機密情報が漏洩する可能性が高いデータの取扱い方や監視を含めた管理体制の構築について

INDEX

    DXの推進によってオンライン化やペーパーレス化が進むことで、課題や問題となるのが機密情報の漏洩です。

    同時に、データの取り扱い方が杜撰な場合、もしくは監視を含めた管理体制が構築されていないことで、サイバー攻撃や内部不正につながる可能性が高まります。

    今回は機密情報が漏洩する可能性が高いデータの取り扱い方と、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話します。


    機密情報が漏洩する可能性が高いデータの取り扱い方

    はじめに機密情報が漏洩する可能性が高いデータの取り扱い方について簡単に説明します。

    業務や作業に必要なデータが「IT資産」や「情報資産」と理解していない

    業務や作業に必要なデータを軽視していたり、雑に扱ったりしてしまうのはデータをIT資産や情報資産として理解していないからです。昨今ではDXの推進においてもペーパーレス化や電子化によって蓄積されたデーターをビックデータと呼び、データの活用や再利用することで利益につながる材料として扱われています。しかし、実際に作業や業務を行う立場ですと日頃の慣れによってデータの大切さが薄れてしまい、結果として機密情報や個人情報でさえも丁寧に扱うことができず、結果として機密情報が漏洩する原因に結びついてしまいます。

    うっかりミスやヒューマンエラーの可能性を排除しきれていない

    基本的に電子データは取り扱い方次第でうっかりミスやヒューマンエラーによる情報漏洩を限りなくゼロにできます。しかし、業務体制や作業手順において、人間がうっかりミスやヒューマンエラーを起こす可能性が少しでも残っており、排除しきれないことで「隙」が生じます。すると、業務体制や作業手順の「隙」と前項でお話したデータへの慣れによる雑な扱いによって、機密情報が漏洩する可能性が高まります。

    サイバー攻撃に関する認識が甘く、脅威や被害への理解が乏しい

    正直なところ、人間誰しも自分や自分たちがサイバー攻撃を受けるとは思っていません。しかし、セキュリティを軽視してしまう人間を、悪意のある第三者は狙っています。サイバー攻撃はわざわざセキュリティ対策をしているところではなく、セキュリティ対策が甘い箇所を狙ってくるからです。同時にサイバー攻撃の脅威や被害を理解していないことで、さらにセキュリティ性が確保されにくくなり、フィッシング詐欺に騙されたり、安易に添付ファイルを開いたりと、機密情報の漏洩につながるような行為をしてしまいます。

    ほぼデフォルト、もしくは無料のセキュリティ対策のみで満足している

    サイバー攻撃への理解が乏しい場合、ほぼデフォルトのセキュリティ対策や、無料のウイルスソフトのようなもので満足してしまいがちです。その上でクラウドを多用したり、データの保存や移動を気にしていなければ、サイバー攻撃を受けた時に機密情報が漏洩する可能性が高まります。その他にもOSやソフトウェアのアップデートをしない、または安易に公衆のWiFiにつなげて作業してしまうなど、まさにサイバー攻撃の標的になりやすいような行動をしてしまう可能性もあるでしょう。

    セキュリティ意識の向上という従業員への周知徹底で満足している

    セキュリティ意識の向上という言葉のみで、具体的なセキュリティ対策をしない場合も機密情報が漏洩する可能性を高めてしまいます。実際にサイバー攻撃にあったことがない、またはセキュリティ対策にコストや予算をかけるという意識がない場合にありがちであり、当事者意識がないような状況と言えます。もちろん、セキュリティ意識の向上という標語だけではセキュリティ性を確保することはできません。結果としてサイバー攻撃を受けたことすら気付かず、場合によっては機密情報が漏洩したことさえ検知できないかもしれません。

