2022.01.24

情報漏えいが起こる原因とは？過去事例や防ぐための方法まで徹底解説！

Google Workspace
情報漏えい

企業にとって情報漏えいは大きな脅威であり、仮に発生してしまった場合は取り返しのつかない事態になります。そのため、ほとんどの会社が情報漏えい対策を講じていますが、それでもなお大規模な情報漏えい事件が後を断ちません。

それでは、情報漏えいは一体何が原因で起こるのでしょうか？本記事では、情報漏えいが起こる原因と防ぐための方法をわかりやすく解説します。情報漏えいは企業規模や業種に関わらず、すべての企業が取り組むべき問題なので、ぜひ最後までご覧ください。

情報漏えいによるリスク

金銭的な損害

自社が情報漏えいを起こした場合、莫大な金銭的被害を被ることになります。 IBM 社の調査によると、2019年8月から2020年4月の間に発生した情報漏えい事故の1件あたりの被害額は平均4億円との結果が発表されています。

さらに、情報漏えい事故に伴う IT 基盤の障害や業務停止などが発生した場合は、さらに被害額は大きくなります。このような甚大な被害を避けるため、多くの会社は多額のコストを費やして情報漏えい対策を講じているわけです。

社会的信用の失墜

情報漏えいは社会的信用の失墜に直結します。過去にニュースでご覧になったことがあると思いますが、個人情報の流出が発覚した場合は大変な騒ぎになります。

情報を流出された当事者の信用を失うのはもちろんのこと、それ以外の一般消費者からも信用されなくなってしまいます。結果として、その後のビジネス展開にも悪影響を及ぼし、企業成長を目指す上で大きな障壁になります。

法的な制裁

情報漏えいが起こる原因は多岐にわたりますが、仮に内部不正によるものであった場合、当該社員だけではなく経営者や役員が管理不足として法的な制裁を受ける可能性があります。

このように、情報漏えいによるリスクは金銭的な損失だけではなく、様々な面において大きな影響を与えるものであり、どれも企業の存続そのものを脅かすほどの危険性を秘めています。

情報漏えいの実例紹介

業務委託先の従業員による被害事例

2014年に起きた教育関連企業の情報漏えい事例です。同社の委託企業の従業員によって、計3,500万件の顧客情報が外部に不正売却されました。この従業員はエンジニアであり、顧客情報をスマートフォンに移して意図的に持ち出したそうです。

裁判所は同社に対して流出防止の措置を取らなかった注意義務違反を指摘し、約200万円の賠償金支払いを命じました。さらに情報流出の対象となった顧客に対して、お詫びとして1人あたり500円分の金券を送付しましたが、顧客側はその後も集団訴訟を繰り返しており、被害総額は数千億円を超えると言われています。

自社社員のヒューマンエラーによる被害事例

2019年に起きた農業系組合の情報漏えい事例です。同組合が自社のホームページを更新しているとき、人為的なミスにより17,000件以上の顧客情報を誰でも閲覧可能な状態にしてしまったのです。

事件が発覚した後、該当情報を速やかに削除し、情報漏えいの対象となった顧客に対して謝罪を進める対応を取りましたが、社会的な信用を大きく失う結果となりました。

外部からの不正アクセスによる被害事例

2019年に起きたコンビニエンスストアの情報漏えい事例です。同社が新サービスとして展開を始めたスマートフォン決済サービスのアカウントに対して不正アクセスが行われ、計800人以上（総額4,000万円弱）の不正購入やチャージ被害が発生しました。

同社は即座にクレジットカードからのスマートフォン決済サービスへのチャージを停止し、店頭での現金やポイントからのチャージも一時停止しました。しかし、社会的な信用を取り戻すことはできず、新サービスとして展開していたスマートフォン決済サービスは廃止されました。

情報漏えいが起こる原因

情報漏えいは多額の金銭的損害を招く要因になるだけでなく、企業の社会的な信頼を大きく損ねてしまいます。さらに、法的制裁にまで発展するリスクがあるため、企業は何としてでも情報漏えいを避ける必要があります。

そこで本章では、情報漏えいが起こる代表的な原因をご紹介します。情報漏えいの発生原因を正しく理解することで防止策を検討でき、未然に防げる可能性を高めることができます。自社を守るために、ぜひ参考にしてください。

人為的なミス

情報漏えいが起こる原因として最も大きな割合を占めるのが人為的なミスです。 JNSA （ Japan Network Security Association ：日本ネットワークセキュリティ協会）の調査によると、2018年に発生した情報漏えい事件の6割以上が人為的ミスに起因するものでした。

例えば、 PC ・スマートフォン・ USB メモリの紛失や置き忘れ、メール誤送信や添付ファイル間違いなどの端末誤操作による情報漏えい事故が多く、他にも管理ミス、設定ミスなどが挙げられます。このように人為的ミスの種類は多岐にわたりますが、これらはすべて人間の不注意によるヒューマンエラーが原因となって起こるものです。

