情報流出は、企業にとって重大なリスクであり、日々さまざまなセキュリティ対策が講じられています。
人為的なミスが原因で発生するセキュリティ事故は後を絶たず、そのたびに多大な影響を及ぼします。
本記事では、情報流出の闇とその実態、そして絶対にセキュリティ事故を起こさないためにはどのような対策が必要かを考察します。
結論、絶対に防ぐことはできません。
情報流出の闇と実態?情報漏洩や情報流出が起こる原因
言葉の魔力はすごいもので、セキュリティ事故や情報流出と聞くと「内部で悪いことした人がいるのかな」や「外部から攻撃されたのかな」というイメージを持つ方も多いと思います。
しかし、情報漏洩や情報流出が起きたもっとも多い原因は人為的なミスです。
・うっかり怪しいメールを開いてしまった
・電車やタクシーにパソコン等を置き忘れた
・メールを誤送信してしまった
・設定ミスや操作ミスをしてしまった
いずれも人為的ミスで、悪意のないうっかりミスが多いのも特徴です。
意図的に情報を持ち出す犯罪もありますが、そのケースは今回は除きますね。
情報流出の闇と実態?うっかりミスによる情報漏洩や情報流出を防ぐために企業がしている対策
人為的ミスを防ぐために、企業がしている対策は何でしょうか?
基本的な対策としては、多要素認証(MFA)の導入やアクセス権限の管理、データの暗号化、監視とログ管理などがあります。
今どきはどの企業も行っているでしょう。
さらにセキュリティポリシーのの明確化、ようするに「ルールの策定」あります。
セキュリティポリシーの遵守を従業員に促すことで、ミスを未然に防ぐことができる、と期待されています。
・情報の持ち出しが、必要な時は申請をすること
・怪しいメールを開かないこと
・酒を飲んだらパソコンは持たないこと
・事故が起きたらここに報告すること
こんなルールがずらずらと何ページも書かれています。
では、このようなルールを策定した結果、何が変わるでしょうか?
それは
「従業員がミスをしたときに、会社が責任を逃れられること」です。
ルールに書いてるのに、なんで守らなかったの?と言えるようになるわけです。
たしかに従業員に意識づけできるだけで、多少のリスクは軽減はされるでしょう。
しかし、それでもやってしまうから「ミス」と言うのではないでしょうか。
多要素認証(MFA)の導入やアクセス権限の管理だってアクセスできた人はミス起きる可能性ありますし、監視とログ管理は起きた後に派遣や調査をするものですし、セキュリティポリシーも体裁のためのものですし、事故を防ぐことの根本的な対策には全くなっていませんよね。
情報流出の闇と実態?うっかりミスによる情報漏洩や情報流出にはお客様も加担しているときがある
IT企業の社員はまだ意識が高い方だと思いますが、一般的な事業会社のお客様の意識が低いことも非常に多いです。
普通に顧客情報をエンジニアに見せてくる人も多くて、困惑することもたくさんあります。
氏名や住所はもちろん、顔写真や購入履歴など、個人情報を見たことがあるエンジニアも多いでしょう。
現在ではセキュリティ意識も高まっているのでやむを得ないときはマスクをかけてくれたり、ダミーデーターを使用するケースが増えていますが、まだまだ意識が低い方も多いのが現状です。
うっかりミスによる情報漏洩や情報流出はテレワークで危険度を増している
ひと昔前までは、仕事を家に持ち帰って家で仕事をするのが当たり前でした。(無賃ですけどね)
しかし、セキュリティに厳しくなった近年では、持ち帰ることが禁止になっている企業も多かったです。
そんな中、訪れたのがコロナ禍です。
政府のテレワーク推進により、在宅勤務は加速していきました。
つまり、一転してまた仕事を家に持ち帰っている時代がきたわけです。
セキュリティが頑丈な家だと良いですが、そうではない場合、空き巣などの盗難による被害のリスクも増えます。
考えたくはないですが、家族や来客が悪事をはたらく可能性だってあります。
その問題は自覚しつつも企業はテレワークしてるんですね。ちょっと前まで仕事は持ち帰るなって言ってたのなんだったのでしょう。
政府は無責任にテレワーク推進しすぎですよね。
私はうれしかったですけど(笑)
最近はクラウドも普及してクラウド上で作業が可能なことも多いので、パソコン自体にデータを保存しなくても済むようになりました。
それでリスクが少なくなると思いきや、そんなこともありません。
うっかりミスによる情報漏洩や情報流出はクラウドサービスの普及も原因の一つ
クラウドサービスの普及によって、会社でも自宅でもネカフェでもいつでもどこでも情報を見ることができるようになりました。
大変便利な世の中ですが、当然危険なこともあります。
パスワード入力の手間を削減するためにブラウザの機能でパスワード保存している人も多いので、パソコンを第3者に触られると、誰でもログインできてしまいます。
この機能を使うなというルールが策定されていることもありますが、実際は結構みんな使っていると思います。
ログインや操作の記録を行うこともありますが、事故が起きた後の調査に使えるだけで、うっかりミスは防ぐことができません。
うっかりミスによる情報漏洩や情報流出はどうすれば防ぐことが出来るのか
うっかりミスによる流出事故は絶対に防ぐことはできません。
人間がミスしないことなんてありえないからです。
ルールを決めようが、セキュリティソフトを入れようが無理です。
じゃあ、人間に作業をさせず、AIや機械に任せれば防げるかと思いきや、そうでもありません。
コンピュータに作業を指示するのも、システムを作るのも人間だからです。ミスは必ずあります。
まとめ
情報流出は起きるべくして起きているのです。
いつの日か安心して暮らせる日は来るのでしょうか。
以上、最後までご覧いただきありがとうございました。