is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。

「is702パートナープログラム」新規お申込み受付は終了いたしました。

企業における情報漏えいの原因とは【第3回】

インターネットサービスの利用に伴う情報漏えいパターンと対策

2021/08/26
企業における情報漏えいの原因とは【第3回】 インターネットサービスの利用に伴う情報漏えいパターンと対策

営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第3回目です。今回はインターネットサービスの利用に伴う情報漏えいパターンと従業員が行うべき対策を紹介します。

情報漏えいはどうやって起こる?

テレワークが普及し、Webメールやビジネスチャット、クラウドストレージ、Microsoft 365(旧Office 365)などを便利に使っている人も多いのではないでしょうか。そういうときにも、情報漏えいリスクについて考えておかなければなりません。外部からの不正アクセスなどによりネット上に保管された業務情報が流出してしまう事案もたびたびメディアで報じられています。インターネットサービスの利用に伴う主な情報漏えいパターンを見ていきましょう。

【パターン1】アカウントへの不正ログイン

サイバー犯罪者は不正に入手したアカウント情報(IDとパスワード)を使って被害者のアカウントに不正ログインし、情報を盗み出します。

彼らはどのような方法でアカウント情報を入手するのでしょうか。代表的な手口がフィッシング詐欺です。これは、ネット利用者を正規サービスのログインページなどを装った偽サイト(フィッシングサイト)におびき寄せ、そこで入力されたアカウント情報などを盗み出すものです。

フィッシングサイトへの主な誘導手段はメールやSMS(ショートメッセージサービス)です。実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。たとえば、人事担当者を装って「業務メールシステムへの再ログインが必要」などと呼びかけるフィッシングメールが確認されています。

サービス利用者のアカウント管理の隙を突く不正ログイン事案も少なくありません。「異なるパスワードを考えるのが面倒」などの理由から複数のサービスに同一のIDとパスワードを使い回していると情報漏えいリスクが高まります。フィッシング詐欺などにより複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合を想像してみてください。彼らはそのIDとパスワードを使って各種サービスのアカウントを芋づる式に乗っ取り、情報を盗み取ったり、犯罪に悪用したりするのです。

【パターン2】私用のインターネットサービスの業務利用

企業が許可していない、あるいは利用ルールを設けていない私用のインターネットサービスをビジネスシーンに持ち込むのも厳禁です。私たちはつい個人で利用登録しているクラウドストレージを勤務先に無断で利用し、取引先とファイルをやり取りしたり、業務情報を社外に持ち出したりしてしまいがちです。自宅で仕事をするため、業務メールを私用のWebメールアドレス宛に自動転送している方もいるのではないでしょうか。しかし、こうした行為は勤務先を情報漏えいの危険にさらしてしまう可能性があります。

一定のセキュリティ基準を満たす企業では特定のインターネットサービスを安全に利用するためにさまざまな情報漏えい対策を講じています。無許可の端末・利用者によるデータへのアクセス制御、セキュリティポリシーに沿った設定の一括適用、ログ監視などです。

しかし、私用のインターネットサービスには企業による管理が行き届きません。そのため、サービスの機能や仕様、利用規約の内容に対する理解不足、および設定ミスという利用者の過失による情報漏えいリスクがあります。「公開範囲などのプライバシー設定に不備があり、ネット上にアップロードしたファイルが第三者から閲覧できる状態になっていた」というケースはその典型です。

またサービス事業者の人為的なミスやサイバー攻撃がきっかけでネット上に保管された情報が外部に流出してしまう事故も起こっています。私用のインターネットサービスが漏えい元になった場合、企業によるインシデントの発見や対処が後手に回りがちで被害が広がりやすくなってしまうのです。

インターネットサービスの利用に伴う情報漏えいを防ぐ5つのポイント

インターネットサービスの利用に伴う情報漏えいを防ぐために従業員が行うべき5つの対策を紹介します。

1.ネット詐欺やアカウント乗っ取りの手口を知る

ネット詐欺やアカウント乗っ取りの手口と事例を知ることは自衛策の基本です。セキュリティ事業者や関連団体が公表する注意喚起情報を定期的にチェックし、脅威に遭遇しても適切に対処できるようにしましょう。

2.メールやSMS内のURLリンクを不用意に開かない

たとえ著名な企業や実在する人物からのメールやSMSでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかりましょう。それらは受信者をフィッシングサイトへ誘導することが目的かもしれません。

3.アカウントを厳重に管理する

勤務先に定められた方法でアカウントを管理しましょう。「サービスごとに異なるIDとパスワードの組み合わせを使用すること」「第三者に推測されにくいパスワードを設定すること」「二要素認証機能を使用すること」の3つは不正ログインを防ぐための重要なポイントです。勤務先に認められたパスワード管理ツールの使用も検討してみてください。

4.私用のインターネットサービスを勝手に業務利用しない

私用のインターネットサービスを業務に利用する場合は勤務先の利用ルールに従うことが原則です。また、使わなくなったアカウントは勤務先によって定められた手順で削除してください。アカウントを残していても情報漏えいリスクになるだけです。

5.サービスの機能追加や仕様変更に追随する

インターネットサービスは機能追加や仕様変更などが頻繁に発生するものです。企業のIT管理者はもちろん、一般従業員もバージョンアップに伴う変更点を正しく理解した上で適切に利用し、情報漏えいリスクを回避してください。

※この記事は制作時の情報をもとに作成しています。

  • グループウェアWebMagic
  • 卸売業向けトータルサポートシステム
グループウェアWebMagic
卸売業向けトータルサポートシステム