【後編】2020年、データ保全の動向は?~不正アクセスや情報漏洩事件が激増した2019年を振り返る~
- コラム
- セキュリティ
前編では、2019年に発生した主な事件・事故を一覧にし、それらを分析しました。後編では、企業のデータ流出の原因と対策について述べますが、新型コロナウイルスの感染拡大により、日本でもロックダウン(都市封鎖)の可能性がでてきていますので、そちらについても触れていきます。
(前編からの続き)
4.企業のデータ流出の原因と対策
前編でも述べた通り、企業や官公庁などの組織からデータが流出する事件は多くあります。それはなぜでしょうか。企業のデータ流出の原因と対策を情報セキュリティのレベルで分類して解説します。
◆まず、情報漏えいの原因を整理します。
※1JNSA (特定非営利活動法人日本ネットワークセキュリティ協会) 2018年 情報セキュリティインシデントに関する調査報告書【速報版】(2019.06.10)(セキュリティ被害調査ワーキンググループ)
「紛失・置き忘れ」「誤操作」「不正アクセス」が3大原因
電車内に書類やPC、USBなどを置き忘れるといった「紛失・置き忘れ」がいまだに1位。ただし、紙からデジタル化、クラウドへの流れから、「不正アクセス」の割合が高まっています。
テレワークの増加により、会社から貸与されたIT機器の社外持ち出しリスクはさらに高まります。また、貸し出しPCが足りないことなどから、会社で指定されていない自身のPCを使うことも出てきているようです。このような際には特に、「紛失・置き忘れ」や「不正アクセス」に気を付けなければなりません。
(1) 組織の情報セキュリティレベルの三段階
上記のような「紛失・置き忘れ」「誤操作」「不正アクセス」が多く起こる理由はなんでしょうか。まず、組織の情報セキュリティレベルを三つに分けて確認します。
(2) 組織のデータ流出の傾向と対策
それでは、上記のような情報セキュリティレベルであると、どのような事故が起こりやすくなるのでしょうか。レベル別に分けて考えると、下記のようになります。
セキュリティレベルの段階によって起こりうる事故も変わっていくため、取るべき対策も異なります。したがって対策を検討する際には、自身の企業がどの段階に当てはまるのかを確認する必要があります。
(3) その他、データ流出に関する問題
取引先からのデータ流出も事故原因の一つです。取引開始時などに、取引先の情報セキュリティ対策について確認されることもありますが、放置されやすいのが、行政機関や弁護士などの士業などとの取引です。
公務は、最もデータ流出が多い業界ですし、マイナンバーですら、簡単にデータの持ち出しが可能になっている自治体が多いとのことです※2。
※2. 毎日新聞『マイナンバー端末、自治体4割が情報持ち出し可能 会計検査院指摘』(2020年1月15日)
また、士業についてですが、かなりの機密情報を管理する必要があるため、守秘義務など情報管理の義務は厳しい一方で、実際には必ずしも情報セキュリティに関して高い知見を有しているとは限りません。弁護士法人などは一般企業では、中小企業、個人事業主程度の組織であり、大企業が使うようなセキュリティ対策はとりづらいため、実際にどういう管理策をとっているのか、特に留意する必要があるでしょう。
まとめ
前編で振り返ったように、2019年は世界的に、データ流出などの事故がこれまで以上に大規模に起こった年となりました。特に、現在急速に普及しているクラウドサービスでの障害や公的機関のデータ流出が多かったことも印象的でした。
事故の3大原因は、紛失や誤操作、不正アクセスです。したがって社員一人一人のセキュリティに対する意識が大切ですが、その前に組織のセキュリティポリシーを自社にあったものにしっかりと策定し、それを社員にしっかり浸透させることが重要です。
新型コロナウイルスをきっかけに、テレワークの普及、そして紙依存からの脱却はこれから進んでいきます。紙中心の業務モデルでは、出社しないとできない業務が残りますし、BCP(事業継続計画)の観点からみても、特定の人に業務を依存してしまうためです。
一方で、情報漏えいやシステム障害によるデータ消失が起きた組織では、重要データはオフラインで保管することを徹底するよう見直しているところも多いようです。ただし、自社運用では、仮に出社停止あるいはオフィス立ち入り禁止といった際に、対応できるかという問題が残ります。
テレワークとオフライン保管を両立するには、利便性を維持できるしくみを確保しながら、外部の専門機関を活用することが望ましいでしょう。