情報漏洩は一度でも起きてしまうと、企業としての信頼性低下や金銭的な負担が発生する恐れがあるため十分に注意しなければなりません。この記事では、情報漏洩の近年における傾向や主な原因などを解説します。併せて、企業が取り組むべき情報漏洩の防止策もご紹介しますので、情報システム・DX関連部門のご担当者様はぜひ参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
情報漏洩とは?
情報漏洩とは、企業が保有している機密情報や個人情報などが、不正な手段やミスによって外部に漏れてしまうことです。情報漏洩を一度でも起こしてしまうと、企業としての信頼性が低下するだけでなく、取引の停止や賠償金を請求される恐れがあります。
また、情報漏洩が起きるとセキュリティ対策が必要となり、従業員の業務負担が増えてしまうため、生産性の低下に繋がる可能性も否めません。
関連記事:情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
近年の情報漏洩の傾向
東京商工リサーチ社が2024年1月に発表したデータによると、2023年に上場企業とその子会社が公表した個人情報漏洩・紛失事故は175件で、前年度より6.0%増加しました。前年度に漏洩した個人情報は592万7,057人分でしたが、2023年度は約7倍の4,090万8,718人分になっています。
なお、従業員による情報の不正利用や持ち出しによる事件は、前年が5件でしたが2023年度は24件発生して約5倍に増え、なかには刑事事件に発展したものもありました。
参照:2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
【内部要因】情報漏洩の原因
ここからは、情報漏洩の原因について解説します。まずご紹介するのは情報漏洩が起きる内部要因です。
機器類の誤操作
メールを送る宛先を間違えたり、誤ったファイルを添付して送信してしまったりと、メールを誤送信してしまうと、本来公開していない情報が漏洩してしまう場合が多いです。
また、メールの宛先をBCCに指定するべきところをToに指定してしまうと、メールアドレスが第三者に流出してしまうため、BCCの設定には十分に注意しましょう。
関連記事:メールによる情報漏洩の原因は誤送信とマルウェア感染だった!必要な対策を解説
USBメモリなどの記録媒体の紛失
紙媒体やUSBメモリの紛失による情報漏洩も多数発生しています。万が一、持ち運び可能な媒体を紛失して、悪意のある人に拾われてしまうと、情報を悪用されかねません。
媒体の紛失による情報漏洩を防ぐには、印刷する際に個人情報の掲載チェックを行ったり、USBへのデータコピーを禁止したりといった工夫が必要です。
管理が不十分
権限設定ミスなど、情報管理が不十分で漏洩してしまうケースもあるため要注意です。例えば、データ消去措置を十分に行わずに、機密情報が保存されていたストレージ機器を破棄してしまうと、情報漏洩に繋がることもあります。また、重要な情報が記載されている書類をシュレッダーで処分せずに、情報が漏洩してしまうケースもあります。
組織内部の人間による不正行為
先述したように、組織内部の人間による不正行為で情報が漏洩してしまうことも少なくありません。
悪意を持って情報を持ち出すケースもありますが、情報管理に関するリテラシーが不足しており、悪意なく情報を持ち出して公開してしまうケースもあります。こうした内部不正を防ぐには、アクセス権限の管理や従業員のリテラシー向上教育が必要です。
【外部要因】情報漏洩の原因
情報漏洩が発生する際には、内部要因だけでなく、以下のような外部要因も考えられます。
ランサムウェアによる攻撃
ランサムウェアとは、データ復元の対価として金銭を要求する悪質な不正プログラムです。
パソコンやスマートフォンなどに感染すると、データを暗号化して、復元と引き換えに身代金を要求されます。ランサムウェアの感染を防ぐためには、セキュリティソフトの導入や、小まめなアップデートが必要です。
関連記事:ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説
標的型攻撃
標的型攻撃とは、特定の個人もしくは組織を狙って行われるサイバー攻撃です。標的がよく利用するサイトなどを改ざんする「水飲み場攻撃」や、発信者を偽ったメールで偽サイトへの誘導などを行う「なりすましメール」のほか、悪意のあるプログラムマルウェアに感染させて内部ネットワークへ不正アクセスする手口もあります。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
サプライチェーンで繋がった企業からの攻撃
自社のセキュリティを強化していても、サプライチェーンの弱点を悪用して攻撃される可能性は否めません。サプライチェーンでつながった企業のセキュリティが脆弱な場合、その企業から侵入して本命企業を攻撃されてしまいます。実際に、2022年3月にはトヨタ自動車が取引先によるシステム障害で国内の全工場を停止してしまいました。
盗聴・覗き見
盗聴器や盗撮器、公共の場での覗き見によって情報が漏洩してしまうケースもあります。また、周囲に電話の内容を聞かれる、ネットワーク通信を傍受されるなどにより情報が漏洩することもあります。盗聴や覗き見を防ぐためには、情報管理を徹底するだけでなく、不特定多数が自由に利用できる無料のフリーWi-Fiを業務に使用しないことも重要です。
