情報漏洩対策は外部に対してだけでは不十分!組織内のセキュリティ対策に必要なこととは?

こんにちは、noダーマです。

これまで何度かこのブログでも情報漏洩について取り扱いましたが、外部からの不正アクセスとその対策についての内容がほとんどでした。

しかしタイトルにもある通り、情報漏洩対策というのは外部からの対策だけでは不十分なのです。
IPA(情報処理推進機構)から公開された、『情報セキュリティ10大脅威2020』によると、下記の通り内部犯による脅威が2位となっております。
1位:標的型攻撃による機密情報の窃取
2位:内部不正による情報漏えい
※『IPA 情報セキュリティ10大脅威 2020』より一部引用

サイバー攻撃による被害数が後を断たない近年、対外的な対策はしっかり行っていても、内部の対策が甘かったというケースは珍しくありません。

そこで今回は組織内部に対して必要なセキュリティ対策について解説していきます。

目次

情報漏洩の原因

2020年に発生した情報漏洩事故のうち、その原因でもっとも多かったのはウィルス感染・不正アクセス(49.5%)ですが、次いで多いのが誤表示・誤送信(31.0%)、紛失・誤廃棄(13.5%)でした。

つまり故意・過失を問わず、内的要因による情報漏洩事故はみなさんが思っている以上に多いということがわかります。

また誤送信・誤操作や紛失などは人間のミスに起因しているため、サイバー攻撃などのセキュリティ対策では防ぐことができません。

人間である以上、たとえどれだけ注意していたとしてもミスは起こり得るものです。
ではそのミスを限りなく0に近づけるにはどうすればいいのか、その対策方法をこの後に解説します。

参考資料:ITmedia NEWS『2020年は2515万人分の個人情報が流出 原因の多くは「ウィルス感染・不正アクセス」

ミスを減らすための対策

送信取り消し機能を使う

いくつかのメールサービスでは送信取り消しが可能であることはご存知でしょうか。
『Gmail』も取り消しが可能なものの1つです。

もし送信ボタンを押してしまった後に誤送信に気づいた場合、取り消し可能な時間内であればキャンセルすることができるのです。

なおGmailの場合、取り消せる時間は5~30秒まで設定可能ですので、特に理由がなければ30秒に設定しておくことをおすすめします

設定方法(Gmail)
①「設定」を開き、「全般」のタブを選択する。
②「送信取り消し」の項目で、取り消せる時間を設定する。
③「変更を保存」を押下する。

紛失してはいけないものを持っているときはお酒を控える

これは筆者が意識していることですが、仕事用のパソコンを持ち歩いているときは絶対にお酒は飲まないようにしています
逆に言うと、お酒を飲む場に行く際には必ず仕事道具を無くさない場所に置いてから行きます。

ちなみに注意しておく必要があるのが、皆さんがお持ちのスマートフォンにも個人情報がたくさん入っています。

スマホまで持ち歩かないというのに非現実的ですので、万が一のときに備えてセキュリティロックは必ず設定するようにしてください。

内部不正を防ぐための対策

アクセスログを記録する

いつ、誰が、どこから、何の操作を行ったのかをログとして記録しておきます。

この方法自体が直接的に不正を防げるものではありませんが、簡単に犯人の特定が可能である状態であれば犯行の抑止ができます。
簡単に足がついてしまっては犯人も犯行を躊躇するでしょう。

この時、組織内の1人1人個別にアカウントを発行しておくのが望ましいです。
もし複数人が共用で使用するアカウントの場合、犯人特定の難易度が高くなってしまうからです。
また権限付与を行う上でもそれぞれに適切な設定が行えるため、個々人のアカウントを発行するのがオススメです。

重要な情報にアクセスできる人を制限する

先ほども少し触れましたが、適切な権限付与を行うことが重要です。
特に重要な情報へは許可された人のみアクセスできる状態が望ましいでしょう。

よくあるのが幹部、一般社員、外注・契約社員などでアクセスレベルを分けるといったものです。
特定の部署に所属する人のみアクセス可能にするといった例もあります。

例えば人事部の人だけ社員の個人情報が閲覧できる、といったような制限だとイメージがしやすいと思います。

重要情報へアクセスができなければ盗み出される心配もなく、また不正行為が行われたとしたらアクセスを許可された人の犯行であることが明白になります。

リターンよりもリスクが大きいことを理解する

個人的にこれがもっとも効果の高い対策だと思っています。

不正行為で入手した情報を売って得られる利益よりも、犯行が露見したときに失う損害ははるかに大きく、とても割に合わない行為です。

実は皆さんが思っている以上に、1人あたりの個人情報の価値は安価です。
過去に賠償金の相場について取り上げましたが、訴訟を起こしたときの賠償額の相場は5,000円~15,000円程度でした。

つまり情報を売ったとしても、買値は二束三文にしかならない可能性の方が高いです。
どれだけ高く見積もっても、損害賠償で請求される金額を超えることはまずありえないでしょう。

あとがき

実は筆者も小さなケアレスミスで大事になりかけた経験が数回あります。
なぜかこういう時はいつも悪運が強く、最悪の事態まで発展するのは防げたものの、事後処理が終わるまでは本当に生きた心地がしませんでした。

平常時にはやらないようなミスをやってしまう時って、気が緩んでいるときに起こりがちだと思います。
ミスを減らすために必要なものは「緊張感」かもしれませんね。

それではまた次回お会いしましょう。

返信を残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA