情報漏洩は人によるうっかりが一番多い
情報漏洩などのリスクを評価するときに、その脅威がどこからくるものかで大きく3つにわけられます。
・人的脅威は、人によるもの
・物理的脅威は、災害や故障などによるもの
・技術的脅威は、PCの不正アクセスやウイルスなどによるもの
今回は人的脅威についてみてみたいと思います。
うっかりで情報漏洩
警察庁 NPO法人日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、2018年の漏洩件数は443件で、インシデント件数は減少傾向にあります。
警察庁 NPO法人日本ネットワークセキュリティ協会
443件のうち、紛失・置き忘れ(116件)がもっとも多く、誤操作(109件)、管理ミス(54件)といった人的脅威は、全体の6割以上を占めます。
紛失・置き忘れは、電車や飲食店などでPCやUSBなどの媒体をなくしてしまったり、置き忘れてしまったものです。
誤操作は、宛先の間違いによるメールやFAX・郵便の誤送信です。
管理ミスは、引っ越し後に個人情報の行方がわからない、個人情報の受け渡し確認が不十分、個人情報の公開、管理ルールが明確化されておらず誤って開示してしまったなどがあります。
媒体別でみると、紙媒体は減少傾向にあるものの、132件と全体の3割近くでもっとも多い状態です。
漏洩対策
紙に対する対策
機密情報を紙は、おきっぱなしにせず離籍時に机の上をきれいにするクリアデスクにする、施錠可能な棚に保管する、配送する場合は特定記録郵便を使うなど気をつける必要があります。廃棄はシュレッダーにかけるか、守秘義務契約(NDA)を結んだ業者に頼むなどがあります。
人の出入りに関する対策
会社にはさまざまな人が出入りをします。関連会社、協力会社、派遣社員、アルバイトだけでなく、退職者、来客者にも注意が必要です。そうじをする出入り業者によるスキャベンジング(scavenging:ごみあさり)、トラッシング(trashing:廃棄書類・記憶媒体あさり)も要注意です。これらは「コンピュータを使わないでやるハッキング」であるソーシャルエンジニアリングに分類されます。
セキュリティレベルによっては入退室を厳格に行う必要があります。入室できる人には、IDカード、パスワード入力、バイオメトリクス認証などで認証をします。
モバイル機器に関する対策
PCやスマホなどのモバイル機器は便利なものですが、その反面、情報が流出する脅威があるので持ち込みに制限をかける必要があります。悪意はなくても写真にはさまざまな情報(Exif情報)が含まれています。また従業員にモバイル端末を持たせる場合、監視を行うMDM(Mobile Device Management:モバイルデバイス管理)、さらにEMM(Enterprise Mobility Management:エンタープライズモビリティ管理)で管理をします。そしてコンピュータシステムの内部構造の解析のしにくく、見破られにくくする耐タンパ性(tamper resistant)を高めておくとよいです。
業務とは関係ない私的なスマホによるシャドーITにも注意が必要です。