情報漏えいの原因は、外部からの攻撃だけとは限りません。
実は、毎日の業務の中で無意識に行っている“習慣”こそが、大きなリスクになっていることもあるのです。
とはいえ、そうした“当たり前”の行動の中にリスクがあると気づくのは、簡単ではありません。
本コラムでは、独立行政法人 情報処理推進機構(IPA)や一般財団法人 日本情報経済社会推進協会(JIPDEC)による調査報告、そして実際の現場で起きたインシデント事例から、ついやってしまう”無自覚な習慣”が引き起こす5つの典型的なリスクと、その防止策についてご紹介します。
1. 推測されやすいパスワードの使用
もっとも基本的なセキュリティ対策であるパスワードの管理。
しかしながら、入力が楽、覚えやすいといった理由でいまだに「123456」「password」等の簡単で予測しやすいパスワードが多く使われているのが実情です。
また、個人のSNSアカウントと業務アカウントで同一のパスワードを使い回しているケースも少なくありません。
サイバーセキュリティ企業であるNord Security が2024年に発表した調査によると、上記のようなパスワードに加え、「pass1234」、「asdf1234」などの英数混合のパスワードであってもよく使用されるパスワードについては、1秒で認証を突破されると報告されています。
対応策:二要素認証やIP制限による強固な認証
社内規程でパスワードポリシーを設定する等の対策がありますが、全社員に徹底させるのは難しくそれだけでは対策は不十分です。
二要素認証で強固な認証にする、接続元制限等により外部からの認証を行わない等の技術的な対策も検討するようにしましょう。
強固な認証については以下の記事も参考にしてください。
『強い』認証を実現するために —パスワード認証の限界と実践的なセキュリティ対策
2. メールの誤送信(CC/BCCミス・添付ミス)
日々の業務で頻繁に使われるメールは、便利な一方で情報漏えいのリスクもはらんでいます。
中でも特に多いのが、宛先や添付ファイルの誤りといった“ヒューマンエラー”による誤送信です。
最近のメーラーでは、宛先を自動で補完してくれる機能もありその手軽さから確認怠ってしまうケースも多いようです。 プライバシーマークの付与機関であるJIPDECの2023年度の事故報告集計結果によると、報告された個人情報の取扱いに関する事故のうち、「誤配布・誤交付」と「誤送信」が全体の6割以上を占めており、ヒューマンエラーが主要な要因となっていることが分かります。
発生原因でも担当者の「作業・操作ミス」「確認不足」が上位にきており、いかにヒューマンエラーによる情報漏えいが多いかを示しています。
対応策:送信取消設定や誤送信時の対応フロー整備
OutlookやGmailでは、送信後にキャンセルができる猶予時間が設定できます。
その猶予時間を長めに設定しておけば、誤送信を減らすことができます。
ただ、いかに注意をしていても、誤送信を完全に防ぐことは困難です。
そのため、万が一の誤送信に備え、被害を最小限にする対策も検討しましょう。
例えば、ファイル転送サービスを利用すれば、ダウンロード期限や回数の制限、アクセスログの取得などが可能で、送信後もファイルの管理が行えます。
このような仕組みによって、情報漏えいリスクを大幅に低減することができます。
また、誤送信は“起きてからの初動”が被害の大きさを左右することもあります。
誤送信に気がついたら、誤った送信先にはすぐに連絡し、メールやデータの削除を依頼することが不可欠です。
そのためにも、誤送信が起きた際の対応手順や報告先などをあらかじめ整備して、社内に周知しておくことが重要です。
3. 私物端末(BYOD)・シャドーITの利用
最近では、テレワークの拡大に伴い、個人所有のスマートフォンやパソコンで業務を行う「BYOD(Bring Your Own Device)」のリスクが顕在化しています。
また、情報システム部門などの社内のIT管理を通さず、便利だからと勝手に導入してしまう業務ツール(いわゆるシャドーIT)も、情報管理の穴を生み出します。
