どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”情報漏えいを防ぐには

多様なデータがビジネスで活用されるようになる中で、データ流出を防ぐ対策の重要性が増している。具体的にはどうすればいいのか。データ流出を防止するための「11個の要点」を紹介する。

2025年05月08日 05時00分 公開
[Andrew FroehlichTechTarget]

 データ流出は被害組織のビジネスや財務に深刻な影響を与えかねない。顧客や取引先の信頼を失ったり、システム復旧のためのコストがかさんだり――。いかにしてデータ流出を未然に防ぐかが組織にとって喫緊の課題だ。

 IBMからの委託で調査会社Ponemon Instituteが実施した調査によると、2024年におけるデータ流出の被害額は、2023年から約10%増えて過去最高となった。データ流出を防止するには、どうすればいいのか。ビジネスを守るために今すぐに実施しておきたい「11個の要点」をまとめた。

データ流出を防ぐ「11個の要点」 まずは機密情報の特定

 データ流出の主な原因としてはフィッシングといった攻撃手法に加え、内部関係者のミスや悪意も考えられる。そのため、データ流出の対策は外部からの攻撃を想定した対策だけではなく、内部脅威への対策も必要になる。データ流出を防ぐための具体的な施策を以降で紹介しよう。

1.機密情報の特定

 データを保護するには、まずその内容と所在を把握する必要がある。データの分類によって知的財産や個人情報など機密性の高い情報を特定し、それらを安全に取り扱うための方針を策定することが求められる。データは追加、削除、移動されるなど変化し続けるので、データ保護の施策もそれに対応しなければならない。

2.徹底したアクセス制限

 数多くの従業員や外部関係者に特権アクセス権限を与えると、データ流出のリスクが高まる。「必要な人」に「必要なアクセス権限」を与えることを軸にした厳しいアクセス制限によって、安全性を高めることができる。そのためにはアクセス権限のポリシーを策定し、常時監視することが大切だ。アクセス管理ツールを使えば、アクセス管理作業の効率化を図れる。

3.脆弱性の特定と修正

 脆弱(ぜいじゃく)性を評価することで、データ流出につながりかねないセキュリティの弱点を突き止め、優先順位を付けて対策を講じられるようになる。特に重要なのは、高リスクの脆弱性に対してパッチ(修正プログラム)を定期的に適用することだ。攻撃者はパッチ未適用の脆弱性をよく悪用している。

4.ネットワークにおける防御

 基本的なセキュリティ対策として欠かせないのは、ネットワークにおける防御だ。ネットワークにおける防御はファイアウォール、侵入検知システム(IDS)や侵入防止システム(IPS)、アクセス制御ツールなどで構成される。ネットワークにおける防御を適切に実施することで、不正アクセスのリスクを大きく減らすことができる。

5.エンドポイント保護

 マルウェア検知ツールをはじめ、PCやスマートフォンといったエンドポイントを守る対策は非常に重要だ。テレワークの普及により、さまざまなデバイスからシステムにアクセスすることが広がり、これまで以上にエンドポイントを管理してマルウェア感染を防ぐことが求められている。そのための手っ取り早い方法が、エンドポイントセキュリティツールの導入だ。

6.攻撃の横展開を阻止

 攻撃者がシステムに侵入した後、次にすることはシステム内で攻撃の範囲を広げるという横展開だ。システム領域をきめ細かく分離する「マイクロセグメンテーション」の手法を用いることで、攻撃の影響がシステム内部で広がることを防ぎ、データ流出の被害抑止が可能になる。

7.データの暗号化

 機密情報を守る上では、アクセスした人が読み取れないように暗号化することが大切だ。データが保存されている場所での暗号化だけではなく、データを転送したり移動させたりする際の暗号化も含まれる。

8.厳格なパスワードポリシー

 パスワードポリシーを策定し、従業員や外部関係者がアクセスする全てのシステムに対して実施する。強力なパスワードを設定する要件としては以下が挙げられる。

  • パスワードの最小文字数
  • 大文字、小文字、数字、特殊文字の使用
  • ブロックが適用されるまでのパスワードの最大試行回数
  • 定期的なパスワード変更の義務化
  • MFA(多要素認証)の実装
  • パスワード管理ツールの使用

9.システム監視

 脅威検知ツールを使った高度なシステム監視は、迅速に攻撃を発見してブロックするために不可欠だ。近年は人工知能(AI)技術を取り入れて脅威の検知や対処を自動化できるツールが登場している。ユーザーの行動を分析してパターン化し、異常に気付いたらアラートを発する機能を備えた製品もある。

10.セキュリティ監査

 セキュリティ監査を実施することで、自社のセキュリティ対策が業界標準であるかどうかや、ベンチマークと比較してどの水準にあるかについて公式見解を得られる。それによってセキュリティの問題を発見し、攻撃に悪用される前に修正することが可能だ。

11.セキュリティ研修

 機密情報を扱う関係者(従業員や外部関係者)に対し、セキュリティ意識を高める研修を実施することも重要だ。データ流出を巡り、最大の脆弱性は「人間」だとよく言われる。研修では、データ利用指針やパスワードポリシー、フィッシングといった攻撃による被害を防ぐための注意点などを、分かりやすく伝えることがポイントになる。

TechTarget発 世界のインサイト&ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。