情報セキュリティ対策を中堅中小企業で行うならネットエージェントへ

ネットエージェント
  • ネットエージェントは、2020年4月1日に親会社である
    株式会社ラックに吸収合併されました。[詳しくはこちら]

情報セキュリティ対策

中堅中小企業に最適な情報漏えい対策

セキュリティ・情報漏えい対策予算が限られている。
情報漏えい対策に人的コストをかけられない。
そんな中堅中小企業のための情報漏えい対策。

情報漏えい事故調査の実際と担当者がすべきこと

情報漏えい原因と対策

原因の約75%は内部にあり。

グラフ

情報漏えい対策というと、外部からの攻撃対策ばかりを想像してしまいがちですが、実は原因の約75%は内部にあるということをご存知でしょうか?

誤操作や紛失といった、人為的ミスのほか、転職時などに意図的に情報を持ちだす(※1)といった行為により情報漏えいが発生しています。

ですので、情報漏えいの原因の多くを占める「内部からの情報漏えい」に対する備えがより重要になってくるのです。

※1:当社では退職者のPC等を対象に「不正従業員調査サービス」を提供しています。

内部不正での情報漏えい。動機と5つの対策法。

過去に報道された内部不正事件の動機としては「私的利用」「転職先での利益取得」「金銭取得」「処遇の不満」といったものがあるようです。

こういった内部不正による情報漏えいには、どういった対策が有効なのでしょうか?
CERT Insider Threat Centerから、CERT が米国において収集した700件以上の事例から得た知見として、 以下の5つの対策が提言されています。
「退職者」「監視」「保存」が重要なキーワードとなっているようです。

知的財産を流出から守るための 5 つの対策法

  1. 退職手続きの中で、知的財産保護契約の内容を確認し、退職者に会社の資産の返却を求めること。
  2. 退職者からの情報漏えいは退職の前後 1 ヶ月に集中するため、この期間のサーバへのアクセスログや、電子メールのログを保存すること。
  3. 印刷物を監視し、紙媒体での情報流出を防ぐこと。
  4. 情報へのアクセス権を制限し、従業員のアクセスできる知的財産情報を必要最小限にすること。
  5. 競合他社との電子メールのやりとりを監視すること。

これらの対策法を踏まえ、例えば、
「退職を申し出た従業員のアクセス権は速やかに縮小、停止する」といったルールを決めるなど、
セキュリティ製品の導入検討時や検討前に、 まずは社内でのセキュリティポリシーの策定や見直しを行うことをおすすめします。

当社ではセキュリティポリシー策定のお手伝いもしておりますので、ご希望の方は、
お気軽にご相談・お問合せください。

中堅中小企業がすべき情報漏えい対策

中堅中小企業ならではの利点がある

セキュリティ製品を導入し、システムとして禁止や制限を行うという点では、予算を大きくとる事が難しい中堅中小企業ですが、こと「内部不正での情報漏えい」という点においては対策しやすい利点があります。

内部不正での情報漏えいを「実行」する際、最大の要因は「やってもばれない」という「認識」だと言われています。 そして、「やってもばれない」と「認識」する状況としては以下の2種の類型が考えられます。

一つ目は「誰がやったか分からないだろう」という匿名性の認知
二つ目は「そもそも気が付かないだろう」という無関心の認知です。

「社員の顔と名前が一致しない」「誰が何の仕事をしているか分からない」といった「匿名性」は、一般的には関係者が少ない(≒規模が小さい)程、低くなります。
この「匿名性」の低さが「内部不正での情報漏えい対策」をとる上での中堅中小企業の利点です。

利点を活かした空気づくりを

この利点を最大限活用する為には、二つ目の「そもそも気が付かないだろう」という認知を小さくする必要があります。
つまり、「情報の持ち出しに会社は注意を払っている」という認知の醸成、裏返せば「無関心」だと思わせない「空気作り」が重要です。

例えば、情報資産の定期的な洗い出しを行い、保管場所を指定するという運用だけでも「注意を払っている」という強いメッセージになります。
とはいえ、逆に「運用ルールは作ったが誰も守っていないという状況」は、「無関心」を表す強いメッセージとなってしまいます。

実施可能な範囲で情報資産の取り扱いルールを作り、それを確実に守る事が内部不正での情報漏えい対策としては重要と言えるでしょう。

当社製品PacketBlackHoleは社内通信がまるわかりになる製品です。
導入するだけでも情報漏えい対策になりますが、 例えば製品導入を社内通知することで「匿名性の認知」「無関心の認知」ともに小さくなり、 大きな抑止力となるでしょう。

また、同じく当社製品であるOne Point Wallは、そもそも「気が付かなくても」外部への不正通信を止める製品となります。

内部からの情報漏えい対策と当社の強み

「内部からの情報漏えい対策」と「誰でも簡単に使える」がコンセプト。
17年目、導入実績多数の安心感。

当社は創業当時より「内部からの情報漏えい対策」「誰でも簡単に使える」の2つのコンセプトを持ち、 情報漏えい対策製品を開発・販売してきました。

創業当初からの主力製品「PacketBlackHole」は、 社内ネットワークを流れる通信(パケット)を取得・保存・解析する製品であり、 高い再現性により、誰でも簡単に通信内容を把握することができます。 閲覧したウェブサイト、送信・受信したメールをそのままの形で再現し、 添付ファイルやアップロードしたファイルまでも、再現するので、 内部不正への大きな抑止力となりえます。

もう一つの主力製品「One Point Wall」もまた、内部通信に重きを置き、 内部から外部への不正な通信を止める製品です。 その設置は本当に簡単で、電源を入れてネットワークに繋ぐだけ、設定もクリックだけで済んでしまいます。 社内からの不正な通信、不必要な通信を止めるだけでなく、 標的型攻撃のC2サーバ通信も設置するだけで簡単に止める事ができます。

この2つの製品は数々の賞を受賞しており、導入実績も多数。官公庁や刑事事件でも利用されています。

安心の国産、自社開発・自社サポート。少数精鋭のフットワークの軽さ。

多くのセキュリティ対策製品は海外製品であることをご存知でしょうか?
当社では自社開発を行っており、サポートも当社内にて行っています。

また、社内にはセキュリティ攻撃に詳しい特別部隊も保有しており、日本国内特有のセキュリティリスクにも対応可能となっています。

お客様のご要望や困ったこと、まずはご相談ください。経験・知識の豊富な社員が、お客様の力になります。

こんな相談にお応えします。

  • 何をしたらよいのか分からないので、まずは相談に乗ってほしい。
  • 希望する対策はあるが、具体的にどうしたら良いかわからない。
  • 自社のセキュリティレベルのチェックをしてほしい。

これ以外の相談であっても、お気軽にご相談ください。

ご相談・お問合せはお気軽に。