    機密情報を漏洩させないための監視を含めた管理体制の構築

    次に、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話します。

    デバイスやデータをIT資産、情報資産として扱えるようにする

    機密情報を漏洩させないためには、データだけでなく、デバイスも含めたIT資産管理、情報資産管理を導入する必要があります。デバイスを遠隔で操作および管理し、OSやソフトウェアのアップデートの一元管理、同時にデータについてもアクセス権限を適切に割り振ることで、不要なデータへのアクセスを遮断し、セキュリティ性を高めることができます。

    可能な限り万全なシステム的なセキュリティ対策を行う

    機密情報を漏洩させないために可能な限り万全なシステム的なセキュリティ対策を行いましょう。何かひとつのサイバー攻撃への対策だけでなく、サイバー攻撃全般、そして内部不正対策ができるシステムを導入し、運用しましょう。サイバー攻撃や悪意のある第三者はセキュリティの隙間をかい潜って侵入したり、マルウェアを仕込んだりしてきます。セキュリティは一点集中ではなく、多角的に対策、防御するものだと覚えておきましょう。

    機密情報の取扱いを監視できる仕組みの導入と運用は必須

    アクセス権限の割り振りとともに、誰が、いつ、どのデータにアクセスしたのか、またはパソコンの操作ログの取得や監視も導入しましょう。特にサイバー攻撃を受けた場合、何が原因でどこから侵入したのか、その経路を把握できないといつまでもセキュリティホールが存在したままになります。データへの不正アクセス、またはデータの改ざんや盗聴などさまざまな角度から監視や制限を行うことで機密情報を漏洩しにくくなるでしょう。

    システム的に透明性を確保し、内部不正への対策も両立しよう

    前項のパソコンの操作ログの取得や監視、またはデータへのアクセス履歴については、従業員を疑うためのものではなく、むしろ守るためのものです。実際問題として何らかのサイバー攻撃に騙されてしまうことに責任はあるにせよ、悪意があるかどうか、故意かどうかをシステム的に検知することで透明性が確保されます。しかし、故意であり、悪意のある行為についても検知が可能となり、必然的に内部不正対策にも効果を発揮します。また、こうした内部不正対策や監視の体制が整っていることを示すだけでも、不正はバレる、ハイリスクであり、ノーリターンだという抑止力にもつながります。

    システムとともに機密情報が漏洩しにくい業務体制や作業手順を構築しよう

    データやデバイスをIT資産、情報資産として取り扱えるようにすること、そしてサイバー攻撃や内部不正対策の強化の他に、通常の業務において機密情報が漏洩しにくい業務体制や作業手順を構築しましょう。例えばデータへのアクセス権限のない人に安易にIDやパスワードを渡さない、もしくはログインしっぱなしにして誰でも閲覧や編集できるようにしないなど、ごくごく当たり前のことですが面倒という理由だけでおろそかになることもあります。せっかくシステム的にセキュリティ性を確保しても、人的な要因でセキュリティホールとなり、機密情報を漏洩させる結果を招きます。必ず、従業員一人一人にIDとパスワードを割り振り、業務内容に応じた権限を設定し、遠隔で管理できるそれぞれのデバイスで作業させるように徹底しましょう。


    まとめ:機密情報の漏洩を防ぐデータの取扱いには「IT資産」の把握が大事

    今回は、機密情報が漏洩する可能性が高いデータの取り扱い方と、機密情報を漏洩させないための監視を含めた管理体制の構築についてお話しました。

    機密情報を漏洩しないためにはIT資産の管理、セキュリティ対策、遠隔でのデバイス管理や監視が必須であることが伝わったのではないでしょうか。

    もし、局所的なセキュリティ対策を行っているつもりだったけれど、多角的かつ総合的なセキュリティ対策やIT資産管理までは行えていないとお考えであれば、当社の提供する「AssetView」の利用をおすすめします。今回お話したようなセキュリティ対策、内部不正対策、デバイスの遠隔管理や監視など、機密情報を漏洩させないための仕組みをご利用可能ですので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら