内部不正による情報漏えいをどう防ぐ？：セキュリティ強化塾（1/4 ページ）

　情報漏えい対策において、従業員による内部不正を無視することはできない。発生件数は少なくとも、一度に重要なデータが大量に持ち出されるケースが多い。また、流出した個人情報の中に機微情報が含まれていれば、被害総額は数億円にも達する。現在、ほとんどの企業が「マイナンバー」を保管している。あらためて内部不正による情報漏えいをどのように防ぐべきか検討してみよう。

発生件数では語れない、内部不正による情報漏えいの大きさ

　2014年9月、通信教育大手の「ベネッセコーポレーション」は、大規模な情報漏えいがあったことを発表した。これは業務委託を行っていた企業の社員が、顧客情報を不正に持ち出し、いわゆる「名簿屋」に情報を売却したことで利益を得たというものだった。その結果ベネッセは緊急対策本部を設置、2015年3月期には顧客への対応を含めた情報セキュリティ対策費として、260億円の特別損失を計上した。

　あらためて「情報漏えい」の現状をデータからおさらいしてみよう。日本ネットワークセキュリティ協会（JNSA）のセキュリティ被害調査ワーキンググループが2016年6月に公開した「2015年 情報セキュリティインシデントに関する調査報告書」によると、漏えい原因のトップは「紛失・置き忘れ」、漏えい媒体も「紙媒体」が過半に達する。一方で、サイバー攻撃や内部関係者による不正な情報持ち出しは少ない。

図1 2015年に発生した情報漏えいの原因と、漏えいの媒体／経路（出典：日本ネットワークセキュリティ協会「2015年 情報セキュリティインシデントに関する調査報告書」）

　しかし、これは「事件の件数」だ。紙媒体での情報漏えい1件で漏えいされる情報量よりも、インターネットやUSBメモリなどで行われる情報漏えいのほうが大量の情報を一度に持ち運ぶことができることを忘れてはならない。これら「内部要因」に起因した情報流出を防ぐことは、過失だけではなく故意による情報流出を守ることにもつながる。

　ベネッセの情報漏えい事件以降、多くの企業が「内部不正」に注目をしているだろう。過失、故意による「社内からの情報流出」を防ぐことは重要なポイントになっている。そこで今回は「内部要因による情報流出」をキーワードに、関連するソリューションとその運用の勘所を紹介していきたい。

Copyright © ITmedia, Inc. All Rights Reserved.