サイバー攻撃や情報漏洩事故のニュースが頻繁に報じられる現状に、危機感を抱くようになったという経営者の方も多いのではないでしょうか。業務のデジタル化が進み、ネットワークが欠かせない状況のなか、情報漏洩のリスクは高まる一方です。リスクを軽減するためには、その原因を知り、適切な対策を取ることが求められます。今回の記事では、経営層と従業員、それぞれに必要な情報漏洩対策を詳しく解説します。ぜひ、自社のセキュリティ対策の参考になさってください。
目次
(1) 정보 유출 처리 방법 [Management Edition]
情報漏洩は企業に大きな被害をもたらすだけでなく、経営存続にかかわる大きな課題と言えます。多様化・複雑化する脅威から組織を守るために、経営層が行うべき情報漏洩対策について紹介します。
①適切なセキュリティツールを導入して多層防御を行う
従来のセキュリティ対策は、社外と社内のネットワークの境界にファイアウォール(※1)などを導入していましたが、これでは侵入された場合の対策として十分ではありません。昨今は、すべての構成要素を信用できないものとみなすゼロトラストセキュリティ(※2)が求められています。有効なセキュリティツールとして、さまざまなセキュリティ機能が1台に集約されているUTMが注目されています。ファイアウォールに加え、アンチウイルス、ids/ips(※3)などが搭載されているため、コスト軽減も期待できます。
〈お役立ち資料はこちら〉
ゼロトラストセキュリティについて詳しく解説しています。
②多要素認証を取り入れて認証を強化する
サイバー攻撃者は、不正に入手したパスワードなどの認証情報を悪用して社内のシステムに侵入します。近年では、不正ログインを防止する有効な手段の一つとして、多要素認証の導入が推奨されています。多要素認証とは、認証の3要素とされる「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる認証方法です。
- 知識情報:パスワード、秘密の質問など
- 개인 정보 : 스마트 폰, IC 카드 등
- 生体情報:指紋、声紋など
これらを組み合わせることで、万が一パスワードが漏れても認証を突破されるリスクを軽減できます。
③情報セキュリティに関するルールを設ける
自社の情報セキュリティ対策を具体的に定め、明文化しておきましょう。特に顧客情報や機密情報などの重要なデータへのアクセス権限の制限は重要です。権限の範囲を広げるほど情報漏洩のリスクが高くなるため、適切に管理しなければなりません。 また、業務で使用するパソコンやタブレットなどの端末を社外に持ち出す場合や、個人の端末を業務で使用する場合のルール策定も必要です。事前申請・承認のフロー、パスワードの設定に加え、データの暗号化など、情報漏洩が起きた場合のことも想定しておきましょう。
④定期的に情報セキュリティ教育を実施する
従業員に対して情報セキュリティに関する教育を行うことも、会社として取り組まなければならない対策です。具体的には、以下のような内容を周知します。
1回限りの実施では自分ごととして捉えにくいため、定期的に実施することが有効です。繰り返し研修を受けることで、知識と意識の両面でレベル向上を図り、従業員のセキュリティリテラシーを高めることができます。
※1 ファイアウォール:「防火壁」の意。インターネットを経由して侵入してくる不正なアクセスから社内のネットワークを守る仕組み。 ※2 ゼロトラストセキュリティ:情報セキュリティにおいて「何も信用しない」という考え方。社内アクセスも含め、すべての安全性を検証する。 ※3 ids/ips: IDS는 "침입 탐지"입니다〈お役立ち資料はこちら〉
経営者が取り組むべきサイバーセキュリティ対策について詳しく解説しています。
(2) 정보 누출 처리 방법 [Employee Edition]
続いて、従業員が行うべき情報漏洩対策について紹介します。従業員一人ひとりが正しい知識を身に付け、日常的にセキュリティを意識した行動をとることで、情報漏洩によるリスクを軽減することができます。
① OS와 소프트웨어를 최신 상태로 유지하십시오
サイバー攻撃사람이 운영 체제 및 소프트웨어입니다脆弱性を狙ってきます。脆弱性"보안 구멍"이라고도하며 프로그램 오작동 또는 설계 오류로 인해 컴퓨터 OS 또는 소프트웨어에서 발생하는 정보 보안 결함을 나타냅니다OS와 소프트웨어는 정기적으로 수정 사항을 적용해야합니다 수정 사항은 다음과 같습니다脆弱性を修正するためのアップデートのことで、「パッチ」とも呼ばれます。最新の状態を保つことで脆弱性が解消されます。
