COLUMN

2022.07.06 ｜ Writer：NTT東日本　アベ

【企業向け】情報漏洩対策の完全ガイド｜情報漏洩で重要な2つの視点

「自社で情報漏洩の対策をしたいけど、何をすればいいんだろう？」

「情報漏洩対策ってこれで良いのかすこし不安、、、」

そのように疑問に感じていませんか。

社内の情報漏洩対策を進めるには、

企業における情報漏洩対策
社員自身の情報漏洩対策

の2つの観点で対策を網羅的に進めることが大切です。

具体的には、主な情報漏洩対策として以下があります。

企業における情報漏洩対策	社員の行動における情報漏洩対策
社内ガイドラインの策定社内教育による社員のセキュリティ意識と知識の向上社員と守秘義務契約の締結業務フローを考慮した情報漏洩防止システムの設計・運用セキュリティソフトの導入・更新	情報の不要な持ち出し・持ち込みをしない情報の安易な放置・廃棄をしない許可を得ずに権限の譲渡・情報の口外をしない信頼性の低いメールやサイトにアクセスしない情報漏洩のリスクがある場合はすみやかに報告する

実際に情報漏洩対策を一から進めていくのは大変なことです。そこで今回は、情報漏洩対策の進め方について以下の内容で解説します。

本記事でわかること
企業における主な情報漏洩対策社員の行動における基本の情報漏洩対策よくある情報漏洩の主な原因

この記事を読めば、自社で情報漏洩の対策を進め、リスクを最小限に減らせるようになります。

情報セキュリティの重要性が謳われている今日、社内の情報管理を万全にするためにも、ぜひ最後まで読み進めてくださいね。

1.企業における主な情報漏洩対策: 1-1. 社内ガイドラインの策定; 1-2. 社員のセキュリティ意識と知識向上を促す機会を設ける; 1-3. 社員と守秘義務契約の締結; 1-4. 業務フローを考慮した情報漏洩防止システムの設計・運用; 1-5. セキュリティソフトの導入・更新
2.社員の行動における基本の情報漏洩対策: 2-1. 情報の不要な持ち出し・持ち込みをしない; 2-2. 情報の安易な放置・廃棄をしない; 2-3. 許可を得ずに権限の譲渡・情報の口外をしない; 2-4. 信頼性の低いメールやサイトにアクセスしない; 2-5. 情報漏洩のリスクがある場合はすみやかに報告する
3.情報漏洩対策は網羅的に進めることが重要
4.よくある情報漏洩の主な原因: 4-1. 社内に潜む情報漏洩の原因; 4-2. 外部による情報漏洩の原因
5.自社で優先すべき情報漏洩対策が分かる3つのステップ: 5-1.優先度を決定するための3つの観点を理解する; 5-2.目的に合わせて優先度を決定する
6.近年はテレワークによる情報漏洩リスクが高まっている: 6-1. 自宅で業務をするための情報の持ち出しが問題となる; 6-2. 安全にテレワーク環境を整えるのにクラウドサービスが有効
7.NTT東日本のクラウドソリューションなら最適なクラウド環境をご提案: 7-1. リーズナブルな価格設定で高品質のクラウド導入を実現; 7-2. ネットワークからクラウド導入まで一元的にサポート; 7-3. 150社以上のクラウド導入実績
8.まとめ

1.企業における主な情報漏洩対策

冒頭でもお伝えした通り、情報漏洩の対策には企業における対策と社員の行動における対策が重要です。ここでは企業における対策について詳しく解説します。

企業において取り組むべき、主な情報漏洩対策は以下の5つです。

企業における主な情報漏洩対策
社内ガイドラインの策定社内教育による社員のセキュリティ意識と知識の向上社員と守秘義務契約の締結業務フローを考慮した情報漏洩防止システムの設計・運用セキュリティソフトの導入・更新

詳しく解説していきます。

1-1. 社内ガイドラインの策定

まずは社内における情報セキュリティのガイドラインを策定します。ガイドラインを策定することで、社内で情報の取り扱い方法や方針を共有しやすくなるためです。

情報セキュリティに関しては、国内外であらゆるガイドラインが発行されています。社内ガイドラインの策定において、どのガイドラインを参考にするかは企業の判断次第です。ここでは、代表的なガイドラインをご紹介します。

代表的な情報セキュリティのガイドライン
サイバーセキュリティ経営ガイドライン	経済産業省と独立行政法人情報処理推進機構（IPA）が策定
中小企業の情報セキュリティ対策ガイドライン	独立行政法人情報処理推進機構（IPA）が策定
NISTサイバーセキュリティフレームワーク（Framework for Improving Critical Infrastructure Cybersecurity）	米国国立標準技術研究所（通称NIST）が策定

