会社を守る！知らないとまずい情報漏洩対策10選｜運用ルールと活用術

• 2023.3.03 (金)
  Posted by コワークストレージ窓口

強固な情報漏洩対策の実施は、企業が抱える重大な課題のひとつです。
ただ、情報漏洩対策の重要性については理解していても、

「具体的に何をすればいいのだろう」
「一応、情報漏洩対策はしているけれど、今の対策で十分なのかな？」

と不安に思われている方も、多いのではないでしょうか。

情報漏洩対策は、なにか1つを選ぶのではなく、原因にあった対策を多層構造で実施することが大切です。

具体的には以下のようなことを実践してください。

▼原因別｜情報漏洩対策

そして、情報漏洩対策を策定した後はこれを形骸化させないよう、適切に運用していかなければなりません。

この記事では、企業が抱える重大な課題である情報漏洩対策に関する下記のような項目について、詳しく解説します。

情報漏洩の原因の中でも特に多いのが、「不正アクセス」や「ウイルス感染」といった、外部からの攻撃によるものです。

そこでまずは、外部からの攻撃に対する情報漏洩対策について、見ていきましょう。

外部からの攻撃に対する情報漏洩対策としては、下記のようなものが有効です。

外部からの攻撃を原因とする情報漏洩を防ぐためにまず実践したいのが、セキュリティソフトの導入です。

ネットワーク接続されている様々な機器は、下記のようなリスクにさらされています。

▼情報漏洩の原因となる外部からの攻撃

情報を保管している機器がこれらの攻撃に遭うと、情報を盗まれたり、消去されたり、改ざんされたりする恐れがあります。

そこで活用したいのが、セキュリティソフトです。
セキュリティソフトを導入すれば、これらの攻撃から自社のネットワークを防御することができます。

■セキュリティソフトを導入する際のポイント
セキュリティソフトは、「沢山導入すればそれだけ高い効果を得られる」「高価なソフトを導入すればいい」というものではありません。

複数のソフトを導入すると互いに干渉しあって正常に作動しないことがありますし、知名度の高いソフトが自社のニーズを満たしてくれるとも限りません。

セキュリティソフトを導入する際は、下記のような点に注目し、自社のニーズにあったものを選ぶようにしましょう。

なお、近年はパソコンだけでなく、IoT機器やスマートフォンを狙ったサイバー攻撃が増加しています。
そのため、セキュリティソフトの導入は、業務で使用しているパソコンだけでなく、スマートフォンやタブレットなど全てのデバイスに対して行うことが大切です。

外部からの攻撃による情報漏洩を防ぐには、不正アクセス検知システムの導入も効果的です。

不正アクセスとは、正当なアクセス権限を持たない者が情報システムやサーバー内部へ侵入する行為のことをいいます。

不正アクセスは、情報漏洩の原因になるばかりでなく、サーバーや情報システムを機能不全に陥らせることもあるため、企業にとって非常に大きな脅威であるといえます。

そこで導入したいのが、不正アクセス検知システムです。

「不正アクセス検知システム」とは、不正なアクセスがあった場合にこれを検知し、これを遮断するシステムのことをいいます。

近年は、手動で操作するボートスキャンやDDoS攻撃などのほか、ロボットを使って行う不正アクセスも増加しています。

例えば、ロボットによるID/パスワードの総当たりによる不正アクセスが発生した場合、通常のセキュリティシステムでは攻撃を防御できない可能性があります。

この点、不正アクセス検知システムを導入していれば、システムがロボットによる不正アクセスを検知し、ブロックしてくれるのです。

多くの企業が、ファイアウォールなどによる対策を実施しているとは思いますが、万一それを突破されてしまった場合への備えとして、不正アクセス検知システムを導入してはいかがでしょうか。

情報漏洩を防ぐには、より強固な認証方式の導入も効果的です。

例えば、下記のような認証方式はいかがでしょうか。

① 二段階認証
通常のIDとパスワードを用いた認証に加え、メールやSMS、スマートフォンアプリを用いて認証を行う方式です。

② ワンタイムパスワード
使い捨てのパスワードを用いて、ログインを行う認証方式です。

指定の電話番号やメールアドレスに1度限り使用可能なパスワードが送付され、それを入力することでログイン出来るようになります。

③ リスクベース認証
使用者の行動パターンやIPアドレス、アクセスログ、使用しているOSなどの情報をもとに本人かどうか識別し、ログインの可否を決定する認証方式です。

