情報セキュリティインシデントに関する調査報告書｜テレワークのセキュリティ対策とは？

情報セキュリティインシデントとは、情報セキュリティにおいて起こるさまざまな問題のことを指します。この記事では、情報セキュリティインシデントに関心を持っている人に向けて、情報セキュリティインシデントに関する報告書の概要や情報セキュリティを高めるための対策などについて解説します。この記事を読んで、情報セキュリティインシデントを未然に防ぎましょう。

目次

• 【最新版】情報セキュリティインシデントに関する調査報告書
• テレワークの推進で増す情報セキュリティ対策の重要度と想定されるリスク
• 情報漏えいが発生する原因とは？
  • 情報セキュリティインシデントの対策とは？まとめ

【最新版】情報セキュリティインシデントに関する調査報告書

情報セキュリティインシデントに関する調査報告書とは、「特定非営利活動法人日本セキュリティ・ネットワーク協会(JSNA)」によって発行されています。個人情報漏えい事件に関する情報をインターネットニュースや新聞などから収集し、分析した結果をまとめた報告書です。2018年度の情報セキュリティインシデントに関する調査報告書の内容は、以下のとおりです。

・漏えい人数：約560万人

・インシデント件数：約440件

・想定損害賠償総額：約2,700億円

・1件当たりの漏えい人数：約1万3,000人

・1件あたりの平均想定損害賠償額：約6億円

情報セキュリティインシデントにおける損害賠償総額は約2,700億円、インシデント1件当たりの漏えい人数は1万人を超えており、インシデントが起こることで実際に被る損害の大きさがわかります。

テレワークの推進で増す情報セキュリティ対策の重要度と想定されるリスク

働き方改革の推進や感染症対策として、テレワークの推進が進められています。インターネットを活用するテレワークの普及により、情報セキュリティ対策の必要性は高まっているといえるでしょう。ここでは、発生する可能性の高い情報インシデントについて解説します。

リスク1：コンピューターウイルスの感染

コンピューターウイルスへの感染により、PCが乗っ取られてしまって社内情報が社外に流出することがあります。例えば、社内情報を扱うPCに業務とは関係ない第三者からのメール来て、添付されていたファイルを開くとマルウェア（例：コンピューターウイルス）に感染するケースは少なくありません。

また、セキュリティ対策が万全でない個人デバイスの利用もリスクが高いです。ウイルスに感染したデバイスで社内ネットワークにアクセスすれば、感染が広がるといったリスクが考えられます。

リスク2：USBメモリ・デバイスの紛失

社内情報を保存したUSBメモリやタブレット、PCといったデバイスの紛失・盗難による情報流出も少なくありません。テレワークの場合、データを社外で利用するためにUSBメモリや業務用タブレットなどで持ち帰るケースもあるでしょう。その際、自宅以外の場所でデバイスを使い置き忘れてしまう、USBメモリを落としてしまうといったリスクがあります。

これらのデバイスは管理を徹底し紛失しないようにしなければ、情報漏えいのリスクが高まります。

リスク3：VPN機器への不正アクセス

社外でデバイスをインターネットに接続する際、安定した拠点間通信をするためにVPN通信を導入するケースも多いでしょう。しかし、脆弱性のあるVPN機器の使用により、情報漏えいのリスクが高まることがあるので注意が必要です。

利用するシステムのアップデートが行われておらず最新状態を保てていない場合、脆弱性が改善できないままになります。脆弱性をつかれてVPN機器にアクセスされれば、IDやパスワードが盗まれて社内情報が流出するケースもあるため事前にきちんと対策しなければいけません。

情報漏えいが発生する原因とは？

情報漏えいが発生する原因にはどのようなケースが考えられるのでしょうか。以下では、情報漏えいの原因について解説します。

Web閲覧やメールの添付ファイルによるウイルスの感染

使用しているデバイスがウイルスに感染してしまうと、気づかない内に情報が漏れてしまう可能性があります。Webサイトの閲覧や第三者からのメールに添付されていたファイルの開封、信頼性が低く提供元が不確かなファイルのダウンロードなどは、ウイルスに感染するリスクが高いため業務用デバイスを扱う際には注意が必要です。

置き忘れ・盗難

業務用のPCやUSBメモリなどを持ち出す場合、電車やタクシー、カフェなどに置き忘れてしまう可能性もあります。また、紙資料なども置き忘れしやすく、情報漏えいにつながるリスクが高いです。また、車上荒らしや空き巣などの被害に遭い、USBメモリやデータを保存したデバイスが盗まれて情報漏えいが起こるケースもあります。

不注意による誤操作

人的ミスなどの不注意によって情報が漏えいするケースもあります。例えば、重要な社内情報や顧客情報が記載されている資料を取引先に送付してしまったり、機密情報を扱えない従業員を共有フォルダに入れてしまったりすることが考えられるでしょう。その他、メールを送る際にBCCではなくCCにしてしまい、送信者は意図せずに受信者すべてにメールアドレスが流出するなど誤操作による流出が起こりがちです。

