企業が行うべき内部不正対策は?不正の原因、事例や防止のポイントを解説
2023年8月7日
内部通報制度(公益通報制度)とは?導入メリットや対応の流れを解説
2023年8月7日
情報漏洩で顧客や取引先に被害を与えた場合、企業の社会的信用が低下することで取引停止や株価の下落、イメージ低下による顧客離れ等が想定されます。開発中の製品の仕様や情報が流出すると、競合会社に類似製品で先手を打たれる可能性もあります。また、損害賠償などの経済的損失が生じるだけでなく、最悪の場合は刑事罰の対象ともなり得ます。この記事では、情報漏洩が起こる原因や取り組むべき対策を、実際に起こった事例もまじえて解説していきます。
情報漏洩の原因
情報漏洩の原因は、従業員による過失や不正などの内部要因と、サイバー攻撃などの外部要因の2つに大別できます。
情報漏洩の内部要因
内部要因は、社員が悪意を持って、顧客の個人情報や企業機密を持ち出す内部不正と、電子メールの誤送信や外出先でのノートPC紛失などの人的な過失に大別されます。
情報漏洩の外部要因
外部要因は、不正アクセスやマルウェア感染など、サイバー攻撃によるものです。不正アクセスは、権限を持たない外部の人間が、内部のサーバや情報システムへ侵入を行うこと。マルウェアは、PCなどの機器を不正に動作させる目的で作られたソフトウェアのことです。
情報漏洩の内部要因への対策
情報漏洩の内部要因を防ぐための対策を解説します。
メール誤送信を防ぐシステムやフローを作る
電子メールに個人情報や営業機密を含むファイルを添付して送る場合は、送信を一定時間保留する、重要なメールのみ自動でフィルタリングして上長の承認を得た上で送信するなど、システムやフローとして仕組み化することも重要です。
PCをはじめとした端末の持ち出し・管理のルール徹底
ノートPCやスマートフォンなど、持ち運び可能な端末での業務がどの企業でも増加傾向ですが、端末を外部に持ち出すと、故意の情報漏洩以外にも、紛失や盗難により情報漏洩が発生する恐れがあります。通常業務範囲外での勝手な持ち出しの禁止や、持ち出しを許可する端末を限定するなどのルールを作り、徹底することが必要です。
データが復元できる状態で廃棄しない
紙の書類を無造作にゴミ箱に捨てたり、完全に削除していない状態で記録媒体を破棄したりすることも避けましょう。書類はシュレッダーにかける、データはデバイスを物理的に破壊するか完全に消去する専門のサービスを使うなど、適切な廃棄手順をとる必要があります。
情報セキュリティのガイドライン策定や社員教育を行う
ガイドラインの策定と徹底、eラーニングの活用も含めたセキュリティ教育の場を継続的に設けることで、社員のセキュリティ意識と知識を高める必要があります。情報漏洩が発生したとき、誰に報告してどのような対応すればいいのかなど、初動についてきちんとマニュアル化しておくことも重要です。
情報漏洩の外部要因への対策
続いて、情報漏洩の外部要因を防ぐための対策を解説します。
セキュリティソフトを導入・更新する
最も有効な対策は、セキュリティソフトの導入です。ファイアウォールなどの各種セキュリティ製品で多層防御して暗号化することで、マルウェア感染などのサイバー攻撃から自社のネットワークを防御することが可能です。
外部からデバイスやデータを持ち込まない
私用のデバイスがすでにマルウェアに感染していた場合に、接続した社内の機器も感染する恐れがあるため、私有の端末や記憶媒体は社内ネットワークに繋げさせない対策、ルールが必要です。
アクセスログや入退室記録を管理する
外部の人間がオフィスに侵入して、PCや機密情報を物理的に持ち出す可能性もあります。入退室記録の管理、端末の持ち出し記録やアクセスログの管理を徹底するなどの対策が必要です。重要なファイルを無施錠で放置したり、逆に漏洩が発覚しづらい場所に収納したりすることなどは避けましょう。中身の見えるキャビネットに施錠して保管するなどが対策になります。
情報漏洩が起きてしまった場合は速やかに「フォレンジック調査」を
情報漏洩が起こってしまった場合に、企業が行うべきことが「フォレンジック調査」です。どのような調査かを紹介します。
フォレンジック調査とは
フォレンジック調査とは事件・事故に関わる情報を収集・分析して、犯罪や不正行為の証拠を明らかにする調査のことです。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、自社が責任を問われる訴訟に発展した場合に備えることができます。
AIを活用したフォレンジック調査も
現代のフォレンジック調査において、AI(人工知能)の活用はもはや必須ツールといってもいいでしょう。少数のサンプルファイルに専門家が目を通してAIに判断基準を学習させることで、大量のデータを関係ありそうなものとそうでないものに仕分けさせます。調査の初めにしなければならない単純なデータの仕分け作業を少人数で短時間で行うことができるので、調査の効率化だけでなく、専門家のリソース集中による高精度化も実現できます。
専門のフォレンジック調査会社に相談する
フォレンジック調査は、自社で行うのではなく、調査会社に依頼することをおすすめします。また調査会社の持つ専門のソフトウェアやAIを活用することで、効率的かつ規模に適したコストを支払って調査を実施することができます。
そもそも内部不正が疑われる状況で、社内の人間が実施してしまうと証拠の正当性が損なわれます。中立性を担保するためにも、社外の専門サービスを使いましょう。
【関連記事】フォレンジック調査とは?必要なケースや注意点、事例について解説
企業で実際に起きた情報漏洩とフォレンジック調査の事例
実際の企業で起きた情報漏洩とフォレンジック調査の事例をご紹介します。
【事例1】社員による機密情報の持ち出し
元従業員Aが競合他社に転職してから2年後、類似製品が無断で製造され、海外で販売されていることが発覚。Aが使用していたPCのログからは、退職日の数日前に大量のデータがコピーされていました。しかし、データが大量で社内調査が難しく、情報持ち出しを特定するには「本人と営業秘密の動作を特定することが必要」との裁判所の見解もありました。
そこで第三者性を担保するためにも、調査会社へフォレンジック調査を依頼。独自のデータベースの構築、外付けHDDやUSBの大量のログデータなどの調査の結果、USBメモリに約30万件のデータをコピーし、数日後に外付けHDDをネットワークケーブルを抜いた上で削除、さらに関係のないプログラムファイルの書き込みと削除を約120時間繰り返したという事実を確認するに至りました。
※詳しい調査内容は「企業の機密情報持ち出し 不正競争防止法関連の操作ログ調査」をご覧ください
【事例2】マルウェア感染による個人情報の漏洩
企業BのPCがマルウェアに感染していることが発覚。個人情報の漏洩も疑われる事象があったことから、専門の調査会社へフォレンジック調査を依頼。感染ルートの特定と、感染元端末からの情報漏洩の痕跡を追跡することになりました。
数百台の端末を対象として、解析ツールでの分析を実施し攻撃ルートを可視化、被害端末を特定。さらにダークウェブにおいて漏洩した情報が売買されていないか、30弱のサイバー闇市場を対象に調査を実施しました。
調査の結果、情報漏洩が起こっていたPCが特定できただけでなく、ダークウェブにも情報が流出していたことまで特定することができました。
※詳しい調査内容は「マルウェア感染による個人情報漏洩の調査」をご覧ください
情報漏洩調査はフォレンジックのパイオニア・FRONTEOに
FRONTEOは、2003年の創業当時から日本におけるフォレンジック調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。
自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅に省力化、コスト圧縮を実現するなど、案件対応の経験と自社AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。
日本、北米、韓国、台湾にデータセンターを構え、データを国外に持ち出すことなく保管できる体制でセキュリティも万全です。お客様企業の本社、現地法人、法律事務所の3つに対してシームレスにサービスを提供。グローバルオペレーションで迅速にサポートします。
