コンピュータを取り扱うのは人間です。どんなに外部からの脅威へ対策を行っても、内部の人間の不注意や間違い、うっかりミスなどによってデータを流出してしまったり、誤って大事なデータを消してしまったりすることもあるでしょう。実は、情報漏えいの大半は外部からの不正アクセスではなく、ヒューマンエラーを中心とした内部の人間に原因があります。

今回は、誤操作、管理ミス、紛失・置き忘れ、悪意のある犯行といった、 社内の人間の不注意や悪意が引き起こすセキュリティの脅威についてまとめ、その防止策について考えます。

社内の人的なミスや油断が、情報漏えいの原因に！

JNSA（日本ネットワークセキュリティ協会）は2016年6月、 「2015年 情報セキュリティインシデントに関する調査報告書」の速報版を発表しました。この調査は、2015年にインターネット上に公開された個人情報漏えいインシデントを対象に、その原因や漏えい人数、損害賠償額などをまとめたものです。

調査結果によると、情報漏えいの原因として最も多かったのが「紛失・置き忘れ」で30.4％、 ついで「誤操作」の25.8％、3番目が「管理ミス」の18.0％となっており、人為的なミスや過失によるものが上位3位を占めました。 それに対して、「不正アクセス」は8.0％、「ワーム・ウイルス」は1.3％。 ニュースでは外的な攻撃による情報漏えいが大きく取り上げられる傾向にありますが、 実際にはヒューマンエラーのような内部の人間に起因するケースのほうが多いことがわかります。

また、インテルセキュリティが日本国内の経営層や情報システム部門などのビジネスパーソンを対象に実施した 意識調査をもとに「2015年の10大セキュリティ事件」を発表しています。 この発表では、「公衆無線LANのセキュリティ問題」（5位）や、 「全国初のケースとなる、無線LANの『ただ乗り」による電波法違反容疑で男を逮捕」（7位）、 「中央官庁の局長が、飲酒で寝過ごした電車内でカバン置き引きの被害に遭い、職員連絡網など流出」（10位）といった、 セキュリティに対する意識の低さや悪意、不注意に起因した事件が挙げられています。

"うっかり"では済まされない！日常的なセキュリティトラブル事例

ヒューマンエラーをはじめとした内部の人間に起因するセキュリティトラブルにも、さまざまな種類があります。ここでは、日常的に起こりうるトラブルの種類について見ていきましょう。

紛失・置き忘れ

個人情報が保存されたパソコンやUSBメモリーなどの媒体を社外に持ち出した際に起こりうるトラブルです。電車の網棚にカバンを置き、そのまま忘れてしまいそうになってひやりとした経験がある方もいると思います。もしカバンにパソコンやUSBメモリーが入っていたら......。

紛失や置き忘れといったトラブルは、個人情報を含むパソコンや記録媒体の持ち出しを禁止することで防止できますが、後述のように持ち出し禁止のルールを設けても厳格に守られないことも多いです。また、業務の都合上どうしても持ち出さないといけない場合に、どうリスクを軽減すべきかも考える必要があるでしょう。

盗難

こちらも、個人情報が保存されたパソコンやUSBメモリーなどを持ち歩くときにリスクが高まります。先述の「2015年の10大セキュリティ事件」の10位に挙げられている事件も、個人情報が保存された媒体が入ったカバンを電車内で置き引きされたことで発生しています。紛失・置き忘れと共通する話ですが、例えばお酒を飲みすぎるといった一時の気の緩みが、大きな事故につながってしまいます。

メールの誤操作

サーバーやWebサイトの設定を誤ったことで、本来情報を閲覧できないはずの第三者が個人情報を閲覧できる状態になっていたり、メールの送信ミスによって個人情報を含むメールが関係者以外に送信されてしまったりといったトラブルです。ファイルを添付し忘れたり、書き途中の内容で送信してしまったりする程度でしたらまだ「うっかり」で済まされますが、個人情報が含まれた重要なファイルを間違えて添付したり、CcとBccを間違えたりといった致命的なミスも後を絶たないのが現実です。

誤操作によるデータ削除

個人情報をはじめとする重要情報を誤って削除してしまうというケースです。個人情報を含む紙媒体の資料を他の資料と一緒に廃棄してしまったり、バックアップをとっていないデータを誤操作で削除してしまったりというトラブルがあります。また、社内ネットワーク上の共有サーバーにアクセス権限をかけていなかったがゆえに、第三者にミス・故意により削除されてしまうこともあるようです。

