機密情報が漏洩する可能性が高いデータの取扱い方や監視を含めた管理体制の構築について
- INDEX
-
DXの推進によってオンライン化やペーパーレス化が進むことで、課題や問題となるのが機密情報の漏洩です。
同時に、データの取り扱い方が杜撰な場合、もしくは監視を含めた管理体制が構築されていないことで、サイバー攻撃や内部不正につながる可能性が高まります。
今回は機密情報が漏洩する可能性が高いデータの取り扱い方と、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話します。
機密情報が漏洩する可能性が高いデータの取り扱い方
はじめに機密情報が漏洩する可能性が高いデータの取り扱い方について簡単に説明します。
業務や作業に必要なデータが「IT資産」や「情報資産」と理解していない
業務や作業に必要なデータを軽視していたり、雑に扱ったりしてしまうのはデータをIT資産や情報資産として理解していないからです。昨今ではDXの推進においてもペーパーレス化や電子化によって蓄積されたデーターをビックデータと呼び、データの活用や再利用することで利益につながる材料として扱われています。しかし、実際に作業や業務を行う立場ですと日頃の慣れによってデータの大切さが薄れてしまい、結果として機密情報や個人情報でさえも丁寧に扱うことができず、結果として機密情報が漏洩する原因に結びついてしまいます。
うっかりミスやヒューマンエラーの可能性を排除しきれていない
基本的に電子データは取り扱い方次第でうっかりミスやヒューマンエラーによる情報漏洩を限りなくゼロにできます。しかし、業務体制や作業手順において、人間がうっかりミスやヒューマンエラーを起こす可能性が少しでも残っており、排除しきれないことで「隙」が生じます。すると、業務体制や作業手順の「隙」と前項でお話したデータへの慣れによる雑な扱いによって、機密情報が漏洩する可能性が高まります。
サイバー攻撃に関する認識が甘く、脅威や被害への理解が乏しい
正直なところ、人間誰しも自分や自分たちがサイバー攻撃を受けるとは思っていません。しかし、セキュリティを軽視してしまう人間を、悪意のある第三者は狙っています。サイバー攻撃はわざわざセキュリティ対策をしているところではなく、セキュリティ対策が甘い箇所を狙ってくるからです。同時にサイバー攻撃の脅威や被害を理解していないことで、さらにセキュリティ性が確保されにくくなり、フィッシング詐欺に騙されたり、安易に添付ファイルを開いたりと、機密情報の漏洩につながるような行為をしてしまいます。
ほぼデフォルト、もしくは無料のセキュリティ対策のみで満足している
サイバー攻撃への理解が乏しい場合、ほぼデフォルトのセキュリティ対策や、無料のウイルスソフトのようなもので満足してしまいがちです。その上でクラウドを多用したり、データの保存や移動を気にしていなければ、サイバー攻撃を受けた時に機密情報が漏洩する可能性が高まります。その他にもOSやソフトウェアのアップデートをしない、または安易に公衆のWiFiにつなげて作業してしまうなど、まさにサイバー攻撃の標的になりやすいような行動をしてしまう可能性もあるでしょう。
セキュリティ意識の向上という従業員への周知徹底で満足している
セキュリティ意識の向上という言葉のみで、具体的なセキュリティ対策をしない場合も機密情報が漏洩する可能性を高めてしまいます。実際にサイバー攻撃にあったことがない、またはセキュリティ対策にコストや予算をかけるという意識がない場合にありがちであり、当事者意識がないような状況と言えます。もちろん、セキュリティ意識の向上という標語だけではセキュリティ性を確保することはできません。結果としてサイバー攻撃を受けたことすら気付かず、場合によっては機密情報が漏洩したことさえ検知できないかもしれません。
機密情報を漏洩させないための監視を含めた管理体制の構築
次に、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話します。
デバイスやデータをIT資産、情報資産として扱えるようにする
機密情報を漏洩させないためには、データだけでなく、デバイスも含めたIT資産管理、情報資産管理を導入する必要があります。デバイスを遠隔で操作および管理し、OSやソフトウェアのアップデートの一元管理、同時にデータについてもアクセス権限を適切に割り振ることで、不要なデータへのアクセスを遮断し、セキュリティ性を高めることができます。
可能な限り万全なシステム的なセキュリティ対策を行う
機密情報を漏洩させないために可能な限り万全なシステム的なセキュリティ対策を行いましょう。何かひとつのサイバー攻撃への対策だけでなく、サイバー攻撃全般、そして内部不正対策ができるシステムを導入し、運用しましょう。サイバー攻撃や悪意のある第三者はセキュリティの隙間をかい潜って侵入したり、マルウェアを仕込んだりしてきます。セキュリティは一点集中ではなく、多角的に対策、防御するものだと覚えておきましょう。
機密情報の取扱いを監視できる仕組みの導入と運用は必須
アクセス権限の割り振りとともに、誰が、いつ、どのデータにアクセスしたのか、またはパソコンの操作ログの取得や監視も導入しましょう。特にサイバー攻撃を受けた場合、何が原因でどこから侵入したのか、その経路を把握できないといつまでもセキュリティホールが存在したままになります。データへの不正アクセス、またはデータの改ざんや盗聴などさまざまな角度から監視や制限を行うことで機密情報を漏洩しにくくなるでしょう。
システム的に透明性を確保し、内部不正への対策も両立しよう
前項のパソコンの操作ログの取得や監視、またはデータへのアクセス履歴については、従業員を疑うためのものではなく、むしろ守るためのものです。実際問題として何らかのサイバー攻撃に騙されてしまうことに責任はあるにせよ、悪意があるかどうか、故意かどうかをシステム的に検知することで透明性が確保されます。しかし、故意であり、悪意のある行為についても検知が可能となり、必然的に内部不正対策にも効果を発揮します。また、こうした内部不正対策や監視の体制が整っていることを示すだけでも、不正はバレる、ハイリスクであり、ノーリターンだという抑止力にもつながります。
システムとともに機密情報が漏洩しにくい業務体制や作業手順を構築しよう
データやデバイスをIT資産、情報資産として取り扱えるようにすること、そしてサイバー攻撃や内部不正対策の強化の他に、通常の業務において機密情報が漏洩しにくい業務体制や作業手順を構築しましょう。例えばデータへのアクセス権限のない人に安易にIDやパスワードを渡さない、もしくはログインしっぱなしにして誰でも閲覧や編集できるようにしないなど、ごくごく当たり前のことですが面倒という理由だけでおろそかになることもあります。せっかくシステム的にセキュリティ性を確保しても、人的な要因でセキュリティホールとなり、機密情報を漏洩させる結果を招きます。必ず、従業員一人一人にIDとパスワードを割り振り、業務内容に応じた権限を設定し、遠隔で管理できるそれぞれのデバイスで作業させるように徹底しましょう。
まとめ:機密情報の漏洩を防ぐデータの取扱いには「IT資産」の把握が大事
今回は、機密情報が漏洩する可能性が高いデータの取り扱い方と、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話しました。
機密情報を漏洩しないためにはIT資産の管理、セキュリティ対策、遠隔でのデバイス管理や監視が必須であることが伝わったのではないでしょうか。
もし、局所的なセキュリティ対策を行っているつもりだったけれど、多角的かつ総合的なセキュリティ対策やIT資産管理までは行えていないとお考えであれば、当社の提供する「AssetView」の利用をおすすめします。今回お話したようなセキュリティ対策、内部不正対策、デバイスの遠隔管理や監視など、機密情報を漏洩させないための仕組みをご利用可能ですので、ぜひともこの機会にご相談、お問い合わせください。