情報漏洩対策

2023年1月19日

企業が取り組むべき情報セキュリティ対策とは。事例から対策までの流れを解説

1 企業がするべき情報セキュリティ対策とは？
2 情報漏洩にまつわる外部環境について
3 情報セキュリティ対策の企業事例3選
4 情報セキュリティの4つの対策例
5 情報セキュリティ対策における重要な４つのポイント
6 まとめ

企業がするべき情報セキュリティ対策とは？

情報セキュリティとは、企業の保有する機密情報や個人情報を保護し、それらを利用する情報システムの安全性や可用性を保つことです。
IT化が進み、インターネットを介して業務を行うことが当たり前となった今日では、情報セキュリティのリスクを回避あるいは軽減するための対策が重要です。
もし対策を怠れば、金額面での損失はおろか社会的信用も失墜しかねません。
そこで本記事では、企業が取り組むべき情報セキュリティ対策について、事例やポイントをふまえ解説します。

情報漏洩にまつわる外部環境について

まずは、情報漏洩の現状と被害の実態を把握し、情報漏洩が起こりうる外部環境について理解を深めましょう。

情報漏洩事件の現状

2022年1月17日に公表された東京商工リサーチの調査結果によると、上場企業の個人情報漏洩・紛失事故は年々増加傾向にあり、2021年は過去最多の137件で、流出した個人情報は574万人以上。

その原因の内訳をみると「ウイルス感染・不正アクセス」「誤表示・誤送信」「紛失・誤廃棄」の3つが、全体の9割を占めています。
とくに「ウイルス感染・不正アクセス」は、49.6%でほぼ過半数を占めており、他の原因と比べても格段に多いです。
「ウイルス感染・不正アクセス」による事故は、2014年あたりで一旦落ち着きましたが、2016年からは増加傾向にあり、それに伴って情報漏洩も増えているのが現状です。

また、情報漏洩・紛失の原因を媒体別にみると、その6割が「社内システム・サーバー」で59.1%、続く「パソコン」が21.9%、「書類」が10.9%となっています。
サーバーや端末（パソコン）からの流出で8割を超えますが、依然として紙媒体の「書類」による紛失もあるため注意が必要です。

情報セキュリティリスク

情報セキュリティリスクとは、システムの障害や、システムで利用するデータの破損あるいは改ざんによって生じる可能性のあるリスクを指します。
具体的には以下のようなケースです。

・ハードウェアの耐用年数が限界に近い。
・システムに不具合があり、業務を正常に行えない。
・利用中のソフトウェアに脆弱性が発見された。
・従業員なら誰でも重要なデータにアクセスできる。

いずれの場合も、適切な対策をとらなければ、以降で示すような情報セキュリティ事故を引き起こす危険性をはらんでいます。

参考：脆弱性診断とは？ペネトレーションテストとの違い、ツール比較の3つのポイントを解説 | 漏洩チェッカー

情報セキュリティの被害の実態

実際にどのような情報セキュリティの被害が起きているのか、実例をもとに解説します。

ランサムウェア攻撃

ランサムウェアとは身代金要求型と呼ばれるウイルスの一種。
感染したサーバーや端末のデータを暗号化またはロックし、そのデータを「人質」として身代金を要求する不正プログラムです。
IPAの2022年版情報通信白書によれば、FBI調べで2022年のランサムウェア攻撃被害届件数は3,729件で、2021年の2,474件より大幅に増加しています。

日本でも警察庁が注意喚起しているものの、2022年上半期のランサムウェアによる被害件数は114件あり、前年の146件を大きく上回りそうな勢いです。

標的型攻撃メールによる被害

標的型攻撃メールとは、特定の組織や企業をターゲットとしたウイルス付きのメールのこと。
その目的は、ウイルス感染によって個人情報などの重要データを盗み出すことにあります。
たとえば2016年8月、旅行会社の株式会社JTBで、標的型攻撃メールにより670万人以上の個人情報を流出させた可能性のある事件が発生しています。
取引先に成りすました標的型攻撃メールを、従業員が不正メールとは疑わずに添付ファイルを開いた結果、ウイルスに感染してしまいました。