ミスをした本人に悪意がなかったとしても、仮に機密情報が悪意のある第三者に渡ってしまった場合、重大なセキュリティ事故に発展するリスクがあります。そのため、決して無視することのできない重大な問題です。

内部不正

前章で業務委託先の従業員による被害事例をご紹介しましたが、自社の社員が内部不正を働くケースもしばしば見受けられます。社員としての立場を利用して、アクセス権限の悪用や機密情報の持ち出しを行うものです。

内部不正は明らかに情報を悪用するためにデータを搾取しているため、そのまま放置しておけば企業に損害を与える可能性が高いと言えます。そのため、細心の注意を払って対策を講じる必要があります。

外部からの攻撃

ここまでにご紹介した人為的ミスと内部不正は組織内部が要因でしたが、その他に外部から攻撃される可能性があることも忘れてはいけません。悪意のある第三者からの不正アクセス、マルウェア、ウイルス感染など、攻撃手法は多岐にわたります。

前章の最後にご紹介したコンビニエンスストアの不正アクセス事例は、まさにこの外部からの攻撃が原因となって発生したものです。この事例では「リスト型アカウントハッキング」という攻撃手法が用いられており、攻撃対象のサイトとは別のサイトで漏えいしたＩＤとパスワードのリストを使って、悪意のある第三者が該当サービスへ不正アクセスしています。

このような攻撃を防ぐためには、ログイン端末などを制限して外部からの不審な攻撃をシャットアウトしたり、2段階認証を導入してセキュリティを強化するなどの対策が求められます。近年、これらのサイバー攻撃は高度化かつ多様化しており、仮に被害を受けてしまった場合は深刻な事態にまで発展するため、企業はあらゆるケースを想定して、万全なセキュリティ対策を講じる必要があります。

不正アクセスによる情報漏えいを防ぐための方法

社員に対するセキュリティ教育

情報漏えいが発生する要因のうち、最も大きな割合を占めるのが人為的ミスによるものです。そのため、社員に対するセキュリティ教育は情報漏えいを防止する上でとても有効な手段になります。特に外部からの添付メールへの対応や端末管理は確実におさえておきたいポイントです。

社員ごとに IT リテラシーが異なるため、それぞれのレベルごとにカリキュラムを変えて教育を実施すると効果的です。また、知識を定着化させるためには、一回きりの研修で終わらせるのではなく、長期的な目線でスケジュールを組み、定期的にセキュリティ教育を施すことが大切です。

セキュリティ観点でのルール制定

セキュリティ観点での社内ルール制定も情報漏えい対策としては効果的です。例えば、「 USB メモリは原則使用しない」や「機密情報を扱う際はダブルチェックを徹底する」などが挙げられます。

社内ルールによりセキュリティ体制を強化することで、内部不正による情報漏えいリスクを低減できます。最近はテレワークや在宅勤務が日常的に行われているため、社内だけではなく社外での勤務ルールを決めておくことも大切です。端末の持ち出しは情報漏えいに直結する危険性を秘めているため、自社の状況に合わせて慎重にルールを検討してください。

セキュリティリスクを低減するツールの導入

情報漏えいを防ぐためにはツールの導入が高い効果を発揮します。多くの会社が様々なツールを提供しており、内部不正を防止するものからサイバー攻撃を防ぐものまで多岐にわたります。

当然ながらツールの導入には費用が発生するため、まずは自社の状況を冷静に見極めて、優先順位をつけながら検討することが大切です。その上で予算と相談しつつ、然るべきツールの導入を進めていきましょう。

情報漏えい対策でツールを導入するのであれば Google が提供するグループウェアサービス「 Google Workspace 」がオススメです。以前は G Suite という名前で親しまれていましたが、2020年10月に Google Workspace へブランド名を変更しました。

Google Workspace にはメール、スケジュール管理、ビデオ会議、オンラインストレージなど、企業に必要な機能がすべて揃っています。また、組織の生産性を高めるための業務効率化ツールが多く備わっている点も Google Workspace の大きな特徴です。

Google 自身も業務の中で Google Workspace を活用しています。Google Workspace の利用者は Google の強固なインフラと最先端のテクノロジーを自由に活用することができ、情報漏えい防止に役立つ機能も多数搭載されています。

以下、 Google Workspace がオススメな理由をご紹介します。

内部対策や不正アクセス防止には Google Workspace がオススメ

情報漏えいが発生する原因は多岐にわたりますが、多くの企業では内部対策や不正アクセスが気になるポイントではないでしょうか。実際、情報漏えい事故の多くは自社社員のヒューマンエラーや内部不正、外部からの不正アクセスが原因となっています。

そのため、数多くの経営者や情報システム担当者は、以下のような課題に頭を抱えています。

社員の人為的ミスをシステムでカバーしたい
無いとは思うが内部不正が発生しないよう管理、監視したい
不正アクセスを防止しながら安全な環境で業務を進めたい

そして、これらの課題を解決するためには Google Workspace が強い武器になります。

Google Workspace は Google が提供しているクラウド型のグループウェアサービスであり、メール、スケジュール管理、ビデオ会議、オンラインストレージなど、企業に必要な機能がすべて揃っています。また、組織の生産性を高めるための業務効率化ツールが多く備わっている点も大きな特徴です。

