企業とともに成長する情報セキュリティ対策講座【最終回】止まらない情報漏えい事故、中堅企業が取るべきセキュリティ対策は？

毎日のように、どこかの企業で情報漏えいが発生している。データ暗号化製品などは導入済みである半面、実運用や情報の選別は社員任せになりがちな中堅企業には、どのような対策が必要だろうか。

[須貝周授，トレンドマイクロ]

　本連載最終回となる今回は、新たな事例を用いて、企業が取り組むべきセキュリティを紹介する。

　昨今、大規模な情報漏えい事故の報道は減ったものの、その発生件数は衰えを知らない。情報管理の重要性が多く指摘される中、セキュリティに大きな投資をしている大企業でさえもなぜ情報漏えい事件が発生してしまうのだろうか？　その原因の1つとして、間違った情報資産管理をしているケースが挙げられる。企業が情報漏えいを防ぐためにはどのようなソリューションが必要なのか、事例を用いて説明しよう。

中堅企業における情報漏えい対策の課題

事例：従業員数300人の企業

　C社は従業員数が300人、主な業務内容はさまざまなメーカーの商品を仕入れて、自社の製品と組み合わせて販売していくというものだ。PCの導入台数は350台。PCは1人1台付与されており、2台以上使用している社員もいる。システム管理者は、総務部門の社員が兼任している。情報漏えい事件が騒がれる昨今、情報漏えいへの施策を組織全体で検討し、暗号化ソフトを先日導入した。

　ある日、営業のK太は客先から依頼された至急の見積もりデータ作成を行っていた。

K太「あー、忙しい！　何で至急の見積もりが集中するのかな」

J子「まあ、忙しいというのは良いことですよ」

K太「うーん、そうだけど。よし、この見積もりデータを添付して送信、と。あっ、間違えて顧客データ送っちゃった……」

J子「ちょっとK太さん！　でも、この前導入した暗号化ソフトで暗号化していれば取りあえず大丈夫ですよ。すぐ誤送信先の方に謝罪の連絡を」

K太「え、えーと、実は面倒だから暗号化していなかったり……」

J子「それじゃ意味ないじゃないですか！　これって情報漏えいですよ」

K太「面目ない。でも、どんなデータが漏えいするとまずいのか、いまひとつ分からないんだよね。さっきのデータは顧客データといっても、個人を特定するような情報は載っていないしね」

J子「確かにどの情報が漏れると情報漏えい事故になるのか、はっきり分からないですね。いちいち誰かに確認していたら仕事にならないし……」

関連ホワイトペーパー

DLP(Data Loss Prevention) | 情報漏洩 | 暗号化 | 機密情報 | アプライアンス | 誤送信 | USBメモリ | ログ管理 | 個人情報保護 | セキュリティポリシー