情報漏洩対策（DLP）で重要なのは従業員を過信しないこと？ゼロトラストの本質を考える

DXの普及に伴い、デジタル関連のインシデント発生には特に目を光らせなければならない時代へと移りつつあります。外部からのサイバー攻撃が大きなリスクであることはもちろん、内部要因で起こりうる情報漏洩も懸念すべき問題です。

この様な問題に対処する上で、重要な概念がゼロトラストです。機密情報の流出は、従来のセキュリティ対策ではもはや防ぎきれないことも明らかになってきました。そして情報漏洩の大きな要因として、従業員への過剰な信頼が足枷となっていることも、調査によって判明しつつあります。

このコラムでは、信頼すべき従業員がなぜ情報漏洩に加担するような事態に発展しているのか、その実態をデータで確認しながら、有効な対策方法について検討します。

情報漏洩対策（DLP）の現状

情報漏洩対策（Data Loss Prevention）は、組織の機密情報や従業員、顧客の個人情報を守る上で、重要な取り組みです。これらの情報はダークネット上で盛んに売買されており、サイバー攻撃の際に標的となるリスクが高く、優先的に保護することが求められます。

ただ、そのような保護を急ぐべき事情とは裏腹に、日本では十分な情報漏洩対策に向けた投資が行われていないというデータもあります。

過去1年の間に情報漏洩を経験した日本企業は81%に到達

サイバーセキュリティ、およびコンプライアンス分野のリーディングカンパニーである、日本プルーフポイント株式会社は2024年4月、情報漏洩に関するレポートを発表しました。

発表によると、日本の調査対象組織の81%が、過去1年の間に何らかの情報漏洩を経験したということです。情報漏洩によって、企業は

収益機会の損失
競争力の低下
風評被害

といった否定的な結果を被り、損失を取り戻すための負担を各組織は強いられました。

情報漏洩インシデントは月に1度のペースで進行中

また、過去1年間の情報漏洩インシデントの発生件数は、1組織あたり平均15件に到達している点も興味深いデータです。

この数字は月間で1件〜2件程度のペースで情報漏洩が発生していることを示すものであり、企業には多くの情報漏洩対策の余地が残されていることを裏付ける結果とも言えるでしょう。

今回の調査は、日本を含めた世界12カ国における、従業員数1,000人以上の17業種にわたる組織のセキュリティ担当者600人に対して行われたものです。

日本には360万を超える企業があることを踏まえると、調査対象となった企業と同様、あるいはそれ以上に深刻な情報漏洩リスクを抱えている企業が相当数存在することも踏まえ、今回の結果を深刻に受け止めなければなりません。

情報漏洩の最大の原因は従業員

情報漏洩インシデントがこれほどまで頻繁に発生するのかを考える上で、見逃せないのが従業員に起因するインシデント発生です。

世界に遅れをとる日本のセキュリティ教育

上で紹介した調査によると、日本でインシデント発生を経験した企業の76%は、ユーザーの不注意によるものだと回答しています。メールの誤送信やフィッシングサイトへのアクセス、社内で使用が認められていないソフトのインストールなどによって、情報漏洩に発展しているということです。

また、世界の平均回答水準が70.6%であることを踏まえると、76%という回答結果は日本企業のセキュリティリテラシー教育の遅れを示す数字であるとも言えるでしょう。

10年前と比べると、日本でもセキュリティへの意識は随分と変化したような印象を受けます。しかしセキュリティインシデントを確実に回避するにはまだまだ十分に認知が進んでいるとは言えず、改善の余地は多く残されています。

現場で発生している主な情報漏洩のきっかけ

従業員に起因する情報漏洩は、サイバー攻撃とは異なり丁寧な予防の実施でそのリスクを大幅に低減することができます。

例えば、情報漏洩の主要な原因の一つであるメールの誤送信は、日本はもちろん、世界各国で見られるヒューマンエラーの一種です。一歩間違えると深刻なインシデントに発展しかねないメール誤送信ですが、調査によると、1年間あたりで従業員の3分の1が平均して2件ものメール誤送信を経験しているということがわかりました。

この数字は、5,000人の従業員を抱える企業であれば、年間で3,400件ものメール誤送信が発生しているという試算を立てることができるものです。これだけの数のメール誤送信が発生しているのであれば、機密情報の漏洩がメールの誤送信で発生しても、何ら不思議ではないことがわかります。

