「デバイス制御で内部不正を防止しよう」


皆さんこんにちは。RunDXコラムを担当する株式会社ラネクシー 鍵八です。
本コラムでは、【RunDX】という情報セキュリティ用のDLP製品を販売していますが、DLP製品とは?また、情報セキュリティとは?というところなどをお話したいと思います。
それでは、第1回目は「デバイス制御で内部不正を防止しよう」です。

情報セキュリティの重要性

情報セキュリティ対策とはなんでしょうか。
IPA(独立行政法人情報処理推進機構)の発行する「5分でできる!情報セキュリティ自社診断」のチェック項目の中でも、
「退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?」
「事務所が無人になる時の施錠忘れ対策を実施していますか?」
「重要情報の授受を伴う取引先との契約書には秘密保持条項を規定していますか?」
といったような、パソコンの使用時だけではない項目があります。

つまり、情報セキュリティ対策は「会社だけが行えばよい対策」ではなく、なんらかの情報を扱う個人個人に求められるものだということです。
そのため情報管理担当者以外の職員にもセキュリティ教育をすることはとても重要です。
悪意のある外部からの攻撃以外にも、内部不正や、不注意による事故などが起こっていることを考えても情報セキュリティの意識は情報を扱う人にとって重要です。

内部の人間による情報漏洩の実例

「企業における営業秘密管理に関する実態調査 2020」(IPA)によると、誤操作やルールの不徹底を含めた内部不正による情報漏洩が80%を超えていることが分かります。

navigate_next出典:独立行政法人情報処理推進機構(IPA)「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」
図 2.2-26 営業秘密の漏えいルート

実例1:市立中学校での不正アクセスによるデータ改ざん

2023年には、とある市立中学校で教師の不注意により生徒個人のIDとパスワードが記載された書類が僅かな時間放置され、それをみつけた生徒により撮影されました。そのIDとパスワードといった情報をもとに他の生徒のアカウントに不正アクセスし、データを改ざんする事件がおきました。
これは不注意に情報を放置した教員に対して、また面白半分に不正アクセスをした生徒に対しても、情報セキュリティ教育が必要な事案です。

実例2:大手通信系企業による顧客情報流出

2023年10月には大手通信系企業で顧客情報流出の事件の報道がありました。流出した個人情報は分かっているだけでも900万件にも及びます。これも内部の人間による不正行為でした。10年もの間、情報を抜き取り続けることができたのです。これは不正を行った人物だけではなく、情報を持ち出せないような仕組みを作っておかなかった管理側も対策が不十分とされる事案です。

こちらも運用を行う社員個人個人への情報セキュリティ教育の徹底も重要ですが、それとともに管理する会社側も情報を流出させる機会を生んでしまっており、情報セキュリティ対策の徹底が重要でした。実例1の中学校と同様に不正を働くことを可能な状態にしており、その結果、機会を与えてしまいました。。

つまり「内部不正を行わせない仕組みづくり」が重要となってきます。

内部不正を誘発しないための仕組みづくり

実例1の中学校の例で言えば、

  • 印刷できない状態にする。

実例2の通信系企業の場合では、

  • 顧客情報といった重要データへのアクセスを可能な端末を限定させる。
  • アクセスできたとしても、データのコピーや外部記録装置の使用を制限する。

ということができていれば防げた事件だったのではないでしょうか。

しかし「では我が社ではUSBメモリの使用はすべて禁止にしよう!!」と、なると業務効率の低下が心配になります。

そのため、RunDXでは、

  • 会社から支給された特定のUSBメモリのみ利用を許可する
  • USBメモリを読み取り専用とし、書き込みは禁止する
  • 印刷を禁止する

などといったセキュリティポリシーの設定が可能です。

内部不正による情報漏洩への対策の重要性を確認いただきました。
次回は、このように重要な情報を流出や消失させないためのDLP製品やRunDXについて、もう少しお話したいと思います。

この記事を書いた人

株式会社ラネクシー RunDX担当プリセールス 鍵八

RunDXリリース時期にRunDX担当となったことで情報セキュリティ対策について勉強中。
バージョンアップするRunDXと共にバージョンアップを目指してます。

投稿日:2024年01月10日

ランDXコラム 記事一覧