「サイバーセキュリティ経営ガイドライン」は、経営者に向けて、サイバー攻撃から企業を守るための理念や行動を示したものです。2022年5月時点の最新版は「サイバーセキュリティ経営ガイドライン Ver2.0」となっています。

「中小企業の情報セキュリティ対策ガイドライン」は、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成され、個人事業主や小規模事業者を含む中小企業の利用を想定しています。

「NISTサイバーセキュリティフレームワーク」は米国の組織が策定したフレームワークです。このフレームワークを参考に前述の「サイバーセキュリティ経営ガイドライン」が改定されました。国際標準の情報セキュリティの参考になります。

上記のガイドラインを参考に社内ガイドラインを策定して共有することで情報漏洩防止の明確な基準を作る必要があります。

1-2. 社員のセキュリティ意識と知識向上を促す機会を設ける

情報漏洩を防ぐには、社内教育によって社員のセキュリティ意識と知識を向上させることが重要です。社員一人一人の行動が社内情報を守ることにつながります。

社内ガイドラインを共有する機会を設ける
社内のセキュリティ研修を実施する

など、社内教育によって情報セキュリティの意識を高めましょう。

社内教育を実施することで、日常的な情報漏洩の発生リスクを抑えられ、もし情報漏洩が起きた場合でも迅速に対応できるので被害の拡大を防げます。

そのため、セキュリティに関する知識や情報は研修で毎年繰り返し共有し、社員に深く浸透させることが大切です。

まずは、情報漏洩に関する社内ガイドラインを共有する機会やセキュリティ研修を設けましょう。

1-3. 社員と守秘義務契約の締結

社員と守秘義務契約を締結することで、社内情報の公言を防ぎましょう。

人によっては危機意識の薄さから、社内で知り得た情報を口外してしまうことがあります。

また、安易にSNSで発信してしまう可能性もあるでしょう。

そこで、正式に守秘義務契約を結ぶことが有効です。

契約の締結によって社員に責任感や緊張感を持たせることで、情報の取り扱いに慎重になるため、公言してしまうリスクを下げられます。

社員に情報セキュリティを守る自覚を促す方法としてぜひ検討してみてください。

1-4. 業務フローを考慮した情報漏洩防止システムの設計・運用

情報漏洩を防ぐには、社員の意識や行動だけでなく、システムから設計することが有効です。ヒューマンエラーによる情報漏洩のリスクをゼロにすることは難しいので、リスクを前提としたシステム設計・運用をしていきましょう。

業務フローに合わせて情報漏洩防止システムを設計・運用します。具体的には以下の通りです。

情報漏洩防止システムの設計・運用
不正アクセスを防ぐセキュリティ性の高い社内ネットワークを構築する OSなどの定期アップデートを行うシステムに脆弱性がないか定期的に確認する

特にここ数年はリモートワークを導入する企業が増え、情報セキュリティシステムの拡充が求められています。仮想的な閉域網を構築する「VPN接続」などを利用し、安全な社内ネットワーク環境を整えましょう。

また、情報共有やコミュニケーションにおけるツールとしてクラウドサービスを利用する機会も増えています。

クラウドサービスは誰でもアクセスできるという懸念点があるため、社内のツールとして利用する場合は信頼性が高くセキュリティ対策が施されているものを選ぶことが大切です。

1-5. セキュリティソフトの導入・更新

有効な情報漏洩対策として、セキュリティソフトの導入・更新があります。セキュリティソフトを導入すれば効率よくウイルスやサイバー攻撃を検知・駆除・ブロックしてくれるので、早期対応につながりますよ。

法人向けのおすすめのセキュリティソフトは以下になります。

法人向けのおすすめのセキュリティソフト
1. ノートン360（ノートンライフロック※旧シマンテック）　 2. ウイルスバスタークラウド（トレンドマイクロ） 3. ZEROウイルスセキュリティ（ソースネクスト）

日本国内における2022年時点のシェアはノートンライフロックが34%、トレンドマイクロが31.2%、ソースネクストが11.7%を占めています。（参考：BCN AWARD 部門別受賞企業セキュリティソフト）

なお、ノートンライフロックは世界シェアでも1位のセキュリティソフトメーカーです。総合的に高い性能で、世界中で採用されています。常に最新のデータから高度化するウイルスに対抗してくれるので安心です。

ソースネクストは上位2つに比べるとシェア率が低いものの、更新料0円でコストを大幅に削減できることが特徴となっています。

また、「セキュリティソフトは導入したけど、更新していない」というケースが多いので要注意です。

ウイルスなどの脅威は日々進化しているため、安全性を確保するには定期的に更新し、最新の状態に保つことが重要になります。

社内でセキュリティソフトを導入・更新していない場合は、早急に対応しましょう。

2.社員の行動における基本の情報漏洩対策

自社の情報漏洩を防ぐためには、社員の行動から対策することも非常に重要です。社員一人一人が情報の取り扱いに慎重になることで、情報漏洩の人的リスクを最小限に抑えられます。

ここでは、社員の行動における基本の情報漏洩対策を解説します。社内でできているかどうか、今後徹底すべき対策はないかを考えながら読み進めてみてくださいね。

社員の行動における基本の情報漏洩対策
情報の不要な持ち出し・持ち込みをしない情報の安易な放置・廃棄をしない許可を得ずに権限の譲渡・情報の口外をしない信頼性の低いメールやサイトにアクセスしない情報漏洩のリスクがある場合はすみやかに報告する

それでは見ていきましょう。

2-1. 情報の不要な持ち出し・持ち込みをしない

社員が情報の不要な持ち込みや持ち出しをしないようにしましょう。

具体的には、以下のようなことです。

情報の不要な持ち出し・持ち込みをしないことの具体例
私用のスマホやパソコンを社内ネットワークに接続しない社用のパソコンを安易に外に持ち出さない社用のパソコンを外に持ち出す場合は、データ暗号化や端末ロックなどの対策をする機密情報が記載された書類を外に持ち出さない仕事用と私用でメールアドレスを使い分ける

特に機密性の高い情報が保存されたパソコンやUSB、書類の持ち出しは漏洩のリスクが高いため避けた方が安全です。残業をする場合でも持ち帰らず、社内でのみ行うようにしましょう。

最近では、私用のスマホを社内に持ち込んで仕事中に使える環境も増えています。適切に使用する分には問題ないものの、使い方によっては情報漏洩につながるリスクがあります。

もし私用のデバイスがすでにウイルスに感染していた場合、接続した機器も感染するおそれがあるため注意が必要です。社内でどんなに強固な対策をしていても、ウイルス感染をしている機器を持ち込んでしまうことで重大な事態に陥る可能性があります。

2-2. 情報の安易な放置・廃棄をしない

社内情報がわかるものを安易に放置・廃棄しないことも大切です。

社員が放置・廃棄したものを第三者に見られ、情報漏洩につながるおそれがあります。

以下のような点に注意して対策しましょう。

情報の安易な放置・廃棄をしないことの具体例
社用のスマホやパソコンが開いた状態（ロックがかかっていない状態）で離席しない紙の書類を置きっぱなしにしない紙の書類を保管するときは保管場所に鍵をかける紙の書類を廃棄する場合は、シュレッダーにかける社用のスマホやパソコンを廃棄する場合は、データを完全に削除する

社内外問わず、デバイスや書類の放置はしないように心がけ、廃棄する場合は適切な方法を守ります。

また、肌身離さず持っているつもりでも、仕事後に居酒屋などに行ってデバイスや書類が入った鞄から意識を離してしまうことがあるでしょう。情報を持ち歩いているときは、管理に十分に気をつけなければなりません。

社用のスマホやパソコンの廃棄時にきちんとデータが削除されていないと、トラブルに発展しかねません。ガイドラインなどで廃棄方法を共有し、適切に処分しましょう。

2-3. 許可を得ずに権限の譲渡・情報の口外をしない

情報漏洩対策として、許可を得ずに閲覧や編集の権限譲渡や情報の口外をしないことも重要です。

不用意な相手に情報そのものやアクセス権限が渡ると、思わぬ情報漏洩につながる恐れがあります。

無意識のうちにリスクの高い行為をしているケースは意外と多いです。自社の社員の行動に問題がないかチェックしてみてください。

許可を得ずに権限の譲渡・情報の口外をしないことの具体例
個人の判断で許可を得ずにデータの閲覧・編集権限を譲渡しない SNSなどで社内の情報を漏らさない家族や友人など社外の相手に対して機密情報を口外しない

特に、飲食店などで仕事の話をすると、どこで誰が聞いているかわかりません。飲酒する場合などは気をつけましょう。

意図せず情報漏洩に繋がる危険性がある行動については具体的な例を出して共有して、社会人として社内情報を外に漏らすリスクを下げることが重要となります。

2-4. 信頼性の低いメールやサイトにアクセスしない

情報漏洩を防ぐには、社員が信頼性の低いメールやサイトにアクセスしないよう徹底することが大切です。アクセスを避けることでウイルス感染のリスクを減らせます。

信頼性の低いメールやサイトの特徴は以下の通りです。

信頼性の低いメールやサイトの特徴
メールの送信元がフリーメールアドレスになっているメールのタイトルや本文に文字化け・不自然な日本語が見られるサイトのURLに鍵マークが表示されていないサイトのURLにインフォメーションマークや警告マークが表示されているサイトのURLが「http」で始まる

サイトを見分けるときは、鍵マークの有無や「http」と「https」の違いに注目しましょう。

鍵マークは「SSLサーバー証明書」が導入されていることを意味し、信頼できる第三者機関（認証局）が認めた正当なサイトであることがわかります。

また、「https」の”s”は「secure（安全な）」を意味します。通信を暗号化して安全性を高める「SSL／TSL」という仕組みが採用されているため、信頼できるサイトの目印です。

鍵マークがなく”s”がない「http」から始まるURLの場合は、保護されていない通信です。そのようなサイトで重要情報を入力してしまうと、情報漏洩のリスクがあることに注意しましょう。

2-5. 情報漏洩のリスクがある場合はすみやかに報告する

情報漏洩のリスクがある場合は、すみやかに報告することで被害を最小限に抑えられます。問題が発覚してからすぐに対処できるよう、些細なことでも社員が報告しやすい環境にすることも大切です。

情報漏洩は誤送信など小さなミスからでも起こります。そのとき、社員が「これって情報漏洩になるのかな？」「ちょっとしたことだから大丈夫じゃない？」と迷っていると対応が遅れ、大きなトラブルに発展しかねません。

情報漏洩が起きてからでは対処が非常に大変です。リスクがあるときにはすみやかに報告するよう社員の意識を高めることが、トラブル防止につながります。

情報漏洩のリスクがある時の具体例を社員間で共有し、小さなことでも報告できる環境を作りましょう。

情報漏洩のリスクがあるときの具体例
社内ネットワークに私用のスマホやパソコンからアクセスしてしまったとき社内情報が掲載された書類を紛失してしまったとき不審なメールのURLをクリックしてしまったときメールの送信先を間違えたとき共有するデータを間違えたとき鍵マークがないサイトで重要性の高い情報を入力・送信してしまったとき無料Wi-Fiに接続後にデバイスの挙動がおかしいとき

情報漏洩のリスクがあるときの具体例

社内ネットワークに私用のスマホやパソコンからアクセスしてしまったとき
社内情報が掲載された書類を紛失してしまったとき
不審なメールのURLをクリックしてしまったとき
メールの送信先を間違えたとき
共有するデータを間違えたとき
鍵マークがないサイトで重要性の高い情報を入力・送信してしまったとき
無料Wi-Fiに接続後にデバイスの挙動がおかしいとき

また、情報漏洩のリスクがあるときの対処法を社員が十分に共有できていると、報告から対応までもスムーズです。

起こりやすい情報漏洩の原因を把握し、どのように対応すべきかを知っておきましょう。

次章では、よくある情報漏洩の主な原因をお伝えします。

3.情報漏洩対策は網羅的に進めることが重要

これまで企業と社員の行動という2つの観点で主な情報漏洩対策についてお伝えしましたが、情報漏洩対策はこの2つを網羅的に進めることがとても重要になります。

なぜなら、情報漏洩のリスクはあらゆるシーンに潜んでおり一部のセキュリティを高めたから安全ということにはならないためです。

1つの対策に投資してもほかの部分の脆弱性をつかれれば、情報漏洩は起きてしまうでしょう。

たとえば、以下のようなケースが想定できます。

セキュリティ対策の網羅性が低く情報漏洩につながるケース
精度の高いセキュリティソフトを導入して不正アクセス対策をしたが、社員が重要書類をカフェに置き忘れて情報漏洩が起きた社員全体でセキュリティの情報共有をしていたが、社内ネットワークシステムにセキュリティホールがあり情報漏洩が起きた