本人かどうか疑わしい場合は、追加の質問を行うことで、さらに安全な認証ができます。

④ 生体認証
指紋や顔など、個人の身体的特徴を活用した認証方式です。

身体的特徴はその人しか持っていない固有の情報であるため、複製画非常に困難です。そのため、秘匿性が高い情報を守る手段として、生体認証を導入している企業も少なくありません。

■認証方式を選ぶ際のポイント

認証方式を選ぶうえで最も重視すべきなのは、安全性です。
具体的には、検討している認証方式が下記の条件を満たすか、検討してみましょう。

▼安全性の判断基準

単純なパスワード認証だけでは、情報漏洩対策として不十分です。

大切な情報を守るためには上記のような多要素認証の導入により、セキュリティを強化することが大切です。

そのうえで、予想されにくいパスワードを設定したり、生体認証など複製されにくい認証方式を選んだり、といった工夫をしましょう。

ただ、ここでもう一つ考慮しなければならないのが、利便性です。

セキュリティを強化することは大切ですが、認証は日常的に行うものです。

そのため、認証に時間をとられて業務に支障がでたり、覚えにくいパスワードで頻繁に再発行しなければならなかったり、といった自体は避けなければなりません。

認証方式を選ぶ際は、安全性に加え、下記のような観点をもとに利便性についても考慮するようにしましょう。

▼利便性の判断基準

認証方式は、これらの基準をもとに、「安全性」と「利便性」を総合的に考慮して決めることをおすすめします。

各種セキュリティシステムの導入やより強固な認証方式の導入が普及しつつある現在においても、「IDとパスワードの適切な管理」」は、非常に重要です。

IDとパスワードを口外しない、第三者に教えない、というのは基本中の基本ですが、他にも下記のような対策を徹底することで、情報セキュリティをより強固なものにすることができます。

▼ID・パスワードの適切な管理方法

なお、パスワードの変更は、3か月に1度くらいのペースで実施することをおすすめします。

外部からの攻撃による情報漏洩を防ぐには、システムの脆弱性について定期的に確認することも大切です。

■ 脆弱性チェックは診断ツールの活用がおすすめ！
システムの脆弱性チェックにおいては、Webやスマートフォンをはじめとするアプリケーションの脆弱性をチェックする「アプリケーション診断」と、これを実行するために使うサーバーや各種ネットワーク機器、OSなどの脆弱性をチェックする「プラットフォーム診断」を行う必要があります。

