ネットリテラシー検定とは
検定の流れ
スケジュール/申込み
検定対策/模擬試験
お役立ちブログ
インターネットやクラウドサービスの普及により、情報管理の利便性は飛躍的に向上しています。
紙媒体と比べると、電子化されたデータは扱いやすく、バックアップの作成も容易です。
しかし、企業を狙ったサイバー攻撃は後を絶たず、情報漏洩の危険性とは常に隣り合わせの状態でもあります。
そのため、企業としては情報漏洩を起こさないよう、対策が欠かせません。
この記事では、企業における情報漏洩の主な原因に関して、対策を踏まえながら解説します。
情報漏洩に対する社員の意識向上法もあわせてご紹介していますので、ぜひ参考にしてください。
目次
企業における情報漏洩の主な原因
企業における情報漏洩の主な原因は、以下の6点です。
- システム障害
- OSやソフトウェアのアップデート漏れ
- Webサイトの公開設定ミス
- アカウント管理やアクセス権限の変更漏れ
- 内部不正リスクへの認識不足
- ヒューマンエラー
情報漏洩を防ぐための第一歩として、原因を把握しておきたい方は、ぜひ参考にしてください。
原因①:システム障害
システム障害が発生すると、不正アクセスや機密情報の漏洩リスクが高まります。
システム障害とは、ハードウェア・ソフトウェアの故障やネットワークの問題などにより、正常に動作しなくなる状態のことです。
たとえば、システム障害によりセキュリティが脆弱になってしまうと、アクセス権限のない者が侵入し、機密情報を盗まれる可能性があります。
障害時には、バックアップの管理体制が疎かとなり、データの漏洩リスクが高い状況です。
また、システム障害は、不正アクセスや機密情報の漏洩だけでなく、社内での業務にも支障をきたします。
そのため、システム障害を起こさない仕組み作りや、起きてしまった場合の対策を明確にするといった、リスクを最小限に抑えることが重要です。
原因②:OSやソフトウェアのアップデート漏れ
OSやソフトウェアは、不具合の解消やセキュリティの強化などを目的に、定期的なアップデートが行われます。
新たに発覚した脆弱性に対応するためアップデートされる場合も多く、最新のバージョンに更新しておくことが情報漏洩の予防には欠かせません。
過去には、社外から社内へ接続する際に使用する、VPN機器の脆弱性を悪用されたケースもあります。
脆弱性を突いたサイバー攻撃を受け、ランサムウェアに感染したことにより、システムが使用できない状態となりました。
ランサムウェアは、不正に暗号化したデータの復元と引き換えに身代金を要求するという、マルウェアの一種です。
身代金を支払わないとシステムを復旧できないことが多く、必ずしも元に戻せるとは限りません。
OSやソフトウェアのアップデート漏れの機器・端末が1台でもあれば、脆弱性を突かれて脅威にさらされる可能性があります。
外部からの攻撃を防ぐためにも、OSやソフトウェアのアップデートは後回しにせず、最新のバージョンを保ちましょう。
引用元:総務省|事故・被害事例および対処法(セキュリティ事故が起きた後にやるべきことは)
原因③:Webサイトの公開設定ミス
Webサイトの公開設定の誤りにより、公にすべきではないデータや資料などを公開してしまうと、即座に情報漏洩に直結します。
インターネット上に公開された情報には、不特定多数のユーザーがアクセス可能です。
ミスに気づき、即座に非公開にしたとしても、情報が拡散される可能性は十分にあります。
万が一、機密情報をWebページに公開してしまった場合には、取引先や顧客から管理体制の甘い企業という印象を与えてしまい、信用の低下にもつながりかねません。
そのため、インターネット上に公開する情報は慎重に扱い、設定に誤りがないか事前チェックを徹底しましょう。
また、ネットリテラシーが低く、情報発信に対する責任感が欠けていると、小さなミスも起こりやすくなります。
ネットリテラシーが低い社員の特徴や、企業に生じるリスクおよびその対処法を知りたい方は、下記の記事もぜひ参考にしてください。
【関連記事】ネットリテラシーが低い社員の特徴とは?企業に生じるリスクや対処法を紹介
原因④:アカウント管理やアクセス権限の変更漏れ
アカウント管理やアクセス権限の変更漏れは、不正アクセスにつながり、情報漏洩の原因となります。
なぜなら、現従業員や元従業員による内部からの不正行為が、起こりうる可能性もあるからです。
IPA(独立行政法人情報処理推進機構)が2020年に行った調査によると、情報流出ルートとして「中途退職者」が36.3%で最多でした
退職者のアクセス権限を有効にしたままであれば、情報を容易に持ち出すことが可能です。
また、テレワークが普及したことで、アカウント管理を含めたルールの整備が求められています。
テレワークと社内では環境が異なるため、それぞれに対応したルールが必要です。
しかし、テレワーク環境における、クラウドサービスでの秘密情報の扱いや、他社と情報を共有するルールが明確になっていない企業もあります。
さまざまな情報の扱いが手軽になったからこそ、アカウント管理やアクセス権限の変更を徹底し、情報漏洩を防ぎましょう。
引用元:IPA独立行政法人情報処理推進機構|「企業における営業秘密管理に関する実態調査2020」報告書について
原因⑤:内部不正リスクへの認識不足欠如
上述した通り、現職の社員や中途退職者による内部不正は、情報漏洩の要因となります。
しかし、「自社で内部不正が起こることはない」と思い込み、リスクへの対策が欠如していたために、情報漏洩へと発展したケースもあります。
IPA(独立行政法人情報処理推進機構)が企業規模ごとに実施した、内部不正に関する調査結果は下表の通りです。
▼所属する企業・組織で「今後内部不正が起こると思うか」
| 回答 | 300名以上の企業 | 300名未満の企業 |