企業全体の情報セキュリティを高めるには、企業側の体制やシステムから社員の意識や行動まで、幅広く配慮しなければなりません。

多方面で対策を講じることで、企業として高い情報セキュリティを実現できるのです。

4.よくある情報漏洩の主な原因

企業の情報漏洩でよくある原因を知ることで、効果的な対策を取りやすくなりますよ。

情報漏洩には、社内に潜む原因と外部による原因に大きく分けられます。それぞれ確認しておきましょう。

よくある情報漏洩の主な原因
社内に潜む情報漏洩の原因	外部による情報漏洩の原因
誤操作紛失・置き忘れ管理ミス	不正アクセス盗聴セキュリティホール

4-1. 社内に潜む情報漏洩の原因

社内に潜む情報漏洩の原因は人為的なものが多く、社員の意識や行動、業務フローやシステムを改善することが対策につながります。詳しく見ていきましょう。

4-1-1. 誤操作

誤操作による情報漏洩は非常によくあります。情報機器を扱うのが人である以上、ミスを100％防ぐのは難しいものです。

よくある誤操作には以下があります。

よくある誤操作の例
メールの送信先を間違えるメールに添付するファイルを間違える共有するファイルを間違えるデータを外部閲覧可能な状態に変更してしまう伏せるべき情報を公開したままサイトに掲載してしまう

社員自身が誤操作をしないよう細心の注意を払うことはもちろん、ヒューマンエラーが起きにくい手順づくりなどが重要になるでしょう。

4-1-2. 紛失・置き忘れ

近年は働き方の多様化から、紛失や置き忘れによる情報漏洩のリスクが高まっています。

あとから見つかったとしても、「会議の大切な書類をなくしてしまった！」「必要な書類が見当たらない！」という経験がある方は意外と多いのではないでしょうか。

次のようなシチュエーションで紛失や置き忘れが発生しやすくなっています。

よくある紛失・置き忘れの例
重要な書類を取り扱っているときに別の業務を依頼されて気を取られ、置き忘れる打ち合わせ終わりに休憩スペースなどに寄り、置き忘れる書類を整理整頓できておらず、紛失する書類のコピーを取り、原本を置き忘れるカフェやコワーキングスペースで作業し、置き忘れる

最近ではリモートワークが進んだことで、仕事の書類やデータを自宅に持ち帰る人が増えました。自宅だけでなくカフェやコワーキングスペースなどで作業をする人もいるでしょう。作業範囲が拡大すれば、その分だけ紛失や置き忘れが起こる可能性も高まります。

カフェやコワーキングスペースでは、注文やお手洗いに行くときなど席を外す際に、書類を広げたまま放置しないよう注意が必要です。

第三者の目に触れる場所で紛失や置き忘れをしてしまうと、情報漏洩につながる大きな原因となります。

社内の重要書類を扱うときは、目の前の書類の取り扱いに集中し、別のことに注意が逸れないよう十分に気をつけなければなりません。

4-1-3. 管理ミス

管理ミスによって情報漏洩に至るケースもあります。情報管理は漏洩対策の基本ですが、意外とミスが起きることがあるので注意しましょう。

具体的な管理ミスとして以下のことが挙げられます。

よくある管理ミスの例
重要書類を入れる棚の鍵をかけ忘れる重要な社内データを誰でもアクセス可能な状態のままにしてしまう重要なデータが保存された媒体の保管方法が定められていない重要書類の取り扱いや受け渡し手順が定められていない重要情報が保存された媒体のデータを消去せずに廃棄している

よくある管理ミスの例

重要書類を入れる棚の鍵をかけ忘れる
重要な社内データを誰でもアクセス可能な状態のままにしてしまう
重要なデータが保存された媒体の保管方法が定められていない
重要書類の取り扱いや受け渡し手順が定められていない
重要情報が保存された媒体のデータを消去せずに廃棄している

社内情報の取り扱い方法や保管方法がきちんと定められていないと、漏洩につながりやすくなります。

企業として情報をどれほど慎重に管理できているかは、情報セキュリティの面から非常に重要です。

管理ミスによる情報漏洩があれば、企業としての信頼を失いかねません。管理ミスは未然に防げるものが多いので、しっかりと対策を行いましょう。

4-2. 外部による情報漏洩の原因

外部による情報漏洩は、悪意を持つ第三者によるものが多いです。情報システムのセキュリティを高め、外部からのアクセスを防ぐことが対策につながります。詳しく見ていきましょう。