重要情報の持ち出し管理

リモートワークや社外の作業で、重要情報が保存されたノートPCやUSBメモリを業務上やむを得ず社外に持ち出すケースでは、情報漏洩の危険性が高まります。
たとえば2022年には、以下のような持ち出し事故が発生しています。

・北海道のきたみらい農業協同組合の職員が、個人使用のUSBメモリに組合のサービス利用者の情報を記録し持ち出し紛失。
・加賀電子株式会社が、従業員や取引先の個人情報約3,000件が記録された業務用ノートPC1台を紛失。

いずれの事件も流出した情報の悪用は表面化していませんが、デバイスは見つかっていないので二次被害の懸念は残ったままです。

関連記事：USB紛失に関連する情報漏洩事件まとめ | 漏洩チェッカー

内部の不正による情報漏洩

重要情報の持ち出しは、従業員や元従業員が不正利用目的で持ち出す可能性もあります。
たとえば2022年には、以下のような不正利用目的の情報漏洩が発生しています。

・福島県で元勤務先の2,000件以上にわたる営業機密情報を不正に持ち出した男女二人が、転職先のクラウド上に保存した疑いで郡山警察に逮捕される。
・自衛隊旭川地方協力本部に所属していた男性隊員が、隊員の募集活動で収集した個人情報（使命、電話番号など）を外部に流出し、金銭を受け取っていたことが発覚。隊員は懲戒処分に。

このように、内部不正による情報漏洩には、金銭目的による売買や転職先など他社での営業活動に流用する目的で持ち出されるケースがあります。

情報セキュリティ対策の企業事例3選

情報セキュリティの現状や実際に起きた事件を見てきましたが、ここでは中小企業で実際に行われた情報セキュリティ対策の例を紹介します。

1.顧客情報の大量保有を契機にセキュリティ対策を強化

東京都の建設業者A社は、収益拡大のために始めた新たな事業で、大量の個人情報を預かるようになりました。
これがきっかけで、A社は情報セキュリティ対策の必要性を感じ、その取り組みを強化しています。その結果、標的型攻撃による被害に遭ったものの初動対応で二次被害の拡大を食い止められました。

また、自社サーバーからクラウドサービスへの切り替えや、従業員が業務で利用する端末（PC、タブレット、スマホ）も全て会社貸与のものに変更。
さらには、委託先に対しても情報セキュリティに関する誓約書の提出を求めるなど、従業員や関係者へのセキュリティ意識向上にも努めています。

このような情報セキュリティ対策を進めたことで、社内のIT化が進展し、SNSなどによる情報発信も従業員が安心して積極的に行えるようになり、営業にプラスの効果を実感しているようです。

2.「SECURITY ACTION」宣言がきっかけでセキュリティへの意識向上

愛知県の製造業B社は「SECURITY ACTION」宣言にあたって、自社の情報セキュリティ対策を見直した結果、より強固な対策が必要であると認識。

自社に情報セキュリティの有識者がいなかったため、すぐに対策を講じれなかったものの、関連会社に追従してPマークを取得をしたことで、会社全体のセキュリティ意識が向上しました。
クラウドソフトウェアの導入や業務委託先向けに情報セキュリティ対策ガイドラインを用意するなど、「他社の一歩先を行く」情報セキュリティ対策を積極的に行っています。

その結果、顧客から情報セキュリティ対策の実施状況に関する問い合わせがあっても、問題なく対応できるようになったことで顧客の安心感につながり、契約の獲得につながっているようです。

3.不正アクセス被害を引き金にセキュリティ対策を見直し

東京都の情報通信業C社は、クラウドサービス経由のハッキングにより、データを不正に取得される被害に遭いました。
この被害がきっかけで、社内の情報セキュリティ対策を見直しています。

