旧メールマガジン⁄人事・派遣のQ&A

情報漏えい・流出を防ぐための疑問を解決

(情報掲載日:2012年1月23日)

Q1情報漏えい・流出の原因といわれているファイル共有(交換)ソフトは、なぜ危険なのですか?
A1

ファイル共有(交換)ソフト(以下ファイル共有ソフト)は、インターネット上で“不特定多数”とファイルのやりとりを行うためのソフトウェアです。
インターネット上にアップロードされたファイルは、そのソフトを使用している“世界中の誰もが”ダウンロード、コピー、再アップロードすることができます。
ファイル共有ソフト自体が情報を流出させるわけではなく、ファイル共有ソフトを悪用したウィルスに感染することによって、ファイル共有ソフトのネットワークを介して流出します。そして、インターネット上に流れたファイルは世界中に瞬時に広がり、流出したファイルは、ファイル名が変更されたり、流出先でプリントアウトされたり媒体にコピーされ売買される場合もあるため、流出した情報の全てを削除することはほぼ不可能と考えられます。

ファイル共有ソフトによる情報漏えい・流出の事件には、大きく2つのパターンがあります。

  • (1)故意の情報漏えい・流出目的で使用
    上述のファイル共有ソフトの特徴を利用した犯罪
  • (2)故意ではないが、ウィルスに感染した結果情報が流出
    ファイル共有ソフトからダウンロードしたファイルからパソコンがウィルスに感染し、そのウィルスにより情報が流出してしまった事故(過失)

(2)のケースでは、「家のパソコンにファイル共有ソフトがインストールされており、そのパソコンで仕事をした」「禁止されているのに会社のパソコンにファイル共有ソフトをインストールした」という背景がみられます。家のパソコンの場合は、家族が知らない間にインストールしている場合もあります。例え故意ではなくとも、流出したという事実に対し、会社として責任が問われる可能性があります。

<<対策>>

ファイル共有ソフトによる情報漏えい・流出を防ぐ方法は、ファイル共有ソフトをインストールしないことです。そして、それを社内で徹底することです。

既に多くの企業や組織で禁止していると思いますが、それでも同様の事件は後を絶ちません。わかっていても、ちょっとなら大丈夫、見つからなければ大丈夫、便利だから止められない。そのような意識を変えるための社内教育も大変重要です。同時に、家族間でもファイル共有ソフトを使用することのリスクを話し合い、家族で共有するパソコンには絶対にインストールしないようにすることも重要です。

Q2会社でUSBメモリが使用できない環境が増えていますが、なぜですか?
A2

USBメモリは小さく携帯に便利であり、容量が大きいものの価格も下がったことから大変普及しています。ところが、その便利さとはうらはらに、情報漏えい・流出に使用されるケースが増えていることも事実です。
USBメモリの使用を禁止する理由は以下の通りです。

  • (1)USBメモリを介してのウィルス感染
    メールでは送れないサイズのファイルや、複数個のファイルを複数人でやりとりすることが簡単にできるため、ウィルス感染したファイルが保存されたUSBメモリを気が付かずに複数人で使用してしまうことにより、ウィルスが広がる危険性があります。
  • (2)容易に持ち出すことが可能
    その小ささゆえに、周囲に気づかれることなく使うことができ、使用後もポケットや鞄にしまうことで所持を隠すことが容易です。そのため、悪意による持ち出しに利用される危険性があります。

<<対策>>

まずは、会社でのUSBメモリの使用に関してのルールを設ける必要があります。業務での必要性と使用リスクを考慮し、以下のような対策をとるとよいでしょう。

  • ・会社支給のUSBメモリのみ使用を許可する(私物は禁止)
  • ・USBメモリの使用を一切禁止にする
  • ・パソコンのUSBデバイスを使用できない設定にする、USBポートをふさぐ

USBメモリの使用を許可する場合には、ウィルス感染防止のために以下のような対策をすることも重要です。

  • ・セキュリティの高いUSBメモリを使用する(指紋認証つきなど)
  • ・パソコンのセキュリティソフトをUSBメモリのウィルスチェックに対応したものを使用する
  • ・USBメモリをパソコンにさした場合に、自動起動しない設定にする(ウィルスの入ったファイルがUSBメモリ内にあった場合、自動起動でパソコンに感染する)

便利な記憶媒体としては、USBメモリの他に、CD-ROM、携帯音楽プレイヤーや携帯電話(SDカードなど)もあります。これらについても同様の配慮が必要です。

経済産業省 CHECK PC!「セキュリティ用語集」
http://www.checkpc.go.jp/basic/04.html

Q3業務でスマートフォンやタブレット端末を使用します。情報漏えい・流出を防ぐための留意事項を教えて下さい。
A3

仕事の効率化や、災害時の事業継続の観点から仕事でスマートフォンやタブレット端末(以下「スマートフォン等」)を使用する人が急激に増加しています。しかし、外出先など公共の場ででそれらを使用することは、情報漏えい・流出のリスクも高くなるということです。以下のような点に注意が必要です。

