内部不正による情報漏洩の手口の変化と対策について
コロナ禍で加速した働き方改革、雇用の流動化、高度な従業員監視技術の導入などが大きく進展するとともに、国内における関連法制度の改正/制定や関連ガイドラインの改訂/公開も進んできました。本記事では、近年の変化している環境下での内部不正による情報漏洩傾向と主な発生原因、および対策について考えていきます。
内部情報漏洩の発生傾向の変化
2022年上半期に、経済産業省および情報処理推進機構(IPA)による、情報漏洩/内部不正対策ガイドラインの改定がありました。IPAが発表した「組織の情報セキュリティ10大脅威2022」*1よると、「内部不正による情報漏洩」が昨年の6位から5位にランクアップしました。また、「組織における内部不正防止ガイドライン」の改訂*2では7つの環境変化に着目しています。その中で、テレワークに代表される働き方の変化、およびその常態化に伴う情報漏洩の拡大、雇用の流動化による退職者(転職者)の急増等の観点を取り上げています。
テレワーク時における情報漏洩の要因
働き方の変化に伴った情報管理特定措置、すなわち例外的な情報持ち出しが長引いてしまっている実態はガバナンスの低下を如実に表しています。コロナ禍の対応としてやむを得ず一時的に認められた機密情報の外部記憶媒体への持ち出し、メールによる個人PCへの情報転送、会社支給PCの持ち出し、社外(自宅、サテライトオフィス等)での印刷など、これらの特例や例外行為はいずれも10%前後の割合で継続されており、以下のとおり情報漏洩を招く要因となっています。*3
1) 業務端末や外部記憶媒体の紛失・盗難
ノートPCなど端末本体、USBメモリーやポータブルSSDなどの外部記憶媒体での重要データの持ち運びは紛失や盗難のリスクがあります。過去に、個人情報を記録したUSBメモリーや会社支給のノートPCが紛失した事例は数多くあります。
2)メールの誤送信
内部情報漏洩の原因として最も多いのはメールの誤送信とされています。東京商工リサーチによると、2021年の情報漏洩・紛失事故の137件のうち、「ウイルス感染・不正アクセス」の次に多い原因として「誤表示・誤送信」が43件(31.3%)で、メールの送信間違いなどの人為的なミスが中心となっています。*4つい先日にも、Gmail(@gmail.com)に送付したつもりが入力ミスにより「@gmai.com」宛に送付し続けていた、という事例がありました。
3)Webへの機密情報アップロードによる流出
ニューノーマルな働き方の浸透によって、Web会議ツールが広く活用されるようになり、「間違った相手と情報を共有してしまった」「間違った相手にデータを送ってしまった」などの原因で外部への情報流出が増えています。
4) 雇用の流動化による情報漏洩
近年は中途退職者による情報漏洩が増加しています。実際にその割合は2016年の28.6%から2020年には36.3%と増加傾向にあります。退職者による不正な持ち出し手段として、アカウントの不正利用、USBメモリーなどの外部記憶媒体による情報持ち出し、Webメールやクラウドストレージ経由の持ち出しなどが挙げられます。
内部情報漏洩の対策について
これらの内部情報漏洩リスクへの対策として、セキュリティポリシーでルールを決め、危険な操作を監視や制御することが必要となります。Webへのファイルアップロード制御、外部媒体の利用制御などに加え、内部不正に対応できるログ、証跡の取得を行い、原因究明と証拠確保、事後対策が必要です。
・業務端末や外部記憶媒体の紛失・盗難
端末の紛失や盗難に備え、ローカルに保存するファイルは暗号化する。機密情報を持ち出しする場合には外部記録媒体の紛失や盗難のリスクがあるので、暗号化したファイルしか外部記録媒体に持ち出せない状態にする。または、許可した外部記録媒体しか業務エリアの端末に接続できなくする、などの対策が考えられます。これにより、ノートPCや外部媒体の紛失発生時の被害を最小化することができます。
・メールの誤送信
メールの誤送信を防ぐには、宛先が間違ってないか、重要ファイルが添付されてないかなどのチェックが必要です。セキュリティツールを利用し、メール送信のタイミングで宛先や添付ファイルをチェックすることでメール誤送信のリスクを抑制できます。
・Webへの機密情報アップロードによる流出
Web会議ツールのチャット機能などを利用しての誤送信や内部不正を防ぐには、ファイル転送する際のルールの設定などを徹底することで回避することができます。社内ルールで決めたアップロードの可否についてセキュリティポリシーを利用し、柔軟なセキュリティ対策を取ることで防ぐことが可能です。
エンドポイント上のユーザの操作ログ取得と分析
退職者による情報漏洩については、退職者の端末上での操作状況をモニタリングし、機密情報へのアクセスや情報漏洩につながる行為を禁止し、漏洩を事前防止することが対策として考えられます。操作ログを分析し退職する可能性のある社員を特定し、働きかけることで退職を軽減する活動にも活用できます。
内部情報漏洩対策ソフトウェアCWATは、上記の対策機能を全て提供しています。また、ユーザ単位で端末上のすべての操作ログを高精度に取得することができるので、事前に危険な操作を制御し、各種経路からの内部情報漏洩を防ぎ、機密情報を守ることができます。
最後に
近年、企業の「ひとり情シス」問題で、属人化、離職増加、セキュリティ対策不足のリスクが顕在化し、定常的なセキュリティ監視やサーバー運用などの負担軽減が急務になっています。ITの専門人材不足で悩むお客様には、CWATの機能を利用しているGarditを紹介しています。ご関心がありましたらお気軽にお問合せください。
Gardit(ガルディット)は、情報漏洩の監視をらくらく運用出来る「クラウドサービス」です。
この記事を通じ、皆様の課題解決を少しでも支援できれば幸いです。
■情報漏洩対策に関する記事
・USBメモリーの紛失事件から考える防止策
https://www.iwi.co.jp/archives/20220708-usbmemory/
・テレワークのデメリットから考える情報漏洩のリスクと対策
https://www.iwi.co.jp/archives/202206-insider-risk-management/
■CWAT製品資料
内部不正による情報漏洩を防ぐCWAT
https://www.iwi.co.jp/products/security/cwat.html
■CWAT製品資料請求・お問合せはこちらから
https://www.iwi.co.jp/contact/products-contact/cwat/contact.html
脚注(参考文献一覧)
1.IPA|情報セキュリティ10大脅威 2022(参照日:2022/12/26)
2.IPA|組織における内部不正防止ガイドライン(参照日:2022/12/26)
3.IPA|組織における内部不正防止ガイドライン第5版 改訂の背景・狙い・ポイントについて(参照日:2022/12/26)
4.株式会社東京商工リサーチ|上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)(参照日:2022/12/26)