まずは、外部事業者の脆弱性診断サービスを活用し、第三者の視点から自社のセキュリティレベルを向上。
内部からの情報漏洩対策では、内部統制の体制強化や端末の持ち出しを制限する運用に変更しています。
さらには、情報セキュリティ対策の体制や仕組みをチェックするため、内部監査や外部監査を利用し、問題点があれば改善するといった対応も行っています。

これらの対策を行ったことで、C社が提供するサービスの信頼性が高まり、コロナ禍にテレワークが増えてもスムーズに対応できたようです。

情報セキュリティの4つの対策例

ここでは、情報セキュリティの4つのシーンにおいて、実際にとるべき対策例を紹介します。

1.ウイルス対策

ウイルス対策には、以下の対策が有効です。
①ウイルス対策ソフトの導入
②ウイルスパターンファイルの最新化
③利用するソフトウェアの制限
④システムやソフトウェアのアップデート
⑤Webサイトのフィルタリング

②④は常にセキュリティ対策が施されたバージョンに。
また、⑤は業務に関係の無いサイトを閲覧できないようにすることで、ウイルス感染の恐れのあるサイトへのアクセスを防止します。

2.不正アクセス

不正アクセスを防ぐためには、以下の対策が有効です。
①ログ取得
②ファイアウォールの導入
③認証システムの導入
④侵入防止システムの導入
⑤システムやソフトウェアのアップデート

これらの運用を容易にするために、ログ管理システム、システム管理ツール、DLP製品などの導入も有効です。

3.内部からの情報漏洩対策

内部からの情報漏洩を防ぐための対策は、以下が有効です。
①従業員の情報セキュリティ教育
②持ち出しルールの厳格化
③アクセス権限の強化
④紙媒体やデバイスの廃棄ルールの厳格化
⑤メール誤送信を防止するための運用ルール策定
⑥無線LANのセキュリティ強化（専用線やVPNの利用）
⑦DLP製品の導入（データを監視）

内部からの情報漏洩は、システム的な対応にくわえ従業員の情報セキュリティ意識向上が重要でしょう。

4.機器障害の対策

機器障害には、耐用年数超過による故障や自然災害の影響による物理的故障などの要因が考えられます。
したがって、以下のような対策が有効です。
①バックアップ機の導入（ホットスタンバイ方式など）
②無停電電源装置の導入
③重要データの定期的なバックアップ（バックアップ機およびメディアへの保管）
④重要データの格納されたサーバーの物理的安全性を強化

情報セキュリティ対策における重要な４つのポイント

最後に、情報セキュリティ対策における重要なポイントを4つ解説します。

1.ソフトウェアの更新

ソフトウェアは、適切なセキュリティ対策が施されたバージョンを利用するのが前提です。
また、サポートが不確実なフリーソフトウェアの利用は制限しないと、ウイルス対策リスクが高まります。

2.重要な情報や顧客データの厳格な保持

重要な情報や顧客データが保存されているサーバーやシステムは、必ずアクセス権限を設け、利用者を限定することが重要です。
また、外部への持ち出しや、不要になったデバイスや書類の廃棄に関しても厳格なルールを策定したうえで運用しなければなりません。

3.端末の管理

従業員の利用する端末（PC、タブレット、スマホなど）のセキュリティ状況は、常に最新状態にしましょう。
また、Webサイトの閲覧も業務に必要なものに限定しないと、ウイルスに感染する恐れがあります。

4.従業員の教育を徹底する

従業員に対する情報セキュリティ教育を定期的に行うことで、情報セキュリティのリテラシーが向上するうえ、万が一事故が発生したときにも慌てず対応できます。

まとめ

本記事では、企業が取り組むべき情報セキュリティ対策について、実状や対策事例をふまえ解説しました。
近年は不正アクセスやランサムウェアによる攻撃が増加しているため、不正アクセスを防止するための仕組やシステムの導入は、企業の必須課題です。
また情報漏洩は、不正アクセスのみならず、内部からの持ち出しが原因のケースもあります。
システムやルールによって情報セキュリティレベルを向上することにくわえ、従業員への情報セキュリティ教育も徹底し、人とシステムの両面から情報セキュリティ対策を講じることが重要です。