近年電子メールに関連したリスクは巧妙化・多様化
しており、 ネットワーク管理者の悩みは尽きることが
ありません。 メッセージングセキュリティソリューション「Proofpoint」 は高い検知率と柔軟なポリシー設定、管理の容易さで、 企業インフラを防御します。

資料ダウンロード お問い合わせ

1.情報漏えいによる被害

2022年の春に改正される個人情報保護方法では、法人の罰則金が30万円以下から、最大1億円以下まで
引き上げられます。インパクトが大きい金額になりますが、実際に情報漏えいが発生してしまった場合、
罰則金のほかに被害者からの損害賠償請求などが想定されます。

日本企業で情報漏えい事件が発生した場合、一件あたりにかかるコスト平均総額をご存知ですか?
なんと、金銭的被害は4億2000万円※にもなります。
そこに罰則金が加われば、5億円以上の損害となる可能性があります。

では、被害は金銭面だけでしょうか?
一般的に、情報漏えいが発生した企業では検知から被害拡大防止にかかる時間は平均280日※と
言われていますので、その間関係者は対応に追われ、本来の業務に差し障る可能性があるでしょう。
また、情報漏えいが発生した80%の企業では実際に顧客情報の流出が見られる※ということで、
社会的信用の低下も免れません。

2.情報漏えいの原因

情報漏えいの原因といえば、サイバー攻撃など、何となく外部犯による不正操作が多い、というイメージを
お持ちではないでしょうか?
情報漏えいの原因の内訳を見ると、実は「不正アクセス」による情報漏えいは全体の1/5に過ぎません。

※ JNSA 「2018年 情報セキュリティインシデントに関する調査報告書」

紛失・置き忘れや誤操作、設定ミスなどによる人的ミスに加え、不当な情報持ち出し、内部不正行為によるものを
含めると、実に59.6%...全体の半分以上の原因が、従業員や関係者によって発生しているものなのです。

3.情報漏えい対策の考え方と見直しの必要性

多くの企業では、既に何らかの対策がされているかと存じます。しかし、近年の急速なリモートワークの導入や
クラウドの普及などにより、設備の利用環境は大きく変化しました。
職場環境が変わる以前に導入したルールやシステムが、今の利用環境で意味を成しているのか、或いは対策に
不足している部分はないか、見直してみてはいかがでしょうか。

セキュリティや情報漏えいに関する対策やフレームワークなどはいくつかありますが、経済産業省の「秘密情報の
保護ハンドブック」(https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/full.pdf)に
記載されている「5つの対策」が非常にシンプルで分かりやすいのでご紹介いたします。

こちらは不正競争防止法の概要から情報漏えい対策を講ずる際の考え方や基本的な対策などが記載されているものです。
流れとしては、まず、自社の情報を洗い出し、次に、何を重要(秘密情報・機密情報)とするかを決定します。
(この際、電子データだけではなく、紙情報や生産プロセスなども検討に含める必要があります。)

対象となる情報が決定したら、以下の3カテゴリ5つの対策を検討していきます。

No カテゴリ 対策内容 説明
1 物理的・技術的な防御 接近の制御 物理的・技術的に秘密情報などにアクセスできる人を最小限にとどめる ・アクセス権の設定(退職者も含む)
・フォルダ分離
・施錠管理
・ペーパレス化
・セキュリティ製品の導入(サイバー攻撃対策)
など
2 持出しの困難化 デバイスなどによる情報の持ち出しを禁止・制限するなど ・外部へのデータのアップロード制限
・データの暗号化
・私物デバイスの持ち込み禁止・データ持ち出し禁止
・会議資料等の回収
など
3 心理的な抑止 視認性の確保 物理的・技術的に漏えいが見つかりやすい環境づくり ・監視カメラ・防犯カメラの設置
・PC・サーバのログ収集
・検知システムの導入
・対策システム導入の周知
など
4 認識の向上 情報の取り扱いなどのルール化、ラベリングなどによる共有化 ・情報の取り扱いについての共有・ルールの策定
・秘密保持契約(NDA)の締結
・秘密情報が分かるようにする(マル秘表示)
・セキュリティ教育の実施
など
5 従業員の環境の整備 信頼関係の維持・向上等 従業員に漏えいしようという気持ちを起こさせないようにする対策 ・従業員モチベーションアップ施策(評価制度、コミュニケーションなど)
・漏えい事例などの周知
※なお、このハンドブックが公開された当時より、現在ではネットワークの内・外の境界は曖昧になってきています。
そのため、利用環境によってはゼロトラストネットワークの視点も含めた検討が必要です。

特に、2022年に控えた情報保護法の改正では、報告義務に時間的制限が盛り込まれています。
万が一情報漏えいが発生してしまった際、現在のシステムやルールが、迅速に情報が収集できる
状況であるかどうかなども、見直し対象としたほうが良いでしょう。
また、「認識の向上」にあるセキュリティ教育による従業員のスキルアップで、既にセキュリティ教育は
実施しているのにヒューマンエラーが削減できていないという場合、教育コンテンツの見直しなどもご検討ください。


まとめ

情報漏えいは内部ユーザによって引き起こされやすく、その損害は莫大なものになります。
利用環境が大きく変わった今、現在導入・対策されているルールやシステムが、新環境の情報漏えい対策となっているか、
また、情報漏えいが発生した場合に対応できるものかどうか見直しをご検討ください。

日商エレクトロニクスでは内部ユーザによる情報漏えい対策に最適なソリューションや従業員のリテラシー向上を
実現するソリューションをご用意しておりますので、お気軽にお問い合わせください。

▼Proofpointの内部不正対策ソリューション



▼Proofpointのセキュリティ教育ソリューション