情報漏洩対策でやるべきこととは？
チェックリストやポイントをご紹介

更新日：2025-09-01

セキュリティ

昨今の新型コロナウイルス感染拡大をきっかけとして、多くの企業ではテレワーク化が加速していますが、同時にサイバー犯罪や内部不正による情報漏洩リスクが高まっています。
いつ狙われるかわからない中、未然に対策を講じておくことが必要です。今回は、企業の情報漏洩リスクや、情報漏洩対策のチェックリスト、情報漏洩対策のポイントをご紹介します。

情報漏洩対策の必要性が増す
情報漏洩が起こる3つの原因
企業が行うべき情報漏洩対策
個人が行うべき情報漏洩対策
情報漏洩対策のポイント
エイチ・シー・ネットワークスの情報漏洩対策製品
まとめ

情報漏洩対策の必要性が増す

働き方改革に加えて、コロナ禍でテレワークが進み、ますます企業の情報漏洩対策は必要不可欠となってきています。

2020年に増加したテレワークを受け、テレワーク環境の脆弱性を狙ったサイバー攻撃が増えたといわれています。

また一般に、社員が自宅などの外部から社内ネットワークへアクセスする場合には、情報漏洩やマルウェア感染などのリスクが高まります。
その原因として、個人所有端末の業務利用や業務用端末の個人利用などを行ってしまうことのほか、ホームネットワークへの侵入や、クラウドサービスの利用増加に伴うアカウント乗っ取りなども考えられます。

サイバー犯罪者からすれば、テレワーク環境は付け入る隙が多く、今後も攻撃がさらに激化すると予想されます。

テレワーク環境へはもちろんのこと、社内ネットワークも含めたセキュリティ強化と情報漏洩対策は必要不可欠といえます。

情報漏洩が起こる3つの原因

情報漏洩が起こる原因は「外部からの攻撃」「内部不正」「人為的ミス」の3つに大別されます。

●外部からの攻撃

外部からの攻撃とは、悪意のある第三者が会社のセキュリティシステムに侵入し、情報を窃取・改ざん・破壊する行為です。代表的な攻撃手法には、コンピューターウイルスを感染させて情報を窃取・改ざんするマルウェア感染や、システムの脆弱性を突いて社内のネットワークに侵入する不正アクセスなどがあります。これらのサイバー攻撃は高度化・巧妙化しているため、常に最新のセキュリティ対策を講じる必要があります。

●内部不正

内部不正とは、企業の従業員や元従業員、取引先など、内部の人間によって情報が不正に持ち出されることです。例えば退職者が顧客情報を持ち出したり、内部の不満をきっかけに機密情報を漏洩させたりするケースがあります。内部不正はアクセス権限の管理不足や、監視体制の不備などが原因で発生することが多いため、技術的な対策はもちろん、従業員教育やガバナンス強化も重要になります。

●人為的ミス

人為的ミスとは、従業員の不注意や操作ミスが原因で情報漏洩することです。例えば、機密情報が入ったかばんの紛失や、メールの誤送信による個人情報の流出、機密情報が保存されたUSB盗難などが挙げられます。悪意は無くとも重大な被害につながるリスクがあるため、従業員へのセキュリティ教育の徹底だけでなく、データ管理の強化など、仕組みによる対策を講じる必要があります。

企業が行うべき情報漏洩対策

情報漏洩対策は、企業が行う組織的な対策と、個人の日々の業務における対策の両方が重要です。まずは企業が行うべき対策をご紹介します。

●操作ログの記録と管理情報

従業員の操作履歴やアクセス状況をログとして記録し、管理する対策です。これにより、システム上で誰が、いつ、どの情報にアクセスしたかの追跡ができます。データの持ち出しなど内部不正につながる行動を早期に発見できるだけでなく、万が一情報漏洩が発生した場合でも、原因や被害範囲の特定、そして再発防止策の検討に役立てることができます。このようにログ管理は、内部不正や不正アクセスなど、情報漏洩の原因を抑止することにつながります。

●多層防御

多層防御は、複数の異なるセキュリティ対策を組み合わせることで、強固な防御体制を構築する情報漏洩対策です。例えば、外部からの不正アクセスを防ぐファイアウォールやIDS（不正侵入検知システム）に加え、アンチウイルスソフト、社内データの暗号化などを組み合わせることです。これにより、もし一つの対策が突破されても、次の層で攻撃を食い止めることが可能になります。

●セキュリティホール（脆弱性）対策

ソフトウェアやOSの脆弱性の放置は、サイバー攻撃の標的にされやすいため、対策が必須です。対策としては、提供元が配布するパッチを速やかに適用し、常にシステムを最新の状態に保つことが重要です。一方で、脆弱性情報の収集や、パッチ適用状況の確認などにより管理工数が増加するため、脆弱性対策用のシステムやツールの導入も検討するとよいでしょう。

