後が絶えぬ内部からの情報流出事故。組織内の継続的な取り組みで未然防止を


企業や公的機関で保管している個人情報が外部に流出する事故は後をたちません。それらの多くは、従業員や内部の関係者が安易にデータをコピーしたり、持ち帰って自宅のパソコンやインターネット上のサーバーに置いたりしたことが原因となっています。このような事故が起こってしまうと、社内の情報管理体制の甘さや従業員の情報セキュリティ意識の欠如を露呈してしまい、事故を起こした企業の信用失墜やイメージダウンにもつながっています。

内部関係者による情報流出事故を起こさないためには、組織をあげて情報管理に対する継続的な取り組みをしていくことが不可欠です。


最大の原因は内部関係者による情報の持ち出し

ここ数年、企業や公的機関から大量の個人情報が外部に流出する事故についての報道を相次いで目にします。2014年に大手教育関連企業で顧客情報約3000万件が流出した事故は社会に大きな波紋を呼び、今でも記憶に残っている人も多いでしょう。2015年12月には、地方自治体で有権者情報68万人分が流出するという事故が発覚しました。2016年に2月にも、検索サイトなどを運営するグループ企業の子会社から18万件以上の顧客情報に加えて、営業情報も流出する事故が発生しています。

これらに共通しているのは、インターネットを通じての外部からのサイバー攻撃ではなく、内部関係者による「不正な情報の持ち出し」によって引き起こされた事故だということです。

ネットワークセキュリティ事業を行うNPO法人が行った、個人情報流出事故を集計・分析した調査報告書から浮き彫りになったのは、情報流出の原因の大部分を「内部の人」が引き起こしているという事実です。原因の内訳は、誤操作、管理ミス、紛失・盗難といったもので、実に全体の8割がサイバー攻撃とは関連のない要因で発生しているのです。

企業や自治体といった組織において、情報流出事故は楽観視できない事案です。対策をおろそかにしていれば、いつしか不本意なセキュリティ事故を引き起こしてしまうでしょう。では、組織内でどのような取り組みをしていけば情報流出事故を未然に防いでいけるのでしょうか。


まず必要なのは情報管理ルールの策定

人為的な要因による情報流出を防ぐために最初に行うべき取り組みは、情報管理のルール作りです。この情報管理ルールの策定は、導入や運用を通して従業員への情報セキュリティに対する意識の向上はもとより、対外的な信頼性の向上にもつながります。

ルール作りでは、まず組織内で管理している情報を資産として認識し、重要度別に分類することから始めます。そして、分類したそれぞれの情報の取り扱い方法を明確にします。たとえば、顧客の個人情報や特定の技術情報が最重要の情報資産として分類されたのであれば、これらの情報にアクセスできる担当者や場所を限定するなど、厳格に管理されなければなりません。

さらに、情報流出を起こしてしまった場合のルールを整えておくのも大切です。このルールが不備のままでは、実際に事故が起きたときに報告が遅れたりして正確な状況把握ができないといった事態を招きかねません。事故発生時には影響範囲を迅速に特定したうえで適切な対応が求められるだけに、万が一のときを想定した対応ルールは重要な位置づけとしておく必要があります。

大企業では浸透しつつあるこういった取り組みも、中小企業においては十分行われているとはいえないようです。2014年に信用金庫が取引先の中小企業を対象に情報管理の現状調査を実施したところ、71.3%が情報管理の重要性を意識しています。しかし、情報管理の社内規定があると回答したのはわずか22.4%でした。企業の規模に関わらず情報流出事故が頻繁に起きているだけに、中小企業にとっても情報管理ルール作りは早急な対応が求められます。

人とシステム、両面からのヒューマンエラー防止策

内部からの情報流出事故を防止する実践的な取り組みは、次の3つの側面から実施していきます。
1つめは、前述した情報管理のルールを明文化し、情報取り扱い手順書を作成した上で、従業員や内部関係者への周知と遵守を推し進めていくことです。教育や研修を通じて、セキュリティ意識の向上を目指します。

2つめは、物理的な対策です。重要な情報は特定のパソコンでのみしかアクセスできないように限定することが代表的な対策です。その際、USBメモリやCD/DVDといった外部記憶媒体にコピーできないよう、制限しておくのも事故を未然に防ぐ有効な手段のひとつとなります。情報の重要度に応じた専用の区画や部屋で取り扱うようにすれば、さらに機密性を高められるでしょう。

3つめは、システム面での対策です。重要な情報は特定ユーザのみしかアクセスできないように限定したり、ファイルの操作記録(アクセスログ)をきちんととっておく管理体制を整えておくのは言うまでもありません。万一、外部に持ち出される事故が発生したときは、流出した情報の件数や内容がすみやかに把握できるようにしておかなければならないからです。アクセスログだけでなく、パソコンでユーザのファイル操作を動画で記録して保存するのも有用です。

アクセスログや操作履歴情報の記録は、禁止されているファイルのコピーなどの不正行為の抑止力にもなります。重要ファイルには操作記録がとられていることを周知・警告しておくことが、ルール違反をしようとする人への注意喚起につながり、安易な情報の持ち出しを未然に防ぐことにもなるでしょう。

継続した取り組みこそ最も重要

企業のイメージ

内部からの情報流出を防いでいく上で最も重要なのは、一過性ではなく継続的な取り組みをしていくことです。情報管理ルールの周知と遵守が常に徹底されていないと、社内全体の情報管理体制にほころびができ、それがきっかけで不測の流出事故を引き起こしかねません。

そのための方策が、ルールや手順の遵守状況を定期的にチェックし、継続的な注意喚起を行うことです。また、部署ごとに情報管理の監査や従業員への指導を担当するセキュリティ管理責任者を任命し、定常的なセキュリティ意識の維持・向上活動のリーダー役を務めさせるのも有効な手段となります。

一方で、情報管理ルール自体も適宜評価と見直しを行い、改訂を繰り返しながら運用していくようにします。情報管理のための研修方法も改善するなどして、従業員の教育に反映させていくとよいでしょう。

情報管理ルールの策定、従業員への周知と監査、運用状況の評価と見直しのサイクルが機能していけば、組織内から情報を流出させない体制が維持できるといえます。


人為的ミスを誘うサイバー攻撃にも注意を

今回は、主に内部関係者によって発生する情報流出と対策について取りあげました。しかし、これで情報流出事故を撲滅できたわけではありません。サイバー攻撃による情報流出の対策も必要です。最近のサイバー攻撃では、標的型メール攻撃のように人為的なミスを誘発する手口を駆使して仕掛けてくるケースが多くなってきています。企業をはじめとする組織では、情報流出を目的とした新たな手口への対応に絶えず注力していかなければなりません。





参考文献