リスク 対策
周囲からの覗き見 通勤電車などの特に混雑した場所では、故意に見ようとしなくても見えてしまう可能性がある
  • ・スマートフォン等を使用する場合は、画面が見える範囲に人がいないことを確認する
  • ・外出先で使用するスマートフォン等には、覗き見防止フィルターを貼る
盗難 スマートフォン等が盗難される可能性がある
  • ・スマートフォン等に端末ロックをかける
  • ・スマートフォン等の端末から離れない、離さない(電車などの網棚に乗せない、車中に置きっぱなしにしない)
  • ・万が一スマートフォン等が盗難された場合を考え、あらかじめリモートでのデータ削除、ロックができる設定をしておく。
モバイルWiFiルータによる盗聴 暗号化キーに通信内容を盗聴される可能性がある
  • ・デフォルトの暗号化キーがWEPの場合は、WPA(またはWPA2)に変更する(*)
  • ・暗号化キーのパスワードを変更する
ウィルスによる漏洩 ダウンロードしたアプリに仕組まれたウィルスによって端末内の情報が漏洩する可能性がある
  • ・スマートフォン等、端末のモデルにあったウィルス対策ソフトをインストールし、常に最新版に更新する。
  • ・端末のOSはいつも最新版に更新する。
  • ・アプリケーションは、OS提供事業者や携帯電話会社などが安全性の審査を行っている提供サイトから入手する。
  • ・アプリケーションをインストールする際は、機能や利用条件に注意する。

*暗号化技術について

無線LANの通信内容を保護するための技術(規格)です。通信をするために、「暗号化キー」を使用します。現在主に使用されているものは、

  • ・WEP(Wired Equivalent Privacy)
  • ・WPA(Wi-Fi Protected Access)
  • ・WPA2(Wi-Fi Protected Access2)

があります。WEPは初期の暗号化技術で、近年は短時間で暗号が解読されてしまうという弱点が明らかになっています。そのため、WEPの弱点を補強した技術として、WPAおよびWPA2が標準化されており、ビジネス環境において無線LANを活用する場合には、安全強度の高いWPA2を採用することが望まれます。

Q4ソーシャルメディアからの情報漏えい・流出が増えています。社員に対してはどんな対策をしたら良いでしょうか?
A4

会社の責任として、社員へソーシャルメディアの利用に関する教育や啓発活動を行う必要があります。ソーシャルメディアは世界中の誰もがアクセスできる公共の場に存在していること、閲覧者を限定することはできないこと、ブログ、フェイスブック、ツイッターに記載した情報はひとり歩きをする場合があること、特にフェイスブックで所属企業などを明確にしている場合は、記載した情報が特定の企業の情報になること、をきちんと認識してもらうようにすることが大切です。

会社としてソーシャルメディアを利用する場合は、専任の管理者を設置し適切な手順のもと利用できる仕組みをつくると、知らないうちに機密情報が漏洩してしまうリスクを防ぐことができます。

Q5会社として情報管理体制を見直すことを検討していますが、その際に何に留意すべきでしょうか?
A5

企業における情報は会社の資産です。企業として情報を適切に管理することが、会社としての信用に直結しているといっても過言ではありません。
以下に、ポイント別に留意事項をまとめました。

(1)会社の情報資産を取り扱う、従業員等の意識向上
  • ・従業員等に「情報資産の不適切な取り扱いをした場合に考えられる事象」「情報資産を適切に取り扱わなければならない理由」を説明し、情報管理体制を実施するための動機付けを行う
    (どんなに物理的、論理的なセキュリティ対策を実施しても、情報資産を取り扱う社員の情報管理への意識が上がらないままでは、情報管理体制レベルの向上は望めません)
(2)物理的セキュリティの整備
情報の分類、管理方法の決定
  • ・重要度に応じた管理方法を決定し、管理責任者や管理部門を明確にしておく
情報の格納場所
  • ・情報資産の重要度に従って格納場所を決定する
  • ・社外秘の情報資産は、鍵のかかる場所で保管する
  • ・作業途中の文書や参考文書でも、帰宅する際に机の上に放置しない

<参考:媒体(紙)の使用における留意点>

  • ▽必要以上にコピーを作成しない
  • ▽配付する場合は、「社外秘」「親展」などを明記する
  • ▽不要になった紙のデータはシュレッダーを使用して廃棄する
  • ▽お客様先などで不要であった資料は回収する
  • ▽共有プリンタにプリントアウトする場合は、プリントアウトしたまま放置しない
  • ▽重要な書類は、出力するプリンタを選ぶ(役職によってプリンタを分けるなどの対策も必要)
    (出力時にパスワード入力をしてプリントアウトするプリンタもあるので、必要に応じて導入も検討を)
(3)論理的セキュリティの整備
アクセス制限
  • ・情報資産の重要度に従って管理責任者(データオーナー)がアクセス制限を決定する
  • ・社内の共有サーバなどは、あらかじめフォルダなどの単位でアクセス制限をかける
    (社員全員アクセス可能、事業部や部署単位、グループ単位など)
  • ・ファイル単位でのアクセス制限
    (同一フォルダでも社員によってのアクセス制限、読み込み専用、書き込み可能、パスワード設定)
(4)見直した情報管理体制運用状況の確認
  • ・情報管理体制を見直したら、その運用状況について定期的に確認をする
  • ・うまく運用ができていない部分については、都度見直す

【参考文献】
独立行政法人 情報処理推進機構(IPA) 情報セキュリティ
http://www.ipa.go.jp/security/

このページのトップへ