はじめに
政府による働き方改革の推進やコロナ禍の影響により、企業のテレワーク導入が急加速しています。従業員は自宅など場所を選ばずに就業できるので、働き方の自由度が高まり、生産性向上にも寄与しているといえるでしょう。
一方でここ数年でも日本を代表する企業で、情報漏洩をはじめとしたセキュリティ事故が発生している状況も見逃せません。日々高度化していくセキュリティリスクに、企業の担当者は頭を抱えているのではないでしょうか。
本記事では、具体的な事例をまじえながら、情報漏洩のリスクとその予防策について解説します。
情報漏洩が起きる要因は?対策も紹介
そもそも、情報漏洩はどのように発生するものなのでしょうか。以下、代表的な3つのケースをご紹介します。
人的ミス
情報漏洩の原因として最も発生しやすいのが、従業員の人的なミス(ヒューマンエラー)です。
たとえばメールの送信において、送信先やCCとBCCの設定間違いなどで機密情報が意図せず漏洩してしまうケースが多く見られます。ほかにも、システム担当者がWebサーバーやファイルディレクトリのアクセス権設定を誤り、重要なファイルが格納されているディレクトリなどを全世界に公開してしまうケースもあります。
対策
従業員のセキュリティ意識を高めるため、社内教育を徹底する必要があります。人為的ミスが起きやすい状況をまとめたうえで、注意点や対策ポイントをルール化し継続的に伝えましょう。メールを送る際は、送信ボタンを押す前に送信先、添付ファイル、CC、BCCの確認します。
また、システムの設定変更をする際はミスのないように複数人での確認を必須にするなど、従業員全員のセキュリティ意識とレベルの向上も必要です。
外部からの不正アクセス
企業が設定しているアクセス制御を破り、外部の第三者が情報を持ち出そうとする場合が多くあります。原因は、従業員がウイルスに感染したことに気づかず企業情報にアクセスする、パスワードが見破られるなど様々です。
また、従業員や協力会社など、内部の人間が権限を超えた不正アクセスを働いて情報を流出させるケースもあります。
対策
ウイルスを検知するセキュリティソフトなどの防御ツール導入が望ましいでしょう。また、不正アクセスが起きる背景には、パスワードの文字列が簡単すぎる、従業員がカフェなど第三者がいるところでパスワードを打ち込み情報を盗まれるなど、人為的ミスに近い原因も多くあります。ツールの導入と並行し、上述の通り従業員の教育も必要です。
システムの不備
システムの設計やコーディングのミスによってバグが起きることがあり、これをセキュリティホールと呼びます。また、設計やコーディングは仕様通りで正常に機能していても、外部からの攻撃に弱い部分があることを脆弱性と言います。
これらのセキュリティの欠陥を狙い、悪意のある第三者の攻撃にさらされる場合があるのです。
対策
各外部からの攻撃に対応するため、OSやソフトウェアは最新バージョンにアップデートしましょう。また、小さなバグは定期的に修正用ファイルを適用する(パッチ適用)なども有効といえます。不安な場合は、脆弱性を診断するツールの利用も検討するのもおすすめです。
【事例】大手企業の情報漏洩事故
次に、具体的な情報漏洩事例として、大手企業によるセキュリティ事故のケースを見ていきましょう。
ソフトバンク株式会社
大手通信キャリアのソフトバンクでは、2021年に販売代理店の元社長によって自社の顧客情報が外部に持ち出されるという事件が発生しました。
容疑者は、顧客の氏名や住所、口座番号などの情報を含む個人情報約6440件をリスト化し、別のサービスの勧誘に使った疑いがあるとのことです。また、リストは第三者の手にわたり、電子決済サービス経由で金融機関口座から預金が引き出された事件で使われた可能性があります。
従業員のみならず、協力会社や外部パートナーを含めた企業運営全体のステークホルダーに対し、適切なセキュリティ意識やコンプライアンス意識の向上について教育する必要があると改めて浮き彫りになりました。
株式会社ベネッセコーポレーション
通信教育大手のベネッセコーポレーションでは、業務委託先元社員が同社の顧客情報を不正に取得し、外部の名簿業者へと売却する事件が発生しました。
