中途退職者による漏洩が増加
前回と比較して情報漏洩に関するインシデントは微減しており、秘密保持契約を締結する企業は増加傾向にありました。また、アンチウイルスソフトやファイアウォールの導入など不正アクセスへの基礎的な対策は大きく伸び、インシデント対策への意識は高まっているといえます。
しかし、情報漏洩が発覚した際、301名以上の大企業ではヒアリングやログの確認などを実施している一方で、300人以下の中小企業では何もしなかったという割合が高くなっています。また、情報漏洩の発生を検知できるような対策の実施割合は増加したものの、従業員に周知していない企業が多くみられました。
前回の調査結果で多かったメール送信時の誤操作による情報漏洩はその後の対策で大きく減少しましたが、「中途退職者による漏洩」が増加しています。
2021年1月、某携帯電話会社の社員が退職前に技術情報を持ち出したのをはじめ、3月には某電鉄グループ会社の元従業員が顧客の個人情報を外部の法人に持ち出すなど、中途退職者による内部不正の事例は増加しており、対策が必要です。
参考:企業における営業秘密管理に関する実態調査 2020 調査実施報告書 IPA 2020年3月18日)
そこで、内部不正対策に有効なポイントを3点ご紹介します。
ポイント① ログを見て有事の際に何が起きたか判断する
EDR製品では、マルウェア攻撃を検知するためにイベントの記録や分析ができますが、これを活用することで、情報持ち出しなどの内部不正を検知し、インシデントの早期発見・対処を実現します。
ALSIではEDR製品「Cybereason EDR」を提供しています。
Cybereason EDRは独自の分析ノウハウにより、エンドポイントの膨大なログデータを解析するクラウドソリューションです。
当社では、Cybereason EDRをアルプスアルパイングループに導入し、当社もグループの一員としてCybereason EDRを日々利用しています。導入の経験と、ユーザーとしての経験、両方の視点を持って使っているからこそ自信を持ったご提案が可能です。
ポイント② 機密データを外部に持ち出させない
内部不正による情報漏洩を防ぐには、「データセキュリティ」が重要です。
データセキュリティは、誰もが自由にデータを引き出せないようにするためのデータ保護対策です。代表的なデータセキュリティとしてはデータ暗号化や上書き禁止などが挙げられ、ファイルの持ち出しを防ぐことに有効です。
ALSIでは、あらゆる情報漏洩対策を一元管理できる「InterSafe ILP」というデータセキュリティ製品を提供しています。ファイルやUSBメモリの暗号化機能によって、外部へ不正に持ち出しが行われても内容を見られる心配がありません。また、外部デバイスの制御機能によって、外部へ不正に持ち出すことそのものを防ぐことも可能です。さらにワークフロー機能を使えば、ファイルの持ち出しを申請承認で管理することができます。
このようにInterSafe ILPは、内部不正によるファイルや情報の外部持ち出しを防ぐ機能を有しています。
なお、導入の際にはこれらの機能を自由にカスタマイズすることが可能です。
ポイント③ クラウドサービスからの情報流出を防止する
レポートでは、テレワーク実施にあたり既存のルールとは別に規定したルールのうち、「秘密情報を社外から取引先と共有する際のルール」「クラウドサービスで扱う場合のルール」を取り決めている企業の割合が低いという結果になりました(報告書P.70)。従業員がストレージサービスを使って秘密情報を不正にアップロードしたり、SNSへ掲載することによって情報漏洩が発生するリスクがあり、対策が必要です。
ALSIが提供しているWebフィルタリングソリューション「InterSafe WebFilter」「InterSafe GatewayConnection」は、クラウドサービスやSNSからの情報漏洩対策に有効な機能を提供しています。
例えば、会社が契約している有償アカウントでのみクラウドサービスへのログインを許可することで、私用アカウントからの情報漏洩を防止します。また、SNSについてはグループポリシーを設定することで、業務でSNSを利用しないユーザーの書き込みを未然に防ぎます。書き込みキーワード規制により、秘密情報にかかわるキーワードの含まれた書き込みを規制することも可能です。
企業において情報漏洩対策の意識は高まってきている一方で、内部不正による情報漏洩は増加傾向にあります。ご紹介したセキュリティ製品を活用して、内部不正から大切なデータを守り、会社の信頼を守っていきましょう!
