トレンド解説 2023/06/07

情報漏えいとは？発生する原因や企業に必要な対策など

情報化社会となり、企業が持つ情報の価値が高くなって久しい昨今、企業が注意すべきセキュリティリスクの一つに「情報漏えい」が挙げられます。情報漏えいは企業の存続を脅かすほどのインパクトを与える場合もあり、十分なセキュリティ対策が必要です。

この記事では、情報漏えいの概要から影響・原因の解説と併せて、対策方法や事故が発生したあとの対処方法などについて解説します。

情報漏えいとは

情報漏えいとは、企業や組織が持つ個人情報や機密情報などの重要性の高いデータが外部に漏れてしまうことです。情報化社会が進み、情報自体が価値を持つ資産となったり、大切なお客様のデータを所有したりすることも多い今、情報漏えいはすべての企業が注意すべきセキュリティリスクです。

紙ではなくデジタルのデータとして管理する場合、利便性は向上する一方で、外部から盗み出されたり事故によって情報が漏れてしまったりするリスクも多く発生します。企業が実施するセキュリティ対策の多くは、特にこの情報漏えいを防ぐことが目的だといえるでしょう。

企業は情報漏えいを起こすとどうなるのか

情報漏えいがもたらすインパクトは非常に大きなものです。企業が情報漏えいを起こしてしまった場合、おもに次の二つのリスクが考えられます。

金銭的被害
信用の失墜

個人情報や取引先情報などの機密情報が外部に漏れた場合、損害賠償責任を負わなければいけない可能性があります。また、情報漏えいのようなセキュリティインシデントが発生すると、業務が停止することも多く、売上の機会損失が発生することも考えられます。

その他にも、被害範囲の調査やセキュリティインシデントに対する対応、再発防止策の実施などにもコストがかかります。実際にトレンドマイクロ社が2022年に調査した資料によれば、情報漏えいによる年間被害総額は約3億2,850万円と報告されており、金銭的被害の大きさが分かるでしょう。

加えて、情報セキュリティ事故を発生させたとなれば、企業の社会的信用が失われてしまいかねません。「事故を起こした企業と取引を行うことで、自社にも被害が及ぶ可能性がある」として、取引を避けてしまう企業が出てくる恐れもあります。

被害に遭った企業が個人情報を取り扱うサービスを展開している場合、ユーザーとしてもそのような企業に個人情報を渡すことが怖くなるでしょう。このように、金銭的被害のような直接的な被害だけでなく、信用の失墜といった間接的な被害もあるため、情報漏えい対策は必要です。

情報漏えいが発生する原因

情報漏えいが発生する原因は、おもに「サイバー攻撃」「内部犯行」「人的ミス」によるものがほとんどです。具体的には次のようなものがあります。

サイバー攻撃：不正アクセス

不正アクセスは、正規のアクセス権を持たないユーザーが何らかの手段で不正にアクセスを行うことです。例えば、社内の従業員しかアクセスできない機密情報を保存したサーバーに対して、悪意を持った第三者が不正にアクセスして機密情報を盗み出すことが挙げられます。

近年ではクラウドサービスを業務で利用する機会が増えており、機密情報がクラウド上に保存されている場合も少なくありません。クラウドサービスは原則インターネットにつながっているため、不正アクセスの対象となってしまうことも多く、不正アクセスには特に注意が必要です。

警察庁が公表している資料によれば、令和4年中における不正アクセス行為の認知件数は2,200件と非常に多く、不正アクセス禁止法違反での検挙件数も522件ありました。

サイバー攻撃：マルウェア感染

マルウェアは悪意を持ったソフトウェアの総称であり、代表的なものとしてはウイルスやスパイウェア、ランサムウェアなどが挙げられます。マルウェアに感染したWebサイトにアクセスしたり、標的型攻撃メールなどに添付されているファイルを実行したりすることでマルウェアに感染し、情報漏えいが発生する可能性があるのです。

情報処理推進機構（IPA）が公表する「情報セキュリティ10大脅威2023」において、組織部門の1位が「ランサムウェアによる被害」となっています。ランサムウェアとは、機密情報などを暗号化し、復号化するために身代金を要求するマルウェアです。

2000年以前は愉快犯的なマルウェアが多く見られましたが、近年では感染したことに気づかれないようにし、秘密裏に情報を盗み出すことも珍しくありません。従業員が一人でもマルウェアに感染すると、そこから機密情報を保存するサーバーにまで感染が広がることもあるため、会社一丸となってマルウェアに感染しないための対策をする必要があります。

