昨今、リモートワークや業務委託の需要拡大に伴い、業務データや個人情報の取り扱いに関する紛失・流出の事件が増え、ユーザーからの関心も高まっています。
そのため、企業や自治体にはデータを適切に扱うことが求められ、万が一の際には賠償や罰金などの金銭的なリスクだけでなく、社会的信用を失うリスクも抱えています。
navigate_next 関連情報:従業員のデータ複製&持ち出し、どう防ぐ?─ 情報漏えい対策と発生時の対応方法 ─
そこで今回は、そもそもどうしてデータの流出は発生してしまうのか。
そして、データの流出を「させない」ためにはどうすればよいのか。という点に注目してみましょう。
データ流出、なぜ起こる?
─ 楽をしたい?「気の緩み」が落とし穴 ─
日本ネットワークセキュリティ協会の調査(図1)によると、紙媒体による漏洩件数が減少傾向である反面、USBなどの電子媒体による漏洩件数が増加しています。
そのため、各企業にはいままでのアナログデータに対する漏洩対策だけでなくデジタルデータに対しても漏洩対策を実施することが求められるでしょう。
媒体・経路別 漏えい件数
図1.2018年情報セキュリティインシデントに関する調査報告書1
| 媒体 | 2017年(N=386件) | 2018年(N=443件) |
|---|---|---|
| 紙 | 150件 | 132件 |
| インターネット | 87件 | 118件 |
| 電子メール | 77件 | 95件 |
| USB等可搬記録媒体 | 41件 | 56件 |
紙媒体の漏えい件数が最も多い
インターネット・電子メール・USB経由が増加
また、同調査(図2)によると「紛失・置忘れ」を原因とした漏洩件数が最も多いことから、“持ち出させない“ことが最も重要であると考えられます。
USBは小型軽量で可搬性に優れ、大容量であることから業務データのやりとりを効率的に行うことができます。
しかし、万が一紛失してしまった場合には「大規模な情報漏洩に繋がってしまう」「未発見となってしまう」といった可能性のほか、私物USBの利用により紛失者からの申告がなかった場合には、「漏洩事件そのものが見逃されてしまう」等、そのリスクは到底無視できるものではありません。
原因別 漏えい件数
図2.2018年情報セキュリティインシデントに関する調査報告書2
| 2017年(N=386件) | 2018年(N=443件) | ||
|---|---|---|---|
| 誤操作 | 97件 | 紛失・置忘れ | 116件 |
| 紛失・置忘れ | 84件 | 誤操作 | 109件 |
| 不正アクセス | 67件 | 不正アクセス | 90件 |
| 管理ミス | 50件 | 管理ミス | 54件 |
「紛失・置忘れ」「不正アクセス」の件数が増加
「紛失・置忘れ」「誤操作」「不正アクセス」
3大原因(約70%)
重要データを情報漏洩から守るために
─ キーワードは「制御」─
データを”持ち出す”ことのできるリスクについては前述の通りですが、現実問題として業務効率化や作業環境等の面からメリットがあることもまた事実です。
それでは、データを”持ち出す”ことのできるメリットはそのまま、リスクを最小限に抑えることはできないのでしょうか。
そこで重要となるのが「制御」です。
「制御」機能を有した製品を利用することでUSB等の外部デバイスに対し、データの持ち出し禁止や、許可されたデバイスのみが利用可能となる「制御」を行うことが可能になります。
デバイスやアクセスの「制限」には以下のような特徴があります。
- 持ち出し禁止データの漏洩防止
- 無断コピーによる持ち出し/紛失対策
- 悪意ある操作や不正な操作に対する対策
- 従業員の意識向上
- 万が一の際の過失軽減
デバイスやアクセスの「制御」を活用し、社用デバイスのみを許可することで、現在の作業環境を変えることなく、データの管理能力を向上させ、情報漏洩対策を強化することができます。
その際、「高度な自動暗号化機能を有したUSBデバイス」を利用することも効果的です。
もちろん、一切の利用を禁止することで、より強固なセキュリティ対策とすることも可能です。
アクセス制御/デバイス制御機能の例
ユーザーごとに利用制限を設定
登録済みのデバイスのみ利用設定
一定時間のみ利用の許可
デバイス制御・アクセス制御機能についての詳細はこちらをご覧ください。
「デバイス制御」と併せて検討したい!「させない」組織の形成方法
~ログ管理から始める組織の健全化~
今回、「デバイス制御」により「させない」方法について紹介しましたが、平時の周知や教育により「させない」組織を作ることも重要データの漏えい対策として有効です。
コチラの記事にて、重要データの代表である個人情報を例に「ログ管理」を用いた対策方法も紹介しておりますので是非ご覧ください。
今すぐできる!「デバイス制御」と「ログ管理」
これから対策を検討される企業におすすめする「デバイス制御」と「ログ管理」を簡単に導入する方法はこちらです。
MylogStar Cloud
PC操作ログ管理をクラウドサービスとして提供。
導入作業や運用管理の工数を大幅に削減を実現して、情報漏洩対策や業務改善をサポート。
navigate_next 詳細はこちら
MylogStar Desktop
監視対象のClientOSへのスタンドアロン管理(管理サーバーレスで導入/運用が可能)PC1台からの操作ログ管理。ネットワークのない物理環境でもログ管理を実現
navigate_next 詳細はこちら
また、ラネクシーではセキュリティツールの販売だけでなく、各企業様の運用状況や作業環境に合わせた運用方法のご提案も併せて行っております。
今回のように「業務上どうしても無くすことはできないけれど、セキュリティ対策は強化したい……」という場合でも柔軟に対応致しますので、ぜひお問い合わせください。
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
