企業で起こりえるセキュリティ不備によるトラブルとは
大企業、中小企業問わず起こりうるよくあるセキュリティ不備によるトラブルと、その対策例について解説します。
1.機密情報の入ったIT機器の紛失
セキュリティ不備に関するトラブルの代表格の1つが、情報が入った機器の物理的な紛失です。顧客情報や自社の機密情報が入ったパソコンやUSBなどの端末を社外に持ち出し、紛失してしまうケースがこれに該当します。出張や取引先へ訪問する際に持ち出したパソコンが入った鞄を電車に置き忘れてしまう、顧客の個人情報が入ったUSBをはじめとする記録媒体を落として紛失してしまう、などの事態が考えられます。
必要な対策
こうした物理的な機器の紛失は、持ち出し禁止などの規定を設けていない限り中々防ぐことはできません。ただし、モバイルワークやテレワークが浸透している現在、パソコンやUSBの持ち出し禁止規定を設けるのは現実的に難しいのが実情です。対策としては、「紛失は必ず起きてしまう」という前提で以下のようなルールや施策の導入が有効です。
| USBなどの端末 | ・機密情報を扱ったときはパソコンでデータを保存し、作業終了時にUSBのデータを消すなどの使用ルールを決める ・テレワークでない限り社外への持ち出しは禁止する |
| ノートパソコン | ・紛失・盗難に対応した、遠隔でのデータ消去サービスを導入する ・ログイン時に生体認証を用いる |
2.取引先や委託先からの情報漏えい
取引先や委託先との間でセキュリティに関する協議をしていない場合、データの取り扱いの不備により思いもよらない形で情報が漏えいする場合があります。例えば、取引先企業のウイルス対策が不十分で、自社のデータまで漏えいしてしまう、委託先企業の従業員が個人情報が入ったデータを不正に持ち出してしまう、などです。
このように、情報を漏えいしたのが取引先や委託先だったとしても、発注元として自社が責任を問われます。
取引先や委託先への情報漏えいを防ぐには原則として、口頭ではなく書面で情報取り扱いルールや禁止事項などを明記する必要があります。具体的には次のような対策を検討しましょう。
| 取引先からの情報漏えい対策の例 | ・不本意な情報開示を求められないよう見積書や契約書に開示できない情報の範囲を明記する ・契約書には秘密保持条項を盛り込み、秘密保持や目的外使用の禁止、データの返却、消去義務などを定めておく |
| 委託先企業からの情報漏えい対策 | ・委託先選定時参考にするセキュリティに関する基準を用意しておく
(ウイルス対策は万全か、プライバシーマークなどの第三者認定を取得しているか、データの扱いに関するマニュアルがあるか、など) ・委託したらそのままではなく、情報管理が規定通り行われているかフォローアップする ・委託終了後は情報管理の在り方について振り返りをする |
インターネット関連のリスクと対策
メールやSNS、スマートフォンのアプリ利用などに関するインターネット関連のセキュリティリスクとその対策について解説します。
1. パソコン
業務で使用するパソコンについて十分なセキュリティ対策をしなければ、簡単に情報漏洩が起きるリスクがあります。テレワーク導入の影響で増加しているセキュリティ上のリスクとその対策を解説します。
①ウイルス感染のリスク
従業員が使用しているパソコンにウイルス感染することで情報漏えいやシステムへの攻撃が起きる危険があります。ウイルス感染は対策が不十分のままだと防ぐことができません。ウイルス感染の防止のため、以下のような対策を取りましょう。
- ウイルス対策ソフトを必ずインストールする
- 事前にパソコンにウイルス対策ソフト等インストールされていないか確認してからインストールする (セキュリティ対策ソフトを複数利用すると、互いに不正ソフトと認識して機能しない場合があるため)
②個人所有のパソコン使用のリスク
モバイルワークや在宅勤務などで、個人使用のパソコンを業務に使うと、サイバーセキュリティ対策が十分になされていないため簡単にウイルスに感染してしまうケースが多くあります。
個人所有のパソコン使用については、以下の制限を設ける対策を取りましょう。
- 個人所有のパソコンの業務使用について利用制限を設ける
- テレワーク導入は会社から支給したウイルス対策済みのパソコンを使えるようになってからにする
2.スマートフォン
業務でスマートフォンを利用するときは、不審なアプリを無断でインストールすることによってウイルスに感染する可能性があります。例えば、スマートフォンの操作中「ウイルスに感染しています、ウイルスを除去しましょう」という表示を出して問題のあるアプリへ誘導し、インスト―ルを行わせるという手口が実際に発生しています。
ウイルス感染の被害を起こすアプリをインストールしたことで起こる被害は、スマートフォンの情報が抜き取られる、メールの内容が流出する、スマートフォンを遠隔操作される、などです。
このようなリスクについては以下のような対策を検討しましょう。
- 不審なアプリの情報、インストールさせる手口を周知しておく
- アプリをインストールするときはセキュリティ担当の許可を取る
- スマートフォン用のウイルス対策ソフトを導入する
3. メール・SNS
スマートフォンやパソコンでメールやSNSを利用する際は認証や不審なメール、SNS利用時の情報漏えいなどのセキュリティ上の懸念がつきまといます。それぞれのリスクの内容と対策は以下のとおりです。
①メールアドレスを使った認証
会員登録が必要なサイトやインターネットを介したサービスを利用する際、メールアドレスやID、パスワードによる簡単な認証では、不正アクセスが起きる可能性があります。単一的な認証は二段階認証などに比べてマルウェア等の攻撃に対する脆弱性が高いため、悪意ある侵入を簡単に許してしまうおそれがあるためです。
メールアドレスを使った認証による不正アクセス防止のためには以下のような対策を検討しましょう。
- 外部ツールを使用する際は、2つ以上の情報を組み合わせる二段階認証を有効にする
- 単一的な認証しか実装していないツールやサービスは使わないようにする
②スパムメールの受信
スパムメールとは受信者の意向を無視して大量に送りつけるメールのことで、広告宣伝や架空請求、詐欺を狙ったメールなどが該当します。スパムメールの中にはウイルスやスパイウェアなどのマルウェアが添付されていたり、フィッシング詐欺に誘導したりするタイプもあります。
以下のような対策でスパムメールによる被害を防ぐ対策を取りましょう。
- スパムメールのフィルター設定を行う
- マルウェアの対策ソフトをインストールする
- パソコンでメールを使う場合OSを最新版に保っておく
- 不審な添付ファイルを開かないようセキュリティ教育を実施する
③業務端末でのSNS利用
スマートフォンなどの業務用端末で個人的なSNSを利用したり、職場の情報を自分のSNSに投稿したりすると、機密情報の漏えいにつながる場合があります。
具体的には、業務端末で自分のSNSアカウントを利用している最中にウイルスに感染したサイトのリンクを開き情報を流失させる、自分のデスク周りの写真をSNSに投稿し、機密情報や個人情報が写り込んでしまった、職場でしかり知り得ない情報を個人のアカウントで漏らしてしまった、などの事態です。
このようなSNS利用に関するリスクについては、以下のような対策を取りましょう。
- 原則として業務端末で個人SNSの利用は禁止する
- 社内の写真はSNSには投稿しないというルールを周知する
- 匿名アカウントであっても顧客にかかわる情報は投稿しないというルールを周知する
入退出管理 リスクと対策
パソコンやUSBなどの機器やインターネットに関連したものだけでなく、鍵の取り扱いや施錠ルールなどの入退室管理に関係する物理的なセキュリティに関係するリスクも存在します。入退室管理に関する具体的なリスクと対策について解説します。
1.従業員に対する対策
入退室管理をする上で、管理の対象、または管理を実施する当事者となる従業員に対して行うべき対策を解説します。
①出入り口の施錠管理が不十分
機密情報を扱う部屋の出入り口の施錠ルールが曖昧であったり、鍵の管理がずさんだと、外部の不法侵入者から機密情報を持ち出される可能性があります。特に鍵の所持者を記録する仕組みがないと、いつ鍵が持ち出されたのか後から検証することができず、セキュリティ上の不備が大きくなります。
施錠管理の不備の対策として、次のような方法を検討しましょう。
- 総務を中心に鍵の取り扱いマニュアルを決めておく
- 誰がいつ鍵を持っているか明確にする管理表を活用する
- 複数鍵を管理する場合は、キートレーサーを活用する
- 入退室管理システムを導入する
②内部からの情報持ち出し
情報漏えいは、従業員によって故意に引き起こされる場合もあります。近年では、従業員が機密情報を扱うエリアに入り、金銭目的で個人情報を外部に流失させるといった事例もあり、内部からの情報持ち出しにも十分備えておかなければなりません。
一般従業員が出入りできる範囲が広いと、内部からパソコンや記録媒体に入った機密情報などを持ち出される可能性もあるため、エリアごとの入退室管理の見直しが必要です。
情報持ち出しの対策を兼ねた入退室管理について次のような方法を検討しましょう。
- エリアごとに役職に応じた入室制限を設ける入退室管理を行う
- 機密情報を扱うエリアはパスワード制の入室制限を設ける
- 機密情報を扱うエリアは生体認証でしか入室できないような制限を設ける
2.来客に対する対策
来客や出入りの業者から自社の情報が持ち出される可能性も考慮してセキュリティ対策を講じる必要があります。セキュリティに不備があると、来客として入室した者が機密情報を扱うエリアに侵入する、または入退室用のICカードを従業員から借りて従業員専用のエリアに入る「なりすまし入室」などの事態を許してしまいます。
これらの事態を防ぐため、以下のような厳重な入退室管理ができる対策を検討しましょう。
- セキュリティの高いエリアは、一般従業員や来客者がいるエリアより高度な入室制限を設ける
- 重要エリアは顔認証や指紋認証などでICカードだけではなりすましできないような入室制限を設ける
- 重要エリアの入退室は監視カメラによる記録を残し、後から検証できるようにする
近年注目された企業のセキュリティ関連の問題
近年発生した企業のセキュリティ不備に関する事件について、注目度や被害の大きさについて特筆すべき事例をまとめました。
1.個人情報流出が問題で顧客数百人に賠償金を支払う
2014年に通信教育・出版業大手の関連会社で働く派遣社員が顧客の個人情報を流出させた事例です。流失件数は約3504万件に上り、この関連会社は謝罪のため、個人情報の流出被害にあった人に対し1人500円、最大200億円を特別損失として計上していました。この後、別途行われた裁判によって被害にあった顧客462人に合計150万円を賠償として支払うことが決まりました。
個人情報の漏えいは、関連会社で働いていた派遣社員が名簿業者への売却目的で顧客データを記録媒体にコピーして持ち出したことが原因と考えられています。裁判では、関連会社の使用者責任が問われ、賠償の責任があるという判決に至りました。内部の人間が行う機密情報の持ち出しへの対策が重要と再確認された事例だと言えます。
2.情報共有ツールから顧客情報が流出
2021年に国内IT企業が運営している情報共有ツールが不正アクセスされ、官庁を含む顧客情報が流出した事例です。ツールが不正アクセスを受けた理由は複数あると考えられていますが理由の1つとして、ツールがパスワードとIDのみのアクセスが可能な仕様であり、多要素認証※が実装されていなかったことも指摘されました。
この事例から、多要素認証がないツールを使うことにも情報漏えいリスクが潜んでいることが分かります。ツールの選定時も「多要素認証に対応しているか」という項目を含む、セキュリティ対策への考慮が必要だと考えられます。
3.個人情報が入ったUSBメモリーを一時紛失
2022年に、地方自治体住民に関する個人情報を保存したUSBデータを委託先企業が一時紛失した事例です。USBには数万人分のデータが入っており、利用が終わった後も個人情報データの消去作業を行っていませんでした。USBの社外持ち出しをした状態で、USBを入れた鞄を酔って紛失していたことが明らかになり、委託先企業における個人情報関連の扱いのずさんと、発注元の自治体の管理責任が問題視されました。
この事例では、委託先企業が更に別に企業に再委託をしていたため発注元の管理が及んでいなかったことも分かっています。「委託先企業で実効性ある情報セキュリティ対策を徹底させるにはどうすればよいか」「再委託がされた場合、セキュリティ対策は実施できるのか」という問題について注目が集まりました。
まとめ
企業のセキュリティ対策は、パソコンやUSBなどの機器の紛失・盗難防止をはじめ取引先・委託先との契約、インターネット環境におけるウイルス対策など多岐にわたります。これらは企業が取るべき基本的な対策ですが、1つでも怠ると個人情報の漏えいやシステム障害など重大な損害を引き起こす可能性があります。
セキュリティ強化には、インターネットを介した不正アクセスの対策の他にも、不法侵入や内部の犯行による機密情報持ち出しなど、物理的な対策も欠かせません。自社のセキュリティ対策を行う際は、入退室管理に関するセキュリティ対策を点検するとともに、鍵の管理や入退室ルールの見直しなども改めて行うと確実です。セキュリティ対策を万全にするためには、入退室の記録が取得が可能かつ、入室制限のルールを設けられる入退室管理システムの導入が有効です。
関連記事
-
業務改善ガイド 2021.08.31
-
業務改善ガイド 2021.08.31
-
業務改善ガイド 2021.12.21
