情報漏洩対策に取り組もうと思っていても、以下のように悩むことはありませんか?
「どんな対策をすべきなのかわからない……」
「状況に合った対策ができているのか不安…」
本記事では、当社が厳選した、企業が取り組むべき情報漏洩の対策方法をご紹介します。
なお、情報漏洩対策を実際に検討されている方は、「抑止ではなく"させない技術"」で企業を守る情報漏洩対策製品「CWAT」の概要資料をご請求ください。
CWATの特徴として、以下のような不正につながる操作を制御する能力の高さが挙げられます。
- 情報漏洩のもととなる印刷、外部記憶媒体、メール、Webの利用を柔軟に制御可能
- キーワードチェックにより自動で重要情報を検出し保護(機密キーワードは個別に設定可能)
- 部署やユーザーの権限に合わせてポリシー(ルール)を設定し、部署/ユーザー単位の監視・制御が可能
- 独自の暗号化機能によるファイル保護と閲覧制限(万が一漏洩しても閲覧不可)
- 重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知]
- 詳細な操作ログ取得によるリアルタイムの監視と不正操作の自動制御機能
- 日/英/韓/中(繁体・簡体)マルチ言語対応によるグローバルなセキュリティ対策
- CWATの資料を請求する
情報漏洩対策を検討されている方
目次
企業が取り組むべき情報漏洩対策
情報漏洩の主な原因には、外部からのサイバー攻撃、従業員の不注意による人的ミス、内部不正などがあります。
これらのリスクに対応するため、技術的対策と組織的対策の両面からアプローチすることが重要です。企業が取り組むべき情報漏洩対策としては、主に以下の内容が挙げられます。
- 多要素認証を取り入れる
- マルウェア対策を行う
- ネットワーク不正アクセスを防止する
- パスワードやIDの管理を徹底する
- メールの誤送信を防ぐ
- 情報の持ち出しを制限する
- 情報の放置をしない
- 情報へのアクセスを制限する
- セキュリティについて学ぶ機会を社内で提供する
多要素認証を取り入れる
企業が取り組むべき情報漏洩対策の一つに、多要素認証を取り入れることが挙げられます。多要素認証とは、ユーザー認証の際に使われる次の3つの情報の中で、2種類以上を掛け合わせた認証形式のことを指します。
- 知識情報(パスワードや合言葉など自分のみが把握している情報)
- 所持情報(認証アプリやICカードなど本人しか持っていないもの)
- 生体情報(静脈や顔認証など本人の生体的特徴)
多要素認証を導入することで、多種の認証要素が組み合わされるため、認証の強度が向上します。仮にパスワードやICカードなど一つの認証が突破されても、その他の認証要素により不正アクセスを防ぐことができます。
マルウェア対策を行う
マルウェア対策を行うことも、企業が取り組むべき重要な情報漏洩対策です。マルウェアとは、不正なプログラムのことを指し、パソコンのデータやファイルなどに害を与える存在です。
代表的なマルウェアとしては、コンピュータウィルス、ランサムウェア、スパイウェア、トロイの木馬、アドウェア、ボット、ワームなどがあります。
マルウェアに感染しシステム内に侵入されると、情報漏洩につながります。そのため、マルウェア対策を講じることが必要です。
マルウェア対策として主に、以下の内容が挙げられます。
- システムのアップデートや更新を行う
- 不用意に信用性の低いメールやサイトを開かない
- マルウェア対策ソフトを導入する
システムの定期的なアップデートは、巧妙化するマルウェアの手口に対してセキュリティを強化できる有効な手段です。また、信用性の低いメールやサイトに注意することや、マルウェア対策ソフトを導入することで、マルウェアに侵入されるリスクを低減することができます。
ネットワーク不正アクセスを防止する
ネットワーク不正アクセスを防止することも、情報漏洩対策の有効な手段の一つです。ネットワーク不正アクセスとは主に、アクセスを許されていない第三者がサーバーやシステムなどのコンピューター内部に侵入することを意味します。
第三者による不正アクセスは、情報漏洩やシステムダウンにつながります。したがって、不正アクセスを防ぐために、以下の対策を実施することが大切です。
- 不正検知システムを取り入れる
- 無線LANを暗号化する
- 予測されにくいパスワードを使い、厳重に管理する
- ファイアーウォールを設置する
パスワードやIDの管理を徹底する
パスワードやIDの管理を徹底することは、情報漏洩対策として非常に重要です。
ずさんなパスワードやIDの管理は、情報漏洩を引き起こす原因になりがちです。徹底した管理を行い、第三者へのパスワード漏洩対策を行うことで、より強固なセキュリティを確立することができます。
安全性の高いパスワードやIDの管理方法として、具体的には以下の内容が挙げられます。
- 予想しやすいパスワードやIDを設定しない
- 人目の付くところに手書きのメモを残さない
- パスワードマネージャを使用する
メールの誤送信を防ぐ
情報漏洩に多いケースとして、メールの誤送信によるものがあります。重要情報を含むデータなどをやり取りする際に、メールの誤送信によって共有するべきでない場所や人に情報が漏洩してしまう恐れがあります。
