「テレワーク導入時に気を付けるべき情報漏えいの原因はなんだろう」
こんな悩みを抱えていませんか?
テレワークの情報漏洩の具体事例を知っておけば、自社の情報漏えい対策に役立てられます。
日本ネットワークセキュリティ協会の調査によると、情報漏えいの原因は「紛失・置き忘れ」「誤操作」「不正アクセス」が三大要因で、全体の約70%も占めているそうです。
当記事では、情報漏えい三大要因の事例をひとつずつ紹介します。
テレワークで情報漏えいした事例①USBメモリの紛失
テレワーク時の情報漏えいの原因のひとつは紛失・置き忘れです。
オフィスの外に持ち出したせいでうっかりなくしてしまうことはよくあるでしょう。
今回はUSBメモリの紛失による個人情報の漏えいを例に解説します。
3000人以上の個人情報入りUSBメモリを紛失
2020年6月、とある教育機関で児童や関係者延べ3000人以上の氏名・住所・電話番号等が入ったUSBメモリを紛失する事故が発生しました。
テレワークするためにUSBメモリを外部に持ち出した際に、紛失したとのことで、当該教育機関は関係者に謝罪して事態をおさめました。
USBメモリの紛失リスク対策
USBメモリの紛失リスク対策には以下の対応が有効です。
● 持ち出しを許可する情報を必要最小限に留める
● データの暗号化や遠隔からのデータ消去
● そもそも紛失しやすいUSBを使わない
USBを使用したり、外部に持ち出したりしないことが一番です。
どうしてもUSBで情報を持ち出さざるを得ない場合は、暗号化して持ち出すか、あるいは紛失時にデータ消去できるUSBを使いましょう。
テレワークで情報漏えいした事例②ソースコードの一部を誤って公開
誤操作も情報漏えいでよくあることです。
大切な情報を扱っているのに、作業を確認する人が担当者以外にいない場合、ミスが発生しても発見が遅れることがあります。
約29万人分のメールアドレス等が流出
2020年10月、自動車関連会社がユーザーサイトのソースコードの一部を、ソフトウェア開発のプラットフォーム上に公開してしまっていたことが判明しました。
公開されていたソースコードには、データサーバーへのアクセスキーが含まれており、第三者がそれを利用してデータサーバーに保管されているデータにアクセスできたこともわかりました。
発見後すぐにソースコードを非公開にし、アクセスキーも変更したため、二次被害は確認されていません。
誤操作による情報漏えいの防止策
誤操作等の人為的ミスは必ず起こりうる想定で、技術的、もしくは他者の目で情報漏えいを防止するようにしましょう。
具体的な対策は以下のとおりです。
● 個人情報の扱いを個人に一任しないためのルールを設ける(ダブルチェック等)
● ミスを想定して、エラーが出る仕組みにしておく
テレワークで情報漏えいした事例③VPN機器の脆弱性の放置による不正アクセス
世界中からデジタル情報が狙われている昨今、不正アクセスによる情報漏えいのニュースも多いです。
実際に不正アクセスを受けると、情報漏えいの危険があるだけでなく、パソコンを使用不可能な状態にされて、業務に支障が出る場合があります。
テレワークにおいて、最も気をつけるべきは不正アクセスによる情報漏えいでしょう。
VPN機器のIDやパスワードが世界中から流出する事件
2020年8月に、VPN機器のIDやパスワードが世界中から流出する事件が発生しました。
アップデートの必要性を認識していたにも関わらず、セキュリティ上の脆弱性を放置したまま運用を続けていたVPN機器が軒並み攻撃を受けました。
日本でも40社近くの企業に対して不正アクセスが行われました。
2019年にも、セキュリティの脆弱性を悪用する攻撃が発生していたため、該当のVPN機器の製造ベンダー側は対策を行っていたとのことです。
しかし、最新版にアップデートしていない機器が多数あり、それらが攻撃を受けました。
不正アクセスに有効な対策
日本は諸外国と比較して、ネットワークの脆弱性への対応スピードが遅いという調査結果があります。
具体的にはアメリカ・イギリス・ドイツでは、アップデートの1週間後には5割程度の製品が対応していますが、日本では1割にも満たないそうです。
セキュリティの穴を突いた攻撃は日々行われているため、アップデートの公表後すぐに対応をすることが重要です。
まとめ
テレワークでの情報漏えい事例と対策を紹介しました。
テレワークを導入する企業が急増するにあたり、インターネット上のセキュリティ対策も重要ですが、紙の文書の情報漏えい対策もおろそかにしてはいけません。情報漏えいが心配な機密文書は、実績のある廃棄業者に任せましょう。