| これまで発生していないので、今後も発生しない | 15.3% | 42.3% |
| 対策をしているので、内部不正は発生しない | 7.7% | 6.0% |
| 対策をしていないので、内部不正が発生する恐れがある | 12.1% | 14.1% |
| 対策をしているが、軽微なルール違反が発生する恐れがある | 31.8% | 13.9% |
| 対策をしているが、重大なインシデントが発生する恐れがある | 8.3% | 3.3% |
| 対策をしても、内部不正を防ぐことはできない | 24.8% | 20.3% |
300名未満の企業では、「これまで発生していないので、今後も発生しない」との回答が42.3%と最も高い割合を示しています。
300名以上の企業でも15.3%となっており、「内部不正が起こることはない」と安易に考える方も存在しているのが現状です。
もちろん企業として社員を信用するのは大前提ですが、内部不正は「いつ・誰が」行うかわかりません。
少なからず内部にも不正のリスクがあると認識し、対策を講じましょう。
引用元:IPA独立行政法人情報処理推進機構|内部不正による情報セキュリティインシデント実態調査
原因⑥:ヒューマンエラー
ヒューマンエラーにより、意図せず情報漏洩してしまう可能性もゼロではありません。
たとえば、電子メールの宛先を誤り、機密情報を漏らしてしまうというのも事例の1つです。
故意ではないとしても、取り返しのつかない事態になってしまいます。
人間であれば誰しもミスをしてしまうことはあるため、何事もチェックを欠かさないことが重要です。
また、社員に向けたネットリテラシー教育を定期的に行い、人的ミスによる影響の大きさを意識付けておくことも予防につながります。
ネットリテラシーの意味や教育の必要性を知りたい方は、下記の記事もあわせてご一読ください。
【関連記事】ネットリテラシーとは?意味や教育の必要性・高めるポイントを解説
情報漏洩を防ぐために企業が行うべき対策
情報漏洩を防ぐために企業が行うべき対策は、以下の3つが挙げられます。
- こまめなアップデート
- アカウント管理・権限の見直し
- セキュリティ対策の徹底
情報漏洩を防ぐための具体的な対策方法を知りたい方は、ぜひ参考にしてください。
対策①:こまめなアップデート
社内で使用している端末のOSやセキュリティ対策用のソフトウェアなどを、こまめにアップデートすることは、情報漏洩防止の観点から重要です。
上述したように、脆弱性が見つかると対応するためにアップデートが行われます。
しかし、アップデートが見落とされていると、脆弱性を突いたサイバー攻撃の標的になってしまいます。
サイバー攻撃を受けないためにも、最新のバージョンを維持し、更新漏れがないかの確認が必要です。
場合によってはアップデートに時間を要し、業務に影響を与える可能性もあるため、計画的に更新を実行しましょう。
対策②:アカウント管理・権限の見直し
アカウントやアクセス権限を必要最低限の状態に保つよう見直すことが、情報漏洩の予防につながります。
不要なアカウントや元社員のアクセス権限を残しておくことは、不正ログインの要因にもなりかねません。
使用していないアカウントは削除し、アクセス権限も業務に携わっている関係者のみに絞ることで、情報漏洩の予防に努めましょう。
対策③:セキュリティ対策の徹底
企業のシステム管理担当者は、情報漏洩防止へ向けて、セキュリティ対策の徹底が求められます。
情報漏洩を防ぐために効果的なセキュリティ対策は、以下の通りです。
- 操作ログを記録・管理する
- 多層防御を設定する
- セキュリティホールをふさぐ
操作ログの記録・管理により、不正な操作をいち早く感知できます。
万が一、情報漏洩が起きてしまった場合には、原因の特定および被害拡大の防止にも効果的です。
また、多層防御を設定すれば、サイバー攻撃などのリスクを最小限に抑えられます。
ただし、プログラムの不具合や設計ミス、脆弱性などのセキュリティホールが狙われる可能性もあるため、漏れなく対策しておきましょう。
情報漏洩に対する社員の意識向上にはネットリテラシー教育がおすすめ
情報漏洩を防止するには、企業としての対策はもちろん、社員一人ひとりの意識向上がポイントです。
システム面での原因だけでなく、人的要因にも対応することで、情報漏洩のリスクを最小限に抑えられます。
なお、情報漏洩に対する社員の意識向上を図るのであれば、ネットリテラシー教育がおすすめです。
実際にネットリテラシー教育および検定を取り入れた企業では、社員から「これまでよりインターネットに対する意識が高まり、勉強になった」との声が挙がっています。
合格者の名刺にはロゴを入れ、リテラシーの高さを客観的にわかるようにしたことで、取引先からの信頼にもつながったと好評です。
情報漏洩に対する社員の意識向上を目指し、ネットリテラシー検定の実施を検討しているご担当者様は「企業・団体・学校のご担当者様へ」をご覧ください。
まとめ:情報漏洩の原因を理解しリスク対策を徹底しよう
企業における情報漏洩にはさまざまな原因が挙げられるため、それぞれを理解しリスク対策を徹底することが予防につながります。
リスクは外部だけでなく内部にも存在していると認識し、情報漏洩を未然に防ぎましょう。
当機構では、企業・団体・学校向けにネットリテラシー検定の受講を受け付けています。
社員のネットリテラシー向上および、情報漏洩のリスク対策を実現したい企業の皆さまは、ぜひ「企業・団体・学校のご担当者様へ」ページをご覧ください。
【関連記事】メディアリテラシーはなぜ必要か?受け取る側の責任が高まる背景を解説
【関連記事】メディアリテラシーの教育目的とは?スキルを身につけるための進め方を解説
【関連記事】社員のネットリテラシーを向上させるには?おすすめの教育法と導入ポイント