② 의심스러운 이메일, 첨부 파일 및 웹 사이트를 조심하십시오
多くのサイバー攻撃は、メールや添付ファイルを通して仕掛けられます。そこからマルウェアに感染し、システム内に侵入されると、情報を窃取される恐れがあります。 웹 사이트를 통해 가짜 사이트로 안내하고 개인 정보를 훔치는 일반적인 방법입니다 신뢰할 수없는 웹 사이트에 액세스하지 말고 의심스러운 이메일이나 첨부 파일을 열지 않도록주의하십시오
③パスワードなどログイン情報を適切に管理する
パソコンにログインする際などのパスワードは、推測されにくいものを設定します。10桁以上で、大文字や小文字、数字、記号を組み合わせたものが推奨されています。また同じパスワードを使い回さないことも大切です。 パスワードなどのログイン情報を紙や付せんに書いておく場合は、デスクやパソコンに貼ることはせず、人目に触れないように鍵のかかるキャビネットなどに保管しましょう。
④社外で重要な情報を閲覧する場合は注意する
政府による働き方改革の推進やテレワークの普及により、パソコンを社外で使用する機会が増えています。自宅や外出先などで、顧客情報や機密情報といった重要なデータにアクセスする際は、第三者に情報を傍受されるリスクがあるため、十分な注意が必要です。 이 위험은 VPN을 사용하여 감소시킬 수 있습니다 (※ 4) VPN을 사용하면 가상 네트워크를 통해 회사 외부에서 내부 시스템 및 서버에 안전하게 액세스 할 수 있습니다
*4 VPN : "Virtual Private"(3) 정보 누출에 대한 조치를 취할 때 주목해야 할 사항
経営層と従業員、それぞれが取り組むべき対策を紹介してきましたが、これらはどれか一つを行えばいいというものではありません。情報漏洩は企業に甚大な被害を及ぼす危険性があるため、すべてを実現していくことが理想的です。 ここでは、情報漏洩対策時に注意すべき点を3つ紹介します。
社内の実態を把握することからスタート
情報漏洩対策は厳密にするほど、業務の利便性や効率性が従来よりも低下してしまうことが考えられます。また、生産性への影響や従業員の不満につながる可能性もあります。 このような事態を回避するため、事前に従業員の意見を聞き、自社の状況を把握することから始める必要があります。そのうえで、安全性を担保しながら利便性や効率性を損なわないツールやソリューションを導入しましょう。
外部事業者の検討はじっくり慎重に
ツールやサービスを提供する外部事業者の選定は安易に行わず、慎重に検討しましょう。事業者によっては、セキュリティ対策の範囲が限定される場合もあります。また、クラウドサービス(※5)のように、セキュリティ対策の責任が外部事業者側にある場合、セキュリティ対策が十分ではなくても利用者側では気づけない可能性があります。 外部事業者の選定に際しては、以下のような点をチェックしてみてください。
- 多層防御ができるツールがあるか
- 多くの優良企業と取引実績があるか
- プライバシーマークなどの認証を取得しているか
PDCA 사이클 계속
セキュリティ対策は一度実施すれば終わりというものではなく、継続的に取り組む必要があります。サイバー攻撃の手口はますます多様化・巧妙化しており、同時に自社の状況も月日を経るごとに変化します。これらに対応するためには、最新のセキュリティトレンドを踏まえ、継続的な見直しと強化をしていかなければなりません。情報漏洩PDCA 사이클을 실행하고 다음과 같이 개선하는 것도 중요합니다
- P (plan)/情報漏洩対策の策定、ルール作り
- d (do)/情報漏洩対策の実践、ルールの運用
- C (확인)/평가 점검이 올바르게 구현되었는지 확인
- A (ACTION)/평가 확인에 따라 개선
(4) 정보 유출의 원인
多くの企業でセキュリティ対策がなされているにもかかわらず、情報漏洩は後を絶ちません。2024年に東京商工リサーチが発表した調査結果によると、2023年の「個人情報漏洩・紛失事故」は175件に及び、3年連続で過去最多を更新しています。 原因の上位3つは以下の通りです。
1位:ウイルス感染・不正アクセス 93件(53.1%) 2位:誤表示・誤送信 43件(24.5%) 3位:不正持ち出し・盗難 24件(13.7%)
출처 : Tokyo Shoko Research_TSR 데이터 통찰력情報漏洩が起きる3つの要因とは?
