リモートでもオフィスでも情報漏洩のリスクに注意
ここ数年で、日本ではリモートワークが一気に普及した。自宅やカフェなどで仕事をしている光景もめずらしくはない。一方、オフィスで仕事をする人もまだまだ多い。
ただ、どちらにも共通して起きる可能性がある問題が「情報漏洩」だ。情報漏洩というと、サイバー犯罪者が企業の機密情報や個人情報を盗もうと試みているイメージがあるしかもしれない。
しかしながら、情報漏洩の多くはちょっとした気の緩みによって起こることも多い。それでは、情報漏洩を「起こさない」ために気をつけることとは何か。
まず、会社に無断で仕事のファイルを家に持ち帰るなど、個人情報や機密情報を許可なく外に持ち出すことにはリスクがある。個人情報を含んだメディアや紙の資料などを人に受け渡したり、廃棄したりする際にも要注意だ。
仕事用のPCやスマートフォンを使い、私用でウェブサイトを閲覧するなどした場合、マルウェアに感染するなどの可能性もある。仕事用とそれ以外の端末は分けて使用したい。また、セキュリティソフトを導入し、常に最新の状態を保つのは基本だ。
情報漏洩は、サイバー犯罪者達による不正アクセスやマルウェア感染のような、外部からの犯罪によるものが多いと思われがちだ。ただ、人為的なミスによって起きている場合も多い。トラブルを未然に防ぐためにも、できることはしっかり実践しておきたい。
日頃から万が一のリスクにそなえておきたい
それでは、自分(の利用するサービス)が「情報漏洩の被害に遭ってしまった」場合は、どうしたらよいのか。
先述したように、企業や組織からデータが流出する事件は、内部で働いている人のミスや、設定の不具合などから流出してしまったというパターンが多い。
そのため、サービスを利用する側からすれば、万が一の場合に被害を最小限に食い止めるように心がけるべきだろう。
まず、自分のオンラインアカウントを、日頃から注意深くチェックしておきたい。不審な履歴を見つけた場合は、プライバシー設定を更新したり、パスワードを変更したりといった措置を講じよう。
たとえばSNSを利用する際に、設定が維持されているかどうかチェックしてみてほしい。投稿の公開範囲の設定にしても、投稿を誰にでも見られるようにしておかない、友人しか見られないように設定を変えておく、変更がないかどうかチェックする……といった点に注意しておけば、異変が起きたときに気づきやすいだろう。
あわせて控えたいのは、パスワードの使い回しだ。パスワードが流出してしまった場合、ほかのサービスでも同じものを使い回していると、それらに不正アクセスされてしまう可能性がある。
ログインの際に、パスワードだけでなく電話番号(SMS)などによる本人確認が必要になる「2段階認証」(ログイン認証)も、可能なら設定しておきたい。携帯電話へSMSで1回限りの有効なパスワードや数字が送られてくる携帯電話認証のもの、アプリやデバイスなどで表示されるパスワードを入力するワンタイムパスワード認証などがある。パスワードが知られたとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。
なお、サイバー犯罪者は違法行為で入手したメールアドレスのリストを、フィッシングメール配信などに利用することがある。メールやSMSが届いた際も、不審なURLはみだりに開かないようにしたい。
今回は、McAfee Blogから「オフィスで起こる情報漏洩を防ぐための対策を簡単に解説」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
オフィスで起こる情報漏洩を防ぐための対策を簡単に解説:McAfee Blog
日本では現在、コロナ禍を境にリモートワークといわれる働き方が一気に浸透し、カフェや自宅で仕事をする人が増えています。これにより、これまで通勤に費やしていた時間を自由に使えるなど様々なメリットが生まれています。しかし実際は、これまで通りオフィスで仕事をする人もまだまだ大多数を占めており、このリモートワークやオフィスワークに共通して起こっているのが「情報漏洩」の問題です。
