コロナ禍をきっかけに、新たな働き方へシフトしている企業や従業員も散見される。そうした業務環境の変化が、情報漏えい発生の新たなリスクとして認識されつつある。この記事では、昨今の業務環境の変化に伴う情報漏えいの実態と、改めて復習しておきたい情報漏えい対策の基本について解説する。
働き方改革が生み出した新たな情報漏えいリスク
2020年以降のコロナ禍においては、企業・組織での働き方も大きく変化することを余儀なくされた。その結果、職種によっては「いつでも、どこでも」業務遂行が可能な環境が整備されたことで、もはや出社する必要性を感じなくなったという話も耳にする。
一方で、コロナ禍が次の段階に移行したことで、リモートワークから出社へと回帰する動きもみられる。リモートワークと出社の双方を組み合わせた「ハイブリッドワーク」なる言葉も生まれるなど、業務や生活の状況に応じた柔軟な働き方を行う企業・組織も出てきている。しかし、自由度が高い働き方は従業員の利便性や満足度を高める一方で、情報漏えいのリスクが高まることを意味する。以下に、こうした動きによって生み出された情報漏えいに関するリスクを挙げていく。
情報端末の紛失・盗難
オフィス外で業務を遂行するには、業務用のスマートフォン(以下、スマホ)やノートパソコンといったモバイル端末を持ち出すことが必然的に増えることになる。しかし、端末の厳格な管理がされているオフィスと異なり、オフィス外に持ち出す場合、端末自体の紛失や盗難といったリスクが生じ得る。
家族、知人経由での情報漏えい
オフィス外で業務を行う場所は人によってまちまちだ。快適な環境を求めて、郊外で業務を行うといったケースもあるだろう。また、家族や知人と連れ立った先で業務を行う、といったことも考えられる。周囲に企業・組織外の他人が存在する場合、そこには情報漏えいのリスクが付いて回ると言えるだろう。
外部記憶媒体の紛失・盗難
オフィス外で業務を行う場合、スマホなどのモバイル端末に加えて、USBメモリーといった外部記憶媒体を使用するケースもある。こうした媒体は利便性が高い反面、紛失・盗難リスクが高いことでも知られている。実際、過去にUSBメモリー、HDDの紛失・盗難といったインシデントは数多く起こっている。
ただし、紙の書類であればそうしたリスクが生じないというわけではない。実際に、今でも書類の紛失・盗難が起こっており、物理的なモノを持ち歩く限り、こうしたリスクがあるという認識を持つようにしたい。
SNSを通じた情報漏えい
気軽に情報発信するツールとして、SNSの利用は人々の日常生活に浸透している。業務をオフィス外で行うことで、公私の境が不明瞭となり、その結果として、SNSで業務に関連するような話題をうっかり投稿してしまう可能性も考えられる。また、投稿した画像に業務情報が含まれているような場合も想定されるだろう。
個人所有の情報端末を通じた情報漏えい
企業・組織から貸与されるモバイル端末と比較し、私物の端末はどうしてもセキュリティ対策が十分とは言えない。そうした端末を業務に利用することで、情報漏えいのリスクは高まってしまう。マルウェアによる情報漏えいをはじめ、紛失・盗難のリスクもある。
しかし、従業員にとっては業務効率が高まることもあり、悪意なく私物端末の利用に及んでしまいがちだ。先述のSNS経由での情報漏えいリスクも、私物の端末でも起き得ることは想像に難くないだろう。
過去に起こった情報漏えいの事例
実際に起こっている情報漏えいの事例は、以前から問題視されていたケースもあれば、技術革新や業務環境の変化によって生じたケースまでさまざまなものが存在する。先述のとおり、コロナ禍で働き方の変化が生じたことによるリスクに加え、従来から指摘されてきたようなリスクが原因となる情報漏えいも発生している。
大手情報通信グループ会社における内部犯行
2023年10月、大手企業のコールセンター代行業務を多く担う会社にて、約900万件に上る情報漏えいが発覚。元派遣社員の運用保守担当者が管理者権限を用いて、サーバーから情報を不正に外部記憶媒体にダウンロードし、数年にわたって継続的に情報を不正に持ち出していたとされる。こうした状況を検出するためのログのチェックなどが定期的に行われていなかったことが発覚の遅れの一因ともなった。
大手商社における元社員による情報の不正取得
2023年9月、大手商社の元社員が不正競争防止法違反容疑で逮捕された。この元社員は競合会社から転職した際に、退職した会社の機密情報を持ち出した疑いがかけられている。
大手出版会社におけるスミッシング被害
2023年4月、大手出版会社の役員が使用する業務用スマホに、宅配事業者を騙るSMSが届いた。その役員はSMSに記載された内容を信じ込み、アカウント情報を入力してしまった結果、スマホ内のデータが流出。登録されていた300件超の個人情報が漏えいしたとされる。
