中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜

こんにちは。「サイバーセキュリティフォローアップ事務局」です。

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威」の中で、特に中小企業の経営者やシステム担当者が注目すべき点を、2024年版に基づいて詳細に掘り下げていきます。今回は６位に挙げられている「不注意による情報漏えい等の被害」に焦点を当てます。これは長年にわたり頻繁に発生し続けており、この脅威がどのように業務に影響を与え、どのように対策すべきかを解説いたします。

「情報セキュリティ10大脅威（2024）」の組織編の一覧は下表のとおりです。

情報セキュリティの落とし穴とされる不注意による情報漏えいは、知らず知らずのうちに発生することが多く、一度起こるとその影響は計り知れないものとなります。
「うちは中小企業だし、不特定多数の一般消費者を相手にするビジネスではないため、大量の個人情報は保有していないから、漏えいして困るような情報はないよ。」
中小企業の経営者の中にはこのような考えから、「自社はサイバーセキュリティによるリスクが低い」と過小評価していることが、事態を悪化させることもあります。

「中小企業はセキュリティによるリスクが低い」は本当？

中小企業であっても、日常的に行なっている業務の中でセキュリティリスクにつながる情報を取り扱っているのではないでしょうか。

・自社HPに「問い合わせ」フォームを設けており、入力欄に問い合わせをしてきた人の所属組織や連絡先などを記載する箇所がある
・従業員が名刺交換した相手先の情報をExcel等で一覧管理し、「顧客リスト」として保有している
・過去に採用試験を受けた方の履歴書を保管している
これらは全て、個人情報や個人データとなります。他にも業務で日常的に取り扱う顧客データや、パートナー企業から預かっている機密情報、従業員の住所や家族構成といった個人情報等、これら全てが潜在的なリスクを孕んでいます。こうした情報が漏えいした場合、信頼失墜、業務停止、収益の損失、法的責任など重大な結果を招くことになりかねないのです。このため、情報に関するセキュリティ対策は企業規模に関わらず全ての企業にとって必要な対策です。

では、実際に不注意によって情報が漏えいしてしまった具体的な事例をご紹介しながら、要因と対策をみていきましょう。

◆情報漏えいの具体的な事例


事例①　Googleフォームの設定ミスによる個人情報漏えい
イベントの申し込み受付をGoogleフォームで行ったが、申し込みフォームを作成した際に設定ミスにより、申し込み後に申込者の一覧を閲覧できるリンクが表示されるようになっていた。
引用元：Security Next　https:/www.security-next.com/151685

事例②　メールを送信時に誤ったファイルを添付したことによる個人情報漏えい
メール送信先が多いため、同内容のメールを14回に分けて送信した際、そのうちの1回分において、本来添付するファイルとは異なるファイルを添付してしまった。
引用元：大阪市ホームページ　https://www.city.osaka.lg.jp/hodoshiryo/fukushi/0000620452.html

事例①のGoogleフォームの設定ミスは、フォーム作成時に回答後に表示される画面の確認をしないまま（動作チェックをしないまま）運用を開始したことが原因であり、人的ミスによる情報漏えいの典型的なケースです。これには、適切なチェック体制の欠如や、業務担当者の情報セキュリティに対する意識の低さが影響しています。

情報漏えいの要因は、人的不注意

不注意による情報漏えいはなぜ発生するのでしょうか。先の「情報セキュリティ10大脅威」の解説資料には、次のような要因が挙げられています。

◇情報リテラシーの低さ
従業員が扱う情報の機密性や重要性を理解していない場合、不用意に外部へ情報漏えいしてしまう可能性があります。例えば、次のようなケースが考えられます。
・重要情報が記載されたメールの宛先を間違う
・重要情報が入った端末を紛失する
・重要情報を私的に利用して外部のWebサイト等に公開する

◇情報を取り扱う際の本人の状況
体調不良や多忙等の状況により、情報を取り扱う従業員の注意力が散漫になり、メールの誤送信等のミスによる情報漏えい事故を起こしてしまうことがあります。