4-2-1. 不正アクセス

外部による情報漏洩の原因として大部分を占めるのが不正アクセスです。近年はサイバー攻撃による不正アクセスの被害が増加しています。

東京商工リサーチの調査では、情報漏洩・紛失事故のうち「ウイルス感染・不正アクセス」がおよそ5割を占めました。

（参考：東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査（2020年））

不正アクセスは1事故あたりで流出する情報件数が他の原因と比べて圧倒的に多く、大きな被害につながりやすいです。

年々高度化・巧妙化するサイバー犯罪に対して、情報セキュリティの重要性が高まっています。

4-2-2. 盗聴

意外と多い情報漏洩の原因が盗聴です。ここでの「盗聴」には、盗み見ることも含まれます。

特に近年はメールの内容を盗み見られるリスクが高いため、注意が必要です。

メールには企業間の取引内容などが記載されているものが多く、情報が漏れることで取引停止に追い込まれて業績に影響する可能性があります。

また、盗聴ツールを仕掛けられて情報を盗まれることもあります。もし顧客の個人情報が漏洩すれば大きな問題です。

4-2-3. セキュリティホール

コンピュータープログラムの不具合や設計上のミスが原因で生じるセキュリティの欠陥（セキュリティホール）が原因となるケースもあります。

代表的なセキュリティホールとして「バッファオーバーフロー」があります。

バッファオーバーフローとは、OSやアプリケーションソフトのプログラムが処理に利用しているメモリのバッファに過剰量のデータが渡されることで、予測しない動作が実行されたりシステムが停止したりすることです。

セキュリティホールを放置していると、外部からの攻撃やウイルス感染の危険性が高まるため、情報漏洩につながりやすくなります。

セキュリティホールが見つかったときには危険な行為を避け、早急に対処することが大切です。

5.自社で優先すべき情報漏洩対策が分かる3つのステップ

「ただ自社にもリソースの限界があるので、一気に行うのは難しい」

「計画的に情報漏洩対策を行いたいので、優先度をだしたい」

「自社にとっての情報漏洩対策の優先度が知りたいな」

では実際に自社でどのように情報漏洩対策を進めていけばいいのでしょうか。情報漏洩対策は網羅的に進めるべきですが、優先順位はあります。

ここでは、自社で優先すべき情報漏洩対策の選び方について見ていきましょう。

自社で優先すべき情報漏洩対策の選び方
優先度を決定するための3つの観点を理解する目的に合わせて対策の優先度を決定する優先度の高い対策から着手する

5-1.優先度を決定するための3つの観点を理解する

情報漏洩対策に優先度をつけるには、「重要度」「緊急度」「コスト」の3つの観点を理解することが大切です。3つの観点がどのような状態にあるかで優先度を決定します。

それぞれについて詳しく見ていきましょう。

優先度を決める観点①：重要度

1つ目の観点は、重要度です。

重要度は、以下の内容に当てはまるほど高くなります。

重要度を決める要素
セキュリティの問題に幅広く対応できるセキュリティの問題の根本的な解決につながる情報漏洩が起きた時に被害が大きい

たとえば、重要度が高い対策として社員のセキュリティ教育があります。

社員のセキュリティ教育は、あらゆるシーンで情報漏洩のリスクを減らせる上に、日常的な意識・行動からセキュリティを高められる根本的な対策といえます。

重要度は、セキュリティに与える影響が大きいため、基本として3つのなかで最も重視すべき観点です。

優先度を決める観点②：緊急度

2つ目の要素は、緊急度です。

緊急度は、以下の内容のものに当てはまるほど高くなります。

緊急度を決める要素
早急に対策をしなければ情報漏洩が起きる可能性が高い情報漏洩のリスクが頻繁に生じている

緊急度が高い対策の具体例として、セキュリティホールの解消があります。

セキュリティホールはセキュリティ上の欠陥であり、放置すると情報漏洩の重大なリスクがあるため、早急な対応が求められます。

緊急度は、社内の状況をよく観察しなければわかりにくいこともあります。

定期的に社内セキュリティの脆弱性を確認することが大切です。

優先度を決める観点③：コスト

3つ目の観点は、コストです。

コストは、以下の内容のものに当てはまるほど高くなります。

コストを決める要素
長い時間がかかる大きな手間がかかる高額な費用がかかる

コストの場合、社内の業務量や財政状況を見て検討しましょう。

リソースにゆとりがないときはコストが低い対策を選択します。

5-2.目的に合わせて優先度を決定する

次に、目的に合わせて優先度を決定していきます。

優先度を決定するときは、基本的に「重要度」「緊急度」が高いものを選びます。
ただし、かけられるコストには限りがあるため、「コスト」とのバランスを見ながら決定することが大切です。

