コストをかけずに情報漏洩対策

コラム
この記事は約4分で読めます。

2024年6月から7月には、日本国内で、かなりの件数の情報漏洩に関するニュースが飛び交いました。
具体的な社名・自治体名を挙げるのは避けますが、全顧客、全住民、というレベルのデータが漏洩した例も見受けられました。

日頃パソコンを使って業務を行っていたり、他社のソフトウェアやITサービスを利用して業務を行っていたりすると、そちらの仕組みのほうに問題があって情報が漏洩したのではないだろうか、そちらの方のセキュリティをしっかりすれば大丈夫だろう、という発想になりますが、実はそうではありません。

情報漏洩については、システムそのものをハッキングされてしまうことだけではなく、人的なミスや意図的な漏洩がかなり多いのが現実です。

世間で起こっている情報漏洩の原因をIPAさまが公開されています。
「情報セキュリティ10大脅威 2023」

そこで本稿では、設備投資を必要とせず、ルール制定だけで実施可能な、社内の情報漏洩対策についてまとめてみます。
ぜひご一読いただき、参考になさって対策をされてください。

業務用PC、タブレット、スマートフォンの私的利用禁止(私物の業務利用も同様)

フィッシングなどによってマルウェア(ランサムウェアなど)に感染してしまうというケースはそれなりにあるようです。
個人が自由に利用する端末には、知人とのやり取りやショッピング、支払いなど様々な連絡が届きます。その方法も、メールや各種メッセンジャーなど様々です。

この場合、フィッシングなどに引っかかってしまう確率が高まるため、業務で利用する端末は私的利用をさせない、制限する、などの明確なルール決めが必要です。

また、私的なクラウドストレージに業務ファイルを保存してしまい、それを忘れており、さらに共有設定をミスすることで、データが公開されていたという例もあるようです。
何重ものミスが重なることはないであろう、と安易に考えてしまいがちですが、実際にこのような事故が発生しております。

業務で使うものと、私的に使うものはしっかりと切り分けることをお考え下さい。

PC自体の暗号化とPCログインパスワードの複雑化、セキュリティアップデートの徹底

業務で使用するPCに、まずは簡単に実施できるセキュリティ対策を実施してください。

これにより、フィッシングメール経由のマルウェア(ランサムウェアなど)感染や、脆弱性をつかれる形での情報漏洩、物理的な盗難からの情報漏洩のリスクを下げることができます。

  • OSは最新のものを利用し、常にアップデートをかける(セキュリティアップデート含む)
  • PCのドライブそのものを暗号化し、盗難や紛失時にデータを読めなくする
  • ログインパスワードを英数字記号混じりの複雑なものにして、使い回しはやめる
PCデータの暗号化については、以下をご参照ください。
▼Windiowsでのデバイスの暗号化
▼FileVaultを使用してMacのデータを保護する

業務の実施場所の制限

業務を実施して良い場所を制限することも重要です。

カフェで作業中に機密データを覗かれる、電車でスマホで作業して情報を盗み見される、というアナログな方法でも、情報漏洩は発生します。

業務を行って良い場所を、

  • 会社事務所内
  • 自宅内
  • 業務スポット(駅のミーティングBOXなど)
  • 出張時のホテル内

などだけに限定するということを検討しましょう。
カフェやフリースペースでの業務は情報漏洩のリスクにさらされていると考えておきましょう。

業務ではフリーWifiの利用もしないようにしましょう

悪意のあるフリーWifiスポットが存在していることも事実です。
そのWifiスポットを利用すると、通信内容を傍受される、という仕組みです。

フリーWifiスポットのふりをして情報を取得しようとしているケースもある様子なので、業務で利用する無線回線は信頼できるものにしましょう。

  • 自分の携帯でテザリングする
  • 業務用のWifi端末を準備してもらう

業務での記録デバイス利用禁止

  • USBメモリ
  • 持ち運びできる外付けHDD
  • スマートフォンとPCの接続

の利用を禁止すると良いでしょう。
この対策ではデータをコピーして持ち出すことができないようにし、主に意図的な情報漏洩を防ぎます。

これらをルール化しましょう

4つの項目に分けてご紹介しましたが、なんとなくそうするか・・ではなし崩しになっていってしまいますから、しっかりと明文化してルールとしてアナウンスをしましょう。
場合によっては、ルール違反をしての情報漏洩を起こしてしまった際の罰則規定を設けるなどして、なるだけしっかりルールを守ってもらうことを考慮しましょう。

弊社製品での取り組み

弊社製品においては、もちろん製品そのものに対してのセキュリティ対策を随時実施しています。
また先述のような社内ルールを定めて、遵守を徹底するようにいたしております。

プライバシーマークやISMSを持っている会社の製品であれば安心、ということでもありませんので、その点も留意しつつ、導入を検討しているシステムがあれば、どのような対策をとっているのかを聞いてみても良いかもしれません。

もちろん、どのようなセキュリティ対策をとっているか、について、お客様を装ってヒアリングしようとするハッカーもいることでしょう。
なので、弊社製品についても詳細は公開できませんが、気になればご商談時に遠慮なくご質問ください。

タイトルとURLをコピーしました