人為的ミスは防げるか？ 情報漏えいの原因と対策

2023年11月28日 www.soliton.co.jp より移設

大企業だけなく中小企業を含むさまざまな企業で、機密情報やユーザーの個人情報などが外部に漏えいし、企業活動における信頼関係が大きく損なわれるケースが多数報告されています。
ここでは、企業における情報漏えいの原因と対策について、企業の視点に立って説明します。

企業における情報漏えいの原因

企業における情報漏えいの原因はいくつかあり、誤操作や置き忘れなどのヒューマンエラー、もしくは不正アクセス・内部不正といった犯罪が挙げられます。パソコン内部のプログラムやソフトウェアの設定ミスなど、情報漏えいのリスクに気づかなかったために事故が起こってしまうケースもみられます。

「誤操作」は、メールやFAXなどの宛先間違いがその代表例です。重要な情報を添付したメールを本来の宛先ではないところに送ってしまう、または本来の宛先とあわせて別の宛先にも送ってしまうといった事故が挙げられます。

「置き忘れ」も情報漏えいに繋がります。外に持ち出したノートパソコンを駅や飲食店に置きっぱなしにする、あるいはタクシーや取引先に忘れてしまうといった事故を指します。

外部からの犯罪によって情報が漏れてしまうケースも多く、不正アクセス・盗難・マルウェアなどはいずれも人為的に引き起こされるインシデントです。企業の規模を問わずサイバー攻撃に遭う例が数多く報告されており、情報の管理体制を見直すなどして事故を未然に防ぐ必要があるでしょう。

社員や元社員による内部不正も少なくなく、企業に甚大な被害を与えることもあります。また、社員に悪意はなくても情報が漏れ出してしまう事例も報告されています。たとえば自宅に仕事を持ち帰って仕事をする場合、自宅のパソコンにセキュリティ対策が施されていなかったために不正アクセスの被害に遭い、そこから情報が漏えいするという事例がみられます。

持ち出しPCは要注意　

社員がノートパソコンを持ったまま飲食店に入り、お酒に酔って置き忘れたために情報が漏えいした事例も報告されています。こうしたヒューマンエラーを防ぐためには、社外に持ち出せる機器と持ち出せない機器を分けて管理する、持ち出す場合は必ず帰社して返却するなどの対応策をとることが予防策になります。

自宅に持ち帰りで仕事を行う社員にはセキュリティ対策を徹底するよう伝えたり、セキュリティソフトの導入を支援したりする方法が有効です。万が一セキュリティを突破されてデータが流出しても対応できるように、ハードディスクやストレージに保存しているデータの暗号化を行う方法もあります。これは、ノートパソコンなどのデバイスを紛失してしまったときにも有効だといえるでしょう。

人為的ミスが原因の情報漏えいへの対策

人為的なミス（ヒューマンエラー）を防ぐためには、社員やスタッフ一人ひとりの意識を向上させることが大切です。社内や組織内における情報の管理方法や取り扱いに関するルールの見直しを周知徹底し、定期的な勉強会や従業員教育を行いましょう。若い従業員だけではなく管理職以上の役職をもつ社員に対しても、データや情報の運用についてしっかりと周知を行ってください。

次に、情報管理体制の厳格化を行いましょう。社員側が情報漏えい意識を高くもっていたとしても、OSやアプリケーションなどの既存のソフトウェアに脆弱性やバグがあると、不正アクセスを受けたときに容易に情報が漏れ出してしまいます。

セキュリティホールを突かれないための対策として、Web・ファイル・データベースそれぞれのサーバで使用しているOSやアプリケーションのバージョンを常に最新に保つようにしましょう。また、パソコンや記録媒体などを持ち出しやすい状態にしておかないことも重要です。

重要情報を外部に持ち出されないようにするため、「DLP（Data Loss Prevention：情報漏えい防止）」のシステムを導入する方法もあります。重要情報を特定したうえで、その情報が含まれるファイルが外に持ち出されそうになったときに、その操作をブロックすることができます。データ暗号化と合わせて導入すれば、情報漏えい対策として非常に有効だといえます。

上記のように、情報漏えいの原因は多岐にわたりますが、ヒューマンエラーや不正アクセスにみられるように、そのほとんどが人為的な要因によるものです。セキュリティ対策や暗号化などデータそのものを守る対策とあわせて、持ち出しの厳格化や社内教育といった基本的な周知も定期的に実施し、人為的なミスを防ぐことが大切です。