すぐに取り組める!情報漏洩対策
三菱UFJリサーチ&コンサルティング コンサルティング事業本部 デジタルイノベーションビジネスユニット 業務ITコンサルティング部 コンサルタント 大道 裕江氏
三菱UFJリサーチ&コンサルティング コンサルティング事業本部 デジタルイノベーションビジネスユニット 業務ITコンサルティング部 ビジネスアナリスト 正木 夏帆氏
はじめに
近年、企業や組織を取り巻く情報漏洩リスクは一層高まっています。独立行政法人情報処理推進機構(以下、IPA)が毎年発表する「情報セキュリティ10大脅威」[ 1 ]でも、情報漏洩に関する脅威である「内部不正による情報漏洩」や「機密情報などを狙った標的型攻撃」[ 2 ]、「不注意による情報漏洩」が繰り返し挙げられています。さらに他の項目と比較しても、ここ10年で頻繁に選出されており、組織における情報セキュリティを考える上で情報漏洩対策は不可欠です(図表1)。
![【図表1】情報セキュリティ10大脅威 2025 [組織]](https://img.jinjibu.jp/updir/kiji/SUV25-1112-01-01.png)
(出所)IPA「情報セキュリティ10大脅威 2025」より三菱UFJリサーチ&コンサルティング作成
これらの脅威に対し、技術的対策や物理的対策[ 3 ]を講じることは重要です。しかし、どれほど高度な対策を打ったとしても、情報を扱う従業員のリテラシーが不足していれば、情報漏洩のリスクを完全に排除することはできません。そのため、企業や組織としては技術的・物理的対策と並行して、継続的な従業員向けの情報セキュリティ教育や意識向上施策の実施が不可欠です。そこで本コラムでは、情報漏洩を予防するための組織的・人的な対策を紹介します。
情報漏洩対策の実践
情報漏洩は、(1)外部からの攻撃による情報漏洩(例えば機密情報などを狙った標的型攻撃)、(2)不注意による情報漏洩、(3)内部不正による情報漏洩の3つに分類されます。
(1)外部からの攻撃による情報漏洩
外部からの攻撃による情報漏洩の代表例として挙げられるのは 「標的型攻撃」で、「情報セキュリティ10大脅威」にも毎年取り上げられています。標的型攻撃とは、特定の企業や組織を狙って行われ、特にメールを用いて攻撃する「標的型攻撃メール」が典型的な手口です。攻撃者は企業や組織の関係者を装い、マルウェア[ 4 ]感染につながるURLやファイルを添付したメールを送信します。そして、感染した端末を踏み台にして組織内ネットワークへ侵入し、情報資産を窃取します。
こうした攻撃による情報漏洩を防ぐには、従業員に対する研修や訓練を通じて、標的型攻撃メールを開かないよう周知徹底することが重要です。例えば、IPAなどが公開するセキュリティ教材[ 5 ]を活用した動画研修や、「送信元がフリーメールアドレスではないか」「日本語表現が不自然ではないか」といった標的型攻撃メールの見分け方の周知が有効です(図表2)。さらに、標的型攻撃メールの訓練を実施し、従業員が標的型攻撃メールの受信をした場合、適切な対応ができるかを体験することで、対応力を高められます。
(出所)三菱UFJリサーチ&コンサルティング作成
(2)不注意による情報漏洩
不注意による情報漏洩の典型例は、メールの誤送信、生成AIサービスなどの外部サービスへの機密情報入力、情報端末や重要書類の紛失などです。これらのリスク低減のためには、情報漏洩を防ぐ明確なルールを策定し、従業員に対する徹底的な周知が不可欠です。ルールの具体例としては、メールの誤送信対策として「宛先のオートコンプリート機能[ 6 ]を解除する」、外部サービス利用時の情報漏洩予防策として「機密情報を入力しない」「チャット履歴をオフにする」などが考えられます。特に最近では生成AIサービスなどを業務で活用する組織も増えているため、外部サービス利用時のルール策定は急務といえるでしょう(図表3)。
(出所)三菱UFJリサーチ&コンサルティング作成
さらに、ルールの策定・周知に加えて、不注意による情報漏洩を予防するためのチェックポイントなどを一覧化し、従業員に分かりやすく提示することも効果的です(図表4)。また、社内外で実際に発生した情報漏洩事案を共有することで、従業員一人ひとりの情報セキュリティ意識向上にもつながります。
(出所)三菱UFJリサーチ&コンサルティング作成
(3)内部不正による情報漏洩
内部不正による情報漏洩は、従業員や委託先、退職者などの企業や組織の関係者による意図的な情報持ち出しや不正利用によって発生します。
この防止策の基本は、社内情報持ち出しや各種アカウントの利用に関するルール(図表5)を設け、関係者へ徹底して周知することが重要です。
(出所)三菱UFJリサーチ&コンサルティング作成
おわりに
本コラムでは、近年高まる情報漏洩リスクを踏まえ、標的型攻撃などの外部からの攻撃、不注意、内部不正の3つの観点から情報漏洩に対する組織的・人的対策を紹介しました。標的型攻撃メールへの対応力を高める研修や訓練、ルール策定・周知、チェックポイントの活用など、日々の業務に根差した具体的な取り組みが、情報漏洩リスクの低減に直結します。
当社でも情報漏洩対策に関するコンサルティングサービスを提供しておりますので、ぜひお気軽にお問い合わせください。本コラムの内容が、各企業・組織でのセキュリティ対策を進める際の一助となれば幸いです。
【関連レポート・コラム】
経営者が認識すべきセキュリティ脅威による経営リスク
中堅・中小企業のセキュリティ対策の進め方
[ 1 ]IPA「情報セキュリティ10大脅威 2025」https://www.ipa.go.jp/security/10threats/10threats2025.html (最終確認日:2025/08/19)
[ 2 ]特定の企業や組織を狙って行われるサイバー攻撃で、攻撃者が企業や組織の関係者を装い、マルウェア感染につながるURLやファイルを添付したメールを送信する手口が代表的である
[ 3 ]情報セキュリティ対策は、IT技術を活用して情報資産を守る「技術的対策」、物理的なアクセス制限などにより情報資産を守る「物理的対策」、組織体制の整備や従業員の意識向上を通じて情報資産を守る「組織的・人的対策」の3つに大別される
[ 4 ]ユーザーに損害を与える目的で作成された悪意のあるプログラムやソフトウェア
[ 5 ]例えば、IPA「ここからセキュリティ!情報セキュリティ・ポータルサイト」など。https://www.ipa.go.jp/security/kokokara/ (最終確認日:2025/08/19)
[ 6 ]メール作成時に、過去に送信した宛先や連絡先の情報を基に、入力候補を自動的に表示する機能
三菱UFJリサーチ&コンサルティングは、三菱UFJフィナンシャル・グループのシンクタンク・コンサルティングファームです。HR領域では日系ファーム最大級の陣容を擁し、大企業から中堅中小企業まで幅広いお客さまの改革をご支援しています。調査研究・政策提言ではダイバーシティやWLB推進などの分野で豊富な研究実績を有しています。未来志向の発信を行い、企業・社会の持続的成長を牽引します。
https://www.murc.jp/
人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。
会員登録をすると、
最新の記事をまとめたメルマガを毎週お届けします!
- 参考になった0
- 共感できる0
- 実践したい0
- 考えさせられる0
- 理解しやすい0
無料会員登録
記事のオススメには『日本の人事部』への会員登録が必要です。