DXが情報漏洩のきっかけとなっている可能性も

また、情報漏洩の原因はメールの誤送信だけではありません。近年はDXが各社で進み、多くのデジタルツールやデータを前者的に扱うようになってきました。

ツールの導入に伴い、本来であれば従業員は高いデジタルリテラシーやツール運用のスキルが求められますが、現場ではそれらの習得が十分に進んでいないケースも見られます。

デジタルツールを活用する際のリスクが十分に理解されず、その結果として情報漏洩が発生している事案も考えられます。

デジタル活用はここ数年で急激に増えていますが、今後もしばらくは企業が高い情報漏洩リスクに晒され続けることになるでしょう。

悪意ある従業員がインシデントを引き起こすのか？

日本が高い情報漏洩リスクに晒されているのには、会社が従業員を過度に信用していることも理由として考えられるでしょう。プルーフポイントは上述の調査結果において、興味深い数字を発表しています。

従業員の「性善説」を過信する日本の企業

同調査では、質問の一つに「情報漏洩インシデントの背後に悪意のある従業員や契約業者といった内部関係者が潜んでいると考えるか」という項目が用意されていました。

世界平均では、およそ20%がその可能性があると回答されている一方、日本企業の回答者はわずか5%に留まっていたということです。

実際、従業員がインシデントに関わっている割合を数値化してみると、プルーフポイントの別の調査ではアラートの88%がわずか1%のユーザーによって引き起こされていることがわかっています。

つまり、ほとんどの従業員は組織に害を与えない、誠実な人物であるというわけです。

一方、そんなわずか1%の有害性によって、組織は重大な損失を被るリスクを抱えていることも忘れてはいけません。悪意を持って作為的に情報漏洩をもたらす従業員は、より大きな損失を与える可能性があります。

日本では2020年、大手回転寿司チェーン店Aの元社員が、大手回転寿司チェーン店Bの副社長として採用された際、A社の内部情報を不正に持ち出し、B社に転職していたことが明らかになりました。

結果的にこの人物は不正競争防止法違反の罪で逮捕起訴され、懲役3年に執行猶予4年、および罰金200万円が言い渡されています。またこの人物を迎え入れたB社にも、不正競争防止法違反の罪で罰金3000万円が課される結果となりました。

退職者が抱えている重大な潜在リスク

このような事件が発生した背景には、日本の企業が退職者が有するリスクを過小評価しているという文化も考えられるでしょう。

プルーフポイントの調査によると、退職する従業員を情報漏洩のリスクが高いユーザーと認識していると回答した企業は、世界平均の場合28.7%に達している一方、日本企業はわずか17%にしか満たないとのことです。

プルーフポイントの調べでは、過去9ヶ月間の間で発生したクラウド上での異常なファイル持ち出しの87%が、退職した従業員であることもわかっています。そして最も危険なのが上位のアクセス権限を有している退職者で、人事や財務に携わっている人物は機密情報の漏洩リスクが特に高いという認識を持たなければなりません。上で紹介した回転寿司チェーン会社の不正持ち出し事件は、まさにその典型例と言えます。

日本における調査回答者の57%は、特権アクセスユーザーの退職にリスクを感じていると回答しています。一方で世界平均では63%に達していることから、まだまだ認知拡大の余地は大きいと言えるでしょう。

気をつけたいのは、退職予定の従業員の中には、会社情報の持ち出しが悪いことだと認識していないケースもある点です。社内情報を罪の意識なく、良かれと思い持ち出して退職されてしまう被害を回避するためにも、このような潜在リスクには強く警戒しなければなりません。

ヒューマンエラー予防に不可欠なゼロトラストの概念

このように、情報漏洩の多くは意図する・しないに関わらず組織に属する従業員の手によって引き起こされているのが現状です。

DXによって職場のデジタル化が進んだことは、生産性向上などの観点から多くの利益をもたらしているのは間違いありません。ただ、業務上扱う情報のほぼ全てがデジタルデータとなり、ちょっとしたミスや単純な操作でいとも簡単に外部に情報が漏れてしまうようになっていることにも目を向ける必要があります。

高度なデジタル環境が職場に浸透する中、組織を守るために必要とされているのがゼロトラストと呼ばれる概念です。ゼロトラストとは、その名の通り社内外のあらゆる構成要素に依存することなく、いつどこからでも情報漏洩は起こるものとして対策を検討する考え方を指します。

