人為的ミスや油断で情報漏洩!対策の仕方一覧

情報漏洩――。

現在の社会において非常に大きな問題の1つですが、実はこの「情報漏洩」とセットにされるもう1つのキーワードが「ヒューマン・エラー」であることは意外と知られていません。

一方、「情報流出」というと、そのセットとなるキーワードは、「ハッキング」や「ハッカー」であるのをご存じだったでしょうか?

少しの違いなのですが、この2つの言葉には、何か大きな違いがあるのではないかと思って、膨大な量の情報を調べてみました。最初、この仮説の発見にドキドキしながら調べていました。

「情報漏洩」というと、内部のヒューマン・エラーによって発生した事例のことを指し、「情報流出」というとハッキングされた情報を何か他のコトに使う目的で奪うという図式があるとすれば、調べる内容は根本的に違って来るからです。

ところが「情報漏洩」と「情報流出」は最初の50件くらいの検索では、ほぼ仮設通りに使い分けられている情報が多いのに比べ、100件を超えて300件くらい検索して行くと、ほとんど意味的に同じように使われている内容が増えて行きます。

たぶん情報に敏感な人に検索されやすい記事を書く人のセンサーでは別物でも法律の判例等のように公になった内容の記事では裁判で使われたような言葉をそのまま使うので、少なくとも法律的にはあまり違わない使われ方をする言葉だとわたしは判断しました。

そこで、ここでは「情報漏洩」という言葉に絞ってフォーカスすることにします。

zikeidancta

1.情報漏洩の原因について

セコムのホームページによると、情報漏洩の原因の80%は内部要因だと書かれています。

しかも情報漏洩は大問題だと騒がれ始めてから久しい現在においても未だに後を絶たない問題です。

情報が漏れたと騒ぎになるのは、実は内部の情報の扱い方が良ければ防げる話なのになぜ、繰り返し行われてしまうのか、というメカニズムを知ることが重要だと思います。

では、どんなことが情報漏洩につながるのか例示して行きたいと思います。

・ノートパソコンを電車の網棚に置き忘れる。
・顧客データの入ったメモリースティックを飲食店等で置き忘れる。
・サーバー管理会社内部から流出。
・代行会社が管理していた段階で情報が持ち出されていた疑い。
・企業の古くなった情報資産を未対策のまま廃棄してしまった。
・内部関係者によるサーバーから流出。
・個人端末でパソコンのファイル交換ソフトを使用していた際、誤ってこれらのデータを流出。
・仕事が忙しく家に持って帰ってやろうとしてデータをコピーして作業を行い、盗難にあう。
・運営委託先の社員がデータの入ったパソコンを紛失。
・個人的なブログやSNSに自己紹介のつもりで自分のコトを紹介しようと職務内容を漏洩してしまう。
・出向していた外注業者による意図的な流出。
・従業員または委託先の会社の従業員がデータを流出させた可能性。

等々…。

電子入札システムが出始めた頃は、そのシステムがちゃんと稼働しているか知りたかったその町の首長が、電子入札が無事行われているか確認しようとして、どれくらい入札があるか部下に確認するよう指示を出し、部下の報告が「入札システムが壊されています」というもので大問題になりかけたところ、システム会社より「入札期間はシステムに入札価格を入れる以外に情報を見ようとするアクセスがあった時点で、入札箱を壊すシステムになっているので、途中で確認をしようとしたあなた方の行為でシステムが破壊されただけです。設計通りなのでシステムの完成度が証明されました」と、入札がやり直しになった事例もあります。

つまり、意図的に情報が流出した内部犯行もありますが情報管理体制の意識の低さから、システムの仕様を知らずに、結果として情報漏洩の可能性があると騒がれる事例も多く存在します。

では、次に外部要因による情報漏洩の事例を見てみましょう。

・ハッカーが情報を奪う。
・ウィルスやクラックソフト等が侵入し自動で配信されて情報が不特定多数に漏洩してしまう。
・公開サーバーが乗っ取られてしまう。
・送られたメールを読むために添付ファイルを開いたらウィルスが発動して制御できなくなる。

ハッカーとシステム管理者のバトルは公開サーバーを持っている会社では熾烈になる場合が多いんです。

システムダウンして、アクセスできない状態にすることをハッカー側は勝ちだと判定するので、欧米ではシステムダウンさせた側がわざわざ現れて、「あなたの会社のシステムは致命的な問題があるから、我々のハッキング防護ソフトを導入した方が安全ですよ」、という商売が成立していたりします。

以上のような原因に対する方法、対策にはどんなモノがあるのでしょうか?

