中小企業の情報漏洩対策:狙われるのは「人」と「設定」だ

漏洩の主因は、ハッカーより身近にある
情報漏洩と聞くと、高度なサイバー攻撃を思い浮かべる人が多い。しかし中小企業で実際に起きている漏洩の大半は、もっと地味な原因だ。メールの誤送信、退職者のアカウントが放置されていた、クラウドサービスの共有設定が「全員に公開」のままだった——つまり人的ミスと設定不備である。派手な攻撃を心配する前に、私たちはまずこの足元の穴を塞ぐことを勧めている。高価なツールを買う必要はなく、運用の見直しだけで防げるものがほとんどだ。
アクセス権は「最小限」を原則にする
漏洩の被害を最も大きくするのは「必要のない人が、必要のない情報にアクセスできる状態」だ。全社員が全フォルダを見られる設定は、一見便利だが、一人のミスや一台の端末感染が全社の情報流出につながる。原則は「その業務に必要な人だけが、必要な範囲だけ触れる」こと。部署異動やプロジェクト終了のたびに権限を見直す運用をセットにして、初めて機能する。
退職者対応を「当日中」の手順にする
意外に見落とされがちなのが退職者のアカウントだ。退職後もメールやクラウドにログインできる状態が数週間続いていた、という話は珍しくない。私たちは、退職日にアカウント停止・共有解除・端末回収をワンセットで行うチェックリストを用意することを勧めている。誰が何のサービスにアクセスできるかを日頃から一覧化しておかないと、退職時に「どこを止めればいいか」が分からなくなる。
SaaSの共有設定を定期的に棚卸しする
クラウドストレージやチャットツールは便利だが、「リンクを知っている全員が閲覧可能」といった共有設定が積み重なると、意図せず社外に見えている資料が生まれる。四半期に一度でいいので、共有範囲が広すぎるファイルやフォルダを棚卸しする時間を取りたい。特に、外部と共有したまま案件が終わったリンクは、放置せず切ることを習慣化したい。
教育と運用ルールが最後の防波堤になる
技術的な対策をどれだけ固めても、最後にファイルを送るのは人間だ。だからこそ、パスワードの使い回しをしない、公共Wi-Fiで機密情報を扱わない、不審なメールのリンクを開かない——といった基本を、年に一度でも全員で確認する場が効く。ISMS(情報セキュリティマネジメントの仕組み)の考え方も、突き詰めれば「ルールを決め、守り、見直し続ける」ことに尽きる。私たちは、身の丈に合った小さなルールから始め、運用として回し続けることを重視している。完璧な仕組みより、続く仕組みのほうが会社を守る。