これらを手作業で行うと多くの時間と手間を要しますし、”抜け、漏れ”があった場合、情報セキュリティが脅かされる事態に陥りかねません。

そこでおすすめしたいのが、「脆弱性診断ツール」の活用です。

このツールを使えば、複数の項目を自動的にチェックすることにより、アプリケーションとプラットフォーム、それぞれに問題が発生していないか確認することが可能です。

サイバー攻撃など外部からの攻撃手段は日進月歩で進化していますので、これらの脅威から自社の大切な情報を守るためにも、診断ツールを導入してはいかがでしょうか。

そして、万が一、何らかの脆弱性が発見された場合には、システム改修をしたり新たなシステムを導入したり、といった対策を講じましょう。

ネットワーク接続されている機器は様々な脅威にさらされていますが、これらの攻撃手段は、日進月歩で進化しています。

そのため、「セキュリティシステムを導入したのだから、もう安心」と油断していると、古いシステムの脆弱性を突いて、攻撃を受ける可能性があります。

セキュリティシステムや不正アクセス検知システムなどを導入した後は、自社のシステムに脆弱性がないか、定期的に確認しましょう。

情報漏洩の原因として、外部からの攻撃に次いで多いのが、「誤表示・誤送信」や「誤廃棄」といった、人為的ミスによるものです。

そこで次は、人為的ミスに対する情報漏洩対策について、見ていきましょう。

人為的ミスに対する情報漏洩対策としては、上記のような手段が効果的です。

人為的ミスによる情報漏洩を防ぐには、「誤送信が起きないルールを定める」ことが大切です。

業務でメールを扱ったことがある人ならば1度くらいは、「誤って、違う相手にメールを送信しそうになった」という経験があるのではないでしょうか。

例えば、大量の個人情報を誤った相手に添付・送信してしまうと、深刻な情報漏洩事案に発展する可能性があります。

こういったリスクを回避するには、「宛先に注意してメールする」といった対策では不十分で、誤送信が起きないような、根本的解決策を講じなければなりません。

例えば、下記のような対策はいかがでしょうか。

▼誤送信を防ぐルールの例

近年は、誤送信による情報漏洩事案が増加傾向にありますので、十分な対策を講じておくことをおすすめします。

情報漏洩を防ぐには、個人情報や機密情報などの重要情報を、社外に持ち出さないことが大切です。

様々な企業や組織において、置き忘れや紛失、盗難などによる情報漏洩事故が報告されていることを考えても、管理者（上長など）の目の行き届かないところにおける情報の利用は、かなりハイリスクであるといえます。

ただ、パソコンやタブレットを取引先での商談に使ったり、重要情報が記載された書類をもとに交渉をしたり、といったニーズもあるため、「情報を一切持ち出さない」というのも難しいでしょう。

そこで実践したいのが、「情報も持ち出しに関するルールを定める」という対策です。

「情報の持ち出しは禁止」を原則としつつ、やむを得ずこれを持ち出す場合に備え、厳格なルールを定めましょう。

具体的には、下記のようなルールを定めることをおすすめします。

▼情報の持ち出しに関するルールの例

これらはあくまでも参考例ですので、実際の業務内容および持ち出す情報の重要度と照らし合わせ、自社に合ったルールを定めましょう。

情報漏洩は、未処理のままの情報資産を誤廃棄したり、机上に放置した情報資産を窃盗されたり、といったことが原因で起きるケースも少なくありません。

そこで実践したいのが、「情報を安易に放置しない」という対策です。

具体的には、下記のような対策をおすすめします。

ここで挙げた対策はどれも、初歩的なものばかりです。

皆様の中には、「こんなこと、言われなくてもわかっている」と思われる方も、多いかもしれません。

ただ、こういった対策を徹底できていないために、情報漏洩事故が起きているのも事実です。

企業の大切な財産である重要情報を守るためにも、今一度、これらの対策が重要であることを確認し、全社員にその実践を徹底させましょう。

情報漏洩を防止するには、内部不正への対策も講じておかなければなりません。
そこで実践していただきたいのが、下記2つの対策です。

この章では、内部不正に対する情報漏洩対策について、詳しくご紹介します。

情報漏洩を防ぐには、情報漏洩対策の重要性に関する従業員教育を、徹底して行うことが大切です。

個人情報をはじめとする重要な情報を実際に多く扱うのは、一般の社員です。

どんなに厳格なルールを定めても、どんなに徹底した対策を講じても、これを社員に周知できてなくては意味がありません。

また、情報セキュリティに対する社員の意識が低いと、「面倒だから」「このくらいなら大丈夫だろう」と社内のルールを無視し、これが原因となって重大な情報漏洩事故が発生する可能性もあるでしょう。

情報漏洩対策を確実に実践し、漏洩事故をより確実に防ぐには、情報の取扱いに関する社内のリテラシーを高めることが大切です。

具体的には、情報セキュリティに関する研修を定期的に実施し、下記のような点について徹底した教育を行いましょう。

▼情報漏洩対策を徹底するために社員に教育すべきこと

情報漏洩対策には、社員全員で取り組まなければなりません。

情報セキュリティに関する教育は、社員かどうかを問わず、業務に携わる者全員に対して実施しましょう。

残念なことに情報漏洩は、内部不正によって引き起こされるケースが少なくありません。
そこでおすすめしたいのが、社員との間で秘密保持義務に関する誓約書を交わす、という方法です。

秘密保持義務に関する書面を交わすことには、下記のような効果が期待できます。

▼秘密保持義務に関する書面を交わすことで期待できる効果

なお、秘密保持義務に関する誓約書は、入社時に交わすことをおすすめします。
これを取り交わしたうえで情報セキュリティに関する教育を実施することで、社員の意識をより高められますし、社員自身が、「情報を漏洩させることがどれほど重大な事案なのか」、イメージしやすくなるからです。