ここでは、わかりやすく目的と重視すべき要素を明確にして解説していきますが、実際には社内の状態からバランスをよく考えて優先順位を決めるようにしてください。

それでは、主要な目的ごとに優先度の決定方法を見ていきましょう。

目的①：基本的なセキュリティ対策を整えたい

「まずは基本のセキュリティ対策から始めたい」

「これだけやればとりあえず安心できるという対策を優先したい」

このように基本となるセキュリティ対策が目的なら、「重要度」を重視して優先度を決定しましょう。

たとえば、ほかの要素とのバランスを考えて以下のように優先度を考えることができます。

	重要度	緊急度	コスト
優先度A	高い	高い	低い
優先度B	高い	高い	高い
優先度C	高い	低い	低い
優先度D	高い	低い	高い

なお、コストに関しては社内の業務量や財政状況によって優先度が変化し得ます。

優先度Aの対策の例としては、

　社内ガイドラインの策定

　社員のセキュリティ教育

　セキュリティソフトの導入・更新

などが挙げられるでしょう。

目的②：すぐにやるべきセキュリティ対策をしたい

「とにかく直近の脅威に対抗したい」

「取り急ぎ、差し迫った情報漏洩リスクを抑えたい」

このようにすぐにやるべきセキュリティ対策が目的なら、「緊急度」を重視して優先順位を決定しましょう。

緊急度を重視した場合、以下のように優先度を考えることができます。

	重要度	緊急度	コスト
優先度A	高い	高い	低い
優先度B	高い	高い	高い
優先度C	低い	低い	低い
優先度D	低い	低い	高い

緊急度が高い対策として、

社内システムのセキュリティホールの対応

セキュリティソフトの導入・更新

などが挙げられますね。

社内における情報漏洩リスクが高いシーンに応じて具体的な対策に優先度をつけ、選択していきましょう。

目的③：低コストでできる限りのセキュリティ対策をしたい

「社内のリソース的に、コストを抑えたセキュリティ対策から実行したい」

「手軽にできるものから導入したい」

このように、低コストでセキュリティ対策に取り組むことが目的の場合、「コスト」を重視して優先順位を決定します。

	重要度	緊急度	コスト
優先度A	高い	高い	低い
優先度B	高い	低い	低い
優先度C	低い	高い	低い
優先度D	低い	低い	低い

コストが低い情報漏洩対策として、

書類を保管する棚を施錠する

パスワードを設定する

守秘義務契約を締結する

などが挙げられるでしょう。

コストが低い情報漏洩対策はすぐに実践できるものが多いので、重要度や緊急度が高いものから積極的に進めていくのがおすすめです。

まずは低コストな対策を実行し、ゆとりができたらコストの高いものにも着手していくといいでしょう。

5-3.優先度の高い対策から着手する

これまでご紹介した対処法や社内の状況を総合的に考慮し、優先度の高い対策から着手していきましょう。

優先度に沿って情報漏洩対策に取り組めば、効果的に社内のセキュリティを高められますよ。

また、社内の状況や目的に応じて優先度は変化するものです。

基本的な情報漏洩対策ができれば、よりピンポイントなセキュリティの向上に移っていくことになります。

長期的な視野で優先度を度々更新しながら、安定した情報漏洩対策に取り組んでくださいね。

6.近年はテレワークによる情報漏洩リスクが高まっている

企業における情報漏洩対策の進め方についお伝えしましたが、近年はコロナ禍によるテレワークの普及で情報漏洩リスクが高まっており、より柔軟な対策が求められています。情報セキュリティの現状についてみていきましょう。

6-1. 自宅で業務をするための情報の持ち出しが問題となる

テレワークが普及したことで、自宅で業務をするために社内の情報を持ち出すケースが増加しており問題となっています。

もともと多くの企業では、情報漏洩対策の観点から社内情報の持ち出しを禁止しており、テレワークを想定していない環境でした。

新型コロナウイルスの拡大で急速にテレワークが推進されるなかで、企業によってはテレワークを導入したとしても、情報漏洩対策が十分でないケースがあります。

企業がテレワーク環境を整えるには、社内ネットワークの最適化やツールの活用、セキュリティ対策が必要です。

しかし、どのようにテレワーク環境を整えるべきか悩み、安全なテレワーク環境の構築にハードルを感じる経営層は多いでしょう。

6-2. 安全にテレワーク環境を整えるのにクラウドサービスが有効

企業が安全にテレワーク環境を整える有効な方法として、クラウドサービスがあります。

クラウドサービスとは、インターネット上でさまざまな機能を提供するものです。

テレワーク環境に必要なものをすべて用意しようとすると大きなコストがかかりますが、クラウドサービスを利用すれば初期投資や運用コストを抑えながら、安全にテレワーク環境を整えられます。

クラウドサービスとして「AWS」「Azure」が有名です。

Amazon Web Services（AWS）は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
Microsoft Azureは、Microsoft Corporationの米国及びその他の国における登録商標または商標です。