誤送信を防ぐための対策として、以下の方法があります。
- 送信前の上司確認を行う
- 重要情報のメール送信を禁止にする
- メールの送信を一定時間保留して修正の時間を設ける
- 送信メールの監視を行う
- 添付ファイルはメールに添付せず、オンラインストレージで共有する
メールの誤送信による情報漏洩は、情報漏洩が起きる原因の24.5%を占めているというデータがあります*1。
そのため、メールの誤送信に対するルールを定めることで、情報漏洩に対して大きな効果を発揮する可能性が高いです。
情報の持ち出しを制限する
情報の持ち出しを制限することも、情報漏洩対策となります。
情報を社外に持ち出すと、盗難や遺失が発生する確率が上がります。そのため、情報の持ち出しに制限を設けることで、盗難や遺失による情報漏洩を予防する効果が見込めます。
具体的には、以下のような取組みが有効です。
- 持ち出しを行う際には名前と日付、理由を書き残す
- 持ち出しを行う際には、必ず上司に報告を行う
- 持ち出した情報は家に持ち帰らない
- 定期的に資産の棚卸しを行う
- 機密情報のアクセスログや操作ログを記録し、定期的な監査を行う
- 外部記憶媒体やクラウドストレージの利用を制限する
情報の持ち出しを完全に禁止することが現実的ではない場合は、明確なルールを設けて情報の持ち出しを適切に管理することが重要です。
情報の放置をしない
情報が放置されることで、情報漏洩につながるケースがあります。オフィス内や出先での情報を適切に管理することで漏洩リスクを低下させることができます。
対策として、以下が挙げられます。
- 端末をひらいたたまま席を離れない
- 情報機器を置いたままにして帰らない
- 書類やメモリーカード際は、シュレッダーにかけるなど適切な処理を行ったうえで廃棄する
情報へのアクセスを制限する
情報漏洩対策として、情報へのアクセスを制限することも有効です。
情報へのアクセスが規制されていないことで、組織内部で情報を閲覧できる人の割合が増加します。情報を扱える人の割合が増えると、従業員を経由した情報漏洩のリスクが高まります。
そのため、アクセスを制限して情報漏洩リスクを抑えることが、重要な情報漏洩対策の一つと言えます。
また、データファイルのみではなく、紙書類にも重要な情報は含まれるため、紙書類の保管場所へのアクセスを制限することも重要です。また、退職した元従業員からも外部に情報が漏れないよう、退職後のアクセス制限を実施する対応も必要です。
セキュリティについて学ぶ機会を社内で提供する
セキュリティについて学ぶ機会を社内で提供することも、情報漏洩対策に効果的です。
現場で働くスタッフが、社内の機密情報を業務で使用する場面は少なくありません。従業員にセキュリティ教育を行い情報リテラシーの向上を図ることで、内部からの情報漏洩を予防することが期待できます。
従業員教育は、主に以下の3つの目的で実施することが推奨されます。
- 情報漏洩対策への意識を引き上げる
- 情報漏洩の原因や手口を注意喚起する
- 社内の規則を徹底的に周知する
従業員の知識を向上させることで、無意識による情報漏洩を効果的に防止できます。また、従業員の意識を高めることで、情報漏洩の抑止も可能です。
情報漏洩対策が企業に必要不可欠な理由
情報漏洩対策が企業にとって必要不可欠な理由は、主に情報漏洩が発生した際の損失の大きさにあります。
情報漏洩が発生すると、企業のブランドイメージが著しく低下する可能性があります。
これは単なる印象の悪化にとどまらず、企業の信用を大きく損なう結果となります。その影響は広範囲に及び、製品販売の減少、取引先との関係悪化、優秀な人材の採用難など、企業活動の多岐にわたる面で深刻な打撃を受ける可能性があります。
また、情報漏洩により個人や他社に損失を与えてしまった場合、損害賠償が求められるケースもあります*1。
損害賠償額は事故の規模によって変化しますが、数億円に及ぶ可能性*1もあり、企業の財務状況に多大な影響を及ぼすでしょう。
情報漏洩対策に関してよくある質問
情報漏洩対策において意識すべきポイントはありますか?
情報漏洩対策において意識すべき主なポイントに、対策内容の周知が挙げられます。
情報漏洩の対策は、情報に関わる全ての人が意識をすることによって、効果を発揮しやすいです。そのため、社内はもちろん、業務の委託先や取引先まで、幅広く対策内容の周知を行うことが重要です。
企業の情報漏洩の主な原因は何ですか?
企業の情報漏洩の原因は、次の3つに分類できます。
- 内部要因
- 外部要因
- ヒューマンエラー
情報漏洩の原因について詳しくは以下の記事をご確認ください。
「情報漏洩の原因と対策を徹底解説」
出典(参考文献一覧)
※1 2024-6-11付け日本経済新聞 | 個人情報の漏洩、過去最多の1万3279件 (参照日:2024-11-15)
※2 経済産業省 | 秘密情報は大切な財産です (参照日:2024-11-15)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏洩対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。