脆弱性に対する不正アクセス
システムやソフトウェアのセキュリティ脆弱性を利用して、不正アクセスされるケースも少なくありません。攻撃する側はシステムやソフトウェア上におけるセキュリティの弱点を突いて侵入し、情報を盗み出します。ただし、通常は脆弱性が見つかるとベンダーからセキュリティパッチが配布されるため、それを適用しておけばリスクを軽減することが可能です。
【その他】情報漏洩の原因
ここまで解説してきた内部要因と外部要因のほかにも、情報漏洩には以下のような原因も考えられます。
リモートワークなどを狙った攻撃
近年は働き方改革や新型コロナウイルスの流行で、リモートワークも普及してきました。しかし、ニューノーマルな働き方を狙って、リモートワーク用の機器やネットワーク環境の脆弱性からウイルスを感染させる手口も増えています。感染を防ぐには、機器の設定を見直したり、無償ネットワークへの接続を禁止したりといった対策が必要です。
サイバー攻撃のビジネス化
オンライン化が進む近年では、漏洩した情報が売買されるなど、犯罪のビジネス化が起こっています。実際に、日本でも犯罪者による個人情報が流出する事件も少なくありません。
大規模な闇市場では、情報の売買だけでなく、専門的な知識がない人もサイバー攻撃できるようなツールも販売されているため、今後は対策がより必要となるでしょう。
営業秘密の情報漏洩にも要注意
個人情報だけでなく、企業は営業秘密の情報漏洩にも注意しなければなりません。営業秘密とは、法的保護の対象となり得る情報で、顧客名簿や販売マニュアル、財務データなどが該当します。
中途退職者や従業員による誤操作で営業秘密が漏洩してしまうと、会社独自のノウハウが外部に知られてしまったり、社会的信用が低下したりと、さまざまな問題が生じかねません。そのため、営業秘密の取り扱いにも注意しましょう。
企業が取り組むべき情報漏洩の防止策7選
最後に、情報の漏洩を未然に防ぐために、企業が取り組むべき対策をいくつかご紹介します。
セキュリティソフトや情報漏洩対策サービスの活用
メールの誤送信や迷惑メールからの不正アクセスを防ぐには、セキュリティソフトなどの活用がおすすめです。導入すれば不審なメールや添付ファイルを検出し、標的型攻撃を防いでくれます。なかにはデータの持ち出し管理機能を搭載しているものもあるため、機能も確認してみましょう。
また、メールサーバとは別の場所にメールを保管するメールアーカイブも便利です
ファイルの暗号化
情報漏洩対策には暗号化ファイルシステムの活用も効果的です。Windowsには無料で使える暗号化機能が標準で搭載されています。この機能でフォルダやファイルを暗号化しておけば、たとえ流出してしまっても利用を制限することが可能です。
そのほかにも、アプリケーションやクラウドサービスに暗号化機能が搭載されているケースもあります。
従業員のリテラシー向上
システムを見直すだけでなく、従業員の情報管理に関するリテラシーを向上させることも重要となります。例えば、過去に起こった情報漏洩の事例や秘密情報の管理方法、不正アクセスの手口などを全体に周知しておくと効果的です。定期的に社内で教育や研修を行い、従業員全体のリテラシーを向上させましょう。
最新状態にアップデートする
セキュリティ対策ソフトやアプリなどは、常に最新状態へのアップデートが必要です。システムはリリースから時間が経つと、新たな脆弱性が発見されてしまう可能性があります。そのため、ダウンロードしたままの状態にするのではなく、定期的に最新状態にアップデートして配布されたパッチを適用させておくことが大切です。
パスワードの管理を徹底する
情報漏洩を防ぐには、パスワードの管理徹底が必須です。パスワードの使い回しや、簡易的なパスワードは不正ログインが発生する恐れがあります。
情報漏洩のためには、同じパスワードを複数のサービスで使い回さないようにしたり、長くて複雑なパスワードにしたりといった対策をとらなければなりません。
適切なルール設定
USBメモリやモバイルデバイスを使った情報の持ち出しを禁止したり、外出先でのフリーWi-Fiの使用を禁止したりといった情報管理に関する適切な社内ルールを設定すれば、情報漏洩を防げます。ほかにも、秘密情報が記録された媒体の破棄方法を社内規定で定めるのも効果的です。
ただし、ルールの設定後は研修や社内広報で継続的に周知する必要があります。
定期的なバックアップの実施
不測の事態に備えて、定期的にバックアップをとっておくことも大切です。データのバックアップをとっていれば、もし不正アクセスされても元の状態に戻すことができます。しかし、外部記憶媒体を使ってデータをバックアップする場合には、管理方法についてしっかりとルールを決めておく必要があります。
まとめ
ご紹介したように、情報漏洩が発生する原因は1つだけとは限りません。情報漏洩を未然に防ぐためには、社内でのデータの取り扱いルールを徹底したり、情報管理に関する指導を行ったりといった取り組みが必要となります。
また、サイバー攻撃や誤送信対策を搭載しているメールセキュリティサービスを利用するのもおすすめです。メールセキュリティサービスを導入すれば、情報漏洩によるトラブルを未然に防ぐことができます。
サイバーソリューションズでは、メールセキュリティサービスに関する資料を配布していますので、ぜひお気軽にお申し込みください。
