情報漏えい対策の重要性についての認識は高まり、行政や民間企業では具体的な取り組みが進んでいます。JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)による「2017年情報セキュリティインシデントに関する調査報告書」によると、個人情報漏えい事件のインシデント件数は、2012年をピークに減少傾向にあります。(ただし、個人情報の漏洩人数に関しては減少しているとは言えません。)
また、個人情報関連以外の機密情報漏えい事故に関しては、法律で公表が義務付けられておらず、企業間の話合いで解決されることも数多くあります。つまり、公表されている漏えい件数が減少しているからといって、決して油断することはできません。さらに、サイバー攻撃などが巧妙化し、情報漏えいしたことに気付かないケースも多々あるのではないでしょうか。
今回は、独立行政法人情報処理推進機構 (IPA)が発表している、「情報セキュリティ10大脅威2017」および、5つの対策として経済産業省の「秘密情報の保護ハンドブック〜企業価値向上に向けて」を要約してを紹介します。自社の情報セキュリティ対策の参考になればと思います。
企業や団体に迫る情報セキュリティ10大脅威
- 標的型攻撃による情報流出
- ランサムウェアによる被害
- ウェブサービスからの個人情報の窃取
- サービス妨害攻撃によるサービスの停止
- 内部不正による情報漏えいとそれに伴う業務停止
- ウェブサイトの改ざん
- ウェブサービスへの不正ログイン
- IoT機器の脆弱性の顕在化
- 攻撃のビジネス化(アンダーグラウンドサービス)
- インターネットバンキングやクレジットカード情報の不正利用
IPAが2016年に社会的に影響が大きかったと考えられる情報セキュリティに関する事案から、をとりまとめています。1位から10位は以下のとおりです。
前年の調査から引き続き「標的型攻撃による情報流出」や「内部不正による情報漏えいとそれに伴う業務停止」は上位にランクされています。一方、前年ランク入りしていなかった「IoT機器の脆弱性の顕在化」や「攻撃のビジネス化(アンダーグラウンドサービス)といった新しい脅威も出てきており、情報漏えいの原因は多様化しています。
情報漏えい要因を考慮した5つの対策
経済産業省は企業が秘密情報の漏えいを防ぐために「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」を作成して様々な対策を紹介しています。その中で漏えい要因を考慮した効果的・効率的な対策として以下の5つを上げています。
情報漏えい対策1. 接近の制御
秘密情報を閲覧・利用できる人(アクセス権者)を適切に設定し、施錠管理や入退室制限により、権限のない人を対象情報に近づけないようにすることを目的とした情報漏えい対策。 具体的には、
- アクセス権の設定
- 秘密情報を保存したPCを不用意にインターネットに繋げない
- 区域制限(ゾーニング)による入退室制限
- 秘密情報が含まれるフォルダのアクセス制限
- 機密文書は施錠できるキャビネットに保管する
情報漏えい対策2. 持出し困難化
秘密情報が記載された会議資料の回収、ノートPCの持ち出し禁止、記録媒体の複製制限、USBメモリやSDメモリなどの持込み・利用を制限することによって、秘密情報を無断で複製し、持ち出すことを物理的・技術的に阻止することを目的にした情報漏えい対策。
具体的には、
- 使用USBメモリの利用禁止
- 会議資料等の回収
- 電子データの暗号化
- 会社で認めていないファイル共有サービスの使用禁止
- 携帯カメラの利用禁止
情報漏えい対策3. 視認性の確保
職場のレイアウトの工夫、防犯カメラの設置、入退室記録の保管、電子データへのアクセス記録の保管などにより、秘密情報にアクセスする権限のない人の行動を記録したり、他人に目撃されやすいような環境づくりを目的にした情報漏えい対策。
具体的には、
- 座席やレイアウトを工夫して死角をなくす
- 防犯カメラを設置
- 関係者以外立ち入り禁止看板の設置
- パソコンのアクセスログの保管
- サーバーなどに保管される電子データへのアクセスログの保管
入退室の記録や電子データへのアクセス記録は、情報漏えいが発生した場合の訴訟においての証拠資料としても有益な情報になります。
情報漏えい対策4. 秘密情報に対する認識向上
秘密情報の取り扱い方法等に関するルールの周知、秘密情報である旨を表示することによって、従業員等の秘密情報に対する認識を向上させることを目的にした情報漏えい対策。
具体的には、
- 「社外秘」「部外秘」といった情報区分の表示
- 情報管理規程の作成
- 従業員や取引先と秘密保持契約の締結
- 従業員等への情報管理教育
- 無断持ち出し禁止の張り紙を掲示
情報漏えい対策5. 信頼関係の維持・向上
内部不正行為を防止するために、従業員等の方が働きやすい職場環境を整備したり、適正に人事評価することによって信頼関係を構築することを目的にした情報漏えい対策。
具体的には、
- ワーク・ライフ・バランスの推進
- 従業員の方とのコミュニケーションの促進
- 情報漏えい事案の周知
- 透明性の高い人事評価制度の構築
- 情報漏えいした場合の罰則の周知
まとめ
サイバー攻撃などが増え、情報セキュリティに対する脅威が多様化する中、情報漏えい事件を未然に防ぐための対策が企業に求められています。
しかし、目的を考えずに闇雲に実施してしまうと、業務への過度な制限や無駄なコストが発生する可能性があります。各企業にて、リスク分析を行い、リスクに応じた効果的で効率的な情報漏えい対策を行っていきましょう。
NPO日本ネットワークセキュリティ協会 報告書・公開資料
情報セキュリティ10大脅威 2017:IPA 独立行政法人 情報処理推進機構
営業秘密 ~営業秘密を守り活用する~(METI/経済産業省)