企業の情報漏えい事故対策は何をどこまでやればいいの？

情報漏えい事故が企業に及ぼす影響が深刻化している今、社内SEは経営層から対策強化を強く求められています。

しかし、いくらお金をかけても完璧な解決策なんて絶対に無いのが情報漏えい対策です。
費用対効果の判断も難しいこの問題に対し、社内SEはいったい何をすべきなのでしょうか？

情報漏えいを起こすルートとその対策方法のまとめ

まずはあなたの会社で起こりうる情報漏えいの経路を洗い出し、その対策を考えましょう。

以下は実際に筆者の会社で具体的な対策まで検討した時のものです。費用感についてはユーザー数500名として試算しています。

情報漏えいの原因	区分	対策	費用感	費用対効果
PCやモバイル端末、USBメモリーの紛失	物理的	持ち出し禁止・制限 リモートロック、ワイプ	500万円/年 （MDM導入）	低
印刷して持ち出し	物理的	持ち出し禁止・制限	100万円	中
社外の人による侵入	物理的	入退室管理 パスワード管理の徹底	100万円	中
Webへのアップロード	電子的	通信プロトコル制限 Webフィルター	100万円/年	中
メール誤送信	電子的	キーワードフィルタ 一時保留・削除機能実装	200万円	低
ウイルス感染	電子的	ウイルス対策ソフト導入の徹底 スパムメール対策	130万円/年	高
ファイル交換ソフトによる流出	電子的	ファイル交換ソフトの起動禁止	0円？	高

情報漏えい対策の費用対効果って？

各対策ごとに費用対効果を見ていかなければいけませんが、上の表で示した金額は判断の上のほんの1面にしかすぎません。

例えば、USBメモリの使用を禁止したとしましょう。
当然紛失のリスクは無くなりますが、その結果以下のような問題が出てきます。

• フリーのデータ転送ツールやネットストレージを使う人が増える（別の経路での情報漏えいリスクが増える）
• 客先でのデータのやり取りができず、データ受け渡しの手間が増える
• ネット回線の無い場所でのデータ受け渡しはできなくなる。
• 他のUSB機器の動作に影響を与える（PCのUSBポートを無効にした場合）
• 当然のようにできていたことができなくなるので社員のモチベーションが落ちる

人の手間が増えることで生産性が落ちることが懸念されます。また今までUSBメモリーでやっていたデータ受け渡しの代替え策として、会社専用のデータ転送ツールを準備する必要も出てくるので、新たなコストが増えることにもなります。

これらの点を考慮しても禁止するメリットの方が大きいのかどうかを判断しなければなりません。

制限をかける形の対策は、ITが分かる人にはいくらでも抜け道があり、将来的にすぐに破たんする可能性が高いです。情報漏えい事件の恐怖に踊らされ、その場しのぎの対応にコストをかけてはいけません。

ウイルス対策とファイル交換ソフト禁止の2つは必須

では、まず何を優先して対策すればいいかというと、ウイルス感染とファイル交換ソフト使用への対応です。この二つは社員の業務上の利便性を損なわず、確実にリスクを低減できる対策です。

ウイルス対策ソフトの導入、管理

ウイルス感染は、悪意を持った者がしかけてくる現象であり、かつ、社員が全く無意識のうちに感染してしまいます。

ウイルス対策ソフトを導入する以外に対策の術が無いという意味でも必須の情報漏えい対策となります。

ウイルス対策ソフトは導入だけではなく、常に最新のパターンファイルになっていなければ全く意味がありません。定期的に全PCのパターンファイル更新状況をチェックする運用を徹底しましょう。

ファイル交換ソフトの起動禁止

Winnyをはじめとするファイル交換ソフトの起動を禁止しましょう。

ActiveDirectoryを導入していればグループポリシーを使うことで全PCに禁止設定を反映できます。手順はこちら（外部サイト）を参照してください。

スマートフォンを導入するならリモートワイプは必須

スマートフォンやタブレット、小型のノートPCなど、外出先で紛失する危険性のあるモバイル端末を社員に使わせる場合は、リモートロックや遠隔操作でデータ消去ができるリモートワイプができるMDM（Mobile Device Management）を導入しましょう。

