情報漏えいやウイルス感染対策というと、外部からの攻撃への対策をイメージしがちですが、実は作業者のうっかりミスや思い込みなど「人為的ミス」から発生することが多いのです。それらの人為的ミスを防止するにはどうしたらいいのでしょうか?
ついやってしまいがちな行動とそのリスク
①送信先をよく確認しないままメールを送信
「複数のメールへの返信作業を同時に行う」「メールソフトの『予測変換機能』を使ってアドレスを入力する」など。
→間違った相手への誤送信により個人情報や契約上の秘密情報が外部に漏えいするリスクがあります
②受信したメールをよく確認せずに開く(メール内のリンクや添付ファイルを開く)
「送信者名と件名しか確認にしない」「取引先や金融機関からのメールはとりあえず開く(文中のリンクや添付ファイルも開く)」など。
→偽メールに騙されて、個人情報・アカウント情報・金融機関情報などを盗まれ、その情報を悪用されてしまうまたはマルウェアに感染させられて端末を不正操作され、端末や社内ネットワーク内のデータを盗まれる・暗号化されて利用できなくなるなどの被害にあうリスクがあります。
③パスワードの使い回し・簡単なパスワードの利用・誰でもわかる状態にしておく
「同じメールアドレスとパスワードの組み合わせを複数のサービスに登録する」「短く簡単なパスワードを設定する」「机や端末にパスワードを書いた付箋を貼っておく」など
→いずれかのサービスでログイン情報が漏えいした際に、別のサービスまで不正利用されるまたは離席時や端末紛失・盗難時にパスワードを類推されて端末やサービスを不正に利用されてしまうリスクがあります。
④許可されていない端末・媒体・サービスを利用する
「便利そうだからと許可されていない無料ソフトをインストールする」「私物のPCやUSBメモリを使用する」「プライベートで利用しているクラウドやチャットツールを使って業務データを転送する」など
→マルウェアに感染して端末を不正操作され、端末や社内ネットワーク内のデータを盗まれる・暗号化されて利用できなくなるなどの被害にあうまたは誤った相手にデータ共有を許可してしまい情報が外部に漏えいするリスクがあります。
⑤許可なく端末やデータを社外に持ち出す
「自宅で作業するために端末を持ち帰る」「許可申請するのが面倒なので黙ってデータをUSBにコピーして持ち出す」など
→外部で端末や媒体を紛失してしまい、データが漏えい・喪失してしまうまたは端末を不正利用されて情報が漏えいしたり社内システムに侵入されてしまったりするリスクがあります。
⑥生成AIに自社や取引先の個人情報や機密情報を入力する
「メール文章の作成のために取引先の機密情報を指示として入力する」「AIを使って契約書の内容確認をするために実際の契約書データをそのまま送信する」など
→指示内容や参照データがAI学習に利用され、個人情報や契約上の秘密情報が外部に漏えいしてしまうリスクがあります。
企業側がとるべき対策
人為的ミスによる情報漏えい、マルウェア感染を防ぐために、企業としては次のような対策の実施が望ましいです(あくまでも一例ですが)。
| メール誤送信対策ツールの導入、送信一時保留設定の導入サービス利用状況を管理する | 専用ツールやメールソフトの設定により、送信が一時保留される仕組みにすることで誤送信リスクを低減できます。 また、添付ファイルの自動暗号化機能導入またはファイルはクラウドからのダウンロードにすることで、情報漏えいリスクを低減できます。 |
| なりすましやフィッシングの手口の共有(社員研修) | 実際に自社に届いたなりすましメールの事例などを社内で共有し、送信者名だけでなく、送信アドレスや本文の内容に不自然な点がないかの確認など、具体的な注意ポイントを周知することで被害にあうリスクを低減できます。 |
| パスワード管理ツールや多要素認証の導入 | 複雑なパスワードを自動で生成できたり、専用ツール内で一元管理したりすることで、使い回しや簡易なパスワード生成を防止できます。 また、スマホの生体認証やSMSへのワンタイムパスコードを導入することで、不正利用のリスクを低減できます。 |
| 端末管理(資産管理)ツールの導入、私物利用禁止ルールの整備 | 私物端末やUSBメモリなどの利用を禁止し、許可された端末・媒体以外は社内ネットワークに接続できないよう制限することで、無断での端末利用や情報持ち出しリスクを低減できます。 また、端末管理ツールを導入して万が一端末を紛失した場合でもリモートで強制ロック・初期化できるようにすることで情報漏えいリスクを低減できます。 |
| アプリ、サービスの利用を限定または禁止する | アプリ、チャットツール、SNS、クラウド、生成AI等は、会社が許可したもの以外の利用を禁止し、アカウントや端末も管理することで情報漏えいリスクを低減できます。 |
まとめ(作業者一人ひとりの心得)
どんなに高価なセキュリティシステムを導入しても、最後の堤防は社員一人ひとりの「ちょっと気をつける」意識です。
日々の業務の中で「めんどうでも、確認する」「疑わしいものは開かない」「許可されていないことはやらない(使わない)」という小さな行動が、会社とお客様の大切な情報を守る大きな盾になります。
- メール送信ボタンを押す前にひと呼吸! 宛先・添付ファイルをよく確認する
- 受信メールを開く前にもひと呼吸! 送信者は本物か・不審な点はないかよく確認する
- パスワードは家の鍵! 他人に教えない・推測させない・見つけさせないように管理する
- 私物端末・媒体・サービスは仕事に使わない! 原則会社支給のものしか使わない
- 端末・データの持ち出しは必要最小限! 持ち出しの際は寄り道しない・常時携帯
- 「あれ?」と思ったらすぐに相談・報告! 時間が経つと被害が拡大することがある
