営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第3回目です。今回はインターネットサービスの利用に伴う情報漏えいパターンと従業員が行うべき対策を紹介します。

テレワークが普及し、Webメールやビジネスチャット、クラウドストレージ、Microsoft 365（旧Office 365）などを便利に使っている人も多いのではないでしょうか。そういうときにも、情報漏えいリスクについて考えておかなければなりません。外部からの不正アクセスなどによりネット上に保管された業務情報が流出してしまう事案もたびたびメディアで報じられています。インターネットサービスの利用に伴う主な情報漏えいパターンを見ていきましょう。

サイバー犯罪者は不正に入手したアカウント情報（IDとパスワード）を使って被害者のアカウントに不正ログインし、情報を盗み出します。

彼らはどのような方法でアカウント情報を入手するのでしょうか。代表的な手口がフィッシング詐欺です。これは、ネット利用者を正規サービスのログインページなどを装った偽サイト（フィッシングサイト）におびき寄せ、そこで入力されたアカウント情報などを盗み出すものです。

フィッシングサイトへの主な誘導手段はメールやSMS（ショートメッセージサービス）です。実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。たとえば、人事担当者を装って「業務メールシステムへの再ログインが必要」などと呼びかけるフィッシングメールが確認されています。

サービス利用者のアカウント管理の隙を突く不正ログイン事案も少なくありません。「異なるパスワードを考えるのが面倒」などの理由から複数のサービスに同一のIDとパスワードを使い回していると情報漏えいリスクが高まります。フィッシング詐欺などにより複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合を想像してみてください。彼らはそのIDとパスワードを使って各種サービスのアカウントを芋づる式に乗っ取り、情報を盗み取ったり、犯罪に悪用したりするのです。

企業が許可していない、あるいは利用ルールを設けていない私用のインターネットサービスをビジネスシーンに持ち込むのも厳禁です。私たちはつい個人で利用登録しているクラウドストレージを勤務先に無断で利用し、取引先とファイルをやり取りしたり、業務情報を社外に持ち出したりしてしまいがちです。自宅で仕事をするため、業務メールを私用のWebメールアドレス宛に自動転送している方もいるのではないでしょうか。しかし、こうした行為は勤務先を情報漏えいの危険にさらしてしまう可能性があります。

一定のセキュリティ基準を満たす企業では特定のインターネットサービスを安全に利用するためにさまざまな情報漏えい対策を講じています。無許可の端末・利用者によるデータへのアクセス制御、セキュリティポリシーに沿った設定の一括適用、ログ監視などです。

しかし、私用のインターネットサービスには企業による管理が行き届きません。そのため、サービスの機能や仕様、利用規約の内容に対する理解不足、および設定ミスという利用者の過失による情報漏えいリスクがあります。「公開範囲などのプライバシー設定に不備があり、ネット上にアップロードしたファイルが第三者から閲覧できる状態になっていた」というケースはその典型です。

またサービス事業者の人為的なミスやサイバー攻撃がきっかけでネット上に保管された情報が外部に流出してしまう事故も起こっています。私用のインターネットサービスが漏えい元になった場合、企業によるインシデントの発見や対処が後手に回りがちで被害が広がりやすくなってしまうのです。

インターネットサービスの利用に伴う情報漏えいを防ぐために従業員が行うべき5つの対策を紹介します。