従業員による不正持ち出しが増加、さまざまな可能性が潜在
近年DX(デジタルトランスフォーメーション)という言葉がささやかれ、IT導入が一気に加速しています。これは経済産業省が提唱している「2025年の壁」という問題に対して企業が動いているものです。
IT化により便利になる場合がある一方で不正アクセスなどの情報漏えいのニュースが後を絶ちません。
情報漏えい事故の状況
東京商工リサーチが2023年の上場企業の個人情報漏えい・紛失事故の調査結果を公表しています。それによりますと、事故件数は175件で2012年に調査開始以降3年連続で最多件数を更新しているとのことです。情報漏えいといえば、ウイルス感染や不正アクセスによる外部からの攻撃によるものを想像すると思います。情報漏えい・紛失事故の原因別でみると「ウイルス感染・不正アクセス」が53.1%で最も多い原因となっています。
| 原因 | 2023年 | 2022年 |
|---|---|---|
| ウイルス感染・不正アクセス | 93件 | 91件 |
| 誤表示・誤送信 | 43件 | 43件 |
| 不正持ち出し・盗難 | 24件 | 5件 |
| 紛失・誤廃棄 | 15件 | 25件 |
| 不明・その他 | - | 1件 |
ただ、注目すべきは「不正持ち出し・盗難」が13.7%で、前年の約5倍に増加している点です。
ランサムウェア(身代金要求型ウイルス)が顕著に話題になっており、外部による巧妙な犯行にセキュリティ対策が急務となっていますが、社内が原因になる被害にも目を向けておかなければならないことを表しています。
昨今取り上げられる不正持ち出し
上記のように機密文書のUSB等の媒体を用いた不正持ち出しが昨今問題となっています。社内の技術資料を他社に提供したり、顧客リストを名簿業者に販売していたりとさまざまです。特によくニュースでも話題になりその被害の大きさに驚かされることもしばしばです。例として以下3点ほど挙げます。
①某コールセンター業務を担う元派遣社員がUSBを用いて顧客情報を不正に持ち出していました。約900万件の流出が明らかになり、一部は名簿業者に渡っているとのこと。
②某通信事業者で営業機密文書をメールの添付ファイルとして自分自身が設定していたメールアドレスに送信していました。その後ライバル企業に転職していました。
③某通信事業者で業務委託先の元派遣社員が業務に使用するパソコンから個人契約している外部ストレージにアクセスし、約596万件の顧客情報を不正に持ち出しました。この派遣社員は情報を持ち出した翌日に、契約期間が満了しているとのこと。
該当従業員の犯罪ではありますが、会社の信用問題にも発展し、後処理や再発防止策など時間もかかることになります。未然に防ぐためにも従業員の教育や利用状況の把握などが大切になってきます。
外部流出の原因と対策
まず、個人情報や機密文書などの重要なデータの社外に持ち出されるルートについてです。実例にもありましたが、データが持ち出される主な手段として以下のようなものが挙げられます。
- 印刷物やメモなどの紙媒体
- USBメモリ、HDD、スマートフォンなどの可搬記録媒体やモバイルデバイス
- 電子メール本文への記載やファイル添付
- オンラインストレージサービス
- カメラで撮影
さまざまな方法で持ち出すことができます。そのため、まずは、個人情報や機密文書に触れる機会を適切にしておく必要があります。
従業員であれば誰でもいつでもアクセスできるような状態にしておくと、情報漏えいのリスクが高くなります。個人情報や機密文書などのアクセス権は常に整備しておく必要があります。
また、アクセスできる環境(部屋やPC)を整える必要があります。
- USBなどの可搬記録装置を利用できなくする
- 記録簿を用いた承認や操作ログの監視など管理されている状態にする
- スマートフォンなどカメラが付いているデバイスの持ち込みを制限する
- 入室できる人を管理する
目に触れる機会と持ち出せる環境を最小限にすることで、持ち出せるかもと思える判断を抑制することが重要です。
気づかないうちに利用される外部サービス
ただし、セキュリティ対策によって制約が増えすぎてしまい利便性が下がると、「シャドーIT」が発生する原因につながります。「シャドーIT」は企業が許可していなかったり把握できていない外部サービスを従業員が私的に使用してしまうものです。
外部サービスには、普段プライベートで使用しているSNSやオンラインストレージサービス、個人所有のデバイスなどを指します。このようにプライベート利用のものが多く、シャドーITを放置すると、企業の知らないところで情報漏えいや不正アクセスなどにつながる危険性があります。
なんでもシャットアウトではなく適切な利用を行えるようにすることが求められています。
リモートワークも持ち出しの温床?
2020年から始まったコロナ禍の影響により広くリモートワークが普及しました。働き方改革としてワークライフバランスに合わせた働き方としてリモートワークは定着しています。リモートワークは自宅など自身のみの状態で働くことになるため、不正流出のきっかけになる恐れがあります。
リモートワークの実現にはセキュリティ対策をしっかり実施していることと思います。例えば通信経路の暗号化、VPN装置などのセキュリティパッチの適用、リモートワークPCの許可制など。これらは外部からの攻撃に備えた対策です。今回の話題の不正持ち出しの話でいうと以下のような点ができているか注意が必要です。
- リモート先端末からローカル端末へのコピー&ペーストの禁止
- リモートワークPCの監視
- ローカル端末でのスクリーンショットの禁止
最近ではローカル端末でスクリーンショットをしようとすると、リモート先の画面が真っ白になって不正流出を防止するなどの技術もあるようです。
写真撮影もセキュリティリスクになりつつある
さて、社外に持ち出されるルートの中でカメラで撮影というのを挙げていました。
リモートワークといった自宅などで周りに誰もいない環境で仕事をしていれば、撮影する難易度はかなり低いものです。そのため、画面をスマートフォンのカメラで撮影するといった不正への対応は技術的に難しいと言われています。
流出される情報量も知れているため、まだあまり騒がれていない部分ではありますが、少しでも流出があれば大きな問題となるため注意が必要です。
企業ではありませんが、最近でも中学校において個人情報の記載された学級編制に係る資料を学校内の生徒の目に触れる場所に置き忘れ、複数人の生徒が閲覧したりスマートフォンで撮影し、SNSへの流出も確認されています。原因としては置き忘れという不適切な個人情報の取り扱いにはなりますが、撮影により多くの人の目に触れる原因となり大きな問題となりました。
特に最近はAIの普及により画像を文字起こししてくれるサービスもあります。画像から簡単に元のファイルと同等の内容に置き換えられてしまう恐れもあります。
まとめ
セキュリティインシデントの中でも2023年に増加した内部による不正について触れてきました。
画像共有サービス「ガ象さん」では、IPアドレスによるアクセス制限などで、社内で登録した画像を外部から閲覧できないようにする施策も用意しています。ただし、個人所有のスマートフォンなどの利用では防げない部分もあります。
いかに不正流出に手を染めさせない対策を打つかが焦点となります。
参考リンク
2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分 | TSRデータインサイト | 東京商工リサーチ