過去には、保健所の職員が業務に個人契約のクラウドサービスに業務情報を保存し、個人のアカウントがフィッシング詐欺にあってしまい、情報が流出したという事例もあります。
シャドーITは組織による把握が難しく、情報漏えいが発覚するまでに時間がかかるおそれがあります。
また、個人のアカウントは企業に比べ、セキュリティ設定が甘いことが多いため、不正アクセス等の外部からの脅威に対するリスクも高まります。
対応策:利用申請制度とCASBによるクラウド制御
BYODや個人契約のクラウドサービスは組織が認めた場合にのみ利用させることが原則です。
「一切の利用を禁止する」、「利用には申請を必要とする」等、組織としての方針を明確にしましょう。
また、最近ではCASB(Cloud Access Security Broker/キャスビー)と呼ばれるクラウドサービスの利用状況を可視化・制御できるツールも広まっています。
このようなツールの活用も有効です。
4. 社外でののぞき見・盗み見対策の甘さ
カフェや電車内で仕事をする人が増えていますが、周囲に無関心なまま作業を行うことは、重大な情報漏えいのきっかけとなりかねません。画面や通話内容は、想像以上に他人から見聞きされています。
画面をのぞき見することで機密情報を窃取することを“ショルダーハッキング”と呼び、情報セキュリティ上の代表的な攻撃手法の一つです。
仮にIDとパスワードの認証情報を窃取された場合、不正アクセスによる情報漏えい等の被害が拡大する危険性もあります。
対応策:覗き見防止フィルターと社外利用ルールの明確化
パソコンの画面に覗き見防止シートをつけることでのぞき見対策に一定の効果があります。
また、オフィス外での情報の取扱いについて、あらかじめ対応方針を定め、社員全体で意識を共有しておくことも有効な取り組みの一つです。
たとえば、社外での作業場所を限定する、公共のWi-Fi利用にはVPN接続を義務づけるといった基本的なルール整備も重要です。
さらに、画面ロックの自動作動時間を短く設定するなど、端末の設定そのものを見直すことで、物理的な情報窃取リスクを減らすことができます。
5. SNSへの不用意な投稿
SNSは便利な情報発信ツールで、皆さんも何らかのSNSを利用されていることでしょう。個人にとっては便利であっても、企業にとっては情報漏えいの温床ともなり得ます。
少し前には、グループチャットでの誤爆(誤った投稿)により、アメリカの軍事作戦が漏えいしてしまったことが話題となりました。
また、過去には家族のSNSから新商品の情報が漏えいした事例もあり、自身だけでなく身の回りの人のSNSにも注意が必要です。
対応策:SNS運用ルールと誤投稿防止の意識づけ
SNSは「不特定多数に公開される場」であるという前提を理解しましょう。
グループチャット等は、“限られたメンバーだけの閉じられた空間”と思われがちですが、後からメンバーが追加されたり、スクリーンショットで外部に漏れる可能性もあることから、機密情報はSNSに発信しないことが大前提です。
上記のような事故事例を定期的に周知するなどして一人一人の意識向上につなげていくことが大切です。
セキュリティ対策は“仕組み”と“意識”の両面から取り組むべき
“情報セキュリティ”と聞くと、ウイルス対策ソフトやファイアウォールなど、技術的な対策を思い浮かべる方が多いかもしれません。
しかし、実際に発生しているインシデントの多くは、パスワード管理の不備やメールの誤送信、操作ミスなど、人の行動に起因するものです。
毎日のちょっとした習慣や思い込みが、大きなトラブルにつながることもあります。
特に新しく加わった社員にとっては、最初にどんな“常識”を共有されるかが、その後の行動に大きな影響を与えます。
当社では、こうした“無自覚なリスク”に気づき、行動を変えるためにプライバシーマークやISMSに対応した研修プログラム、新入社員向けの研修プログラムなどを提供しています。
ご希望に合わせて、研修資料の作成から研修の実施までご支援いたします。
