企業の情報漏えいの原因は、ウイルス攻撃による不正アクセスといった外部要因のほか、自社の社員によることも少なくありません。内部要因による情報漏えいは、悪意のない単純なミスによるものもあれば、悪意ある犯行の場合もあり、企業としては外部・内部両面からの対策が必要です。今回は特に内部要因による情報漏えいに焦点を絞り、その対策の重要性と方法についてご紹介します。

消えることのない内部要因による情報漏えい

2016年3月3日、独立行政法人情報処理推進機構が発表した「内部不正による情報セキュリティインシデント実態調査」の報告書によると、これまでに内部不正があったと回答した企業は従業員が300人以上の企業で8.6%、300人未満の企業で1.6%という結果でした。このうち、うっかり違反してしまった、ルールを知らずに違反してしまったという故意が認められない内部不正は58%のため、故意に内部不正を行った割合は42%ということになります。

内部犯行の内容を見てみると、うっかりミスや不注意以外では「顧客情報等の職務で知りえた情報の持ち出し」が75.5%(73%)、「個人情報を売買するなど職務で知りえた情報の目的外利用」が58.2%(56.8%)、「システムの破壊・改ざん」が50%(54.1%)と続いています。※カッコ内の数字は300人未満の企業

また、内部犯行による情報漏えいがなくならないにもかかわらず、対策を施していない企業も少なくありません。特に300人以下の企業では「今後内部不正が起こると思うか」という質問に対し、「これまで発生していないので、今後も発生しない」という回答が42.3%ともっとも高くなっているのです。確かに外部犯行の対策に比べ、自社の社員に対する対策は難しく、コストもかけにくいといった側面もありますが、情報漏えいが一旦起こってしまえば、企業は大きな損害を受けるばかりでなく、顧客からの信用も失ってしまいます。そのひとつの原因ともいえる内部犯行がなくならない以上は、やはり何らかの対策が必要です。

情報漏えい対策として二要素認証が重要な理由

情報漏えいを防ぐための内部犯行対策は、さまざまな方法があります。真っ先に考えられるのは社員教育の徹底。前述した調査結果においても、内部犯行の約半分はうっかりミスや知らずに違反してしまったという故意ではないものです。社員教育を徹底すれば、こうしたミスを軽減させることはできるでしょう。

しかし、どんなに社員教育を徹底しようともうっかりミスをゼロにすることは非常に困難です。もちろん社員教育自体が無駄ということではありませんが、物理的な対策がいらないということにはなりません。そこで有効なのが二要素認証です。

二要素認証とは、IDとパスワードだけでログインできてしまう一要素認証ではなく、それに加えてもうひとつ認証要素を追加するものです。銀行で預金を引き出す際、暗証番号に加えキャッシュカードがなければ預金を引き出すことはできません。これが二要素認証です。企業の情報漏えい対策においても、この二要素認証を導入することで、うっかりミスを防げるようになるだけではなく、悪意のあるものの不正ログインを防ぎ、情報漏えいを限りなくゼロに近づけることが可能になります。

シンプルかつ強固な二要素認証を実現するSecureCore

二要素認証は情報漏えい対策として非常に有効です。しかし、二要素認証が複雑であったり、セキュリティが甘いものだったりすれば、情報漏えい対策として役に立たないばかりか、業務の非効率を生み出すことにもつながります。そこでおすすめしたいのが、シンプルかつ強固な二要素認証を実現するSecureCoreです。

SecureCoreは、USBトークンを物理的なカギとしてWindows PCへのログインを制御します。IDとパスワードにUSBキーを加えた二要素認証により、不正ログインを防ぐと同時に、離席時にはUSBトークンを抜くだけでロックがかかり、PCの利用が不可能に。ユーザが行うのはUSBトークンの抜き差しだけで難しい操作は必要なく、簡単に認証セキュリティの強化を見込めます。また、管理するサーバは不要で、ユーザ端末にはクライアントソフトを入れ、管理者の端末には管理ソフトを入れるだけで管理が可能となり、運用管理面で負荷をかけないことも、SecureCoreをおすすめする理由のひとつです。

情報漏えいのリスクを軽減するには、内部要因対策を怠らないこと

情報漏えい対策は外部からの攻撃対策と同時に、内部対策を怠らないことです。そして、同じく重要なことは、対策を意識しすぎて業務を非効率にしないことです。そういった意味でも、シンプルな操作で管理の手間をかけずに強固な二要素認証を実現するSecureCoreは、企業の内部犯行による情報漏えいリスクを大きく軽減させるソリューションです。内部犯行対策にお悩みの企業セキュリティ担当者の方は、ぜひ導入の検討をされてみてはいかがでしょう。

参考: