組織内部からの情報漏えい対策

シャドーIT

組織で許可されていないSaaSやIaaS、もしくは個人のスマートフォンやPCを用いた内部不正はクラウド管理やアクセス管理などによってリスクを抑えることが可能です。許可されていないサービスへのアクセスをWebセキュリティによって制限したり、社内ネットワークの監視も有効です。また、これらを単体のソリューションではなく統合されたCASB・SASEソリューションとして利用することで、より効率的に不審な動きを検知することができるでしょう。

サンクションITの不正利用

許可された（＝サンクション）ITサービスであっても、個人のアカウントでクラウドサービスが利用可能な場合はシャドーITと同様に内部不正や情報漏えいのリスクを高めます。悪意がない場合でも、個人利用のクラウドサービスは適切なセキュリティレベルが保てなかったり監視が行き届かないため安全ではありません。クラウドサービスをより安全に利用するためには、サービスのアカウント単位での制御が必要です。

クラウドの設定ミス

利便性の高さから業種や業界を問わず活用が広がるIaaS/PaaS/SaaSのクラウドサービスは、いずれもユーザ側の設定によって大きくアクセス権限が変わってしまいます。誰も設定ミスに気付かず何年も放置されるケースもあり、システムで設定ミスを検知する仕組みが必要です。

クラウドの設定管理を行うには、CSPM・SSPMソリューションが最適です。IaaSやPaaSであればCSPMソリューションを、SaaSであれば特化されたSSPMソリューションを選びましょう。

紛失・盗難

常に携帯しているスマートフォンや、業務に欠かせないPCを紛失したり盗難にあってしまった場合、情報漏えいを防ぐにはあらかじめデバイス管理をしておくことが有効です。紛失時にリモートワイプを実行したり、日頃使用するパスコードなどを強固なものに設定するなど、セキュリティ対策の基礎として検討をおすすめします。

協力会社への不必要な情報共有

自社のセキュリティ対策はきちんと行われていても、共にビジネスを行うパートナー企業や取引先などから情報漏えいが起こってしまうケースもあります。パートナー企業の選定時にセキュリティチェックを行うほか、ファイルのアクセス権を適切に設定し、必要以上の権限を与えない運用を行い、うっかりミスなどによる情報漏えいを防ぎましょう。

USBに機密情報をコピー

USBなどの小型記憶媒体は、非常に扱いが容易な上大量のデータを簡単に持ち出せるため、業務で利用している組織も多いのではないでしょうか。便利であるからこそ、悪意を持って利用すれば大きな被害につながる可能性があります。必要に応じて利用を許可する仕組みに変更したり、大量のデータコピーなどを検知できるソリューションの導入を検討しましょう。

個人端末から社内へのアクセス

BYOD（Bring Your Own Device）と呼ばれる個人端末の業務利用は、企業側で端末を用意しなくてよいというメリットはありつつも、悪意さえあれば容易に情報を不正に持ち出せる状況を作りかねません。

内部不正リスクを低減させるために、組織によるデバイス管理が可能な社用端末を導入することや、許可されていないデバイスからのアクセスを防ぐための権限管理を行うことが重要です。

機密情報の印刷

データではなく紙媒体での持ち出しは、情報システム担当者としては盲点になりうるポイントではないでしょうか。機密情報の所在がオンプレミス、クラウドにかかわらず、ファイルのアクセス管理を適切に行いましょう。また、PC端末上での挙動を監視するソリューションの導入も、抑止力になります。

メールでの外部送信

データではなく紙媒体での持ち出しは、情報システム担当者としては盲点になりうるポイントではないでしょうか。機密情報の所在がオンプレミス、クラウドにかかわらず、ファイルのアクセス管理を適切に行いましょう。また、PC端末上での挙動を監視するソリューションの導入も、抑止力になります。

機密情報かどうかの誤認

従業員が機密情報だと認識せずに適切な管理をしていなかったり、適切な情報の管理方法を知らなかったりする場合も、情報漏えいのリスクが高まります。「人」を対象にしたセキュリティ対策としては、セキュリティ教育が適切です。無知やセキュリティ意識の不足による不幸な情報漏えいインシデントを防ぎましょう。