◇組織規程および情報を取り扱う手順の不備
外部に情報を持ち出す際の確認手順や作業時の確認手順等に関するプロセスに不備があると、情報漏えい事故を起こしてしまう可能性が出てきます。

中小企業による情報漏えいへの対策と対応

それでは、これらの要因を防ぎ、万が一事故が発生した場合の被害を最小限に抑えるためには、どのようにすればよいでしょうか。必要な対策、対応を「情報セキュリティ10大脅威」の解説資料をもとに一部加筆、抜粋して掲載します。

対策と対応①　情報リテラシー、モラルの向上
従業員が扱う情報の機密性や重要性を理解し、適切に扱うための教育を実施しましょう。
IPAが従業員研修で利用できる様々な研修テキスト例や動画教材を提供しています。これらをぜひ活用してください。
https://www.ipa.go.jp/security/kokokara/study/company.html

対策と対応②　ルール(手順)に基づく運用：
情報の取り扱いに関する手順を明確化しましょう。さらに、従業員が確実に確認できるようにすることが大切です。例えば、Webでのアンケートフォームを作成する際などは、権限設定などを確認することをチェックリスト化して、複数人でチェックをするとよいでしょう。

対策と対応③　特定の担当者に業務が集中しない体制の構築
情報管理の責任者を明確化し、複数の従業員で重要な情報を共有するようにします。

対策と対応④　情報の重要度に応じた運用
扱う情報の重要度を分類し、それに合わせた運用（厳格な管理体制の構築）をしましょう。
また、情報ごとの重要度がいつでも確認できるようにしましょう。

対策と対応⑤　外部に持ち出す情報や端末の制限
持ち出し可能な情報や端末を制限し、持ち出しの記録を取る、持ち出し前に不必要な情報が格納されていないことを確認するなど厳格に管理しましょう。

対策と対応⑥ 適切なファイル送受信の運用
重要な情報が入ったファイルを相手に送信するときは、メールに直接ファイルを添付するのではなく、クラウド上のファイルストレージサービスの利用やファイルの暗号化など、安全なファイル送受信方法を検討してください。
セキュリティ対策が取られたファイルストレージでは、登録したファイルを特定の個人だけがアクセスできるように設定することができます。一般的には、ファイルを見せたい相手のメールアドレスなどを登録します。この方法を使うと、メールに直接ファイルを添付するよりも安全性が高いと言われています。

対策と対応⑦ メールの誤送信対策
メールソフトによっては、メール送信前に「このアドレスで本当に良いですか？」と確認を促す画面を表示させる機能や、送信者が送信ボタン押下後に「あ、間違えた！」と思った時に送信を取り消せるように1分間など予め設定した時間がたってからメールを送る機能が備わったものがあります。このようなソフトを使うことでメールの誤送信を減らすことができます。

漏えいが発生した（可能性を含む）時には、下記の対応が必要となります。
・早期の状況把握
問題発生時の内部報告体制を整備してください。
いつでも報告体制を確認できるようにしておきしょう。
外部からの連絡窓口を設置し、関係者が分かるようにしておきましょう。
・適切な報告／連絡／相談
問題が発生した場合、速やかに報告し、適切な対応を取れるよう社内・社外の関係組織や公的機関等と連携できるようにしておきましょう。
・インシデント対応体制の整備
問題発生時に迅速かつ的確に対応できる体制を整えます。
具体的な対応については、IPAの「中小企業の情報セキュリティ対策ガイドライン」の46ページからの（5）セキュリティインシデント対応をご覧ください。

ここまで不注意による情報漏えいの事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。
不注意による情報漏えいはどの企業でも起こりやすく、その影響は甚大です。不注意を完全になくすことはできませんが、ルール整備や従業員への教育によるリテラシー及びモラル向上を図ることが、企業の持続可能な発展を支える鍵となるでしょう。