セミナー情報機密情報に関する完全ガイド|漏洩させないための対策を解説
組織活動の一環として、日々さまざまな情報のやり取りが発生していますが、なかでも一際厳格な管理が求められる情報として「機密情報」が挙げられます。
機密情報は、他社に対して秘密とすることではじめて価値を持つものです。一度漏洩してしまえば、組織としての競争力が奪われるだけでなく、信頼失墜・金銭的な損失などの計り知れない被害が想定されます。
そのような事態を防ぐため、組織は機密情報をきちんと運用・管理し、外部へ漏らさないようにする対策を検討しなければなりません。
本記事では、機密情報の定義や種類のほか、漏洩させないための具体的な対策などをご紹介します。
・機密情報の主な種類
・機密情報の重要度分類
・機密情報の漏洩リスクとは?発生原因と影響
・機密情報漏洩を防ぐための対策
・従業員に対するセキュリティ教育
・機密情報が漏洩したあとの対応方法
・機密情報の漏洩対策ならSS1/SS1クラウド!
・まとめ
機密情報の定義
機密情報とは、組織にとって重要とされる情報すべてを指します。基本的に外部への公開を想定しておらず、組織内の人間でのみ取り扱えるものです。
機密情報に該当する情報は組織によって多少の違いがあるものの、重要度や漏洩した際に発生する損失の大小によって、ある程度種類がわかれています。詳細については、次の項をご参照ください。
機密情報の主な種類
組織として厳密な管理が求められる機密情報ですが、情報の内容や運用の目的などによっていくつかの種類が存在します。ここでは、代表的なものに絞ってご紹介します。
・個人情報/顧客データ
・経営/戦略情報
・技術/研究開発情報
個人情報/顧客データ
機密情報のなかで、もっともイメージしやすいものといえば「個人情報/顧客データ」でしょう。
個人情報とは、生存する特定の個人を識別できる情報のことです。例として、製品・サービスを利用する顧客や組織で働く従業員の氏名・生年月日・住所・メールアドレス・マイナンバーなどの個人識別符号などが挙げられます。
個人情報は、個人情報の保護に関する法律で明確に定義されており、仮に漏洩した場合には罰則規定も設けられるなど、厳密な管理が求められる重要資産です。組織として、取り扱う際には十二分に注意する必要があります。
経営/戦略情報
「経営/戦略情報」も代表的な機密情報の一つです。
具体的には、中長期経営計画・M&A関連情報・公開前の決算情報・取引先情報などを指し、主に組織の将来的な方向性を示すものや、資金調達計画といった今後の事業計画に関わる内容が該当します。
これらの情報は、他社に対して公開しないことで市場での競争力を高められます。また、場合によっては組織内でも限られた一部の人間にしか公開されないケースもあるため、非常に秘匿性の高い情報といえるでしょう。
技術/研究開発情報
いわゆる営業秘密や技術ノウハウ系の情報も、機密として取り扱われる重要な資産です。自社製品に関わる開発情報や設計図などがこれにあたります。
ノウハウ情報が外部に漏洩し、簡単に他社によって技術が再現できるようになれば、製品としての独自性が失われかねません。
こういった組織の利益を損なう恐れのある情報は経済的価値が非常に高いことから、機密として守る必要があります。
機密情報の重要度分類
機密情報を適切に管理する際には、リスク分析をおこなったうえで各情報の重要度を設定し、重要度ごとに閲覧を許可する範囲や取り扱い方法といったルールを定めることが推奨されます。
重要度の分類としては、以下のような指標が一般的です。
| 極秘 | 特定の関係者のみに開示・提供可能 |
|---|---|
| 秘 | 特定の関係者・部署のみに開示・提供可能 |
| 社外秘 | 組織内に開示・提供可能 |
| 公開 | 第三者に開示・提供可能 |
どの情報がどの重要度に分類されるかは、情報が漏洩したときの被害や影響の大きさなどで判断しましょう。
機密情報の漏洩リスクとは?発生原因と影響
PCやスマートフォン、タブレットなどが広く普及したことにより、機密情報をオンライン上で保管・運用するケースが急増しました。
もちろん業務の利便性が向上したことは大きなメリットですが、一方で情報漏洩のリスクも高まっています。
機密情報が漏洩する場合の原因としては、以下のような例が挙げられます。
内部不正による情報流出
内部不正とは、組織の内部者によっておこなわれる機密情報の窃取・持ち出し・破壊といった行為を指します。IPAが公開している「情報セキュリティ10大脅威 [組織]」において、毎年上位にランクインするほどの重大な情報漏洩リスクです。
外部の第三者からおこなわれる攻撃と違い、内部不正では機密情報に対する正式なアクセス権限を保持したユーザーによって情報が持ち出されます。そのため事態がなかなか発覚しづらく、一つの事案における機密情報の漏洩規模が大きくなる傾向があるといわれています。
外部攻撃による情報漏洩
第三者からの悪意ある攻撃も機密情報が漏洩する大きな原因の一つです。
実際、2024年の個人情報漏洩・紛失事故において、原因の6割は外部攻撃であったとする調査結果も発表されています。
外部攻撃の手法としては、「不正アクセス」「マルウェア感染」などが挙げられます。また、近年では綿密な下準備のもとおこなわれる「標的型メール」も増加しているようです。
(実際にディー・オー・エスに届いた標的型メール。代表(追立富男)の名を騙っているが、メールアドレスなどはすべて偽物)
ヒューマンエラーによる漏洩事故
メールの誤送信やデバイスの紛失など、うっかりミスなどによる情報漏洩も後を絶ちません。
本来意図していない相手に対して個人情報ファイルを送信してしまったり、機密情報が格納されたUSBメモリを紛失してしまったりといった事案がよく聞かれますが、最近増えているのが「クラウドサービスの設定ミス」によって情報が漏洩するケースです。
「ファイル共有サービスの情報公開範囲を誤って設定してしまい、外部からアクセス可能になっていた」「イベントシステム上で、別の参加者の個人情報が閲覧できる状態だった」などが具体例として挙げられます。
機密情報の漏洩が組織にもたらす影響
機密情報が漏洩してしまった場合、その事実が世間に広く知れ渡ってしまうと、組織のイメージに大きな傷をつけることとなります。
情報管理体制への信頼を失うため、顧客が離れてしまったり、取引先との契約が解除されたりなどの影響が予想されるでしょう。
情報セキュリティ担当者はこういった事態を未然に防ぐために、機密情報に対する理解を深め、適切な管理・運用を徹底しなければなりません。
機密情報漏洩を防ぐための対策
機密情報の適切な管理・運用をおこなうために必要な対策には、どのようなものがあるのでしょうか。
本項では、代表的な手法を5つご紹介します。
・アクセスコントロール
・データの持ち出し制限
・セキュリティ対策ツールの導入
・データ共有と送信ルールの設定
・従業員に対するセキュリティ教育
アクセスコントロール
「アクセスコントロール」とは、ユーザーの識別・認証・権限管理をおこなうことです。
誰がデータにアクセスできるのか、どの範囲までデータの取り扱いを許可するのかなどをルール決めし、システムによって制御することで機密情報を保護します。
ユーザーに対しアクセス権限を付与する際は、「最小権限の原則」に従うことが重要です。機密情報を取り扱う必要のないユーザーがアクセスできないようにすることで、漏洩のリスクを低減できます。
データの持ち出し制限
USBメモリやCD-ROMといった外部記憶媒体の接続を禁止したり、クラウドストレージに対するファイルアップロード/ダウンロードを制限したりして、機密情報を簡単に外部へ持ち出せないようにする対策も有効です。
また、持ち出しを制限するだけでなく、「誰が」「どのデータに」「どういった操作をおこなったのか」といった持ち出し行為に対するログも取得しておくことで、機密情報に対する怪しい動きを迅速に察知できるようになります。
セキュリティ対策ツールの導入
外部からの攻撃による情報漏洩を防ぎたい場合は、ウイルス対策ソフトをはじめとした各種セキュリティ対策ツールの導入を検討するとよいでしょう。
ちなみに近年では「ゼロトラストモデル」に沿った形でツールを導入し、セキュリティ体制を構築する組織が増えてきています。何から導入すればよいか迷ったときには、こういったフレームワークを参考にするのもおすすめです。
データ共有と送信ルールの設定
機密情報の共有やメールなどによる送信に関して、厳密なルールを設定することも重要です。
「クラウドストレージ上で情報を共有する際は、指定したユーザーのみアクセスできるよう設定し、閲覧権限だけを付与する」「メール送信の際はTO、CC、BCCや添付ファイルの内容が間違っていないか、必ず複数名で確認する」といったルールが考えられます。
しかし、人間によるうっかりミスを完全になくすことはできません。上述のようなルールを作成するだけでなく、システム面からの技術的な対策もあわせて検討する必要があります。例えば、上長による承認がなければメールを送信できないようにする機能などが搭載された誤送信対策用のツールも存在します。
こういったものも活用し、人為的なミスをしっかりと防止しましょう。
従業員に対するセキュリティ教育
情報リテラシーの低いユーザーを狙ったサイバー攻撃や、ヒューマンエラーによる情報漏洩を防ぐためには、従業員に対するセキュリティ教育も欠かせません。
定期的に組織内で研修をおこなったり、実際のサイバー攻撃を想定した模擬訓練を実施したりなどして、従業員の情報リテラシー向上を目指しましょう。
セキュリティ教育の具体的な内容については、下記の記事でも紹介しています。ぜひ参考にしてみてください。
機密情報が漏洩したあとの対応方法
当然ながら、機密情報についてはそもそも漏洩させないことを第一に目指すべきです。しかし万が一漏洩を防げなかった場合に備えて、なるべく被害を最小限に抑えるための事後対応方法もあらかじめ準備しておく必要があります。
IPAの公式サイトでは、情報漏洩などのセキュリティインシデントが生じた際の対応についてまとめた資料が公開されています。ここではこの内容をもとに、情報漏洩後の対応について簡単にご紹介します。
漏洩の検知、発覚時の初動対応
ログ情報などから機密情報の漏洩を検知したら、まずは情報セキュリティ責任者から経営者に対してインシデントの発生を報告します。
その後経営者はインシデント対応のための体制を立ち上げ、あらかじめ策定している対応方針などに従って、関係者の役割分担をおこないましょう。
次に、漏洩したデータの内容や件数などを迅速にチェックします。また、アクセス制限等のシステム的な対策をおこなっていた場合は、それらがどのように作用したのか状況を確認しておくことも重要です。
内部不正による情報漏洩であれば、情報の持ち出しに利用されたと考えられるデバイスを確保するなどして不正行為の証跡保存をおこないます。
外部攻撃がおこなわれた際には、当該端末をネットワークから切り離す・クレジットカード情報などの漏洩が疑われるのであれば、カード会社へ連絡するなどの対応を実施します。
規制当局・関係者への報告と事態の公表
初動対応を終えた段階で次にやるべきことは、関係者に対するインシデントの公表です。ただし、公表によってさらなる被害拡大が想定されるのであれば、時期や内容、公表する対象などは慎重に判断する必要があります。
漏洩した機密情報が個人情報やアカウント情報であった場合は、被害にあった個人や組織に対して二次被害防止のための注意喚起をおこないます。同じアカウント情報を使った別のサービスがあった場合、漏洩した情報を用いてそちらにも被害が広がる恐れがあるためです。
また個人情報が漏洩した際には、個人情報保護委員会および本人への報告義務が発生します。個人情報保護委員会への報告までの目安日数は「3~5日以内」とされているため、忘れず・速やかに対応するようにしましょう。
さらに、情報漏洩の原因が外部攻撃・内部不正であるなら、警察への届け出も検討します。
そして、被害範囲やインシデントの対応状況などをまとめ、被害者や影響を与えた取引先などに対して報告書を提出します。被害者に対する損害補償などがあれば、その対応も必要です。
漏洩原因の調査と被害拡大の防止
漏洩した情報の範囲や原因、被害状況などを詳しく調べます。訴訟対応が必要になるようであれば、証拠保全のためにフォレンジック調査を実施するのも一つの選択肢です。
特に内部不正による情報漏洩の場合は、漏洩した機密情報の内容をなるべく細かく把握し、万が一持ち出された端末などが行方不明になっているのであれば、中古品としてオークションに出品されていないかなどを確認します。
復旧対応と再発防止策の立案・実行
外部攻撃への対応としてサービスなどを停止していた際は、再発防止策を講じたうえでサービスを復旧しましょう。アカウント情報の流出が発生していた場合、アカウントの再発行やパスワード変更手続きもおこないます。
その後、機密情報漏洩の原因となった箇所に対する見直しをおこなうのが最後のステップです。サーバーやアプリケーションの脆弱性対応、設定ミスの是正やルールの策定、アカウント権限設定の再考など、さまざまな施策を検討・実行し、再発防止を目指しましょう。
機密情報の漏洩対策ならSS1/SS1クラウド!
機密情報の保護や漏洩対策、漏洩後の対応をおこないたいのであれば、IT資産管理ツールSS1
/SS1クラウドの利用がおすすめです。
特定のファイル/フォルダに対するアクセス制限や、不審な操作に対するアラート発報、USBメモリなど外部記憶媒体の接続制限、ログ取得/追跡による証跡管理など、機密情報の漏洩対策に役立つ多くの機能を搭載しています。
そのほか、Windows OSの更新プログラム管理など、外部攻撃の隙となる脆弱性への対策も実施可能です。
各機能の詳細については、下記のWebページをご参照ください。
まとめ
機密情報の定義や種類、具体的な対策方法についてご紹介しました。
機密情報が漏洩した場合、顧客からの信用失墜・損害賠償などによる金銭的な損失など、組織に対してあらゆる悪影響が生じてしまいます。
情報漏洩対策は、組織が検討するべき重要な経営課題の一つです。本記事の内容を参考にして、今一度自社の対策内容を見直してみてはいかがでしょうか。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
