改めて「情報セキュリティ」を見直す
～最近の情報セキュリティ事情

1. 情報セキュリティが求められている背景

みなさま、近年我々が目にする情報量が過去と比べてどの程度増加しているか、ご存じですか。
一説によると江戸時代に1年間に触れる情報量を、近代の我々はわずか１日で目にしていると言われています。

まずは、こちらのデータをご覧ください。総務省の統計データによれば、5Gのインフラ整備に伴い、データは2012年頃を境に急激にデータ量が増加しています。

引用：総務省　https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd131110.html

データ量の増加からもわかるように、インターネットというツールを用いて企業活動は円滑に進められるようになり、情報に対して誰でもアクセスしやすくなっている利便性が向上している一方で情報漏洩のリスクがどんどん高まっているということが言えます。

また、総務省は「5Gが促すデジタル変革と新たな日常の構築」と題して、情報セキュリティの重要性について、3つの観点から警鐘を鳴らしています。

• スマホ決済の不正利用に係る事案
• マルウェア「Emotet」による被害の増加
• 巧妙化するフィッシング詐欺

この中から、とくに企業活動での情報漏洩の危険に関するマルウェアの被害とフィッシング詐欺について紹介します。

マルウェア「Emotet」による被害の増加

マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードを指します。このマルウェアの特徴は、攻撃の対象となる者が実際に送信したメールなどを引用することにより、通常の業務でのメールを装った形で攻撃メールを送るという点にあります。

巧妙化するフィッシング詐欺

フィッシングによる個人情報の詐取も2019年に増加しており、上記で紹介した10大脅威の個人向け脅威の第2位として挙げられています。フィッシング対策協議会が2020年6月に公表した報告によると、フィッシングの報告件数は2020年1月から5月までにかけて急増しており、2020年5月には14,245件に達しています。

それでは、実際にどの程度の企業が情報セキュリティに関して、被害を受けているのでしょうか。株式会社東京商工リサーチの調査データをもとに考えていきましょう。
2021年には情報漏洩紛失事故として120社が137件の事故件数が確認されています。但しこれは認識ができている件数なので、実態としてはこれより多くの情報漏洩が起きているものと推察できます。

情報漏洩の原因はどのようなものがあるのでしょうか。

最も多いのは約半数でウィルス感染・不正アクセス、次いで誤表示や誤送信による人為的なミスが続いています。このようにシステム側で排除すべき原因と、人為的なミスをいかに防ぐかという両面で検討していかなければなりません。

引用元：https://www.tsr-net.co.jp/news/analysis/20210117_01.html

2. どのような内容が情報セキュリティなのか

企業はどのような情報を、情報セキュリティ対策が必要な対象とすべきなのでしょう。

原則、企業活動におけるすべての情報が情報セキュリティの対象となります。情報を大きく２つに大別すると、社外の情報か社内の情報かを切り分けて考えることが必要です。
社外の情報とは、お客様に関する情報を指します。
東京商工リサーチが調べた2021年の情報漏えい・紛失件数の上位企業はご覧のとおり。

引用：https://www.tsr-net.co.jp/news/analysis/20210117_01.html

上記のデータからもわかる通り、お客様の個人情報を多く扱う企業が狙われていることが言えます。
お客様情報の漏洩は特に信用や信頼を損なう重大な事案となり、企業イメージを大幅に損なうことになるため、情報としては最重要管理項目が必要です。

一方、社内の情報については、同業他社が知り得ない情報全般を指します。
なかでも、営業上における営業秘密は、漏洩させてはいけない情報と言えるでしょう。

経済産業省　知的財産政策室によると、営業秘密の定義として以下の3つの要素が営業秘密にあたるとしています。

• 秘密管理性
• 有用性
• 非公知性

秘密管理性：秘密として管理されていること

営業秘密保有企業の秘密管理意思が、秘密管理措置によって 従業員等に対して明確に示され、当該秘密管理意思に対する 従業員等の認識可能性が確保される必要があります。したがって、社員がその資料を見たときに一目で秘密とわかるように「confidential」という標記をすることが必要です。