紛失の事実が分かるまでの間の危険性や、確実にロック・ワイプできたかどうかの確認が取れないことで情報漏えい対策としての確実性は低いのですが、モバイル端末を扱う企業の義務として端末を管理する仕組みは考えておくべきです。

完全クラウドでスマートフォンにデータを持たせなければ、紛失してもリモートワイプは不要と考える人もいるかもしれません。しかし、USB経由でスマートフォンにサーバーデータをコピーされていたら終わりです。複数社のMDMを見てきましたが、今のところUSB経由（ゲートウェイも含む）の情報持ち出しを制御できる製品はありませんでした。

アピールにしかならない情報漏えい対策

PCの持ち出し禁止、USBデバイスの禁止、印刷物持ち出しの承認運用、メール誤送信防止などは知っている人ならばいくらでも別の方法でデータを持ち出すでしょう。

つまり、確信犯的（会社に損失を与えようとする意味ではありません）に情報を外部へ持ち出したがる社員に対しては何の効果も無く、「うちの会社は、こんなに情報漏えい対策してますよ」というアピールになるだけです。

操作ログ収集は活用の幅が広い

クライアントの操作ログ、メールの送信ログ、印刷ログを収集する仕組みを整備しましょう。これによってユーザーのデータ操作は全て拾うことができるので、いざ、情報漏えい事故が起きた時も原因をトレースすることができます。

さらにこのログを解析することで、情報漏えいリスクの高い操作を抽出し新たな対策へとつなげることもできるでしょう。
次の項目でも操作ログの有効な活用方法を紹介しています。

今後注目される、もっとも費用対効果の高い情報漏えい対策とは？

交通事故を防ぐために最低限必要なものとして、信号や踏切、基本的なルールが整備されていますが、そのルールに従うかどうかはドライバー次第です。むしろルールを守っていたとしてもドライバーの判断力次第では事故はいくらでも起きるでしょう。

情報漏えい事故も同じく、上記に挙げたような最低限の環境整備ができたら、あとはひたすら「社員の意識・モラルの向上」を図るだけです。

インターネット情報検索では何かと製品のPRが絡むので、情報漏えいに対してはシステムを導入して対策しましょうというアプローチがほとんどです。
そのシステム導入に高額な費用をかけても、完璧な安全は保障されない上に、新たな脅威が登場すればまた新たなシステムが必要になるというイタチごっこ状態に陥ります。

ITを使うのは人です。人の意識を変えていくのは骨の折れる作業ですが、効果は大きく将来に渡って効果を持続する対策と言えます。

社員の意識とモラルの向上を図る3つのアプローチは以下の通りです。

アプローチ１　社員教育

集合教育、e-learningといった形式でDVD上映や社内のウイルス検知報告をするだけでも社員の意識は大きく変わります。

短時間であっても定期的に行い、全社員向けに行うことが大切です。

アプローチ２　ログの公開による抑止効果

操作ログは定期的に公開することで、「監視されているから下手なことはできない」という抑止効果につながります。筆者の会社でも特定の禁止キーワード（ギャンブル、風俗、ゲームなど）を含んだWebサイト閲覧ログをトラッキングしていましたが、このログを公開しつつセキュリティ教育を実施したところ、アラーム件数は70%も低下しました。

アプローチ３　責任の重さを認識させる誓約書

自分が犯した情報漏えい事故が、自分にどう影響してくるのかをイメージさせておくことが大切です。

筆者の会社では社員の入社時にセキュリティ教育を施すとともに、IT機器使用に関する誓約書にサインをもらっています。

法的な効力は持たせていませんが、会社が貸与するIT機器について管理責任を感じさせる演出としては大きな効果があります。

社員のセキュリティ教育は上記で紹介した情報漏えい経路の全てに対する対策として活用できるので、多少労力がかかっても取り組むべきです。
参考「社員のセキュリティ教育の必要性と実施方法」

