sns 炎上対策
情報漏洩を発生させないためのポイント
2024年03月15日
読了時間目安: 4分
情報漏洩は日々各所で発生しており、ニュース報道も多く見かけます。自社起因のものから外部攻撃のものまで、情報漏洩のケースや原因は様々です。
その中で「情報漏洩を発生させないためのポイント」はどこにあるのでしょうか?過去の事例を元に解説します。
その中で「情報漏洩を発生させないためのポイント」はどこにあるのでしょうか?過去の事例を元に解説します。
「人がかかわること」が多数を占める
自社起因や外部起因いずれにおいても、「人」がかかわることで情報漏洩が生じるケースが多数を占めています。
・NTT西日本子会社(顧客情報・約900万件流出) 元派遣社員が不正に情報を持ち出し
・尼崎市(全市民の個人情報・約46万件流出) 委託先関係社員がUSBを紛失
・JAXA(「こうのとり」に関する情報やシステムログイン情報
・約1000件流出) 職員のパソコンからのウイルス感染
この3つの事例は会見もされている事例で、記憶に残っている方も多いと思います。残念ながら、対策を取られていたにも関わらず情報漏洩が発生してしまった事案です。
・NTT西日本子会社(顧客情報・約900万件流出) 元派遣社員が不正に情報を持ち出し
・尼崎市(全市民の個人情報・約46万件流出) 委託先関係社員がUSBを紛失
・JAXA(「こうのとり」に関する情報やシステムログイン情報
・約1000件流出) 職員のパソコンからのウイルス感染
この3つの事例は会見もされている事例で、記憶に残っている方も多いと思います。残念ながら、対策を取られていたにも関わらず情報漏洩が発生してしまった事案です。
「システム/制度」で防ぐものと「教育」で防ぐもの
情報漏洩対策で難しい部分は「人」です。
組織は「人」がいないと成立はしません。しかし「人」はミスをするものです。
その前提で情報セキュリティにおいては、ミスを可能な限り「システムや制度」で予防し、その上で人に「教育」をし、ミスをさせないようにすることが重要です。
実際にこれらを実行している組織も多いと思います。しかしながら、情報漏洩は起こっています。それは何故でしょうか?
組織は「人」がいないと成立はしません。しかし「人」はミスをするものです。
その前提で情報セキュリティにおいては、ミスを可能な限り「システムや制度」で予防し、その上で人に「教育」をし、ミスをさせないようにすることが重要です。
実際にこれらを実行している組織も多いと思います。しかしながら、情報漏洩は起こっています。それは何故でしょうか?
発生してしまう要因
実際に弊社が相談を受けた情報漏洩の事例を紹介します。
- ①部員の一人が不用意に不明なURLをクリックしてしまいウイルス感染した。発生部署は極めて忙しく、PCのセキュリティアップデートがおろそかにされていた。部署長もPCに詳しくないため、部員のPCのアップデート徹底を軽視していた。
- ②仕事が会社で終わらず、パソコンを持ち帰り自宅で仕事をするつもりだったが、疲労のため電車で熟睡してしまい、網棚においていた鞄とともにPCが盗まれた。
- ③PCを車に置いたまま離れてしまい、車上荒らしにあった。
②については、本来の仕事にまい進していたからこそ起こったともいえる事案です。
「セキュリティ意識が低い」と言われればそれまでですが、このように「職場ではセキュリティの優先順位の意識が低くなる」可能性があることをまず前提に考えて、システム、制度、教育を考える必要があります。
「情報セキュリティは性悪説で考える」
情報漏洩を起こしてしまったことのある某企業の社長に、弊社がインタビューさせていただいたことがありました。この社長は情報漏洩を経験したことで、「情報セキュリティは性悪説で構築する」ことを決めたそうで、次のように語っていました。
「社員は一緒に会社を成長させてくれている仲間であり大切な存在。基本は性善説で考えている。しかし”万が一”に備えるには性悪説で考えるしかない。社員への接し方は変わらないが、会社としてリスクに備えることとは別問題。」
この言葉は情報セキュリティを考える上での重要な示唆を含んでいます。
社長は同時に「起きる前提での対処法」についても準備していました。この企業は情報漏洩の結果、炎上した苦い経験があり、「いくら準備しても準備しすぎることはない」と知っているからです。
「社員は一緒に会社を成長させてくれている仲間であり大切な存在。基本は性善説で考えている。しかし”万が一”に備えるには性悪説で考えるしかない。社員への接し方は変わらないが、会社としてリスクに備えることとは別問題。」
この言葉は情報セキュリティを考える上での重要な示唆を含んでいます。
社長は同時に「起きる前提での対処法」についても準備していました。この企業は情報漏洩の結果、炎上した苦い経験があり、「いくら準備しても準備しすぎることはない」と知っているからです。
まとめ
「予防」のための情報セキュリティ構築は非常に重要です。
まず前提として、セキュリティシステムや制度の構築が必要です。「人はミスをする」ということを念頭に、可能な限り「仕組み」で防ぎましょう。
その上で人のミスをできる限り発生させないために、おろそかになりがちな「社員へ教育」を継続的に実施しましょう。また、社員がセキュリティへの感度を高めるための人事規定の見直しといった「制度設計」を行うなど、組織全体で取り組みを進めていきましょう。
同時に、情報漏洩をいち早く検知できる体制も整えておく必要があります。 近年、情報漏洩がSNSで発覚するケースも多くなっています。漏洩監視を強化するとともに、「情報漏洩はいつでも起こりえること」として、必ず対策をしておきましょう。
まず前提として、セキュリティシステムや制度の構築が必要です。「人はミスをする」ということを念頭に、可能な限り「仕組み」で防ぎましょう。
その上で人のミスをできる限り発生させないために、おろそかになりがちな「社員へ教育」を継続的に実施しましょう。また、社員がセキュリティへの感度を高めるための人事規定の見直しといった「制度設計」を行うなど、組織全体で取り組みを進めていきましょう。
同時に、情報漏洩をいち早く検知できる体制も整えておく必要があります。 近年、情報漏洩がSNSで発覚するケースも多くなっています。漏洩監視を強化するとともに、「情報漏洩はいつでも起こりえること」として、必ず対策をしておきましょう。