7.NTT東日本のクラウドソリューションなら最適なクラウド環境をご提案

NTT東日本では、テレワークで必要なクラウド環境を柔軟にご提案します。クラウドサービスを導入するならぜひご活用ください。

NTT東日本のクラウドソリューションの強み
リーズナブルな価格設定で高品質のクラウド導入を実現ネットワークからクラウド導入まで一元的にサポート 150社以上のクラウド導入実績

NTT東日本のクラウドソリューションの3つの強みをご説明します。

7-1. リーズナブルな価格設定で高品質のクラウド導入を実現

NTT東日本は、業界内でもリーズナブルにクラウド環境をご提供できるため、コストを抑えた導入と運用を実現できます。

また、AWS有資格者が多数在籍しており、豊富なラインアップから予算に合わせて最適なクラウド環境をご提案できます。

現在のオンプレミスの仕様をそのままクラウドへ移行したい
少しずつクラウド環境へ移行したい
セキュリティの高いクラウド環境に移行したい
できるだけ早くクラウド環境に移行したい

などのお悩みやご要望を丁寧にヒアリングした上で、最適な選択ができるようサポートいたします。

「コストを抑えながら安全な環境を整えたい」という方にも最適です。

7-2. ネットワークからクラウド導入まで一元的にサポート

NTT東日本では、ネットワークの構築からクラウド環境の導入までを一貫してご提供できます。

安全性を目的としてクラウドを導入する場合、自社の目的に沿ったネットワーク環境を構築できた方がより望ましいでしょう。

しかし、クラウド導入を提供しているサービスでは、クラウド導入のみでネットワークの構築に対応していないことも多いです。

クラウド導入にはネットワークの悩みや課題が出てくるケースが多く、追加でネットワーク事業者の選定や契約をしなければなりません。

NTT東日本なら、ネットワークからクラウド導入までをまとめてご提供できる上に、豊富な実績からあなたのご要望に合わせたネットワーク環境を構築可能です。

できるだけ手間やコストをかけずにテレワーク環境を整えたい
セキュリティが高いネットワークを利用したい
安定した通信環境でクラウドを運用したい

このような悩みやご要望についてご相談いただければ、ご予算内で希望に合わせたネットワークとクラウドの導入・運用をご提案します。

7-3. 150社以上のクラウド導入実績

NTT東日本では、これまで150社以上の導入実績に加えて、クラウドを活用したサービスや運用を行ってきました。

高い実績があるからこそ、あらゆる業界や規模に合わせて、最適な導入や運用をご提案できます。

独自システムとクラウドを連携させ、ビジネスの領域を拡大
情報システム担当者無しでファイルサーバークラウド化
クラウドを活用した業務効率化
セキュリティレベルの高いクラウド環境の構築
膨大な映像や動画コンテンツを保存できる拡張性の高いクラウド環境を構築

ぜひあなたのクラウド化へのお悩みやご要望をお聞かせください。

NTT東日本では、情報漏洩に強い安全なクラウド環境をご提案できます。クラウドの導入や運用でお困りの際は、NTT東日本にお任せください。

8.まとめ

この記事では、情報漏洩の対策について解説しました。最後に記事の内容をおさらいしましょう。

社内の情報漏洩対策を進めるには、企業ベースでの対策と社員の行動ベースでの対策を網羅的に進めることが大切です。

企業における情報漏洩対策	社員の行動における情報漏洩対策
社内ガイドラインの策定社内教育による社員のセキュリティ意識と知識の向上取引先と守秘義務契約の締結業務フローを考慮した情報漏洩防止システムの設計・運用セキュリティソフトの導入・更新	情報の不要な持ち出し・持ち込みをしない情報の安易な放置・廃棄をしない許可を得ずに権限の譲渡・情報の口外をしない信頼性の低いメールやサイトにアクセスしない情報漏洩のリスクがある場合はすみやかに報告する

よくある情報漏洩の主な原因
社内に潜む情報漏洩の原因	外部による情報漏洩の原因
誤操作紛失・置き忘れ管理ミス	不正アクセス盗聴セキュリティホール

自社で優先すべき情報漏洩対策の選び方
社内にある情報の把握情報管理の課題を確認対策方法や導入システムの検討

企業で情報漏洩対策を推進するステップ
優先すべき情報漏洩対策に取り組む社内における情報漏洩対策に取り組む外部に対する情報漏洩対策に取り組む

NTT東日本のクラウドソリューションの強み
リーズナブルな価格設定で高品質のクラウド導入を実現ネットワークからクラウド導入まで一元的にサポート 150社以上のクラウド導入実績