サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

3つの要因による内部犯行の情報漏えいとその対策



近年は企業や組織における個人情報などの漏えい事件がたびたび発生し、問題となっています。個人情報のインターネット上や、名簿業者等への流出による不正利用、また情報の紛失などの事例は、枚挙にいとまがありません。

内部要因による情報漏えい

この個人情報の漏えいの原因は、実は8割が「内部要因」によるものと言われています。内部要因とはつまり組織内部の人間が原因となっているということです。

多くの企業で、入退室のICカード化による物理的なセキュリティ強化や、ファイアウォールや不正侵入検知装置(IDS)の設置によるネットワーク不正侵入の防止など外部からの侵入やアクセスに対しては様々な対策を実施しているにも関わらず、情報漏えい事件が後を絶たないのも実はそこに原因があります。

では内部要因による情報漏えいにはいったいどういったものがあるのでしょうか。それは例えば以下のようなものになります。

  1. USBメモリなどの記憶媒体の紛失・盗難によるもの
  2. PC等の紛失・盗難によるもの
  3. 意図的な情報の持ち出し(紙・電子媒体)

1と2は過失によるもので、3は故意に行ったことであるとの違いはありますが、結果的に情報の漏えいにつながるところは同じです。

対策とその重要性

では、こういった内部要因における情報の漏えいをなくすためにはどうすれば良いのでしょうか。

対策としては情報セキュリティの3要素である「機密性」「可用性」「完全性」に示されているように、情報を扱うに適切な利用者のみがその情報にアクセスし、適切でない利用者が絶対にアクセス出来ないようなシステムにすることです。

2014年7月のベネッセによる情報漏洩事件では自社ではなく外部委託先のSEが個人情報にアクセスし流出させています。しかし、本来であれば、自社の重要な個人情報には委託先の社員はアクセス出来なくすべきでした。

もう一つ同じように重要なことは、情報を利用する側にたつ利用者に対する教育です。個人情報の持つ重要性と、それが組織外に流出したときに何が起こるか、組織としての社会的信用の失墜に繋がること、そして、個人に対しても損害を与えてしまったことに対する賠償責任が発生する可能性があること、様々な観点から教育と啓蒙を行って、個人情報を扱う際にどのような心構えを持って対処するかを理解させます。

それに加えて、最近言われていることはシステムに操作等の記録を監視する仕組みを設けることが重要であるということです。例えば、顧客情報を扱うデータベースへのアクセス記録が常に監視され、残されている、などといったものです。

こういったシステムの操作記録が残る場合、不正にアクセスし情報を取得するという気持ちがなくなると答えている社員が多いと情報処理推進機構(IPA)が2012年に公表した「組織内部者の不正行為によるインシデント 調査の結果」にも示されています。

おわりに

重要なことは、情報漏洩においては内部要因による流出というものを外部要因と同じかそれ以上に対策を行うべきこととして理解しておくことです。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。