大手百貨店グループにおけるデータ誤送信
2022年11月、大手百貨店のグループ会社間における、データの誤送信が発覚。顧客から許諾を得ていない情報をグループ内で共有したことが明らかになっており、こうした事態が発覚後、当該会社では速やかにデータの削除を行った。
官公庁におけるメールの誤送信
2021年3月、官公庁の実施する委託事業においてメールの誤送信が発生。メール内にはクラウドサービスのリンクが記載されており、アクセスすると1,000名超の個人情報を閲覧できる状態であった。
大手Webサービス提供会社におけるパソコンの紛失
2014年5月、大手Webサービス提供会社の従業員が電車内でパソコンの入った紙袋を紛失。その後、パソコン自体は翌日に発見・回収されたものの、紛失期間に何者かがログインしていることがログの調査から明らかとなった。
従業員に求められる情報漏えい対策
リモートワークを含むハイブリッドワークを持続可能なものにしていくためには、企業・組織によるセキュリティ対策も重要だが、従業員の意識改革、対策の徹底も求められる。以下に、従業員それぞれが講じるべき対策を挙げていく。
誤送信対策ソリューションの導入
メールの誤送信を契機としたインシデントを防ぐには、従業員による送信前の二重チェックなどが基本となる。しかし、ヒューマンエラーは起こり得るという前提のもと、誤送信対策のソリューションも併用すべきだろう。こうしたソリューションを利用することで、万一誤送信してしまった場合でも、致命的な情報漏えいにはつながりづらくなる。
情報持ち出し対策の徹底
先述の事例のように、従業員が悪意を持って情報を持ち出すケースは今なお起こっている。こうした行為を抑止するためにも、情報へのアクセス権限の管理、相互監視といった対策はもちろんのこと、ネットワークやログを管理・監視することで、疑わしい振る舞いがあった場合にはアラートを発出するといった仕組みの導入も必要となる。
セキュリティポリシーの順守
昨今、企業・組織ではセキュリティ対策の重要性を認識し、さまざまな対策を講じている。その1つとして、セキュリティポリシーの策定がある。自社の実態に合わせて策定されるセキュリティポリシーを順守することで、情報漏えいの危険性を抑えられる。
ただし、目まぐるしく進化するデジタル技術にポリシーが追いついていない場合もある。そのような場合、ポリシーを見直すなどして、実情に応じた内容へ変更する必要がある。
最新の漏えい事件を把握
AIの進展に代表されるように、デジタル技術は進歩していくスピードが格段に早いのが特徴だ。サイバー攻撃者はそうしたデジタル技術を逐一アップデートすることで、その手口を巧妙化させている。そうした前提に立ち、日々新しい手口を把握・理解して対策を講じることが重要だ。
利用しているモバイル端末を適切に管理
企業・組織の一部ではヒューマンエラーが起こることを前提に、MDM (Mobile Device Management:モバイルデバイス管理)などを用いて紛失・盗難対策を講じている。サイバー攻撃者にとって主要な侵入口は、エンドポイントと呼ばれる端末が主となるためだ。
従業員もセキュリティに対する意識を高く持ち、自らが利用するモバイル端末を適切に管理することが求められる。昨今では未修正の脆弱性を狙うゼロデイ攻撃も一般的になっている。そのため、脆弱性の修正プログラムが配布された場合、速やかに適用することが重要となる。
不審なWebサイトへのアクセス、不審なメールの開封を避ける
先の事例でも挙げたが、業務用スマホなどを狙う攻撃も後を絶たない。攻撃者の手口は年々巧妙化しており、危険があると判断できないようなケースもある。また、標的型攻撃と呼ばれる手口も一般的になりつつある。攻撃者の手口が、より悪質なものに変わりつつあるという認識を持つようにしたい。
ひとたび情報漏えいが引き起こされれば、企業・組織は甚大な損害を被ることになってしまう。また、直接的な金銭被害だけでなく、社会的信用が失墜することで中長期にわたって悪影響を及ぼしかねない。そして、被害の原因に関わった従業員も、場合によっては損害賠償請求の対象となる可能性もある。
コロナ禍をきっかけに、国内でも急速に広まったリモートワークやハイブリッドワーク。従業員にとっても企業にとっても、適切に運用すれば業務効率を向上させることが期待されている。こうした働き方を定着させていくためにも、企業・組織に依存するだけでなく、従業員自らも主体性を持ってセキュリティ意識を高め、情報漏えいを起こさないための責任ある行動が求められていると言えるだろう。