●従業員のセキュリティ教育

技術的な対策だけでなく、人為的ミスへの対策として、従業員一人ひとりのセキュリティ意識の向上も大切な取り組みです。フィッシングメールの見分け方、安全なパスワードの管理方法、機密情報の適切な取り扱いの周知など、基本的な対策は必須です。また、高度化する攻撃への対策としてサイバー攻撃の演習は、従業員の当事者意識も高まる効果的な取り組みです。

個人が行うべき情報漏洩対策

続いては、従業員一人ひとりの実施が求められる、個人が行うべき情報漏洩対策をご紹介します。

●OS・ソフトウェアを最新の状態に保つ

OSやアプリケーションは、セキュリティホール（脆弱性）が定期的に発見されることがあります。攻撃者はこれらの脆弱性情報を悪用してサイバー攻撃を企てているため、常に最新の状態にアップデートすることが不可欠です。ソフトウェア提供元が配布しているセキュリティパッチを即座に適用することで、脆弱性を起因とする攻撃へのリスクを減らすことができます。

●怪しいメールや添付ファイル、ウェブサイトに注意する

フィッシング詐欺やマルウェア感染の対策として、怪しいメールや添付ファイルを開封しないよう細心の注意を払いましょう。社内や取引先を装ったメールが送られることも多く、見破ることが難しいため、送信元や、メールの件名に不自然な点がある場合は、安易にクリックせずに慎重に対応することが重要です。また同様に、URLに違和感があるなど、安全性が確認できないウェブサイトにはアクセスしないようにしましょう。

●情報や機器の不要な持ち出し、持ち込みはしない

会社の機密情報や個人情報が保存された書類、USBメモリ、パソコンの持ち出しや、私用のスマートフォンやUSBメモリの使用は、紛失や盗難、ウイルス感染を招く恐れがあります。情報の持ち出しや私物の持ち込みに関する会社のルールを厳守し、情報や機器を適切に管理することが、情報漏洩対策に繋がります。

●独自のソフトやツールを使用しない

業務で使うシステムやツールは、会社が定めたセキュリティが確保されたものを使用しましょう。独自のソフトウェアやクラウドサービスを使用すると、情報漏洩やマルウェア感染に繋がる恐れがあります。必ず会社のルールに従い、許可されたツールやシステムのみを利用するようにしましょう。

情報漏洩対策のポイント

続いて、企業が実施したい情報漏洩対策のポイントをご紹介します。

●IPAによる七つのポイント

独立行政法人情報処理推進機構（IPA）は、「情報漏洩対策のしおり」の中で、情報漏洩対策の七つのポイントとして、下記の内容を挙げています。

1. 企業（組織）の情報資産（*1）を、許可なく、持ち出さない
2. 企業（組織）の情報資産を、未対策（*2）のまま目の届かない所に放置しない
3. 企業（組織）の情報資産を、未対策のまま廃棄しない
4. 私物（私用）の機器類（パソコンや電子媒体）やプログラムなどのデータを、許可なく企業（組織）に持ち込まない
5. 個人に割り当てられた権限（*3）を、許可なく、他の人に貸与または譲渡しない
6. 業務上知り得た情報を、許可なく、公言しない
7. 情報漏洩を起こしたら、自分で判断せずに、まず報告

*1情報資産

情報資産とは、業務情報（プログラムも含む）および業務情報を格納する機器類（パソコン、電子媒体、紙など）のことです。

*2未対策

未対策とは、セキュリティ上の対策が施されていない状態のことです。

*3権限

権限とは、リソースを扱うために与えられたものです。セキュリティの基本事項として最小権限というものがあり、権限は可能な限り狭い範囲で与えることが重要です。

出典：独立行政法人情報処理推進機構（IPA）「情報漏洩対策のしおり」
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf

●技術面と社員の意識面、両方の対策が必要

また情報セキュリティというと、どうしてもネットワークのセキュリティ環境など、技術面にばかりに意識が向かいがちですが、同時に社員一人一人の意識も重要です。これも情報漏洩対策のポイントといえます。

例えば、テレワークを導入するに当たって、セキュリティポリシーを新設するか、見直すかして、現実に合ったものを作ることが重要です。テレワークでは、社員はどこまで行って良いのか、またどのような行為が禁止なのかなどの基準を作ります。その際には、総務省が出している「テレワークセキュリティガイドライン」が参考になります。

総務省「テレワークセキュリティガイドライン」
https://www.soumu.go.jp/main_content/000545372.pdf

そして、そのセキュリティポリシーや情報漏洩リスクについて社員への教育を徹底することが重要となります。

ネットワークのセキュリティ環境の構築とともに、社員の意識面も重要視して、情報漏洩対策を実施しましょう。