有用性：有用な営業上または技術上の情報であること

当該情報自体が客観的に事業活動に利用されていたり、利用されることによって経費の節約、経営 効率の改善等に役立つものであること、とされています。当該情報は現実に利用されていなくても構いません。
例えば、製造技術に関して他社に比べて生産効率が2倍高い生産方式について書かれた資料であれば、通常の生産工程に大きな影響を与えている情報であるため有用性が高い営業秘密情報に該当します。
従って、取り扱う従業員は「confidential」という標記がないから、情報漏洩させて良いということにはならないのです。

非公知性：公然と知られていないこと

保有者の管理下外では一般に入手できないことをいいます。
例えば、人事情報のように鍵がかかったキャビネットで保管されている情報などがそれにあたります。
企業はどのような情報を誰が扱うのか、秘匿性の大小と取り扱い権限を明確にする必要があります。

実際に過去に営業秘密情報が持ち出された例として新日鉄住金、東芝、ベネッセが情報漏洩による大きな損害を受けています。いずれも社内の社員、もしくは業務際委託先の社員が情報を持ち出したものにより情報が漏えいした事例になります。

3. 何に取り組むべきか

それでは、企業は何から取り組むべきなのでしょう。
最も大切なことは、情報は漏えいする可能性があるもの、ということを再認識することが重要なのではないでしょうか。
そして、情報漏えいについては、企業の外側からと内側から漏えいすることを理解し、まずは、企業の外側から漏えい出る可能性を下げるために必要な取り組みから検討してみます。

独立行政法人情報処理推進機構によると情報セキュリティに関する取り組みとして有用な5つを啓蒙しています。

• OSやソフトウェは最新のものにアップデート
• ウイルス対策ソフトを効果的に活用する。
• パスワードを複雑にする。
• 初期設定を早期に変更する。
• 詐欺の手口を知っておく。

加えて、できるだけ外部からのアクセスがしづらい環境にすることが重要です。例えば、シンクライアントパソコンの導入、パスワードの使い回しを防ぐためワンタイムパスワードの導入や、ウィルス感染のリスクを防ぐために、USBを社内規定のものにするなどが挙げられます。

企業の内側からの漏えいを防ぐためには、物理的な情報の持ち出しができないようにすることが重要です。例えば、営業秘密が保管されている場所ではスマートフォンや携帯電話の持ち込みを禁止したり、物理的に複写は電子保存ができないように閲覧は限られたパソコンのみで行うことも有用です。

情報漏えいのリスクを低くするためには、情報に対するアクセスが不便になることを念頭に置かなければなりません。

4. SNSでの情報発信

また、社員がSNSで発信する内容について、昨今問題視されることが増えています。
どこまで社員の自由な発言を企業が制限できるのか、という難しい問題をはらんでいますが、大切なことはSNSで所属する社名を公開している場合には、公の存在として見られる可能性があることを教育する必要があります。くわえて、お客様先に訪問した内容を具体的ではなくても、見る人が見ればどの企業か特定できるような情報が掲載されていると、情報が漏えいされていることと等しいでしょう。

情報漏えいとは観点が異なりますが、SNS投稿は企業のブランディングを損なう可能性があるため、あらためてSNSに関する運用方針を見直しされてみることをお勧めします。

5. 最近の情報セキュリティに関する関心事項

情報処理推進機構（IPA）が毎年公表している情報セキュリティ10大脅威2においては、組織に対する脅威として、1位が「ランサムウェアによる被害」、2位に「標的型攻撃による機密情報の窃取」が挙げられていますが、3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が新しくランクインしました。

6. まとめ

今回は情報セキュリティについて取り上げてきました。
インターネットの普及により企業活動はとても便利に情報のやり取りができるようになっている反面、常に情報漏えいのリスクにさらされているものということを認識頂きたいと思います。また、『うちに限って情報漏えいなどありえない』と他人事として捉えることなく、経営者自らが情報漏えいに対する関心を高めることが重要です。

そして、情報セキュリティにおいて万全な対策はないものであることを改めて肝に銘じ、システムにより社外からの侵入を防ぐ対策と、社内から情報漏えいが起きないよう従業員一人一人の情報セキュリティに対する意識を高めていくことが重要です。
情報セキュリティに不安がある方はチェックリストなどを活用しながら、再度点検されることをお勧めします。