情報漏えいの原因と対策。業務システムの観点で、やるべきこと
個人情報や機密情報が社外に流出してしまう「情報漏えい」への対策は、いまだ企業にとって大きな課題となっています。その原因は多岐にわたり、幅広い対策が求められるもの。本記事では、業務システムにフォーカスして、取るべき対策について解説します。
情報漏えい対策の重要性
業務においてツール活用・SaaS活用が進み、大量の機密情報・個人情報などのデータを扱うようになったことなどから、長く情報漏えい対策の必要性は言われてきました。
情報漏えいが発生すると、企業としての信頼が失墜するリスクがあることに加え、特に大規模な個人情報の漏えいとなると、顧客への対応・補償も含めて、大きな損失となりかねません。扱うシステムや情報がさらに増え、テレワークなど働き方が多様化するなかで、いかにデータを保護するのか、情報漏えい対策の重要性が高まっています。
情報漏えいの原因
「情報漏えい」と言っても、様々な原因がありますが、主な原因は下記の3つにまとめられます。
人的ミス
「メールでファイルを誤送信した」「端末や資料の紛失・置き忘れ」といった、うっかりミスに起因する情報漏えいで、軽微なものも含め、発生件数が多くなります。
サイバー攻撃
マルウェア攻撃により、社内の機密情報が外部へ流出するケースなど。特定の企業を狙った標的型攻撃も増えています。
内部不正
「退職者が機密情報を持ち出していた」など、従業員が不正に情報を持ち出すことによる情報漏えい。
実際、IPA(独立行政法人 情報処理推進機構)が公開する「情報セキュリティ10大脅威 2023」でも、情報漏えいに関連する項目が複数含まれており、情報漏えい対策は急務と言えるでしょう。
参考:https://www.ipa.go.jp/security/10threats/10threats2023.html
情報漏えい対策として、すべきこと
上述のとおり、情報漏えいの原因は様々で、例えば、誤送信が起きないように「送信前の再チェックや第三者によるクロスチェックをしてから社外へ送付する」仕組みを導入する、送信内容に含まれる特定キーワードチェックする、などの“不注意や思い込みによるミス”への対策や、アンチウイルス製品の導入といったマルウェア対策なども欠かせません。
また、顧客の個人情報や業務上の機密情報を管理する「業務システム」において特に注意したいのが、「内部不正による情報漏えい」です。内部不正では、「情報へのアクセスできるユーザIDと、そのデータに関する操作権限」が悪用されることで発生しますが、不適切な利用は発見することが難しく企業への深刻なダメージにつながりかねません。
対策として、まず徹底したいのが、IDの悪用を防ぐための「ID管理」です。例えば、「退職者のIDが残っており、退職後も機密情報にアクセスできる」「必要以上の権限が付与されており、大量の個人情報をダウンロードできる」などの状態はリスクが大きいもの。この状況を回避するためにも、従業員が所有しているIDの把握および定期的にID棚卸点検をおこない、不要なIDや権限が残らないよう管理することが重要です。
情報漏えい対策として有効な「ID棚卸」には課題も
ID棚卸は、「重要性は理解しているが、あまりに手間がかかる」という声も多く耳にします。一般的に、ID棚卸をおこなう際は、
① システムからアカウント情報をエクスポート
② 部署ごとなどにアカウントをまとめたExcelファイルを作成
③ 各部署の責任者にExcelファイルを送付し、確認や回答を依頼
④ 各部署の確認済みExcelファイルをマージし、必要に応じて業務システム上のID削除などを実施
という流れになります。
ですが、「結婚して姓が変わったことは、備考に記載して対応」「今は在籍していないが、来月出向から戻るため、アカウントはそのままにしたい」など、個別の事情に対応する必要があり、処理が煩雑になりがちです。さらに、「兼務者のアカウントは、どちらの部署に確認するのか」「テスト用に作成したユーザや休職者の扱いをどうするか」など、その都度判断し、対処しなければなりません。
確認の進捗状況も把握できず、部署とのやり取りが増えるほか、不要なIDが見つかった場合には、削除申請をしてもらうよう依頼し、申請がきちんとされたかを確認するところまでおこなうことも。どのプロセスも一筋縄ではいかず、システム管理者にとって大きな負担となっています。
ID棚卸の負担を解消する「アカンサス」
IDの管理担当者の負担が大きいからといって、やらないわけにはいかない……そんなID棚卸業務を支援するツールとしてお勧めしたいのが、NTTテクノクロスが提供する「アカンサス」です。アカンサスでは、“人”を軸とした“ID”の管理を行い、「社員がどのシステムにどのIDを持っているか」や「退職者の削除漏れID」などの把握をサポートします。人事データ・IDデータともに各CSVファイルフォーマットに合わせてアカンサスにインポートすることができ、複数のデータを集約・正規化して様々な人事データやシステムのIDを一元管理できるようになります。
あわせて、ID棚卸における「部署ごとへのID確認依頼」も対応します。アカンサス上のID台帳を部署ごとに参照範囲を分掌し、回答依頼Webフォームを生成。都度Excelを用意し、メールで送付する手間が省け、効率的に確認できます。回答状況などの進捗管理も可能で、「状況がわからず、何度も問い合わせするしかない」といった事が避けられ、負担を軽減します。
セキュリティ対策全般に言えることではありますが、情報漏えいも、「これさえ対策すれば防げる」ということはなく、様々な対策を積み重ね、リスクをできる限り減らしていくことが重要です。ID管理は、「守るべき情報へのアクセス」の要となる領域であり、業務システムにおける情報漏えい対策としても、管理を徹底すべきポイントと言えるでしょう。
あわせて読まれています