管理不足・ミス

資料の管理がしっかりなされていなかったり、Webサイトの公開設定のミスが起こったりして情報が漏えいするケースも少なくありません。例えば、オフィスで管理していたはずの重要情報が記載された書類が紛失したり、本来ならアクセス制限を設ける必要があるのにWebサイトを公開設定にしてしまったりと、管理不足やケアレスミスで情報が流出する可能性があります。

社内における不正行為

社内で情報の取り扱いに関してルールを定めていても、そのルールを破って情報を持ち出し、漏えいする可能性もあります。情報を悪用するために不正にアクセスして、情報を盗み出すだけではありません。自宅で業務を行うために許可を得ずに情報を持ち出した結果、情報漏えいするなどの悪意なく不正行為をするケースもあります。

バグ

OSやセキュリティソフトのバグで本来なら守られるべき情報が漏えいするケースもあります。また、OSやソフトウェアなどをアップデートしないことで、セキュリティの脆弱性が放置されてしまうことも問題です。セキュリティの脆弱性を悪用されると、外部から個人情報や機密情報を盗まれるリスクが高まります。

不正なアクセス

不正なアクセスにより情報が漏えいしたり、データが改ざんされたりといった被害を受けることもあります。例えば、第三者から受信したメールに添付されたファイルを開封してマルウェアに感染してしまったり、フィッシングサイトだと気づかずにIDやパスワードなどを入力してしまったりして不正アクセスされ、情報が漏えいします。

情報セキュリティインシデントの対策とは？

上記で解説したように、情報セキュリティインシデントはさまざまな原因から起こってしまいます。情報セキュリティインシデントを防ぐためにはどうすれば良いのでしょうか。ここでは、具体的な対策について解説します。

情報をしっかり保護するセキュリティソフトを導入する

情報を保護するためには、セキュリティソフトの導入が欠かせません。社内から出ていく情報だけでなく、アップロードされる情報などのチェックも重要です。入口と出口をしっかりと守ってくれるセキュリティソフトを導入すれば、不審な情報の持ち出しやウイルスに感染したファイルのアップロードなどを防げます。

持ち出しルールを策定する

情報を持ち出す際のルールは、しっかりと策定しましょう。例えば、小型で紛失しやすいUSBメモリやSDカードの持ち出しを禁止したり、どうしても情報を持ち出す必要性がある場合には暗号化して万が一紛失・盗難などが起こった際に備えたりなど、細かなルールを定めます。PCやタブレットなど、幅広いデバイスについてのルール策定が重要でしょう。

会社でセキュリティポリシーを設定する

セキュリティポリシーとは、セキュリティ対策について定めた基本方針のことです。セキュリティポリシーは、セキュリティ対策においてベースとなるので自社にあう内容を設定する必要があります。セキュリティポリシーを明確に設定することで、従業員は行っても良い行動と悪い行動が分かるためデータを扱うときの指針になります。

→こちらも併せて読みたい「総務省の「テレワークセキュリティガイドライン」の内容とは？わかりやすくまとめて解説」

メール誤送信防止システムを利用する

メールを送信する際に生じやすいミスは、メール誤送信防止システムを利用すれば防げます。メール誤送信防止システムでは、外部に送信すべきではない情報が含まれている場合には、確認画面が表示されたり管理者にアラートで通知されたりします。これにより、本来情報を共有すべきでない人へのメールの誤送信を防げるので安心です。

メールでファイルを共有しない

メールでのファイル共有を禁止して、共有する必要がある場合は他のツールを使うようにするのも良い方法です。例えば、クラウド型ツールやコミュニケーションツールなどを活用してみると良いでしょう。これらのツールを選ぶ際には、セキュリティ対策がしっかりされているものを選びます。

従業員を対象にセキュリティセミナーを行う

さまざまなシステムやツールを使うだけでなく、従業員のセキュリティ意識を高める対策も重要です。セキュリティ対策の専門家やコンサルタントに依頼してセミナーや研修を行うと良いでしょう。セミナーや研修は一度だけでなく定期的に開催し、セキュリティに関する意識を維持させるように努めます。

まとめ

テレワークの促進により、情報セキュリティ対策の重要度が高まっています。ウイルス感染や人的ミスなどによる情報漏えいを防ぐために、セキュリティへの意識を高めてしっかりとした対策をとりましょう。

KDDI まとめてオフィスでは、社外から社内ネットワークへアクセスできるVPN方式サービスにより安全なリモートワークを実現できるサービスを提供しています。また、モバイル端末の一元管理で情報漏えいのリスク軽減が可能です。クラウドサービスのIDをまとめて安全に管理でき、インシデントの予防にもつながります。セキュリティ対策の強化をお考えなら、導入をご検討ください。

KDDI まとめてオフィスのセキュリティ対策のご紹介はこちら