内部からの不正な情報漏洩を防ぐには? 情報セキュリティ対策のイロハ③
情報セキュリティ対策というと、外部からの脅威を防ぐイメージが強いかもしれませんが、組織内から情報が流出するケースも少なくありません。
事実、経済産業省の政策実施機関としてサイバーセキュリティ強化の啓発などを行う独立行政法人情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威 2024(https://www.ipa.go.jp/security/10threats/10threats2024.html)」によると、「内部不正による情報漏えい等の被害」が3位にランクインしています。
そこで、情報セキュリティ対策について紹介してきた本シリーズの最終回は、「内部からの流出防止」について考察します。
中途退職者による漏洩ルートが増加中⁉
内部不正による情報漏洩として、社外に持ち出しされる情報の種類には次のようなものがあります。
➀営業秘密
…新製品に関する仕様などの情報、仕入れ価格や製造原価な競合他社が知ると有利になる情報
②顧客情報
…商品の購入者リストなど顧客に関わる情報。氏名や住所、電話番号、メールアドレスなど
③個人情報
…名刺情報や採用情報、従業員の情報などあらゆる個人データ
「①営業秘密」の事例としては、塗装大手の元役員が同社の主力商品の営業秘密(専用塗料の設計情報)をUSBメモリに保存して持ち出し、競合他社の顧問に就任したことによって、不正競争防止法違反(営業秘密の開示)の疑いで逮捕されたものがあります。
自社独自の情報を競合他社に知られると、ノウハウや技術を真似され差別化要因を打ち消されてしまうので、企業にとっては大きな損害です。
「②顧客情報」でよくあるのが、退職者による顧客名簿などの持ち出しです。これによって生じるのが顧客の引き抜きであり、売上の減少に直結します。場合によっては、顧客からの信頼喪失につながることもあるので要注意です。
「③個人情報」に該当する事例では、教育関連大手による顧客の個人情報漏洩があります。業務委託先の元社員が不正に情報を持ち出し、名簿業者3社へ売却。流出件数は約2,895万件と大規模で、同社は本事例への対応に伴い、260億円の特別損失を計上しました。
なお、経済産業省によると、漏洩ルートの多くが中途退職者であり(36.3%)、内部不正による漏洩割合は増加傾向にあるそうです。
また、テレワーク環境での他社との情報共有ルールやクラウドサービスでの秘密情報の扱いなどについては、他の項目に比べて対策が進んでいない状況といいます。
5つの内部向け情報セキュリティ対策
こうした事例などをもとに、情報が外部に持ち出される方法をまとめました。
●紙媒体による持ち出し
…社内の書類やプリントアウトされた書類を不正に持ち出す
●USBや外付けハードディスクの使用
…パソコンにUSBメモリや外付けハードディスクにコピーして持ち出す
●電子メールやクラウドストレージの使用
…電子メールにファイル添付し外部に送信や、クラウドストレージにファイルを保存して持ち出す
●不正なアクセス権限の利用
…自身のアクセス権限や、他者のアクセス権限を不正利用してデータを持ち出す
●社内ネットワークの脆弱性を悪用
…社内ネットワークの脆弱性を悪用し、社用のパソコン以外の端末などを使用してデータを持ち出す
紙を使ったアナログなやり方から、インターネットを経由した方法までさまざまです。内部の人を介して発生するので、社内体制やルールの整備、システムの導入などで未然に防ぐことができます。
そこで、持ち出される可能性があるデータの保護やセキュリティ対策を具体的にご紹介します。
対策➀:アクセス権限の見直し
…紙媒体もデータも同様ですが、重要な情報にアクセスできる人の制限を適切に設定することが大事です。紙媒体などの保管ロッカーには施錠、ファイルやデータはアクセス権による管理が効果的です。また、アクセス権は定期的に見直しを行うことも不可欠になります。
対策②:持ち出しの制御
…USBや外付けハードディスクを使用するには申請が必要などの制限を設け、機密情報を誰でも簡単に持ち出せる状況を作らないことが肝要です。
対策③:外部へのアクセス制限
…外部メールアドレスを対象に送信先の制限や、クラウドストレージなどへの接続を制限することも効果的です。
対策④:ログ管理
…ファイル操作などの操作ログを取得することで、不正な情報の持ち出しなどがあった場合の追跡が可能になります。
⑤社内規定の整備
内部不正を防ぐためのルールや規定を整備し、従業員に情報セキュリティ対策の重要性を徹底して植えつけます。
情報セキュリティ対策には「PCパトロール」がおすすめ!
これらの対策に共通しているのが、組織で働く従業員の行動への介在です。
「⑤社内規定の整備」を行い、従業員のリテラシーを高める取り組みはもちろん必要ですが、どうしてもそれだけでは心配な面もあると思います。
そこでご紹介したいのが、MJSが提供している情報漏えい対策・労務管理を支援する情報セキュリティ対策製品「PCパトロール(https://www.mjs.co.jp/products/pcpatrol/)」です。
パソコンの操作履歴取得・USBメモリの使用禁止・印刷制限などの機能があるので、個人情報や機密情報の持出しを抑止します。
また、許可していないWebメールやストレージ、SNSへの書き込みなどの利用も制限することができます。
これらが機能することで、人為的要因による情報漏洩リスクを軽減するとともに、万が一事故が発生した際に証跡が役に立ちます。誰が、いつ、どのファイルやアプリケーションを使ったのか、パソコンの操作履歴を自動で収集します。事故が起きてから「操作履歴を収集していればよかった…」と後悔しないためにも、今すぐ対策を行いましょう!
なお、「PCパトロール」に新機能が搭載されました!
その名も「操作画面キャプチャ取得」で、あらかじめ登録した禁⽌操作・警告操作を行った場合に、操作画⾯をキャプチャする機能です。
画像として記録に残るので、セキュリティインシデントが発生した際の操作確認に役⽴つとともに、内部不正や業務外利⽤の抑⽌効果が期待できます。
「抑止力」って大事ですよね。
なお、「PCパトロール」には、不要なWebサイトへの閲覧を制限する(フィルタリング)ことで不正サイトへの接続を防ぐ機能、各パソコンのセキュリティパッチ適用状況を管理することで脆弱性を悪用した脅威からパソコンを守る機能などがあります。
さらに、各パソコンのログオン時刻や 操作開始・終了時刻・スクリーンセーバー・スリープなどの状態を一覧表示し、たとえテレワーク中だとしても労働時間の実態を可視化できる機能もあるのです。
端末稼働状況のレポートから、長時間稼働や時間外稼働を出力することで、長時間労働の未然防止や所定外労働の削減といった面でも効果が期待できます。
組織を内外の脅威から守るさまざまな機能を有し、近年要求が高まる労務管理の徹底にも貢献します。
まさに一社に一台「PCパトロール」!(クラウド版もあります)
ご興味をお持ちの方は資料請求ください。
https://www.mjs.co.jp/products/pcpatrol/
最後までお読みいただきありがとうございました。
これからも経営にビジネスに役立つ情報を発信していきますので、よろしければフォローいただけますと励みになります!
さらに、この記事をフォロワーの方に「オススメする」をしていただけますと嬉しいです!