このデータからわかる通り、情報漏洩が起きる要因には「外部要因」「ヒューマンエラー」「内部要因」があります。それぞれの要因を詳しく説明します。
●外部要因
サイバー攻撃によって起こる情報漏洩は全体の半数以上にのぼります。偽サイトに誘導するフィッシングを典型として、ランサムウェア(※6)、ゼロデイ攻撃(※7)、サプライチェーン攻撃(※8)など、近年ますます手口が複雑化しています。
●ヒューマンエラー
2位の「誤表示・誤送信」は、誤った相手に大事なデータを送ってしまうなど、従業員によるうっかりミスです。メールの誤送信を防ぐツールを使用することで、ある程度リスクを軽減することができますが、従業員のセキュリティ意識を向上させることが重要なポイントとなります。
●内部要因
3位の「不正な持ち出し・盗難」は、外部だけでなく内部にもリスクがあるということを示しています。故意によるものに限らず、盗難のように外部に端末を持ち出すことで被害にあうことも少なくありません。
※6 ランサムウェア:ランサムは「身代金」の意。パソコンやデータなどに制限をかけ、解除と引き換えに金銭を要求する。 ※7 ゼロデイ攻撃: OS 및 소프트웨어脆弱性を狙って、修正が行われる日(ワンデイ)より前(ゼロデイ)に行われる攻撃。 ※8 サプライチェーン攻撃:サプライチェーンとは企業活動のネットワークのこと。セキュリティ対策が手薄と考えられる取引会社を「踏み台」として、ターゲットとなる企業に攻撃を仕掛ける。(5) 정보 누출이 발생하면해야 할 일
情報漏洩対策で重要なのは、情報漏洩が発生してしまった場合を想定しておくことです。対策によって発生リスクを減らすことはできますが、ゼロになることはありません。万が一に備え、どのように対応するかをあらかじめ定めておくことで、スムーズに対処することができます。
実態を把握し、初期対応を行う
まずは実態を正しく把握しましょう。何がどの範囲で起きているのか、どこまで影響が及んでいるのかを確認したうえで、ネットワークの遮断、システムやサービスの停止を速やかに行います。
被害の拡大や二次被害を防ぐ
初期対応後は、被害の拡大や二次被害を防止するための措置を講じます。情報漏洩の被害を受けた企業や個人に連絡し、状況説明とともにパスワードの変更などを依頼します。被害の拡大を最小限に食い止めるため、迅速な対応が求められます。
情報を公開し、問い合わせ窓口を開設する
関係者への情報公開、問い合わせ窓口の開設を行います。同時に、なぜこのような事故が起きてしまったのか原因の究明にあたります。そのうえで今後は同様の事故が起きないよう再発防止策を検討します。
適切な機関に報告する
情報漏洩が起きた場合、個人情報保護委員会に報告する必要があります。改正個人情報保護法では、個人情報の取り扱いが厳格化され、情報漏洩時の通知が義務化されました。報告義務違反などの法令違反に対しては、罰則・罰金などのペナルティが強化されています。 경우에 따라 부처, 경찰 및 IPA (독립 행정 회사)
(6) 요약
ここまで情報漏洩対策について、経営層と従業員がそれぞれ気をつけるポイントや、情報漏洩が起きてしまった際の対処法などを詳しく解説してきました。情報漏洩のリスク軽減のためには、原因を知り、対策していくことが重要です。 보안 조치와 관련하여 회사의 현재 상황을 확인하고 필요한 것을 이해하는 것으로 시작하십시오 Saxa-DX情報漏洩対策の現状や今後取り組むべき方向性がわかる情報漏洩対策チェックリストをはじめ、さまざまなお役立ち資料をご提供しています。ぜひ自社のセキュリティ対策にお役立てください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