情報持ち出しルールの形骸化

紛失・盗難によるトラブルを防ぐために、個人情報の社外持ち出しを禁止している会社は多いはずです。ところが、「ちょっとだけなら大丈夫だろう」と考えた社員が無断で個人情報を持ち出し、その後不注意が重なってしまうと、結果的に思わぬセキュリティトラブルにつながります。社内でルールが形骸化してしまうと、持ち出しが日常的に行われることになり、リスクが高まります。

内部犯罪・内部不正

個人情報を取り扱っている内部の人間が、悪意をもって情報を流出させるケースです。2014年に教育関連企業で発生した大規模な個人情報流出事件は記憶に新しいのではないでしょうか。この事件は、エンジニアが不正に情報を持ち出し、名簿業者に売却したことで発生しました。

ヒューマンエラーを防ぐために社内ルールを徹底させる３つのポイント

ヒューマンエラーの要因には、「守るべきルールを知らなかった」「ルールを守るつもりだったのに、なんらかの理由で実践できなかった」「はじめからルールを守る気がなかった」などのパターンが考えられるでしょう。このような状況を防ぐためには、セキュリティに関するルールが確実に守られ、実践される土壌をつくることが欠かせません。社内で実践できる具体的な防止策には、次のようなものがあります。

1.ルールを周知する

現場の担当者がルールを知らないために起きてしまうヒューマンエラーに対しては、ルールを周知するための教育がまず必要になります。ルールの存在を知らなければ、当然、守ることもできません。

どのような状況でどんなことをするべきなのか、あるいはしてはいけないのかを明確にして、関係者全員にルールが行き渡るように周知することがまず必要です。そのうえで、ルールが形骸化しないよう、社員がそれを守っているか定期的に点検することも大切です。

2.ルールを守りやすい環境を整備する

しかし、いくら周知を徹底しても、ミスを完全に防止することは不可能です。ルールを知っていて守ろうとする気持ちがあるにもかかわらず、ルールどおりに業務を実施できない場合は、環境に問題がある可能性があります。

例えば、業務量が過剰で仕事を自宅に持ち帰らなくてはならなかったり、短時間で業務を進めなくてはならなかったりする環境で「個人情報を含むデータを社外に持ち出さない」「メールの送信前に確認を行う」というルールが設けられたとしても、守ることは難しいのではないでしょうか？　このようなケースでは、そもそもルールどおりに業務を進めることのできる環境かどうかを考え直すことが求められるでしょう。

3.なぜ、ルールが必要なのかを教える

ルールの存在を知っていて、それを守ることのできる環境が整っているにもかかわらず、「別に守らなくてもいいだろう」「こんなルールは意味がない」「みんなもやっているから、この程度のルール違反は大丈夫」といった、現場担当者の誤った認識や意識の低さから、ルールが守られないケースもあります。

このような場合は、入社後にセキュリティに関する研修を義務づけたり、入社から時間の経った社員にも一定期間ごとに研修を行ったりして、なぜそのルールが必要なのか、守らないことでどのような問題が起こりうるのかについて改めて教育し、ルールを守るための動機づけを行う必要があります。

運用とツールの組合せで、多面的なセキュリティ対策を！

このように、ヒューマンエラーを防止するためには、セキュリティに関するルールを整備することが重要になります。

しかし、たとえルールの共有を徹底的に行ったとしても、人間が情報を取り扱っている以上、ミスを100％防ぐことはできません。そこで必要になるのが、誤送信防止ソフトの導入やデータベースへのアクセスの管理など、情報漏えいを防ぐためのツールの導入です。ツールによってしくみを整えることによって、もしヒューマンエラーが起きた場合でも、情報の漏えいを防ぐことが可能になります。

情報漏えい対策は、「ひとつの対策を講じればそれで大丈夫」というものではありません。さまざまな状況で起こりうるミスやトラブルを想定して、それらを防ぐためにできることを多面的に実施することが欠かせないのです。

参考：

• 2015年 情報セキュリティインシデントに関する調査報告書【速報版】｜日本ネットワークセキュリティ協会
• 第2回「2015年のセキュリティ事件に関する意識調査」を実施 インテル セキュリティ、2015年の10大セキュリティ事件ランキングを発表｜インテルセキュリティ
• ２０１４年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～|日本ネットワークセキュリティ協会（PDF）
• 16の事例から学ぶ情報漏洩の全て 怖さや原因、対応策まで｜Norton blog
• 「ヒューマンエラー」は個人の責任ではない｜@IT