内部犯行

情報漏えいはサイバー攻撃のような外的要因によるものだけとは限りません。従業員が悪意を持って、故意に情報を漏洩する内部犯行にも注意が必要です。実際に、2014年にはある派遣社員の男性が個人情報を盗み、販売するという事件が起きました。

このときの企業の損失額は260億円といわれており、内的要因による情報漏えいにも注意が必要であることが分かるでしょう。IPAが公表する「情報セキュリティ10大脅威2023」においても、組織部門の4位に「内部不正による情報漏えい」が挙げられています。

内部犯行は「不正のトライアングル理論」で説明でき、「機会」「動機」「正当化」の3要素が揃うことで発生します。そのため、内部犯行を防ぐためには、この3要素への対策が必要です。

人的ミス：盗難・紛失

従業員の手による情報漏えいのなかには、故意ではなく過失によって発生してしまうケースもあります。代表的なものとしては、機密情報が保存されたデバイスなどの「盗難・紛失」です。例えば、機密情報を保存したノートPCを電車の中に忘れて紛失する、業務利用しているクラウドサービスへのアカウント情報が保存されたスマートフォンが盗難に遭う、などです。

外的要因への対策を十分に行うだけでは、盗難・紛失による情報漏えいは防げません。外的要因への対策と併せて、盗難・紛失対策も実施する必要があります。

人的ミス：誤送信

従業員の過失によってもたらされる情報漏えいとしては、メールの誤送信にも注意が必要です。取引先へ送るはずの機密情報を誤って別の送信先に送付してしまった、というケースは非常に多く見られます。送信先だけでなく、誤ったファイルを添付してしまう場合もあり、どちらの場合も企業の信用失墜につながる可能性があります。

誤送信による情報漏えいは、マルウェア感染のようなサイバー攻撃よりも多いという調査結果もあり、誤送信を防ぐための仕組みづくりが重要です。

情報漏えい対策で注意すべきポイント

情報漏えいの対策は「サイバー攻撃」「内部犯行」「人的ミス」の3つの対策が欠かせません。しかし、サイバー攻撃は巧妙化・多様化が進んでおり、従業員の働き方もテレワークの導入などによって多様化が進んでいます。

サイバー攻撃は年々新たな手法が開発されており、常に最新のセキュリティ情報をチェックしておくことがポイントです。働き方の多様化によってネットワーク環境や、機密情報の保存場所も変わっているため、それらに合わせたセキュリティ対策を実施することが重要になります。

セキュリティ対策は画一的な対策で十分ということはありません。企業ごとにICT環境が異なるように、セキュリティ対策も柔軟に自社に合わせて実施し、自社特有の情報漏えい対策を実施しましょう。

企業に必要な情報漏えい対策

画一的なセキュリティ対策では十分とはいえませんが、企業が実施すべき対策方法の基本は存在します。ここでは、すべての企業で等しく実施すべき基本的な情報漏えい対策方法を見ていきましょう。

通信の暗号化

企業間でやり取りを行う際や、テレワークを行う際にはインターネットを利用します。誰もがアクセスできるインターネットを安全に利用するためには、通信の暗号化が欠かせません。通信の暗号化を実施することで、第三者が通信内容を盗み見たり、情報を盗み取ったりすることを防げます。

特に重要な情報の送受信や、社内ネットワークへのアクセスを行うときには、通信の暗号化が重要です。例えば、自社でWebサービスを展開する際にはHTTPSを利用する、テレワークで自宅などから社内ネットワークへ接続する際にはVPNを利用する、といった対策方法が挙げられます。

Webサービスや社内ネットワークへのアクセス時には認証情報をやり取りすることになりますが、これらも通信を暗号化していなければパスワードなどが盗み見られる可能性があります。ID管理を十分に行うことはもちろんですが、通信の暗号化についても検討を進めると良いでしょう。

保管データの暗号化

通信の暗号化だけでなく、保管するデータを暗号化することも重要です。保管データを暗号化しておけば、仮にデータが盗み出されたとしても内容を確認できないため、情報漏えいを防げます。

誰もが利用可能な簡潔なデータの暗号化方法としては、圧縮ファイルにパスワードを付けることが挙げられます。このように保管データを暗号化しておくことで、安全にデータを保管することが可能です。