情報漏洩は様々な原因で引き起こされますが、中でも多いのが以下の3つです。

情報漏洩の原因について知っておくことは、ここまでご紹介した対策を徹底して実践するうえでとても大切です。
ここでは、情報漏洩の原因について詳しく見ていきましょう。

情報漏洩の原因として最も多いのが、不正アクセスやウイルス感染といった、外部からの攻撃によるものです。

東京商工リサーチが発表した『上場企業の個人情報漏洩・紛失事故 調査(2021年)』によると、2021年に上場企業で発生した個人情報漏洩・紛失事故事故のうち、46.7%が外部からの攻撃を原因とするものでした。

※東京商工リサーチ『上場企業の個人情報漏洩・紛失事故 調査(2021年)』のデータをもとに作成

情報漏洩事案の約半数近くが、外部からの攻撃によって引き起こされていることが分かります。

ウイルス感染などによって情報が漏洩した場合、その被害は、紙媒体の紛失や盗難などを原因とする場合よりもはるかに甚大なものになります。

現在、ほとんどの企業が外部とネットワーク接続されている機器を業務に利用しているかと思いますので、外部からの攻撃に対する備えは、十分に講じておきましょう。

※外部からの攻撃に対する情報漏洩対策については、「1. 外部からの攻撃に対する情報漏洩対策」をご参照ください。

情報漏洩の原因の中で、外部からの攻撃に次いで多いのが、誤操作や紛失を始めとする「人為的ミス」によるものです。

東京商工リサーチが発表した『上場企業の個人情報漏洩・紛失事故 調査(2021年)』によると、2021年に発生した個人情報漏洩・紛失事故事故のうち、42.9%が人為的ミスを原因とするものでした。

※東京商工リサーチ『上場企業の個人情報漏洩・紛失事故 調査(2021年)』のデータをもとに作成

情報が漏洩した場合の被害が大きいため、外部からの攻撃にばかり目が向きがちですが、これとほぼ同じくらいの割合で、人為的ミスによる情報漏洩事案が発生していることがわかります。

情報漏洩の原因となる人為的ミスには、下記のようなものがあります。

▼情報漏洩の原因となる人為的ミス

これらのミスを防ぐには、厳格なルールを定めるとともに、情報セキュリティに関する社員教育を徹底する必要があります。

人為的ミスに対する情報漏洩対策については「2. 人為的ミスに対する情報漏洩対策」で詳しく解説していますので、ぜひご参照ください。

情報漏洩は、内部不正によって引き起こされることも少なくありません。

独立行政法人情報処理推進機構 （IPA）が発表した『情報セキュリティ10大脅威2022』によると、2021年における組織向け脅威TOP5は、下記の通りです。

▼2021年における組織向け脅威TOP5

1位から4位までが外部からの攻撃に分類される脅威で、5位が「内部不正による情報漏洩」となっています。

情報漏洩の原因となる内部不正の具体例としては、下記のような行為が挙げられます。

▼情報漏洩の原因となる内部不正行為の一例

非常に残念なことではありますが、内部不正を原因とする情報漏洩事案は後を絶えません。

情報漏洩を防ぐには、外部からの攻撃や人為的ミスだけでなく、内部不正に対する対策も徹底して行う必要があります。

内部不正に対する情報漏洩対策については「3. 内部不正に対する情報漏洩対策」で詳しく解説していますので、ぜひご参照ください。

情報漏洩対策は、適切に運用してこそ、その真価を発揮するものです。
そこで意識していただきたいのが、下記3つのポイントです。

この章では、情報漏洩対策を運用するにあたって意識すべきポイントについて、詳しく解説します。

情報漏洩対策は、多層防衛構造にすることによって、より強固なものにすることができます。

多層防衛とは、何重にもわたってスキのない防御策を講じることをいいます。

例えば、不正アクセスに対する情報漏洩対策について考えると、

• ① 一次策としてファイアウォールで不正アクセスをブロック
• ② これをすり抜けた不正アクセスについてはIPSでブロック
• ③ それもすり抜けたアクセスについては不正アクセス検知システムでブロック、

というように多層防衛をすることで、より強固な対策をすることができます。

不正アクセス検知システムまですり抜けられた時のために、機密情報についてはすべて暗号化しておく、といった対策も効果的でしょう。

このように情報漏洩対策は、「この対策さえすれば安心」と考えるのではなく、それぞれの対策を多層防御構造にして、より強固な対策にアレンジしていくことをおすすめします。