最近、情報漏洩に関するニュースを目にしない日はないというほど頻繁に起きており、深刻な社会問題の一つとしてとらえられています。サイバー犯罪者達は企業の機密情報や個人情報を盗むために次々と新たな犯罪手口を考え出して、私達を罠にはめようと試みてきます。しかしながら、こういった情報漏洩の多くはちょっとした気の緩みによって起こることが多く、日頃の心がけ次第では十分防ぐことができるといえます。この記事では、オフィス環境における情報漏洩を防ぐための対策やビジネスマナーについて解説します。
日本国内で起きた情報漏洩事例
近年、多くの企業や官公庁では情報漏洩が問題になっています。顧客の個人情報やビジネス上の機密情報などが、一度外部に流出してしまうと回収することは事実上不可能で、流出させてしまった会社は社会的な信用を大きく失うことになります。日本でもここ数年の間に規模の大小を問わず、様々な情報漏洩事件が起きており、その数は増加の一途をたどっています。以下では、日本国内で発生した主な情報漏洩の事例をいくつか紹介します。
ベネッセの個人情報流出
2014年、出版業界の大手企業であるベネッセの約2895万人分の個人情報が流出しました。原因は業務委託先の元従業員が顧客情報データベースにアクセスし、顧客情報を名簿事業者に売却したためです。この事件は情報漏洩した数としては日本最大級のケースで、会員数が減少するなどし、損失額は約260億円にもなりました。
厚生労働省の個人情報漏洩
2021年3月、厚生労働省の委託事業において、メールの誤送信がきっかけで1106人分の個人情報(氏名、生年月日、住所、電話番号)が漏洩しました。原因は送信先を細かく確認せずにメールを送信してしまったことと、名簿の管理を委託事業で定められた方法ではなくクラウドサービスで管理していたために漏洩してしまいました。
松下記念病院で個人情報が流出
2021年2月、病院内で使用していたノートパソコン1台が紛失し、患者1971名の個人情報が流出しました。パソコン内には、患者の氏名・性別・年齢・生年月日、そして患者の撮影画像データなどの個人情報が含まれていました。このノートパソコンは現在も見つかっていません。
JTBによる個人情報漏洩
2022年10月、事務局を担当していた観光庁の地域振興事業において、補助金交付を申請した事業者など1万人以上の個人情報が漏洩しました。原因はクラウドデータへの個別アクセス権限を誤設定したこととされています。
情報漏洩はなぜ起こるのか
上記で紹介した流出事件は、日本国内で起きている情報漏洩事件のほんの一例に過ぎず、まだ明るみに出ていないものもたくさんあるでしょう。オフィス内でのちょっとした判断ミスやセキュリティ上の甘さによって数多くのトラブルが頻繁に起こっています。ここではオフィス内で情報漏洩が起こる具体的な原因をまとめてみました。
管理ミス
機密性の高い情報を扱う社内のシステムの設定を間違えてしまい、誰でも見られる状態になって情報が流出。また、情報の取扱いに関するルールが従業員の間で徹底されておらず、その結果、流出してしまった。
メール送信時の宛先ミス
機密性の高い情報を含んだメールの送信先を誤ったり、CCやBCCの設定ミスなどで複数人に誤送信してしまうケース。
紛失や誤廃棄
機密性の高い情報が入っているUSBなどをはじめ、個人情報が記載された紙媒体などの書類の紛失や誤って廃棄してしまった結果、情報が流出。
盗難や置き忘れ
カフェなど外出先でのノートパソコンやUSBの盗難をはじめ、オフィスへの泥棒、酔っ払って大事な書類やノートパソコンが入った鞄を飲食店や電車に置き忘れて盗まれてしまうケース。
仕事用とプライベート用の端末が混同
仕事用のパソコンやスマートフォンを私用で利用したり、または逆にプライベート用の端末で仕事のファイルなどを扱ったり、会社のデータベースにログインしてしまうなど公私混同してしまい、会社の機密情報が流出。
内部の不正行為