ただし、データを暗号化しているからといって必ずしも情報漏えいを防げるとは限りません。暗号化する際に使用した技術が古い場合、最新の技術で簡単に復号することができうるからです。近年、安全性の高い暗号化方式としては「AES 256」などが注目されています。

加えて、持ち出すことの多いノートPCなどは、データ単位ではなくストレージ単位で暗号化を行なうことも珍しくありません。自社で守るべき情報の種類や環境に合わせて、通信の暗号化と合わせて保管データの暗号化も検討しましょう。

従業員教育

システム的な対策はもちろん、人的な対策も非常に重要です。前述の通り、情報漏えいは外的要因だけでなく内的要因でも発生します。情報を安全に取り扱うためのガイドラインを策定し、従業員に周知徹底する必要があります。

また、従業員へのセキュリティ教育も定期的に実施し、各従業員のセキュリティリテラシーを向上させましょう。情報漏えい対策を含むセキュリティ対策は、全社員一丸となって実施することが重要です。バケツのどこかに穴があれば水は漏れ出してしまいます。情報を水、セキュリティ対策をバケツと捉えると、同じことが言えるでしょう。誰か一人でも従業員がセキュリティの穴になってしまうと、情報漏えいは発生してしまうのです。

情報漏えいがもたらす影響と併せて、セキュリティ対策の重要性を定期的に周知し、ガイドラインに沿った行動を取れるように教育を行いましょう。

環境整備

内部犯行が発生する要因である「不正のトライアングル」＝「機会、動機、正当化」において、「機会」を与えないように環境を整備することも情報漏えい対策として有効です。そもそも、機密情報を持ち出す機会がない環境であれば、内部犯行を防げます。

まず、機密情報に対するアクセス権は必要最低限にします。その上で、機密情報に関するアクセスログを管理できる環境を構築しましょう。機密情報や重要データの持ち出しに関しては、「DLP（Data Loss Prevention）」の導入がおすすめです。DLPは機密情報の持ち出しを検知し、操作をブロックしたりアラートを送信したりすることができるソリューションです。

同様に、メールの誤送信を防止するソリューションを導入することで、誤送信による情報漏えいを防ぐ環境を構築できます。おもにシステム的な対策として環境を整備し、従業員教育と合わせて実施することで、包括的な情報漏えい対策が行なえます。

情報漏えいが起きてしまった場合の対応

十分に情報漏えい対策を実施していたとしても、情報漏えいは発生してしまうリスクはあります。情報漏えい対策は、発生させないための「事前の対策」と併せて、発生したあとの「事後の対策」も合わせて実施することが重要です。

事後の対策としては、おもに次のような対策が挙げられます。

情報漏えい発覚時の報告の徹底
二次被害を防ぐための初動対応
原因究明の方法の明確化
通知、公表の手段の明確化
再発防止策の検討

情報漏えいが発覚した際には、被害の拡大を防ぐために迅速な対応が必要です。まずは、全社的に情報漏えいが発覚した際に即座に報告するよう周知徹底し、報告の窓口を用意しておきましょう。人的ミスの場合などは、ミスを隠すために報告が遅れる場合もあります。その場合には被害が拡大する可能性があるため、即座に報告するように日頃からしっかりと従業員を教育しておくことが重要です。

また、被害の拡大・二次被害を防ぐための初動対応を決めておきましょう。例えば、マルウェア感染を確認した場合には該当するデバイスをネットワークから隔離する、不正アクセスを検知した場合には該当するIDを凍結する、などが挙げられます。

具体的な被害を確認するためには、迅速な原因究明が欠かせません。情報漏えい発覚時には専門のチームを発足したり、外部の専門家に依頼したりと、原因究明の方法も事前に明確にしておきましょう。

原因究明と併せて、関係各所への通知・公表も必要になります。例えば、取引先の情報が漏洩した場合には、取引先に対して謝罪と二次被害への注意喚起を行なう必要があるでしょう。通知・公表も迅速な対応が求められるため、事前に手段を明確化しておくことが重要です。

最後に、情報漏えいが再発しないように防止策を検討します。情報漏えいの原因究明が進めば、自ずと対策すべき内容も見えてくるでしょう。情報漏えいが発生した場合には、事後の対応にも多くのコストと時間がかかるため、再発防止策をしっかりと実施して対策を取ります。