境界防御からゼロトラストへの速やかな移行が鍵に

ゼロトラスト登場以前、セキュリティ構築の際に重宝されていたのは「境界防御」の概念です。境界防御とは、サイバー攻撃を必ず水際で食い止めることを前提としたセキュリティのアプローチです。

確かに、外部からの攻撃をシステムに侵入される前に防ぐためのセキュリティ対策は、今日においても有効であり、必ず実装すべき対策方法であることは間違いありません。

ただ、近年はサイバー攻撃が多様化し、全く新しいタイプの攻撃が行われるようになっていることや、サイバー攻撃そのものの件数が急激に増加していることから、100%攻撃を退けることは不可能になっているのが現状です。

そして、境界防御の限界を痛感させるようになったのが、内部要因による情報漏洩などのインシデント発生です。従業員によるケアレスミスや、不正な情報持ち出しといった問題に対しては、境界防御をコンセプトとしたセキュリティ体制では予防ができません。

一方、ゼロトラストは社内外のあらゆるインシデントが発生した場合でも、迅速な対処によって損失を最小限に抑えることを目指すアプローチです。境界防御ではセキュリティが突破されてからのシナリオは描かない一方、ゼロトラストはインシデント発生後の事後対応に重きを置いています。

サイバー攻撃は内部要因で起こりうることも踏まえて対策を進め、万が一情報漏洩が発生した場合も、迅速な対応によって被害を小さく抑えられる仕組みづくりに移行することが、これからのセキュリティ環境には不可欠と言えるでしょう。

「従業員はミスをするもの」という認識を強く持つことも大切

従業員による意図的な不正持ち出しはもちろん許されざる行為であり、そのような事態が発生しないための仕組みづくりを構築していくことは重要です。

ただ上でも触れた通り、内部からの情報漏洩の大半のケースは、意図しないケアレスミスやフィッシングサイトへのアクセスなどに起因するインシデントです。これらはセキュリティ体制を構築する中でリスクを減らすことはできますが、100%回避することも難しいということを理解しておきましょう。

従業員も人間である以上、どれだけ経験やスキルを積んでいても、ミスをする時はいつかやってきます。また事業の規模が大きくなり、抱える従業員数が増えれば増えるほど、ミスが発生するリスクも高まっていくものです。

そのため、セキュリティを新たに構築する上で考えるべきは、従業員がミスをしたり、私欲を目的とした不正な持ち出しを試みたりした時にその損失をどうやって小さく抑えるかです。常に彼らが最悪のミスや不正持ち出しを行った場合の、あらゆるシナリオを踏まえた仕組みづくりが組織には求められています。

聞こえは悪いかもしれませんが、ゼロトラストを前提としたセキュリティ体制の構築においては、従業員を性悪説の観点から捉え、全員がリスクを抱えているものとして対応することが必要です。

従業員に起因する情報漏洩を防ぐには

従業員に起因する情報漏洩を防ぐ上では、どのような取り組みを推進するべきなのでしょうか。

情報漏洩は予防可能な対策である

まず、従業員に起因する情報漏洩インシデントは、徹底した仕組みづくりを行うことで十分に予防することは可能です。100%情報漏洩を回避することは難しいですが、取り組み次第では大半のリスクを無いものとすることはできるということを知っておきましょう。

この最重要になるのが、従業員のデジタルリテラシー教育やチェック体制の強化をDLPの一環として仕組み化する事です。メールの誤送信を回避するため、宛先や添付ファイルの確認の際の手続きを明文化したり、会社で利用可能なソフトウェアを制限したり、コミュニケーションにはチャットツールを用いたりといった取り組みです。

いずれの方法も抜本的なシステム再構築などが必要なく、短期間で実現可能なものばかりです。まずは自社のルールや使用するサービスの見直しから進めていくのが良いでしょう。

流出を回避したいデータの所在とアクセス権限の可視化を

また、外部への流出を避けたいデータがどこにあるのかを把握しておくことも必要です。事業の継続性に直結する機密情報が、誰でもアクセスできるようなデータベースに保管されているような事態は、早急に改善しなければなりません。

組織のDXに伴い、最新のデジタルツールを導入したは良いものの、肝心のデータベースの整理が追いついていない、データ管理の手順が整備されていないなどのケースも過渡期の現在においては十分に起こりうるリスクの一種です。情報漏洩を回避するためには、適切なデータ保管の仕組みを整え、不用意なアクセスを回避するための権限設定を見直すことが大切です。