 2.情報漏洩の対策について

トレンドマイクロのサイトが非常によくまとまっています。基本的に3つの要素が大切になります。

  • ツールによる制御
  • 社内ルール明確化
  • 社員教育ルール徹底

ツールによる制御には
・暗号化
・デバイスコントロール
・アーカイブ/ログ監査
・コンテンツフィルタリング
・URLフィルタリングetc
の方法が考えられます。

セキュリティ製品を使い、物理的な制御をする方法です。サイバー攻撃に対する対策は、もはや必須になっていく傾向にあります。

従業員一人一人がWEBメール対策を行なったり、添付ファイルチェックをするのは常識の範疇でしょう。

社内ルール明確化には
・コンプライアンス
・ガイドライン
・情報整理/ラベリング
・個人情報保護法
・ISO27001/ISMS
等の方法があります。

不正サイトへのアクセス遮断やSNS/掲示板の利用制限等もルール化する必要があるでしょう。

社員教育ルール徹底には
・従業員のモラル、リテラシー向上
・定期的な従業員教育
等の方法があります。

IT環境の変化やワークスタイルの変化、雇用形態の変化に合わせた定期的な使用ソフトの教育や見直し、従業員への継続的な教育・研修が必要となるでしょう。

また、セコムのサイトでは

  • 物理セキュリティ
  • データアクセス制御
  • ネットワークセキュリティ

が大切であるというまとめ方をしています。

対策のポイントとして「物理セキュリティ」では人に対する牽制と抑止、物理的な不正持ち出し対策が大切であると指摘し、具体的な対策として

  • ICカードや指紋等による識別
  • 監視カメラや警備員による監視
  • 操作区画への入退制御
  • 機器や媒体等の持ち込み、持ち出し検査 等

を提案しています。

「データアクセス制御」では操作PCの機能制限システムへのアクセス制御が大切であると指摘し、具体策は

  • ICカードやデジタル証明等による操作者の識別
  • および操作機能の制限
  • 操作履歴(操作者、操作日時、操作内容等)の保存
  • プログラム、データごとのアクセス制御 等

を提案しています。

「ネットワークセキュリティ」では恒常的な不正アクセスの常時監視と脆弱性対策が大切であると指摘し、具体策は

  • ファイアウォール等の脆弱性把握
  • および対策実施
  • 不正アクセス常時監視と緊急対処
  • 定期的なセキュリティ診断 等

を提案しています。

情報漏洩対策として、最後に独立行政法人 情報処理推進機構セキュリティセンター(IPA)の「情報漏えい対策のしおり」から、企業(組織)で働くあなたへ7つのポイント!!というデータをご紹介して終わります。

これは各自で気を付けることのできる対策です。

  • 持ち出し禁止
    企業(組織)の情報資産を許可なく持ち出さない。
  • 安易な放置禁止
    企業(組織)の情報資産を未対策のまま目の届かないところに放置しない
  • 安易な廃棄禁止
    企業(組織)の情報資産を未対策のまま廃棄しない。
  • 不要な持ち込み禁止
    私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない。
  • 鍵を掛け、貸し借り禁止
    個人に割り当てられた権限を許可なく他の人に貸与または譲渡しない。
  • 公言禁止
    業務上知り得た情報を、許可なく公言しない。
  • まず報告
    情報漏洩を起こしたら自分で判断せずにまず報告。

いかがでしたか?情報漏洩に関する原因と対策をまとめてみました。

WEBを使わずに行うビジネスの方が少ない現代社会において、上記の内容は必須の内容と言えるでしょう。

サイバーテロもますます増えると予想されますが、その前に8割を占めるヒューマン・エラーないしは内部的なミスを徹底的になくして行くことが安全な情報社会には必要不可欠ですので、注意して情報を扱う習慣を付けたいものですね。

 


あわせて読みたい


多発している自動音声詐欺!実態と防衛策とは

被害に遭わないために知っておきたい伝統的詐欺の種類と手口

【悪用厳禁】逆探知を難しくするTorの仕組みや用途

ネガティブなYahoo関連キーワードを削除する方法

Gmailアカウント流出してるかも…その確認方法と防止策

自分の名前検索したら悪評が…検索結果自分で削除する方法

インターネット通販で詐欺!?最新トラブル事例と回避方法

子供と一緒に考える!ネットの見方 -フィルタリングソフトまとめ-

コメントを残す


CAPTCHA