【DXセキュリティ】情報漏えい事件に見る原因と企業が取るべき対策

情報漏えいが発生する３つの原因

東京商工リサーチの調査によると、情報漏えいが発生する原因ベスト3は次の通りです。

1. ウイルス感染・不正アクセス
2. 誤表示・誤送信
3. 紛失・誤廃棄

それぞれについて詳しく解説します。

ウイルス感染・不正アクセスによる情報漏えい

情報漏えいが発生する原因として、全体の49.6%と最も多いのが「ウイルス感染・不正アクセス」です。

従来型のサーバー攻撃による不正アクセスもいまだに発生していますが、不正アクセスの手口や技術はさらに巧妙になっています。

不正アクセスの主な手口は以下の通りです。

• システムの脆弱性を狙い侵入
• メールを利用したウイルス感染
• 第3者が関係者になりすます
• フェイクサイトを利用したフィッシング

このように巧妙化する不正アクセスに対しては、次のような対策が重要です。

• セキュリティソフト導入
• OSやソフトウェアなどのアップデート
• フリーWi-Fi環境などを利用しない

これらの対策は、誰もが知っている「当たり前」の対策です。

しかし、多くの場合これらの対策を十分に取っていなかったため、重大な被害が発生しているのです。

不正アクセスによる情報漏えいは、発生後の対応も重要ですが、当然ながら「不正アクセスさせない」対策の方がはるかに重要です。

まずは不正アクセスが起きる原因を把握して、今できる対策をすぐに実施することが大切なデータと信頼を守ることに繋がるのです。

誤表示・誤送信による情報漏えい

情報漏えいの原因で2番目に多いのが「誤表示・誤送信」によるもので、全体の31.3%を占めています。中でも特に多いのが、メールの誤送信です。

メールは、宛先の予測入力や手軽にデータを添付できる便利な機能がある一方で、一度送信してしまうと取り消せないという最大のデメリットがあります。

そのため、うっかりミスによる情報漏えいが発生しやすくなっているのです。

誤送信による情報漏えいを防ぐには次の対策が有用です。

• 送信前のセルフチェックを意識的に行う
• 送信時の2段チェックを有効にする
• 重要なメールは複数名で確認する
• 送信後も一定の時間保留になる機能を活用する

このようにまずは1人ひとりがチェックを習慣化させて行くことが求められますが、措定上に重要なのは組織としていかに誤送信を防ぐ仕組みを作れるかという点です。

うっかりミスを減らすための機能や対策を有効活用すれば、ご表示・誤送信による情報漏えいを水際で防ぐことに繋がるでしょう。

紛失・誤廃棄よる情報漏えい

情報漏えいの原因で3番目に多いのが「紛失・誤廃棄」となっており、全体の約11.6%です。

具体的には、PCや記憶媒体を入れたカバンなどを電車の棚や飲食店へ置き忘れたり、誤って捨ててしまったメモリからデータが抜き取られたりといったケースが多くなっています。

現在のUSBメモリなどは小型ながら保存できる容量も多く、より気軽に持ち運びができます。

これは、複数のPCなどで作業しなければならない場合には便利である反面、常に紛失などのリスクを伴う状況にあるのです。

保存できるデータ量の多さは、同時に紛失した際に流失してしまう可能性のあるデータの多さでもあるのです。

こうした事案を起こさないためには、まずは1人ひとりが「重要機密のデータを気軽に社外に持ち出さない」「万が一持ち出す場合には最新の注意を払う」といった、基礎的なセキュリティリテラシーを持つことが重要です。

企業としても社員任せにせずに、研修を実施するなど社内全体でセキュリティ意識を高める施策を行うべきでしょう。

なによりも、紛失による情報漏えいを防ぐには、情報を持ち運ぶ際のルールや、記録媒体の取り扱い方法を厳密に取り決めておくことが重要です。

どれだけ1人ひとりが情報の取扱いに注意を払い、リスク対策をしたとしても、「うっかりミス」などのヒューマンエラーが起こる可能性は必ずあります。

こうした事故が起こってしまった場合、個人の責任ということでは済まされず、会社全体の責任問題になります。

まずは企業として、そうした「うっかりミス」を起こさせない、厳格な仕組みづくりが必要なのではないでしょうか。

まとめ

セキュリティリスクを考える上で重要な情報漏えいに関して、過去に発生したニュースを取り上げ、その原因と事故を防ぐために必要であった対策、さらには情報漏えいを起こさないためのポイントについて解説しました。

情報漏えいは一度発生してしまうと、関係各所に重大な迷惑や損失を与え、企業としての信頼を回復するのに長い時間がかかります。

情報漏えいを発生させないためには、外部からの不正アクセスへの対応も重要ですが、内部対応として日頃からのマニュアル作成、プロセス整備、仕組みの構築や社員全員の意識を向上させることがポイントとなってくるでしょう。

「PEBKAC（Problem Exists Between Keyboard And Chair：問題はキーボードと椅子の間に存在する）」という言葉もあるように、PCシステムを使う上で最もエラーを起こすのは、いつも人間です。ミスを起こすのも人間であれば、悪意を持ったプログラムを作成するのも人間なのです。

人間が人間である以上、ヒューマンエラーなどのアクシデントを完全に取り除くことはできません。それよりはむしろ、トラブルが起きない仕組みづくりを構築することこそ重要だと言って良いでしょう。

貴社がもし、現時点で情報漏えいの対策をなにもしていないのなら、今のうちからルールやポリシーを見直してみてください。