社員による機密情報や重要データの不正な持ち出しは、企業にとって大きなリスクとなっています。この記事では、データ持ち出しの5大経路についてくわしく解説し、企業が取れる具体的な禁止方法を紹介します。
また、データ持ち出し対策を実施することで利便性が低下したり、業務効率を悪化させないためのポイントや、持ち出しの動機が発生しやすい退職時の注意点についても触れます。
不正行為の防止には、企業内での教育・啓発に加え、ルール作りやシステムによるセキュリティ対策の強化が欠かせません。本記事を通じて、データ管理に関する重要性を再確認しましょう。
急増するデータ持ち出しの危険性
ランサムウェアなどの外部からのサイバー攻撃に注目が集まる一方で、ノートPCやUSBメモリの紛失、社員によるデータ持ち出しなど、従業員の不注意や故意による情報漏えい被害が発生しています。
世の流れも、コロナによるリモートワークの普及やDX(デジタルトランスフォーメーション)の進展によって、これまで紙で管理されていた重要情報がデジタルデータ化される傾向にあります。大容量のデータを簡単に持ち出せるようになったことで、個人情報や営業機密データが持ち出されてしまうリスクが、かつてないほど増しています。
例えば、退職者によるデータ持ち出しは動機が生じやすく、いざそうなれば競合企業に営業機密や顧客情報が渡ってしまうなど、直接的な被害が発生する可能性があります。
それらのリスクを顕在化させないためには、社内規定を策定し、従業員のセキュリティ教育を徹底することが肝要ですが、セキュリティ対策技術を導入することで、実効性のあるデータ持ち出し禁止措置を実施することができます。
データ持ち出しの5大経路と対策
そもそも個人情報や営業機密などの重要なデータは、どのようなルートで社外に持ち出されるのでしょうか。以下にデータが持ち出される主な手段や媒体を挙げます。
- 複合機によるハードコピーなどの印刷物
- USBメモリ、HDD、CD-ROMなどの可搬記録媒体
- 電子メール本文への記載及びファイル添付
- オンラインストレージサービス
- スマホやノートPCなどのモバイルデバイス
データ持ち出しの5大経路別対策
企業側では、それぞれのデータ持ち出し経路毎に下記のような対策や制御を実施することができます。
- 複合機によるハードコピーなどの印刷物によるデータ持ち出し
→[対策]透かし印刷の活用、複合機の印刷ログの保存と定期監査及びその周知等 ほか
- USBメモリ、HDD、CD-ROMなどの可搬記録媒体によるデータ持ち出し
→[対策]可搬記録媒体の台帳作成、執務エリアへの持ち込み禁止、USBポートの物理封鎖、可搬記録媒体との接続禁止等の運用ルール策定と実施 他
- 電子メール本文への記載及びファイル添付によるデータ持ち出し
→[対策]メールセキュリティソリューションによる個々のメールの本文と添付ファイルの監視 他
- オンラインストレージサービスを利用したデータ持ち出し
→[対策]CASB(Cloud Access Security Broker)製品等の導入によるクラウドサービスの利用状況の可視化とコンプライアンス摘要 他
- スマホやノートPCなどのモバイルデバイスによるデータ持ち出し
→[対策]モバイルデバイスへのデータコピーの禁止、予測できないログインパスワードの設定や暗号化 他
上記の5つの領域別対策のほか、重要情報の機密レベル設定や、情報セキュリティ対策の社内規定策定、定期的な従業員へのセキュリティ教育実施、プライバシーマークやISMS(Information Security Management System:情報セキュリティマネジメントシステム)等の規格や認証取得なども、社内にセキュリティ文化を醸成し、底上げする有効な対策となります。
特にISMSは、情報漏えいリスクの特定・分析、対策の策定・実施だけでなく、その後の監視・改善などの運用面まで包括する仕組みであるため、従業員のデータ持ち出しにおいても有効な取り組みであると言うことができます。
データ持ち出し禁止で業務効率を落とさないためには