■ 網羅的な情報漏洩対策も大切
情報漏洩対策は、なにかひとつの脅威に対してだけ備えるのではなく、あらゆる脅威から大切な情報を守れるよう、網羅的な構造にすることも大切です。

「ここのセキュリティはしっかり固めたからもう安心」と考えるのではなく、外部からの攻撃や人為的ミス、内部不正など、あらゆる脅威に対応できるよう、網羅的な対策を講じる必要があるでしょう。

1～3章では様々な情報漏洩対策を原因別にご紹介しましたが、会社の大切な資産である情報を漏洩させないためには、これらのうちどれか一つを選ぶのではなく、複数の対策を組み合わせて実践することをおすすめします。

情報漏洩対策を適切に運用するためには、策定した対策やルールを企業の「全関係者」に周知徹底することも大切です。

ここにいう「関係者」とは、下記のような方々のことを言います。

• ・ 企業の役員
• ・ 企業で働く従業員（雇用形態を問わず）
• ・ 外注先
• ・ 取引先

会社の業務では、外注先に機密情報を提供したり、取引先との商談に重要な情報を用いたり、といったことが少なくありません。

外注先や取引先の担当者の情報セキュリティ意識が低いと、大切な情報をぞんざいに扱い、うっかり漏洩させてしまう、といった可能性もゼロではないでしょう。

こういった事態に陥らないためには、会社の従業員のみならず、外注先や取引先を含む「全関係者」に対して、策定した情報漏洩対策を周知徹底することが大切です。

厳格な情報漏洩対策を策定しても、「一度作って終わり」になったり、「慣れ」や「マンネリ」によって形骸化させてしまったりしては、意味がありません。

そこで実践したいのが、定期的にPCDAを回して情報漏洩対策を形骸化させない、という対策です。

会社の規模や扱う情報の量、種類などにもよりますが、少なくとも年に1度は対策の運用について見直し、実情に合ったルールになっているか、改善点はないか、といった点について話し合うことをおすすめします。

近年はテレワークの普及により、様々な情報を社外に持ち出す機会が増えています。

それに伴い情報漏洩対策のあり方を見直す必要があるのですが、中には、過去に策定した対策をそのまま実施するにとどまり、現状に合った対策ができていない企業も少なくありません。

では、テレワークが普及した現代における情報漏洩対策は、どのように行えばいいのでしょうか。

この章では、下記ポイントについてわかりやすく解説します。

近年はテレワークの普及により、社内情報を持ち出すケースが増えています。

テレワークをするためにはやむを得ないことなのですが、それに伴い深刻な問題となっているのが、情報漏洩リスクの増大です。

かつて多くの企業では、情報漏洩防止の観点から、社内情報の持ち出しを禁止していました。

テレワークなど全く想定していない環境だったのですから、無理もないでしょう。

ただ、ここ数年で働き方が大きく変化し、テレワークを導入する企業が増えてきました。

そうなると懸念されるのが、情報漏洩対策のあり方です。

社内で業務をするのが当たり前だった時代の情報漏洩対策では、情報セキュリティを守り切れない可能性があります。

事実、独立行政法人情報処理推進機構 （IPA）が発表した『情報セキュリティ10大脅威2022』では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が、「組織向け脅威」の第4位にランク付けされています。

テレワークという働き方の弱点を突いて、情報を窃取したり、漏洩させたりしようとする人がいるのです。

こういった脅威に備えることは、企業にとって最重要課題である、といっても過言ではないでしょう。

テレワークに伴う情報漏洩を防ぐには、クラウドの活用をおすすめします。

クラウドとは、インターネット上で様々な機能を提供するサービスのことをいいます。

例えば、クラウドストレージを活用する、という方法はいかがでしょうか。

クラウドストレージとは、インターネット空間に設けられた「保管場所」で、ファイルを保管（保存）できるのはもちろん、保管しているファイルを共有することもできます。

例えば、USBメモリなどの記録媒体に情報を保管している場合、テレワークをするにはこれを社外に持ち出さなければなりません。

そうすると、紛失や盗難などにより、情報を漏洩させてしまうリスクがあります。

一方、クラウドストレージに情報を保存している場合、テレワークに伴い、物理的な記録媒体を持ち出す必要はありません。

自宅からクラウドストレージにアクセスしてデータをダウンロードすれば、業務に必要な情報を照会することができます。

これからテレワークを導入しようとしている方はもちろん、既にテレワークを導入しているものの十分な情報漏洩対策ができていないという方は、クラウドの活用を検討してみてはいかがでしょうか。

