強化が求められる情報漏洩対策！
チェックリストやポイントをご紹介

昨今の新型コロナウイルス感染拡大をきっかけとして、多くの企業ではテレワーク化が加速していますが、同時にサイバー犯罪や内部不正による情報漏洩リスクが高まっています。
いつ狙われるかわからない中、未然に対策を講じておくことが必要です。今回は、企業の情報漏洩リスクや、情報漏洩対策のチェックリスト、情報漏洩対策のポイントをご紹介します。

情報漏洩対策の必要性が増す

働き方改革に加えて、コロナ禍でテレワークが進み、ますます企業の情報漏洩対策は必要不可欠となってきています。

2020年に増加したテレワークを受け、テレワーク環境の脆弱性を狙ったサイバー攻撃が増えたといわれています。

また一般に、社員が自宅などの外部から社内ネットワークへアクセスする場合には、情報漏洩やマルウエア感染などのリスクが高まります。
その原因として、個人所有端末の業務利用や業務用端末の個人利用などを行ってしまうことのほか、ホームネットワークへの侵入や、クラウドサービスの利用増加に伴うアカウント乗っ取りなども考えられます。

サイバー犯罪者からすれば、テレワーク環境は付け入る隙が多く、今後も攻撃がさらに激化すると予想されます。

テレワーク環境へはもちろんのこと、社内ネットワークも含めたセキュリティ強化と情報漏洩対策は必要不可欠といえます。

企業のネットワークにおける情報漏洩対策チェックリスト

そこで、企業のネットワーク関係の情報漏洩対策をチェックするための簡易的なリストを作成しました。

・PCや端末の持ち出しについて、厳格な管理体制を定めている
・書類や端末の置き忘れや紛失・盗難時の対処法を徹底している
・情報の取り扱いに関する注意事項や秘密保持契約（NDA）についての社員  教育を徹底して実施している
・情報へのアクセス権限について、ルール・システムを策定している
・メール連絡時、誤送信防止のためのルールを設けている
・マルウエアなど、悪意あるソフトウエアから守るシステムを導入している
・USBメモリーなどの記憶装置を使った情報の社外持ち出し禁止や制限を行っている
・社外への連絡に使用するストレージを自社運営のものに限定している
・公衆無線LANの利用を制限している
・社外から社内システムにアクセスできる端末を管理する体制を整えている

これらの対策は主要なものであり、すべてではありませんが、一つでも実施していないものがある場合は早期に検討し、情報漏洩リスクを少しでも減らすことをお薦めします。

情報漏洩対策のポイント

続いて、企業が実施したい情報漏洩対策のポイントをご紹介します。

●IPAによる七つのポイント

独立行政法人 情報処理推進機構（IPA）は、「情報漏洩対策のしおり」の中で、情報漏洩対策の七つのポイントとして、下記の内容を挙げています。

1. 企業（組織）の情報資産（*1）を、許可なく、持ち出さない
2. 企業（組織）の情報資産を、未対策（*2）のまま目の届かない所に放置しない
3. 企業（組織）の情報資産を、未対策のまま廃棄しない
4. 私物（私用）の機器類（パソコンや電子媒体）やプログラムなどのデータを、許可なく企業（組織）に持ち込まない
5. 個人に割り当てられた権限（*3）を、許可なく、他の人に貸与または譲渡しない
6. 業務上知り得た情報を、許可なく、公言しない
7. 情報漏洩を起こしたら、自分で判断せずに、まず報告

*1情報資産

情報資産とは、業務情報（プログラムも含む）および業務情報を格納する機器類（パソコン、電子媒体、紙など）のことです。

*2未対策

未対策とは、セキュリティ上の対策が施されていない状態のことです。

*3権限

権限とは、リソースを扱うために与えられたものです。セキュリティの基本事項として最小権限というものがあり、権限は可能な限り狭い範囲で与えることが重要です。

出典：独立行政法人 情報処理推進機構（IPA）「情報漏洩対策のしおり」
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf

●技術面と社員の意識面、両方の対策が必要

また情報セキュリティというと、どうしてもネットワークのセキュリティ環境など、技術面にばかりに意識が向かいがちですが、同時に社員一人一人の意識も重要です。これも情報漏洩対策のポイントといえます。

例えば、テレワークを導入するに当たって、セキュリティポリシーを新設するか、見直すかして、現実に合ったものを作ることが重要です。テレワークでは、社員はどこまで行って良いのか、またどのような行為が禁止なのかなどの基準を作ります。その際には、総務省が出している「テレワークセキュリティガイドライン」が参考になります。

総務省「テレワークセキュリティガイドライン」
https://www.soumu.go.jp/main_content/000545372.pdf

そして、そのセキュリティポリシーや情報漏洩リスクについて社員への教育を徹底することが重要となります。

ネットワークのセキュリティ環境の構築とともに、社員の意識面も重要視して、情報漏洩対策を実施しましょう。

エイチ・シー・ネットワークスの情報漏洩対策製品

ネットワークのセキュリティ環境の構築を検討する際には、自社に適した製品とサービスを導入することがポイントになります。

エイチ・シー・ネットワークスでは、幅広い製品ラインアップとソリューションで、 さまざまなネットワーク環境に適した情報漏洩対策を提供しています。

その製品の一部をご紹介します。

●情報漏洩対策・IT資産管理「LanScope Cat」

LanScope Catは、IT資産管理・内部情報漏洩対策からマルウエア対策まで、一つのツールとして提供される、統合セキュリティ管理ツールです。

●IT資産運用管理「SKYSEA Client View」

SKYSEA Client Viewは、企業が持つPCやIT機器、ソフトウエア資産を一元管理できるツールです。 IT資産の有効活用と共に、情報漏洩対策をより安全に行うことができます。

まとめ

企業のネットワーク関連の情報漏洩リスクや対策についてご紹介してきました。テレワークなど企業のワークスタイルが変化する中、情報漏洩リスクは高まってきています。情報漏洩のリスクチェックや対策のポイントを、ぜひお役立てください。

ネットワーク導入まるわかりガイド

ネットワークの基本から課題解決事例までわかりやすくまとめています。会社や組織内のネットワークの導入や見通しを検討するときに必ずお読み頂きたい一冊です。

無料でダウンロードする＞