↑ページのトップへ-

次は→ 社内SEがやるべき会社のウイルス対策リスト

社内SEがやるべき会社のウイルス対策リスト｜PCセキュリティー

社員のセキュリティ教育の必要性と実施方法

UTMって必要？もはやファイヤーウォールでは社内LANを守れない！

FortiGate 620B 評価してみました｜UTM検証＆レビュー

---

社内LAN構築前に決めておくこと 社内LANの構築に必要な機器と契約類のまとめ 社内LAN構成図サンプル＆素材 社内LANをすっきりさせるLANケーブル配線ルール 社内LANの無線化でセキュリティを気にするくらいなら･･･ 社内LANのIPアドレス運用ルールの一例をご紹介 社内LANをインターネットに繋ぐルーター設定方法 拠点間移動時にPCのIPアドレスを手軽に切り替える方法 iPhoneからリモートデスクトップできるアプリ「LogMeIn」 CiscoVPN経由でファイルコピーや転送ができない原因と解決策	社内にあるサーバー種類とその基本的な管理方法を知る 現役社内SEがサーバーホスティング＆ハウジングを選ぶ理由 サーババックアップについて現役社内SEが考えぬいた最適手段とは DNSサーバーのベストな運用とは？DNSは社内で独自に立てるべき？ ActiveDirectoryを噛み砕いて説明 Windowsファイルサーバーの最適な運用ルールとフォルダ構成 高速コピーツール「FastCopy」はホントに早かった！ ファイルサーバーのアクセス権を一括確認 ファイルサーバーの制限機能を使って無駄なデータ保存を禁止する Windowsファイルサーバーの無駄を無料で調査する方法 ファイルサーバーの利用実態をフリーソフトで調査する方法 ファイルサーバーの70%を占める無駄なデータを排除し超効率的に運用する方法 ファイルサーバー内の画像一括リサイズ（容量不足対策その１） EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する HPのMSA2012fcでディスクがleftoverになった時の復旧方法
企業で導入するパソコンの選定基準 社内クライアントPCをHDDからSSDへ 社内パソコンの最適な買い方とは？ソフトとハードのリース＆購入方法まとめ 1人分のPCが2万円台で導入できる「Windows Multipoint Server 2011」 社内のIT機器管理方法（無料でクライアントPCを管理） 社内SAM管理の重要性と最適な運用方法とは Windows7の「シャドウコピー」のタイミング設定変更方法 社内プリンターの最適な設定方法 LAN内の全PCに自動でプリンタードライバーをインストールする方法 WindowsとOfficeのサポート終了がグラフでわかる！ 会社にタブレットを導入するならiPadレンタルがオススメ iPadとiPhoneを管理するのに最適なMDMの選び方 電源が入らないのは静電気のせいかも？	社内PC利用ガイドラインの策定 社員に使わせるべきフリーソフト　ベスト11 社員のメールソフトは「Windows Liveメール」?「Thunderbird」? 社内SEのヘルプデスクツールはリモートデスクトップできまり ツールバーソフトの使用を禁止したいなら OutlookExpressでメールが重複して送信される原因と対処方法 突然WordやExcelで日本語入力できなくなったときの解決方法 babylonツールバーの削除方法と被害/影響のまとめ BrowserProtectの簡単削除方法 Excelで画面が点滅しCPUが100%になる問題の解決方法 別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法
社員のセキュリティ教育の必要性と実施方法 新入社員にしておくべきITセキュリティ教育 UTMって必要？もはやファイヤーウォールでは社内LANを守れない！ 高機能UTM「FortiGate 620B」を評価してみました 企業の情報漏えい事故対策は何をどこまでやればいいの？ 社内SEがやるべき会社のウイルス対策リスト 「System Progressive Protection」の簡単削除手順 Advanced System Protectorの削除方法 autorunウイルスの対策は今すぐに！社内PC全てに！ 「Disk Antivirus Professional」の簡単削除手順 SystemDoctor2014の簡単削除方法	グループウェアの選びの考え方・選定項目一覧 このデメリットが無ければGoogleAppsが最高のグループウェアだった デスクネッツNeo VS サイボウズGaroon3の徹底比較 無駄に見えるグループウェアの機能が費用対効果のアピールネタになる Webメール？メールソフト？会社のメールはどっちで見る？ Windows Live メールのアドレス帳をカテゴリーごと移行 テレビ会議システムとWeb会議システムはどっちを選べばいい？ 現役社内SEが考えたWeb会議システムの選び方 Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較

Copyright（C) 2012-2023　5分でわかる！社内SEのシステム管理・運用マニュアル　All Rights Reserved.