NTT東日本が提供する「コワークストレージ」は、これからの時代に合った情報漏洩対策を実施したい方に、ぜひおすすめしたいサービスです。

というのも、コワークストレージには充実した情報セキュリティ機能が搭載されているため、御社の大切なデータを、安全に保管していただけます。

ここでは、コワークストレージに搭載されている情報セキュリティ機能について、ご紹介させていただきます。

自社の情報セキュリティに不安を抱えている方は、コワークストレージの導入を検討してみませんか？

コワークストレージでは情報漏洩のリスクを徹底的に排除すべく、クラウド内においてはもちろん、端末や通信経路に至るまでその全てにおけるファイルデータを、複数レイヤーで暗号化しています。

データを暗号化しておけば、万一不正なアクセスをされたとしても、情報が漏洩するリスクがかなり低くなります。

データの暗号化は自動で行いますので、ユーザーが操作をする必要はありません。

コワークストレージならば、特別な手間と時間をかけることなくデータを暗号化し、安全に保管することができるのです。

コワークストレージでは、二段階認証機能を導入することで、情報セキュリティをより強固なものにしています。

二段階認証では「ID＋パスワード」に加えSNSや認証アプリなどを使ってログインする必要があるため、万一、IDやパスワードが流出してしまったとしても安心です。

近年はロボットによるID＋パスワード総当たりでのなりすましログインが横行していますが、二段階認証機能があれば、こういった脅威からも大切な情報を守れるでしょう。

さらにコワークストレージでは、「回線認証」をご利用いただくことも可能です。

回線認証とは、契約回線からのみストレージへのログインができるようにする認証システムのことをいいます。

このシステムを採用すれば、契約している回線からしかストレージにログインできないため、第三者による不正なログインが起きるリスクは、ほぼありません。

以上のようにコワークストレージでは、充実した認証システムを導入することにより、不正なアクセスなどからお客様の大切な情報を守っています。

7-3. 管理者を含め全てのログを記録

コワークストレージでは、管理者を含め全てのユーザーが行った操作を、ログとして記録しています。

このログを活用すれば、下記のようなことが可能です。

• いつ、誰が、どこから、どのようなソフトで、何をしたのか、すべてのアクセスを追跡
• 蓄積されたログをもとに、定期的な監査を実施
• 問題発生時、蓄積されたログをもとに各種調査を実施

コワークストレージでは、「いつ、誰が、何をしたのか」ということを共有できるのはもちろん、「共有した時点においてファイルがどのような状態だったのか」といったことまで、証跡として記録します。

そのため、悪意あるユーザーが情報を不正に操作したり、ファイルを改変したりしたとしても、これを隠ぺいすることはできません。

この機能があることを周知徹底すれば、「内部不正をすれば必ずバレる」という危機感を、ユーザーに持たせられるでしょう。

■ 30日間の無料トライアルでコワークストレージの使い心地を体感してみませんか？
コワークストレージでは、全てのサービスを無料で利用できる、「無料トライアル」をご提供しています。

無料トライアルは、簡単な手続きでお申込みいただけます。

自社の情報セキュリティに不安を抱えている方、テレワークが普及する現代に合った情報漏洩対策をご検討中の方は、コワークストレージの導入を検討してみませんか？

まずは無料トライアルより、サービスの使い心地をお試しください！

情報漏洩対策は、その原因に即した方法を組み合わせて実施しなければなりません。

▼原因別｜情報漏洩対策

情報漏洩対策は、「策定して終わり」ではありません。
策定した後はこれを形骸化させないよう、適切に運用することが大切です。

運用にあたっては、下記のような点を意識しましょう。

近年はテレワークの普及により、情報漏洩対策のあり方が見直されています。
既に何らかの対策を講じているという方も、その対策が現状に合っているかどうか、検証してみてはいかがでしょうか。

ページの先頭へ

コワークストレージのトップに戻る