しかし一方で、データ持ち出しを未然に防ぐために必要な対策を全て実施することは、費用対効果の視点から現実的ではありませんし、個別の対策ソリューションの運用管理は業務負荷として管理者であるあなたにはね返ってきます。
また、たとえセキュリティが高まっても、圧倒的多数の「データ持ち出しなどしない従業員」の業務効率を下げてしまう事態を招きかねず、そうなったら本末転倒です。
社内システムの利便性がセキュリティ対策で下がると、企業が許可していなかったり把握できていない外部サービスを社員が私的に使用してしまう「シャドーIT」が発生する原因にもなります。
Microsoft Teamsが標準のはずの企業でSlackが使われたり、個人のGoogle Driveがデータ置き場として使われたりする例はよく見かけるのではないでしょうか。たとえ純粋に業務目的だとしても、結果的に外部にデータを持ち出されてしまうことにはリスクが伴います。
また、2014年に教育大手の企業で発生したデータ持ち出しは、USBメモリの利用を禁じていたためスマートフォンをストレージとして利用してデータ持ち出しが図られました。このように、対策を講じても悪意と故意によってそれを回避する探求を行うことを止めることはできません。
いかに日常業務の効率を落とさずに総合的なセキュリティ対策を行えるかが大切になります。
その点で、この記事を書いている、株式会社ティエスエスリンクが開発販売する、純国産のセキュリティソフト「コプリガード」は、データ持ち出しに伴うあらゆる機能や操作を禁止または許可することができます。
コプリガードは、「USBメモリ」「スマートフォン」「タブレット端末」「デジタルカメラ」「外付けハードディスク」「CDドライブ」等のデバイスへの接続を禁止できるほか、指定したネットワークフォルダーにあるファイルを、許可されていないネットワークフォルダーやPCへ移動したりコピーすることそのものを禁止することができます。
また、デジタル出力を含むすべての印刷機能を禁止できるだけでなく、ファイルをメールに添付したり、オンラインストレージサービスへのアップロードを禁止する機能も備えており、これによってデータ持ち出しの5大経路すべてを塞ぐことが可能です。
あらゆるデータ持ち出し経路を禁止する一方でコプリガードは、指定した特定フォルダ内でのファイルの編集や保存は自由であり、利便性とセキュリティを両立しています。また、特定フォルダ外への持ち出しを申請したり、それに対して許可を与えるという、柔軟性の高い運用を行う機能も持っています。
退職時のデータ持ち出しはバレる? 逮捕された事例も
近年、不正競争防止法の「営業秘密」に該当するデータを持ち出したことで、持ち出し当事者が罰金を科されたり、逮捕されたり、裁判で懲役の判決を受けるなどの事例が世間を騒がせています。
国産プラットフォーマーが提供する通信サービス事業に勤務していた社員が、基地局情報を退職時に持ち出して懲役2年の判決を受けた事件や、外食大手の社長が営業秘密を不正に取得して退任した事件など、記憶している方も多いのではないでしょうか。
こうした事態に対応したデータ持ち出し対策を、企業として真剣に考える時期になっていると言えるでしょう。
まとめ
- サイバー攻撃は外部からだけではなく、社員によって内部から重要な情報が持ち出されることもあります
- データが持ち出される経路は、大きく「印刷物」「可搬記録媒体」「電子メール」「オンラインストレージ」「モバイル端末」の5つがあります
- 営業秘密にあたるデータを持ち出したことで不正競争防止法に違反して逮捕される事案が相次いでおり、そうした状況をふまえた対策が求められています
- 純国産セキュリティソフト「コプリガード」を活用すれば、データ持ち出しの5大経路すべてを塞ぎつつ、同時に可用性の高いセキュリティを実現することができます
ファイルコピー禁止ソフトは、重要情報の機密性と可用性の両立を図り、業務効率を保ちながら情報漏えいのリスクを低減し、内部関係者による不正なコピー行為も防ぐ解決策です。
