入りに行う方法

セキュリティを強化するには、システム面をハイセキュリティにするだけでなく、管理体制を整備することや従業員の知識向上を図ることも欠かせません。ここでは、さらに対策を強固にするための取り組みを3つ紹介します。

セキュリティに関する研修を実施する

セキュリティ面で優れたシステムを導入しても、運用するユーザーのセキュリティリテラシーが低ければ有効活用できません。

たとえば、強固な暗号化方式でデータを暗号化して復号用のパスワードを設定しても、ユーザーがパスワードをメモして見える場所に保管すればすぐに破られます。

そういった事態を避けるためにも、社内でサイバーセキュリティに関する研修の実施を検討しましょう。セキュリティの専門家を呼んで必要な研修を行い、個々のセキュリティリテラシー向上を図ります。

サイバーセキュリティの専門家を配置する

サイバー攻撃の手口は日々変化していて、情報を安全に守るには常に最新の知識に基づいた対策が必要です。しかし、社内に専門家がいないと、適切な対策は難しいでしょう。

そのため、サイバーセキュリティの専門家を配置するのがおすすめです。CISOをはじめとしたサイバーセキュリティを専門に扱う人材を確保すれば、日々登場する新しい脅威に対策しやすくなります。

セキュリティ面の性能に優れたメディアを使用する

業務上の理由でスティックSSDやUSBメモリーといった物理メディアを廃止できないのであれば、保存するデータを自動で暗号化する商品やパスワードで保護する商品など、セキュリティ性能に優れたメディアを使用する必要があります。

自社で求めるセキュリティレベルを可視化し、必要な機能を備えたメディアを購入しましょう。

セキュリティ機能を活用するには別売りのソフトウェアが必要な商品もあるため、詳しい仕様を調べてから購入することが大切です。

アイ・オー・データでは
セキュリティを重視したUSBメモリーを販売

アイ・オー・データでは、サイバーセキュリティの強化に役立つ商品として、セキュリティ機能を強化したUSBメモリーをラインアップしています。搭載する機能は商品によって異なり、以下のようにさまざまです。

• 自動暗号化に対応
• パスワードロックに対応
• 本体にパスワード入力用のボタンを搭載
• 専用の管理ソフトに対応
• アンチウイルスソフトを搭載

業務を円滑に進める上で物理メディアが必要であれば、ぜひアイ・オー・データのセキュリティ強化型USBメモリーをご検討ください。それぞれ複数の容量をラインアップしているため、用途に応じて適したものを選べます。

まとめ

何らかの原因で情報漏洩が発生すると、社会的信用を失ったり経営に大きな打撃を受けたりとさまざまな影響を受けます。情報漏洩を防ぐには、セキュリティの強化が欠かせません。

アイ・オー・データではセキュリティ強化に役立つ商品として、自動暗号化やパスワードロックといったさまざまな機能を搭載したセキュリティUSBメモリーを販売しています。

保存したデータを安全に守れるため、物理メディアの持ち運びが必要な方はぜひご検討ください。