Google 自身が業務の中で Google Workspace を活用していることも、安全性という意味では信頼できる材料になります。 Google Workspace は上に挙げたセキュリティ課題を解決するための機能を多く搭載しているため、いくつかポイントを抜粋して本章でご紹介します。

メール誤送信を防止できる

Google Workspace には、ヒューマンエラーによるデータ削除や誤送信を防いでくれるデータ損失防止（DLP）の機能が搭載されています。

特に光学式文字認識（OCR）による、画像読み取り機能に優れており、高精度の画像スキャンでテキストを検出し、不適切なメールやファイルの送信を防ぐことができます。メールや機密ファイルの漏洩は致命的なセキュリティ事故に繋がるため、グループウェアの運用においては、とても重要な機能です。

なお、データ損失防止（DLP）は Google Workspace の Enterprise Standard 、 Enterprise Plus のプランでのみ提供されている機能です。

情報ガバナンスを実現できる

Google Workspace には Google Vault という機能が搭載されています。 Google Vault は Google Workspace の情報ガバナンスと電子情報開示を実現するためのツールであり、社員の Google Workspace 環境内の「データ保持」「記録」「検索」「書き出し」などを行うことができます。

社員のメール情報を管理できるのはもちろんのこと、 Google ドライブに保存されている Office ファイルや PDF ファイルなども一元的に管理できるため、内部不正の防止に大きく役立ちます。このように、 Google Vault で自社のデータを適切に管理することで、 Google Workspace 運用におけるセキュリティリスクを低減することが可能になります。

なお、 Google Vault は Google Workspace の Business Plus 、 Enterprise Standard 、 Enterprise Plus のプランでのみ提供されている機能です。

Google Vault に関しては、以下の記事で詳しくご紹介しています。
会社の機密情報を安全に管理！Google Vault の概要、機能、できることまで徹底解説！

管理機能が充実している

Google Workspace にはデバイス管理とアクセス管理の機能が搭載されており、自社の状況に合わせて細かい設定を行うことができます。

デバイス管理ではエンドポイント、モバイルデバイス、 OS 、ブラウザなどを管理者が一括で設定できますし、アクセス管理ではアクセスポリシーやアクセス元の地域を限定してアクセスを制限することが可能です。さらにクラウドストレージに保存されているファイルは、ファイルごとに権限を設定できるため、「機密ファイルは一部の社員のみが閲覧可能な状態にする」など、柔軟な運用を実現することができます。

このように、 Google Workspace を活用することで様々な管理を実現でき、自社のセキュリティを強化することが可能になります。

Google Workspace のデバイス管理・アクセス管理は以下の記事で詳しく解説しています。
こんなことまでできるの？ Google Workspace のデバイス管理、アクセス管理の機能でセキュリティを強化！

セキュリティレベルが高い

Google Workspace は非常にセキュリティレベルが高いサービスであり、99.9%の稼働率保証と米国の高度セキュリティ情報監査認定規格を取得しています。

Google では、セキュリティの専門家が Google サービスの安全対策の基盤強化に取り組んでおり、複数の第三者機関による監査や法令遵守、セキュリティ強化における高い基準を満たしています。そのため、実業務でも安心してサービスを運用できます。

誰でも簡単に操作できる

Google Workspace における管理機能は、すべて「管理コンソール」という管理画面から一元的に操作可能です。専門的な知識は必要なく、直感的にボタンを数回クリックするだけで操作が完了します。

情報漏えい対策と聞くと難しいイメージがありますが、 Google Workspace なら誰でも簡単にセキュリティ強化を実現できます。そのため、社員の教育コストが発生しない点も嬉しいポイントです。

管理コンソールに関しては、以下の記事で詳しくご紹介しています。
Google Workspace（旧G Suite）の管理コンソールとは？機能やできることまで徹底解説！

ここでは Google Workspace に関して詳しくご紹介しましたが、 Google が提供するパブリッククラウドサービス「 Google Cloud （GCP）」もセキュリティ対策には有効なソリューションです。 Google Cloud （GCP）には多種多様なサービスが搭載されており、目的に応じて様々なソリューションを自由に活用できます。

例えば、認証によるセキュリティ強化は Cloud Run 、アプリケーションに対する攻撃防止は Cloud Armor 、ネットワークのセキュリティ強化は BeyondCorp といった具合に、用途に応じたセキュリティ機能が多数備わっています。

以上で挙げたサービスは一例であり、開発環境等により最適なサービスが変わる場合もございますので、予めご了承ください。

以下に参考記事を載せておきますので、興味関心がある方はぜひご覧ください。

web アプリケーションを脅威から守る！ Google Cloud （GCP）を活用したセキュリティ対策を一挙に紹介