いますぐに行うべきセキュリティー対策
～セキュリティーインシデントから見える、従業員の意識改革の重要性～

お役立ち情報

2024年02月08日

セキュリティー対策
サイバー攻撃対策

こんにちは。あるいはこんばんは。最近、「Y1000」（ヤクルト本社）を店頭でも見かけるようになりましたね。遅ればせながらワタシも手に取って毎晩見る夢を楽しみにしながら質の高い睡眠効果を感じています。

およそ1年前からコンテンツセキュリティーに関する連載を開始しましたが、今回は2023年を振り返り、セキュリティー関連の事故の傾向と対策について筆を執りたいと思います。

2023年に起こったセキュリティー事故

2023年も大小さまざまな情報漏えいやセキュリティー事故が発生しました。メディアで大々的に取り上げられた事例もありますが、実際にはそれ以外にも多くのインシデントが発生しています。

情報セキュリティー専門のニュースメディア「Security NEXT」によると、2023年に672件の情報漏えい事件・事故が報告されています。

これらの672件の事故を大きく分類すると、最も多い原因はメールの誤送信で、次いでクラウド設定ミスによる誤公開が続きます。多くの人が想像するような機器の脆弱性を狙ったサイバー攻撃やランサムウエア、マルウエアによる被害ももちろん発生していますが、国内において、2023年はメールの誤送信やクラウド設定のミス、USBメモリーや印刷物の紛失など、人的ミスが目立った年と言えます。

これらの数字は、情報セキュリティー対策において、人的ミスを減らすことがいかに重要であるかを示しています。企業や組織は、テクノロジーだけでなく、従業員の意識向上と教育にも注力する必要があります。

代表的なセキュリティー事故とその例

メールの誤送信やクラウド上の設定ミスについて改めて振り返りましょう。

メールの誤送信

メールの誤送信とは、意図しない受信者に電子メールを送信してしまうことを指します。これは主に、メールアドレスの手動入力ミスや、メールソフトの宛先自動補完機能による誤りに起因します。特に、添付ファイルを含むメールのやり取りでは、誤送信が起こった際のリスクが高まります。

一度送信されたメールは取り消すことが難しく、誤送信は機密情報の漏えいにつながり、ビジネス関係における信頼を損なうこともあります。

誤送信を防ぐためには、誤送信防止機能を備えたメールシステムの利用が有効ですが、それだけでは不十分です。従業員の意識向上と継続的な教育が重要であり、メールの送信前に宛先と添付ファイルを再確認する習慣を身につけることが求められます。

さらに、「いまさら聞けないPPAP問題」で解説したように、ファイル共有サービスの使用に切り替えると、ファイルそのものを送信しないためファイルの安全性を高めることにつながります。このようなアプローチは、情報漏えいのリスクを大幅に減少させることができるのでおススメです。

	特徴
Box	社内外を問わず、セキュアにさまざまな形式のファイルを保存・共有することが可能な容量無制限のクラウドストレージです。簡単な操作でアクセス権を設定できるので、万が一の誤送信の場合にも取り消しが可能です。
mxHERO Mail2Cloud	メールに添付されたファイルを強制的にクラウドストレージに分離するSaaSです。受信者はクラウドストレージ上のURLにアクセスしメール添付に潜むセキュリティーリスクを低減できます。
m-FILTER@Cloud (DigitalArts@Cloud)	宛先・差出人・本文・添付ファイルを条件に送信時のフィルタリングルールを作成することができるため、メールの誤送信防止が可能です。また、添付ファイルの暗号化も可能です。

クラウド設定ミスによる情報漏えい

SaaSを含むクラウドサービスにおけるアクセス権限や公開設定の誤りは、機密データの意図しない公開や、外部からのアクセス可能な状態を生じさせ、重大な情報漏えいにつながります。

コロナ禍によるリモートワークの普及と働き方の変化に伴い、多くの企業がSaaSを主要なツールとして採用していますが、このプロセスでIT部門の認知や許可を得ずに部門独自でSaaSを導入するケース、いわゆるシャドーITも増加しています。特に、部門ごとの導入では企業のセキュリティーガイドラインや操作マニュアルが整備される前にサービスが利用されることが多く、これがセキュリティーの抜け穴となることもあります。さらに、クラウドサービスのデフォルト設定がセキュリティー面を十分に考慮していないため、ユーザーが誤って情報を公開してしまう事例も少なくありません。

このようなリスクを減らすためには、クラウドサービスの設定を慎重に行うことの徹底が必要です。特に、アクセス権限や公開設定に関しては定期的な確認と見直しが必要です。加えて、従業員の教育と意識向上も、情報漏えいを未然に防ぐためには不可欠です。

もう少し具体的に説明してみましょう（図1参照）。例えば、クラウドサービスAではアクセス権限がきちんと定義され、ダウンロードやコピーの禁止、外部共有不可の設定がされているとします。一方で、そのほかのクラウドサービスでは設定が漏れていたり、細かな設定項目がないことでファイルが別の場所にコピーされたりと、外部共有可能な状態のままファイルが運用されてしまいます。

つまり、同一のファイルを保存しているにも関わらず、クラウドサービスごとの設定が異なるために、セキュリティーレベルが変わります。これらは、情報漏えいリスクを高めるだけでなく、誤操作やうっかりミスを招くことにもなりますので、企業は安全に管理・保存できる場所を選定し、適切に設定を管理し続ける必要があります。

図1．ファイル運用まで視野を広げるとSaaSごとにセキュリティーレベルがマチマチに

参考記事

アプリケーションとコンテンツを分断させることでセキュリティーレベルを上げる

今回触れた、メールの誤送信やクラウドの誤った公開設定の多くは人的ミスに起因しますが、これらのミスは特に個人情報などの重要情報が含まれるファイルの不適切な管理が原因で発生します。

ファイルの重要度と人的ミスが発生する可能性。相関しないように感じる2つの項目に因果が見られるのはなぜでしょうか。

情報共有の過程でファイルがメールやローカルPC、クラウドなどにコピーされることが多く、これにより元々の管理ルールから逸脱するリスクが生じます。例えば、顧客情報を含むファイルに対し、当初は限定されたアクセス権で適切に管理されていても、時間の経過と共にアクセス権の拡大や管理の見直しが行われないことがあります。

新たにアクセス権を付与されたメンバーが、どのファイルを他のフォルダやクラウドにコピーしてよいのか、またそれを外部に共有してよいものかの判断は非常に難しくなります。さらに、操作ミスや意図的な行為により、ファイルがアクセス権管理の及ばない場所で公開される事態も発生し得ます。

このようなリスクを軽減するためには、アプリケーションとコンテンツの分断、すなわちファイルの管理と共有の方法を見直すことが必要です。これにより、重要な情報が不適切に共有されるリスクを最小限に抑え、セキュリティーレベルを向上させることができます。

オンプレミスのファイルサーバーを選択している企業では、情報が分散するきっかけを与えることや、シャドーITの誘発にもつながるので、企業は将来を見据えたファイル管理の絵姿を考えていきたいですね。

情報漏えい対策はシステムだけでなく、ガイドラインと意識改革も

今回取り上げた情報漏えい事例からわかるように、セキュリティー対策はシステムの強化だけでは不十分です。自社のセキュリティーガイドラインの整備と従業員のセキュリティー意識の向上も同様に重要です。

特に最近では、リモートワークの普及により働き方が多様化しており、BYOD（Bring Your Own Device：個人の端末を業務で使用すること）の採用も増加しています。これに伴い、情報漏えいやセキュリティー事故のリスクもこれまで以上に注意が必要です。また、2023年は内部不正による大きなセキュリティー事件が発覚しています。システムだけではなく、企業で働く社員に対するケアも重要です。

企業や組織は、これらの新しい働き方やテクノロジーの進展に合わせて、情報セキュリティー対策を常にアップデートし続ける必要があります。技術的な防御策と併せて、従業員の教育とガイドラインの強化が、安全な情報環境を構築する上で不可欠です。
それぞれの企業で働く皆さまが安心して働ける環境の整備の一助になれば幸いです。

田中　克弥（たなか　かつや）

ユニアデックス株式会社
マーケティング本部　ビジネス企画開発部　第三企画開発室

今年は秋の季節が短く、外気温の急激な変化に、我が家で管理している植物たちを慌てて室内に取り込みました。さらに、ホームIoTで遠方から室温管理やエアコンON/OFFもできるようにして冬越しの準備はこれでばっちりですが、ワタシの仕事部屋がジャングル化しています。