同社による推定被害件数は約2,895万件にものぼり、サービス登録者や子どもの氏名、性別、生年月日をはじめ、住所、電話番号、メールアドレスまで、さまざまな情報の漏洩が確認されています。
同社の社内調査の結果、データベースから個人情報が不正に持ち出されたことがわかりました。重要なデータを扱う際は、社内でもアクセス可能な従業員を制限するなど徹底した管理が必要であることがわかります。
株式会社リクルートキャリア
就職情報サービス「リクナビ」などを運営するリクルートキャリアでは、就職活動中の学生らに無断で「内定辞退率」のデータを計37社の企業に販売する契約をしていました。
リクルートグループでは、コーポレートガバナンスの欠如はもとより、学生の不安を度外視した学生視点の欠如があるとの指摘を受け、再発防止に向けた個人データ活用の指針を制定しました。
これは特定の従業員による過失や悪意ある行為ではなく、組織的な取り組みとして実施されています。組織全体の個人情報の取り扱いに対する意識が問われる事件となりました。
テレワーク環境で注意すべき情報漏洩リスク
テレワークが普及し始めた近年では、テレワーク環境下でのセキュリティ面にも気をつけなければなりません。
オンライン会議システムの脆弱性
オンライン会議システムの「Zoom」は2020年の新型コロナウイルス感染拡大をきっかけに、ユーザー数を急激に伸ばしました。そのなかで問題視されたのが、Zoomシステムのセキュリティや脆弱性です。
Zoomではミーティング用のURLを都度発行し、それを相手に伝えることでミーティングが開始されます。そのURLの暗号化強度が低かったり、URLが第三者にわたったりして参加メンバー以外の入室を許してしまうケースもありました。
現在、指摘された問題はほとんど解決されていますが、オンライン会議システムを利用するうえで、会議URLへのパスワード設定やホストによる入室許可設定は必須のリテラシーといえます。
テレワ-クにおけるセキュリティ対策
テレワーク環境下においては、各従業員の端末から情報漏洩が発生するリスクもあります。とくに、個人のデバイスを業務に活用する「BYOD」を導入している企業は、従業員が私用しているデバイスの把握はもちろん、アプリケーションやソフトウェアの使用やバージョン管理まで確認しておく必要があります。
またBYODを導入していない場合でも、企業が把握していないところで従業員が個人の端末を業務に使う「シャドーIT」にも注意しなければなりません。
情報漏洩を防ぐためのポイント
最後に、情報漏洩を防ぐためのポイントについてご紹介します。
定期的な自主点検
まずは情報漏洩が起きる前にシステム面や運用面で不備や脆弱性がないか、しっかりと確認することが大切です。想定外のセキュリティ事故が発生しないよう、定期的な自主点検を行う織的習慣を設けると良いでしょう。
記録の管理
2つ目は記録管理の徹底です。その情報がどのタイミングで誰にどのような用途でどうやってわたったのか。重要なファイルやデータの授受に関する5W1Hを管理し、アクセス記録を常に確認できる状態にしておくことが、情報漏洩を未然に防ぐ有効策となります。
ルール、体制の確立と周知
3つ目は、セキュリティ対策に関する社内ルールの確立と、従業員および協力会社、業務委託先メンバーなどへの周知徹底です。ルールの策定とあわせて、インシデント発生時の対応フローも明確化することで、万が一情報漏洩が発生した場合でもスピーディーに事態を把握し、被害を最小限に抑えられるでしょう。
企業にあったセキュリティ対策を導入しましょう
今回は企業が常に意識すべき情報漏洩リスクについて、具体的な事例を紹介しながら対策ポイントを解説しました。情報漏洩は、システムのバグなどに起因するもののみならず、従業員など人に起因するものも多くあります。
事故を未然に防ぐには、本記事で紹介した内容を前提にしっかりとシミュレーションを行い、セキュリティソフトの導入から従業員教育まで、企業にあった手法を導入・設置することが大切です。
セキュリティ対策を怠っていると、情報漏洩のリスクが高まるばかりなので、本記事を参考に、しっかりと対策を進めましょう。