前回は人為的原因による情報漏洩対策について紹介させていただきました。
まだご覧になっていない方は合わせてご覧になってください。
「知っておきたい情報漏洩対策について:前編 人為的原因による情報漏洩対策」
今回は残りの「外的原因の情報漏洩対策」と万が一情報漏洩が起きた場合に備えた対策について紹介していきたいと思います。
| 今回のまとめ 1.パソコンの状態は常に最新の状態を保とう 2.もし情報漏洩が起きたら迅速に関係者各位へ説明しよう 3.一人一人が情報漏洩を起こさないという意志を持とう |
外的原因の情報漏洩対策について
前回は社内の人間によるミスについての対策を見てきましたが、外部からの攻撃に対してはどうすればいいのでしょうか。
物理的に盗難にあってしまった場合は警備会社と契約するなどのセキュリティを強化する必要はあるでしょう。
しかし、ここでは主に危険にさらされるパソコンやシステムのセキュリティについて確認していきたいと思います。
では、どのような部分を強化していけばいいのか見ていきましょう。
その①:パソコンのOSをアップデートする
パソコンのOSは定期的にアップデートすることでセキュリティを強化できます。
ウィルスやマルウェアは日々進化しているため、OS側も常に強化していかなければなりません。
Windowsをご使用なら「Windows Update」を使用することで最新の状態にすることが出来ます。
古いままだと強化されたウィルスやマルウェアに対してどんどん脆弱になってしまうため、常に危険にさらされた状態になってしまいます。
その穴を埋めるためのアップデートですので更新は欠かせません。
常にOSを最新の状態にして、セキュリティプログラムを更新しておきましょう。
その②:システムの脆弱性の確認
どのようなものにも弱点というものは付き物です。
それはパソコンを守るセキュリティも例外ではありません。
この弱点を「脆弱性」と言います。
脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。
脆弱性は、セキュリティホールとも呼ばれます。
脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウィルスに感染したりする危険性があります。
しかしこの脆弱性は、完全に無くすことは不可能とも言われています。
しかし、アップデートにより脆弱性を減らすことは可能なので現在使用されているソフトウェアやシステムは最新のものにしておき、どのような脆弱性なのかを確認しておきましょう。
どのような弱点なのかが分かれば穴を埋めるための対策がしやすくなります。
例として、2020年1月中旬にどの「Windows」シリーズにも入っていた「Internet Explorer」に修正パッチが当たる前の脆弱性が発見されて、一時期騒ぎになったことがありました。
マイクロソフトはこの脆弱性を悪用した被害も出ていると発表しています。
このような被害にあわないためにも常に最新のものにアップデートしておきましょう。
その③:セキュリティソフトの導入
上記で述べたようにOS事態にもファイアウォールなどのセキュリティ機能はついています。
しかし、それでもカバーすることが出来ない新種のウィルスなどが登場するとすぐに侵入されて、情報漏洩やデータの破壊などの被害にあってしまいます。
また、質が悪いウィルスの場合ですと感染したパソコンに保存された連絡先を使用して知り合いのパソコンに感染させようとしてきます。
そこでセキュリティソフトを導入することで、複数の方向から守ることでセキュリティを強化することが出来ます。
セキュリティソフトは様々な商品が販売されていて、性能面やコストに優劣はありますが、ウィルス辞典が頻繁に更新される物でしたらパソコンの安全を任せても大丈夫でしょう。
その④:アクセス制限を利用する
社内ネットワークや普段使用しているパソコンですと、社員全体にすぐに情報を共有するために特にアクセス制限をかけていないかもしれません。
だれでも見ることが出来る重要性の低いデータを取り扱っているならばそのままでも、情報漏洩が起きても被害が少ないかもしれません。
しかし、アクセスしやすい環境のままだと、個人情報などの重要性が高いデータを取り扱うには万が一を考えると不安です。
アクセス制限をかけることで限られた社員にしか閲覧できないようにしておけば流出する可能性を抑えることが出来ます。
また、同じ社内の一員でも情報を盗まれる危険性があるため、重要なデータはアクセス制限をかけて容易にはアクセスできないようにしておくと安心です。
もし情報漏洩が起きてしまったら?
情報漏洩はそもそも起きないことにこしたことはありません。
しかし注意をしていても起きてしまう可能性はなくなりません。
万が一に情報漏洩が起きた場合に備えて対策を立てておくといいでしょう。
ここではその対策について確認していきます。
情報漏洩が起きた場合の対策
その①:二次被害を防ぐ
情報漏洩が発生したら、まず二次被害の発生を防ぎましょう。
ウィルスに感染したことが分かったパソコンをネットワークから隔離することで二次感染や情報の流出を止めることが出来ます。
また、Webサービスやホームページが攻撃された場合、すぐに閉鎖することで閲覧しに来るお客様に被害が及ばないようにします。
情報漏洩に限らずウィルスなどの被害は時間を置けばそれだけ広まるためすぐに対策する必要があります。
その②:原因の調査・情報の整理
情報漏洩は発生して個人情報などが流出してしまったら、なぜ起きたかの原因を調査する必要があります。
ウィルスの感染による情報流出なのか、外部からの不正アクセスによるものなのか、はたまた人為的ミスによるものなのか発生当初は分かりませんが、それぞれの原因で対処方法が変わってきます。そのため調査する必要が出てきます。
データが入ったノートパソコンが紛失してしまったのなら、警察に連絡をして紛失届を提出した方がいいでしょう。
また、追跡サービスが使える端末でしたら探しに行けるかもしれません。
よく端末の状況を思い出しましょう。
Webサービスサイトが攻撃されて改変などされてしまった場合は、どのようなルートで侵入してきたのか調査した方がいいでしょう。
その③:関係者への説明・被害の公表
情報漏洩の被害は、漏洩した情報にもよりますが、自社だけではなく関係者にも被害が出る可能性があります。
そのため関係者各位へ状況説明する責任が発生します。
取引先や顧客などの情報を求める方に漏洩した事の説明や状況説明、対策のために行っている行動説明が必要になるでしょう。
不正アクセスが原因の場合は、サイバー攻撃は犯罪行為なので、警察へ状況を説明して対処してもらう必要があります。
情報漏洩が発生してから迅速な対処があれば、その後のリカバリーも可能になるでしょう。
しかし、説明などの対応をおろそかにすると、それまで築いてきた信用を一気に失う可能性があります。
そのため情報漏洩が起きたとき、慌てず対処するためにマニュアルを事前に作成しておくといいでしょう。
今回のまとめ
今回は外的原因による情報漏洩対策と漏洩した時の対策について紹介させていただきました。
そもそも情報漏洩は起こさないことが一番の対処法です。
前回の記事でも述べましたが、人為的ミスの場合は一人一人が注意すれば簡単に対策出来ます。
その上でどこからやってくるか分からない攻撃から情報を守る必要があります。
様々な情報を守る方法があるので、必要なものを取捨選択して適用しておきましょう。
情報漏洩の被害は自社だけに留まらず多くの被害が出てしまう可能性があるので、未然に防ぐ必要があります。 情報を扱う一人一人がしっかりとした意識をもって対策をしておかなければなりません。
