情報漏洩のリスク
情報漏洩は企業の存続に関わる重大リスクです。個人情報保護法の改正により、漏洩時の報告義務(個人情報保護委員会への報告+本人への通知)が強化され、違反には最大1億円の罰金が科されます。
- 直接的損害:賠償金、罰金、調査費用
- 間接的損害:信用失墜、取引停止、顧客離れ
- 復旧コスト:1件あたりの平均漏洩コストは約4億円(IBM調査・グローバル平均)
漏洩パターンと対策マップ
| 漏洩パターン | 割合 | 対策 |
|---|---|---|
| 外部攻撃(マルウェア・フィッシング) | 約50% | EDR、MFA、メールセキュリティ |
| 内部不正(退職者・現職員) | 約25% | DLP、アクセス権管理、退職者プロセス |
| 過失・誤操作 | 約25% | 秘密度ラベル、外部共有制限、教育 |
DLP(データ損失防止)
Microsoft 365のDLP機能で、機密情報を含むファイルやメールの外部送信を自動ブロックできます。
検出対象の例
- マイナンバー:12桁の個人番号パターンを検知
- クレジットカード番号:16桁のカード番号パターンを検知
- パスポート番号:パスポート番号のパターンを検知
- カスタムパターン:社内の機密情報(顧客ID、契約番号等)を正規表現で定義
DLPポリシーの設定
| ポリシー | 対象 | 条件 | アクション |
|---|---|---|---|
| マイナンバー保護 | Exchange / SharePoint / OneDrive | マイナンバーパターンを含むファイル | 外部共有をブロック+管理者通知 |
| 財務情報保護 | Exchange | 「極秘」「社外秘」を含むメール | 外部送信時に警告を表示 |
| カード情報保護 | 全サービス | クレジットカード番号パターン | ブロック+インシデントレポート |
秘密度ラベル
秘密度ラベル(Sensitivity Labels)は、ファイルやメールに機密レベルのラベルを付与し、自動的に暗号化やアクセス制限を適用する機能です。
| ラベル | 暗号化 | アクセス制限 | 用途 |
|---|---|---|---|
| 公開 | なし | なし | 社外に公開してよい情報 |
| 社内 | なし | 組織内のみ閲覧可 | 社内向けの一般情報 |
| 社外秘 | あり | 指定ユーザーのみ閲覧・編集可 | 契約書、顧客情報 |
| 極秘 | あり | 閲覧のみ(編集・印刷・転送不可) | 経営情報、M&A関連 |
退職者対応
退職者による情報持ち出しは内部不正の最大の原因です。退職プロセスにIT対応を組み込みましょう。
| タイミング | アクション |
|---|---|
| 退職日の2週間前 | OneDrive/メールのデータバックアップ、共有ファイルの所有者変更 |
| 退職日の1週間前 | 大量ダウンロードの監視強化(Cloud App SecurityやDLPアラート) |
| 最終出社日 | PCの回収、モバイルデバイスのリモートワイプ |
| 退職日 | アカウントの無効化、MFAの解除、ライセンスの回収 |
| 退職後30日 | アカウントの完全削除(メールボックスは共有メールボックスに変換して保持) |
デバイス制御
- USBストレージのブロック:Intune / グループポリシーでUSBメモリの使用を禁止
- Bluetooth制御:ファイル転送用のBluetoothを制限
- 個人デバイスの制限:条件付きアクセスで管理外デバイスからのアクセスをブラウザのみに制限
- スクリーンショット防止:Windows Information Protection(WIP)で業務データのスクリーンキャプチャを制限
まとめ
情報漏洩対策は「DLP+秘密度ラベル+退職者プロセス+デバイス制御」の4層で構築します。まずDLPでマイナンバー・カード番号の自動検知を有効化し、秘密度ラベルで重要ファイルを暗号化保護しましょう。