情報漏洩防止には“社員の意識改革”と”専用のセキュリティ対策”を！

企業における情報漏洩の原因は、社員や内部関係者による管理ミス、誤操作、紛失・置き忘れなど、「うっかりミス」による情報漏洩が全体の約7割を占めていると言われています。※1
たとえば、重要情報が保存されたUSBメモリの紛失、書類の誤廃棄などが原因で発生する情報漏洩では、社内全体に情報セキュリティ対策に関するルールが浸透しておらず、社員一人ひとりがその重要性について理解していない可能性があります。情報漏洩対策の第一歩は、社員の意識改革と言っても過言ではありません。
※1：日本ネットワークセキュリティ協会（JNSA）「2018年情報セキュリティインシデントに関する調査報告書」2019年6月10日版

情報漏洩対策における社員の意識改革

情報漏洩対策では、以下の3要素を確保し統制を図ることが重要です。

（１）社内ルールの明文化

ノートパソコンやUSBメモリの使用制限、データや印刷物の持ち出し制限、情報の保管期間や破棄するまでのフローなど、情報漏洩を防ぐためにはさまざまな角度からルールを作成する必要が出てきます。こうしたルールを社員に守ってもらうためには、ルールを明確化してひとつにまとめた「セキュリティポリシー」を作成すると良いでしょう。社内で発生した情報漏洩に繋がりかねない出来事を記載した「セキュリティ・インシデント」を作成するのもおすすめです。

（２）社員教育の徹底

社員教育の徹底は、企業全体の情報リテラシー向上へも大きな影響を与えます。 情報漏洩対策における社員教育では、まず、社員一人ひとりに「情報漏洩」に対する危機意識を持たせなければいけません。特に新入社員では、社内における機密情報や個人情報の取り扱いに関する知識に乏しく、重大な事故や損害賠償事件に発展する恐れがあります。社内で取り扱う情報は社外へ持ち出さない、重要書類や業務に関わる情報等は未対策のまま放置または破棄しないなどの初歩的なルールについては、早い段階から習慣付けるようにしましょう。とにかく一度勉強会を実施して終わりではなく、ある程度意識が定着するまでは定期的に勉強会等を開き、認識を持たせていくことが必要といえるでしょう。

（３）セキュリティ専用対策導入

上述（１）（２）は、どの企業においても必須の対応でありながら、いづれも人的な対応に任せることが多いため、やはりこれだけでは万全とは言えません。そのため、さらなるセキュリティの強化を図るために、様々な企業が提供しているセキュリティ・情報漏洩対策用のソフトウェアやシステムなどの専用製品を導入することも有効な策といえます。こういった製品の導入は情報管理者の負担を軽減するだけではなく、社内全体の情報セキュリティに対する意識をさらに強化することにも繋がるので、積極的に活用することをおすすめします。

この種の製品やサービスは、ピンポイントの視点に絞ったセキュリティ対策から、統合的に管理できるものまで多義に渡ります。また提供形式もソフトウェアから、サーバー、ネットワーク、アプリケーションなど様々な種類が存在します。 そのため、自社に保有されている重要情報の現状やネットワーク環境など、様々な状況を鑑みながら、適切なサービスを導入していきましょう。わからない点などは、取引のあるSlerやITベンダーに相談すると適切な提案をしてくれるでしょう。

セキュリティ専用対策のご紹介（一例）

コンプライアンス（統合運用管理ツール）セキュリティ対策

IT資産管理や操作ログ管理をはじめ、ファイル配布・各種レポートやリモートコントロールなど、情報漏洩対策に必要な管理機能を持つ
（例）SKY(SKY SEA)／クオリティソフト(QND) ／ハンモック(AssetView)／MOTEX(LanScope)など

盗難・紛失・持ち出し対策

ハードディスク全体の暗号化―（例）McAfee(Total Protection for Date)など
個人情報ファイル検出ツール―（例）三菱スペース・ソフトウェア（すみずみ君）など

なりすまし対策

社内でのサイトやネットワークへのアクセス管理（アクセス制御、監査ログ管理）をすることで、情報流出やウィルス感染などを防ぐ
(例)NTTテクノクロス(iDopetation)／NRIセキュア(AccessCheck)／TrendMicro(DeepSecurity)など

脆弱性対策

OS修正適用―（例）SKY(SKY SEA)／ハンモック(AssetView)など
メール誤送信対策―（例）NTTテクノクロス(CipherCreft/Mail)など
ウィルス対策―（例）McAfee(アンチウィルス製品)など
不正接続PCの遮断―（例）McAfee(NetworkSecurityPlatform)など