日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.28 増加する情報漏えい

漏えい原因の比率

原因の6割は人的ミス

日本ネットワークセキュリティ協会(JNSA)が本年6月に公開した「2018年情報セキュリティインシデントに関する調査報告書【速報版】」によると、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント件数は443件、漏えい人数は561万3797人であり、17年のデータと比べて増加という結果であった。

漏えい原因で見ると最も多いのは「紛失・置き忘れ」が117件(26・2%)、次いで「誤操作」が109件(24・6%)。「不正アクセス」が90件(20・3%)、「管理ミス」が54件(12・2%)という結果であった。17年のデータと比べて「紛失・置き忘れ」と「誤操作」の順位が入れ替わったものの、漏えい原因の上位4項目に変更はない。また、「紛失・置き忘れ」「誤操作」「管理ミス」といった人的ミスによる漏えいが全体の6割を占めている。

従って、企業としては、まずはこのような人的ミスをなくすために、社内ルールの整備や教育による従業員への周知、管理者による順守状況の定期的な確認、必要に応じて社内ルールの見直しなど管理的対策(セキュリティーマネジメント)に取り組むことが有効であると考える。 人のふり見てわがふり直せというように、他社の事故報道を自社の情報セキュリティーの強化に生かしてほしい。

暗号化など技術的対策も必要

さて、人的ミスの対策として管理的対策を挙げたが、人に依存した対策だけでは人的ミスはなくならないし、いざ事故が発生した際には対策が不十分ではなかったかと指摘を受ける可能性がある。そこで漏えいしても中身を読めなくするための「暗号化」といった技術的対策にも同時に取り組んでほしい。

「暗号化」と聞くと難しいという印象を持つ人は少なくはないだろう。しかし、詳細な理論はともかくとして簡単な操作で暗号化を設定できるOS(オペレーティングシステム)やオフィスアプリケーションなどが増えているので活用してほしい。

例えば、電子メールの誤送信といった「誤操作」による情報漏えい対策として、電子メールそのものを暗号化する場合は専用の仕組みが必要だが、文書作成ソフトなどのオフィスアプリケーションの機能として提供されている暗号化機能を利用すれば簡単な操作で暗号化が可能である。

また、ノートパソコンやスマートフォンなどの「紛失・置き忘れ」や「盗難」による情報漏えい対策として、最新のOSを搭載したノートパソコンやスマートフォンでは、内蔵するディスクを自動的に暗号化して利用する機能が搭載されていることがあるので活用してほしい。もし、OSに暗号化機能が備わっていなければ、電子メールの誤送信対策と同様に、オフィスアプリケーションの暗号化機能を利用するとよいだろう。

独立行政法人情報処理推進機構(IPA)では、利用者の多い「ウィンドウズ10」や「オフィス365」、「Acrobat(アクロバット)DC」などの具体的な暗号化の設定手順を作成してIPAのホームページ(https://www.ipa.go.jp/security/ipg/documents/dev_setting_crypt.html)で公開しているので活用してほしい。(独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 vol.29 五輪契機に見直しを

独立行政法人情報処理推進機構・江島将和

2020年東京オリンピック・パラリンピック大会の開催まで1年を切った。12年ロンドン、16年リオデジャネイロなどで開催された過去の大会においても、...

前の記事

中小企業のセキュリティー対策 vol.27 「教育」で意識向上

独立行政法人情報処理推進機構・江島将和

情報セキュリティー対策を社内に浸透させるためには、従業員一人一人の情報セキュリティー意識の向上が必要であるが、それに有効なのが「教育」だ...

関連記事

中小企業のセキュリティー対策 vol.53 指導事例の活用を

独立行政法人情報処 理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は2019年度から20年度にかけて、全国の中小企業を対象に、地域で活躍している情報処理安全確保支援...

中小企業のセキュリティー対策 vol.51 被害防止へ対応事例紹介

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は5月31日、「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け...

中小企業のセキュリティー対策 vol.50 サイバーセキュリティ お助け隊サービス始動

独立行政法人情報処理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は、企業間サプライチェーン全体のサイバーセキュリティー対策強化の必要性の下、中小企業のサイ...