仕事用のパソコンやスマートフォンを私用で利用したり、または逆にプライベート用の端末で仕事のファイルなどを扱ったり、会社のデータベースにログインしてしまうなど公私混同してしまい、会社の機密情報が流出。
オフィスワーク時に情報漏洩しないための対策
一度、情報が漏洩してしまうと金銭的な損害を被るだけでなく、従業員や顧客からの信用を失ったり、取り返しのつかないような事態になってしまいかねません。そうならないためにも、オフィスで仕事をしている際の機密性の高い情報の取り扱いに関しては細心の注意を払う必要があります。ここでは、情報を漏洩しないことはもちろんのこと、トラブルを未然に防ぐためにオフィスで気をつけるべきポイントを紹介します。
大切な情報は持ち出さない
会社に無断で仕事のファイルを家に持ち帰るなど、個人情報や機密情報を許可なく外に持ち出すことは厳禁です。また、机の上など誰でも見える場所に機密性の高い資料を放置したままにするのもリスクが高いので避けましょう。
受け渡しや廃棄時に要注意
個人情報を含んだUSBや紙の資料を人に受け渡したり、廃棄する際には要注意です。しっかり会社のルールに従って取り扱うようにしましょう。
業務上知り得た情報は口外しない
自分達の会話はどこで誰が聞いているかわからないので、業務上知り得た情報を不用意に口外してはいけません。また、SNSでの投稿は、たとえ、非公開であったとしても漏洩する可能性は否定できないので絶対にやめましょう。
重要なデータには必ずパスワードを設定する
同じ会社の人や取引先であっても個人情報や機密情報のデータを共有するときは、必ずパスワードをかける習慣をつけましょう。また、データをオンライン上で共有する際は、SNSやメール以外の方法でパスワードを伝達することを推奨します。
仕事用とプライベート用の端末はしっかりと分ける
仕事用のパソコンやスマートフォンを使って私用として様々なウェブサイトを閲覧するなどしてしまった場合、マルウエアに感染したり、情報漏洩してしまう可能性があるので端末はしっかり分けて使用するようにしましょう。また、仕事用のUSBメモリなどをプライベート用の端末で利用するのも避けましょう。
外部のパソコンやネットワークを使用しない
自宅やインターネットカフェのパソコンで業務のデータを扱うと、そこからウイルス感染が広がってしまう可能性も少なくありません。また社用パソコンを外部のWi-Fiなどに接続する場合もセキュリティ対策が必要です。特に公共のフリーWi-Fiを利用する際はVPNに接続するようにしましょう。
セキュリティソフトを導入し、常に最新の状態を保つ
セキュリティソフトを導入することで、サイバー攻撃からお使いの端末を保護します。また、次々と登場する新たな脅威や問題に対応するためにも常に最新版にアップデートしておく習慣をつけましょう。
セキュリティソフトを導入し、常に最新の状態を保つ
情報漏洩は、サイバー犯罪者達による不正アクセスやマルウェア感染のような、外部の犯罪手口によるものが多いと思われがちですが、実は今回紹介したように人為的なミスによって起きている場合が非常に多いです。特にシステムのアクセス権限などの誤設定やメールの誤送信、そして書類やUSBなどの紛失は非常に多く、情報が漏洩する原因の大半を占めています。ちょっとした気の緩みやミスから重要な情報が漏洩してしまい、大事件を招いてしまいかねません。トラブルを未然に防ぐためにも、今回紹介したポイントを実践してみましょう。
また、マカフィーでは最先端の技術を採用した様々なセキュリティサービスを提供しています。安全性の高いセキュリティソフトを仕事やプライベート問わず、お使いの端末に導入することでセキュリティレベルが向上し、外部からの様々なサイバー攻撃を防ぐことができます。オンライン上の脅威に怯えることなく、安心してインターネットを楽しむためにも、一般的なビジネスマナーと同じように日ごろから情報漏洩を防ぐための習慣を身に付けておくこと、そしてセキュリティサービスなど信頼性の高いセキュリティ対策を導入することが大切といえます。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
