組織で取り組む個人情報漏えい対策!監視ツールの有効性

 > コラム 2020年6月26日

組織で取り組む個人情報漏えい対策!監視ツールの有効性

個人情報の適切な管理は企業の重要な責任であり、万が一、インシデントが発生してしまうと経営に重大な影響を及ぼします。

情報セキュリティは高い専門性が要求されるため、どのような対策が必要なのかが分かりにくいもの。そこで今回は、個人情報を管理するために有効な監視ツールについて解説していきましょう。


1. 年々増加している個人情報漏えい

年々増加している個人情報漏えい

情報化社会が進むにつれ、それと比例するように個人情報の漏えい事故や事件は毎年のように発生しています。個人情報漏えいは規模の大小に関係なく、顧客や取引先に対して損害賠償金として多額の費用が発生する他、再発防止のためのシステム構築にもコストがかかってしまいます。また、金銭的な負担だけではなく、企業の社会的な信用という面においても大きなダメージを負うことになるでしょう。

一度でも情報漏えいが発生した企業は、マイナスイメージを払拭するには長い時間がかかってしまうもの。これまで積み上げてきた信用や信頼を取り戻すのは決して簡単なことではありません。

中小企業のなかには、「顧客数も限られているから対策は不要」「これまで情報漏えいを起こしたことはないから大丈夫」と考えている経営者や担当者もいるかもしれません。個人情報の漏えい対策は企業を守ることにも直結するため、会社や事業規模に関係なく実行する必要があるのです。


2. 情報漏えいの原因は?

JNSA(日本ネットワークセキュリティ協会)の調査によると、2018年の1年間で発生した個人情報漏えいインシデントのうち、「紛失・置忘れ」「誤操作」「不正アクセス」の3大原因が全体の70%を占める結果に。特に「紛失・置忘れ」と「誤操作」という人的なミスに限定してみると実に50%以上にのぼります。

情報漏えいと聞くと外部からのサイバー攻撃や不正アクセスの被害に遭うといったイメージが強いですが、意外にも担当者の不注意や単純なミスによって発生しているものが大半を占めていることが分かります。

ただし、ここ数年の間で不正アクセスの割合も増加傾向にあり、特に2014年以降は毎年増え続けていることも事実です。単純な人的ミスを防ぐことは大前提として、同時に不正アクセスへの対策も不可欠と言えます。

参照元:https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf


3. 内部不正による漏えいが増加

不正アクセスと聞いたとき、真っ先にイメージするのは社外の悪意ある人間が自社のシステムに対してサイバー攻撃を仕掛けるケースや不特定多数のサーバーを狙った攻撃ではないでしょうか。しかし、内部から不正アクセスを試みる事件も増加傾向にあります。

IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威」においても、内部不正による情報漏えいは毎年トップ10に入るほど重要な問題として挙げられています。「自社の従業員を信頼しているから」「うちの社員に限ってそのような心配はない」といった性善説で考えるのではなく、あくまでも客観的に情報セキュリティの信頼性を担保する意味でも、外部からはもちろん内部からの不正アクセスに対して適切な対策をとることが求められます。


4. 内部不正リスクの管理・対策には監視ツールが有効

具体的にどのような不正アクセス防止対策を講じておくことが求められるのでしょうか。IPAが作成したガイドラインでは、内部不正防止のために5つから成る以下の基本原則を記載しています。


  1. 犯行を難しくする
  2. 捕まるリスクを高める
  3. 犯行の見返りを減らす
  4. 犯行の誘因を減らす
  5. 犯罪の弁明をさせない

参照元:https://www.ipa.go.jp/files/000057060.pdf


例えば、業務担当者であれば誰もが個人情報を持ち出せるような環境にある場合、多少リスクを犯してでも個人情報を盗み出そうと考える人が出てきてもおかしくありません。しかし、セキュリティが厳重で容易に個人情報を持ち出すのが難しく、仮に持ち出せたとしても大量の個人情報を引き出すことが難しい場合、あまりにもリスクが大きいため、たいていの人は不正アクセスをすることをあきらめるでしょう。このように、内部不正のリスクを減らすには、まず大前提として「悪いことをしようと考えさせない環境」を構築することが重要と言えるのです。

しかし、それでも内部の事情に詳しい人物やシステムの仕組みを知り尽くした人物がいると、特殊な手を使って不正アクセスや不正な操作を試み、大量の個人情報を盗み出そうとするかもしれません。そこで、企業が取り組むべき対策としては、不正操作を監視することが有効と言えます。監視ツールにはさまざまなタイプのものがありますが、主に以下のような操作が可能です。


  1. PC画面の録画によって、どのような操作を行ったか可視化する
  2. ログを定期的に監査し、不審な操作が行われていないか異常な事象を発見する

このような機能が実装されていることによって、仮に不正を働こうと考えている従業員がいたとしても大きな抑止力となり、個人情報の不正な取得や漏えいなどのインシデントを未然に防ぐことにつながります。


5. 監視システムならNetSupport Managerがおすすめ

企業が取り組むべき内部不正対策は、セキュリティポリシーの策定や監視ツールの導入、さらには情報セキュリティに関する社員教育など多岐にわたります。いずれも企業のセキュリティ対策としては重要な項目ばかりで、どれかが欠けてしまうとセキュリティ上の問題が懸念されます。

そこで個人情報漏えい対策として監視ツールを導入する場合におすすめなのが、ワイドテックの「NetSupport Manager(ネットサポートマネージャー)」です。NetSupport Managerは各クライアントPCのモニタリング機能や録画機能が搭載されている他、スマートカードによるユーザー認証や登録外IPアドレスからの接続拒否といったセキュリティ機能を実装しています。

ゲートウェイ機能を用いたテレワークでは、同一のセキュリティキーが設定されていない端末との接続を拒否します。また、接続時に任意のID・パスワードを要求する、ファイル転送を禁止させるなど情報漏洩・不正アクセス対策についても意識されています。

不審な動きやアクセスが確認された場合、個別のクライアントPCに対してメッセージや警告を発信するだけでなく、キーボード、マウスの入力操作をロックすることも可能です。反対にユーザー側から管理者側ヘルプリクエストを送信できます。

NetSupport ManagerはWindowsやMac OSなどのPC用OS、iOSやAndroidなどのモバイル用OSなどさまざまなプラットフォームに対応しているため、複数のデバイスを導入している企業においてもおすすめです。


6. まとめ

個人情報漏えいを未然に防ぐには、外部からの不正アクセスやサイバー攻撃はもちろん、内部からの不正操作に対しても十分な対策を講じておくことが求められます。しかし、これらは決して簡単に実現できるものではなく、十分なセキュリティを担保するためには多くの手間とコストがかかるでしょう。

経営上の問題によって十分な予算が確保できないからといって、個人情報漏えい対策を後回しにしていては一向に解決できないばかりか、セキュリティインシデントが発生し経営に致命的なダメージを与えかねません。NetSupport Managerは限られた予算内でも手軽に導入できるメリットもあるため、個人情報漏えい対策が不十分だと感じている企業はぜひ導入を検討してみてはいかがでしょうか。

NetSupport Managerには30日間の無料体験版がありますので、まずはお試しください。

※体験版は最大10接続までとなっています。