日本ネットワークセキュリティ協会が毎年発表している「情報セキュリティインシデントに関する調査報告書」の2015年度速報版によれば、情報漏えいの原因は「紛失・置忘れ(30.4%)」「誤操作(25.8%)」「管理ミス(18.0%)」などの内部原因が8割以上を占めた一方、「不正アクセス(8.0%)」や「盗難(5.5%)」などの外部原因が占めた割合はわずか2割未満でした。
また、情報処理推進機構(IPA)が発表した内部不正の実態調査によれば、「ルールを知っていたが違反した」という“うっかり”の内部不正と(58.0%)、「処遇や待遇に不満があった」「転職や起業のためだった」「換金目的だった」などの“故意”の内部不正(42.0%)という2つの原因があることが分かりました。
第27回 外部だけではない! 情報漏えいの原因の8割「内部から」をどう防ぐ?
“企業の情報漏えい対策”といえば、どのような対策が浮かぶでしょうか?標的型攻撃や不正アクセスなど、一般的には“外部からの攻撃への対策”と捉えられがちですが、実は情報漏えいの多くは“内部”から起きており、その対策をおろそかにしてしまっている企業も少なくありません。
今回は、今一度目を向けたい、内部からの情報漏えいについて、その実態や対策をお伝えします。
83.0%が内部から! 内部からの情報漏えいが起きてしまう原因とは?
情報の持ち出し手段の最多は「USBメモリー」! 有効な対策は?
同じくIPAの調査によれば、内部から情報を持ち出す手段として最も多いのが「USBメモリー」でした。USBメモリーは簡単・手軽に情報を持ち出しできる利便性がある一方、紛失やウイルス感染の危険性も併せ持っています。そこで普及しているのが「暗号化USBメモリー」です。パスワード入力の必要性はもちろん、ウイルスチェック機能も付いており、社員の情報漏えい対策への意識付けには大変おすすめです。しかし、一方で特に利用制限をかけているわけではないので、それ以外の個人用USBメモリーは使用できてしまうという懸念点があります。
また、USB接続口をふさぎ、持ち出しを予防している企業もあります。しかし、持ち出し可能な外部記憶媒体は、SDカードやDVD/CD、さらにはインターネット回線を通じてクラウド上にデータを保管できるオンラインストレージサービスなどもあり、これだけで全てを防ぎきることは容易ではありません。
接続口をふさぐUSBポートガード
IT資産管理ツールの導入で、社員の意識を上げ、情報漏えいが起きないしくみ作りを!
そこで、有効な対策として再注目されてきているのがIT資産管理ツールの導入です。USBメモリーなどの「デバイス管理」はもちろん、「ログ管理」や「セキュリティ管理」、ハード・ソフトウェアの「資産管理」などがまとめて実現できます。例えば、会社で許可していない機器を接続した場合に警告を出したり、社内PCのソフトウェアの脆弱性対策のために更新プログラムを一斉適用したり、さらにはPCの操作ログをさまざまな観点で取得・管理したりしているため、抑止効果はもちろん、何か発生してしまった時の後追いとしても非常に有効なしくみであるといえます。
画面は「SKYSEA ClientView」
次回は12月上旬の更新予定です。