Technical Blog テクニカルブログ
  1. HOME
  2. テクニカルブログ
  3. 社員による個人情報漏えいを防ぐ方法をご紹介
2023年11月1日
テクニカルTIPS セキュリティネットワーク

社員による個人情報漏えいを防ぐ方法をご紹介

# BigFix # DLP # Netskope # SASE # Security # エンドポイント管理 # クラウド # セキュリティ # セキュリティアリーナ # 内部不正 # 情報漏えい

投稿者:セキュリティ&ネットワーク事業本部 山﨑敦史

こんにちは。セキュリティ担当の山﨑です。

2023年10月に派遣社員による約900万件の個人情報漏えいの発表があり、世間に大きな影響を与えています。
また、2023年7月にも同グループ企業から個人情報漏えいの発表がありました。

2023年7月発表の個人情報が流出した経緯としては、業務に従事していた元派遣社員が、業務に使用しているパソコンから個人として契約する外部ストレージへアクセスし、お客さま情報を含む業務情報を不正に持ち出しましていました。
約900万件の個人情報漏えいの経緯としては、システム保守業務に従事していた元派遣社員がUSBメモリを使用して、システムに保管されている個人情報を不正に持ち出していました。

このような内部不正による情報漏えいは、IPAが発表する情報セキュリティ10大脅威 2023でも、4位(前年5位)にランクインしています。
1位のランサムウェアの被害は、昨今大きなニュースとなり注目されておりますが、内部不正による情報漏えいも情報セキュリティ10大脅威には、毎年ランクインしているため十分な対策が必要です。

内部不正による情報漏えいの原因は、金銭目的や私怨など様々ですが、社員による情報漏えいが発生した場合は、その組織の社会的信用の失墜や損害賠償による経済的損失が発生し、多大な悪影響を及ぼします。
今回は、そんな社員による個人情報や重要情報の流出を防ぐには、どのような方法があるのかご紹介します。

1.ファイル共有サービスなどのクラウドストレージサービスへのアクセスをブロック


2023年7月発表の個人情報流出は、業務で使用するパソコンから外部ストレージへアクセスし、情報を持ち出していました。
業務で使用しないクラウドストレージサービスへのアクセスは、ファイアウォール等でブロックすることで防止することができます。
しかし、全社員のクラウドストレージサービスへのアクセスをブロックすると、業務上クラウドストレージサービスを使用する必要がある部署や社員の方への業務影響が大きくなってしまい業務が滞ってしまう可能性があります。
その際は、SASEを利用して、業務で使用するストレージサービスのみ許可し、かつ許可する社員を限定することが有効的です。
どのように制御・制限するかは、Netskope【第三回】ポリシーを作成して制御してみよう!をご覧ください。
また、リモートワーク等で社外からのクラウドストレージサービスへのアクセスを制御するのにもSASEは有効です。

2.DLP機能を使用して情報漏えいを防ぐ


業務で使用するためクラウドストレージサービスを許可している場合は、許可している社員から情報漏えいが発生する可能性があります。
この場合は、意図的に限らず不注意等で発生する可能性もあります。
その際は、DLP(Data Loss Prevention)機能を使用して、個人情報や重要情報がクラウドストレージサービスへアップロードされないようにすることで、情報漏えいを防止することが可能です。
具体的なDLP機能内容や使い方については、Netskope【第四回】DLPを使ったデータの漏洩を制御動作を見てみよう!をご覧ください。

3.USBメモリや外付けHDDなどの外部記録媒体を使用不能にする。


1や2で紹介した方法は、クラウドストレージサービスへ個人情報や重要情報をアップロードさせない方法でしたが、約900万件の個人情報漏えいのようにUSBメモリや外付けHDDなどの外部記録媒体を使用して個人情報や重要情報を持ち出すことも可能です。
エンドポイント管理ツールを使用して、USBやCD/DVDドライブを使用できないように制御することで、USBメモリや外付けHDDなどの外部記録媒体による情報漏えいを防止することが可能です。
弊社が取り扱っているソリューションではBigFixで実現することが可能です。

外部だけでなく内部のセキュリティ対策も必要

昨今、ランサムウェアによる被害が大きく報道されているため、外部からのサイバー攻撃に対して対策を強化する企業も多いと思います。
もちろん、外部からのサイバー攻撃対策は重要ですが、内部からの情報漏えいやセキュリティ事故に対する対策を疎かにしていい理由にはなりません。
内部不正対策を疎かにすることで、900万件という大規模な情報漏えいが内部不正によって発生してしまいます。
社員のセキュリティリテラシーのみに頼った対策ではなく、そもそも情報漏えいできないような仕組みを構築することで、内部不正による情報漏えいだけでなく、人為的なミスによって発生した情報漏えいも対策できるようになり、更には外部からの攻撃による情報漏えい対策の1つにもなります。

あわせて読みたい

【ホワイトペーパー】
他社のセキュリティ事故から学ぶクラウド×リモートワーク×セキュリティの最適解
~NTTグループのNI+C流ゼロトラスト事例~
当社がゼロトラストに移行した背景や世の中で実際に起きたセキュリティ被害および背景・原因などから、被害を防ぐ方法をご紹介いたします。ぜひご確認ください。

ランサムウェア対策に最適解を。ランサムウェア特設サイトはこちら

ご相談はこちらから

お客様の業務課題に応じ、さまざまなソリューションの中からベストな組合せで、
ご提案をさせていただきます。お困りのことがございましたらお気軽にお問い合わせください。

メールでのお問い合わせは
こちらから
ページのトップへ