内部犯行による情報漏洩

 情報やウイルスに関するインシデントや、ニュースで取り上げられている事例は、ほとんどが企業の外部者による犯行です。

 しかし悪意を持った者が潜んでいるのは外部だけではありません。企業の内部にも潜んでおり、実際に内部の者による犯行や事例が少なくありません。

 しかし一口に内部犯行とはいっても、情報漏洩を起こした本人の、悪意の有無によって施すべき対策が変わってきます。

■悪意を持つ者による情報漏洩と対策

 勤務先の企業に恨みを持ったAさんが、機密情報をUSBに入れて持ち出し、転職先の競合企業へ提出しました。その後Aさんは不正競争防止法違反で逮捕されました。

 情報の持ち出しの対策としては、USBなどの外部メディアの接続を禁止する、印刷不可の設定を施す、機密情報を専用のクラウドサーバに保管する等が考えられます。

 悪意のある者は、普段誰も閲覧しない箇所まで侵入することがあります。情報に対し、関係の無い者や他部署の社員には閲覧権限を与えないようにすることで、機密情報の閲覧が可能な社員を最小限に留めましょう。


参照元:NECネクサソリューションズ 「一向に減らない情報漏えい。内部犯行の実態と対策を考える」 2016年10月 より

■悪意のない者による情報漏洩と対策

 内部犯行の種類の中で最も多いのは、悪意のない者によるうっかりミスやルール違反によるものです。

 禁止されているにも関わらず、自宅で作業をするために持ち出した機密情報の紛失や、メールの誤送信などが挙げられます。

 その防止策として、端末の持ち出し申請の義務化やメールの誤送信を防ぐために宛先の確認をしてから送信するなど、利用者へのルールを厳格化する場合が多いでしょう。

 しかし人間である以上ミスを完全に避けることは不可能です。利用者へのルールを厳格化するよりも、そもそもミスを侵すことのできない環境づくりを整えることがより効果的であるといえます。

 例を挙げると、社外メールの添付ファイルは強制的に暗号化される、各端末にセキュリティワイヤーを取り付ける等があります。

■まとめ

 内部犯行といえば一見悪意のある人によるものかと思いがちですが、そうとも限りません。

 人間はミスを完全に防ぐことができないという点では、悪意のない者による情報漏洩の方が厄介かもしれません。

 しかし、利用者のみに原因を追求し、ルールを厳罰化するだけではなく、そもそも誤操作やミスを防ぐことができない環境づくりを整えるという観点からセキュリティ対策を施されてはいかがでしょうか?

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。