情報漏洩はなぜ起こる？

情報漏洩は特別な事件ではなく、忙しい業務の中で起こる日常のズレから生まれます。クラウド共有の既定値、アカウント管理、教育、最小権限、ログ、バックアップ、ベンダー管理、UEBA。押さえる順番さえ間違えなければ、無理なく再発の確率を下げられます。この記事では、中小〜中堅企業の現場に寄り添い、具体例と「まず何から手を付けるか」を分かりやすく整理します。

情報漏洩とは何か

朝の始業前、共有ドライブのリンクをそのまま取引先に送ったつもりが、社内全体に回覧されていた――こんな小さなすれ違いが、顧客の氏名や見積書の流出につながることがあります。情報漏洩とは、本来アクセスが許されない相手に個人情報や営業秘密などの機微情報が閲覧・取得・利用される状態を指します。

漏洩は二つの側面で評価します。ひとつは法令や契約、社内規程への違反というコンプライアンス上の問題、もうひとつは業務停止や信頼失墜、金銭的損害などの事業影響です。前者は報告義務や公表の判断を伴い、後者は復旧コストや訴訟リスクの増大を招きます。

特に日本では、個人データを扱う企業は漏洩等を把握した際に事実関係の確認、影響範囲の特定、再発防止策、関係機関への報告など、一定の手順での対応が求められます。中小〜中堅企業でも、Microsoft 365 や Google Workspace といったクラウド利用の広がりにより、組織の境界が曖昧になる分、設定や運用の未整備が漏洩の引き金になりやすくなっています。

情報漏洩が起こる主な原因

現場で起きる漏洩の多くは、人・プロセス・技術の継ぎ目で起こります。人の側では誤送信、権限の与え過ぎ、USBや私物端末の取り扱い不備などが混ざり合います。プロセスの側では、データの棚卸不足や退職・異動時のアカウント処理の遅れ、外部委託時の契約・監査の不足が上流の原因になります。

技術の側では、古いソフトの未更新、脆弱なVPNやファイアウォール設定、監視とログの網羅性不足などが攻撃の糸口になります。これらは単独で発生するだけでなく、例えば「フィッシングを起点にクラウドの二要素を回避→権限過多の共有に連鎖→外部拡散」という形で複合し、漏洩の規模と期間を拡大させます。

国内の脅威動向でも、ランサムウェア、サプライチェーン起因、内部不正、メール・クラウド設定不備に関連するインシデントが恒常的に上位を占め、経営と現場の双方に対策の継続が求められています。

社内で起こる情報漏洩の原因

社内起因の典型は、誤送信や共有ミスなどの過失、そして意図的な持ち出しを含む内部不正です。過失は、宛先のオートコンプリート、BCC/CCの取り違え、クラウドのリンク共有設定の既定値の理解不足など、日常の作業習慣に根があり、再発しやすい性質があります。

内部不正は、動機・機会・正当化がそろうと発生しやすく、退職や評価不満、在宅勤務での監督低下が誘因になります。現場では、異動後に旧部門のデータへアクセスできる状態が残り、好奇心で覗いたファイルが外部へ転送される、という小さなほころびから漏洩に至ることが少なくありません。

防止には、秘密情報の明確化、最小権限と期限付き権限、外部共有の既定値の安全化、ダウンロードや外部転送の検知と抑止、退職・異動の自動剥奪が核になります。さらに、行動面では「大量のダウンロード」「通常と異なる深夜帯のアクセス」「印刷・USB書き出しの急増」といった予兆を見える化し、本人への早期通知と上長レビューをセットにすることが現実的です。

外部による情報漏洩の原因

外部起因は攻撃者の手口の多様化が進んでいます。マルウェアはメール添付や偽更新、侵害済みサイト経由で侵入し、情報を窃取したうえで暗号化や恐喝に進みます。標的型攻撃は特定の担当者の業務文脈に寄せた文面と差出人で欺き、初期侵入後は正規の管理ツールやスクリプトを悪用して横展開します。水飲み場攻撃では、業界団体やパートナーのよく使うサイトに不正コードを仕込み、訪問者の端末を静かに取り込みます。なりすましメールは、請求・人事・物流など業務必須のやり取りに寄生して偽リンクへ誘導します。

環境寄生型攻撃は、OS標準のコマンドや正規のリモート管理を用いる「Living off the Land」の発想で痕跡を薄くします。サプライチェーン攻撃は、更新プログラムや委託先の侵害を足場に本体へ到達します。不正アクセスは、使い回し・総当たり・認証回避の脆弱性を突き、ゼロデイは未修正の欠陥に対する先行攻撃です。

こうした手口は単発では終わらず、侵害したクラウドの共有から継続的にファイルが収集され、メールボックスの転送設定が長期に維持されるなど、漏洩の持続化を招きます。

どのように情報漏洩が起きるのか

まずは誤送信のシナリオです。営業担当が見積書を複数の社外アドレスに送る際、オートコンプリートで旧担当の私用アドレスを含めてしまい、添付ファイルが意図せず外部へ渡ります。起点は人の不注意ですが、DLPの検査や社外アドレス検知の警告、暗号化リンクの既定化があれば、送信前に気づけた可能性があります。

次にUSB紛失のシナリオです。出張時にファイルをコピーしたUSBを紛失し、後日中古市場で発見される例があります。ここでは、持ち出しを不要にするクラウド閲覧中心の運用、端末紛失時に影響範囲を限定する暗号化、持ち出し申請と棚卸の運用が肝になります。

権限過多のシナリオでは、部署横断プロジェクトのために共有した全社フォルダの権限が終了後も残り、異動者が関係のない個人情報にアクセスし続けることで漏洩が拡大します。ここは、期限付き権限と自動剥奪、共有の所有者レビューで防げます。

脆弱なVPNのシナリオでは、古いVPN装置の既知の欠陥により外部から管理画面へ侵入され、Active Directoryの認証情報が奪取されます。移動後にクラウドへ不正ログインされ、メール転送や共有リンクが外部へ設定されることで長期漏洩に至ります。ここは装置更新とゼロトラスト移行が本筋です。

フィッシングのシナリオでは、請求書確認の偽ページでパスワードとワンタイムコードが奪われ、攻撃者がセッションを乗っ取り、OneDrive や Google ドライブから大量にダウンロードする流れが典型です。

マルウェアのシナリオでは、侵入後にブラウザのセッションやパスワード保管庫を窃取し、内側から正規アカウントとしてクラウドに接続して情報を吸い上げます。

ゼロデイのシナリオでは、公開直後の欠陥を突いてWAFを回避し、ファイル共有アプリにコマンドを注入、権限昇格と横展開からデータ庫へ到達します。

サプライチェーンでは、会計ソフトの更新を装った不正モジュールが社内に配布され、業務端末から静かにデータが送信され続けます。いずれも共通するのは、初期侵入の早期検知、影響範囲の迅速な特定、資格情報と共有の強制失効、復旧と再発防止のサイクルを組織的に回せるかどうかです。

企業が行うべき情報漏洩対策の見直し

実装の現実性を重視し、クラウド主体の中小〜中堅企業でも今日から回せる手順に落とし込みます。方針はシンプルです。まず既知のリスクを潰すための最新化と設定見直しを短期で実行します。次に、アカウント管理と多要素認証を全社で必須化し、例外をなくします。

並行して、教育を人任せにせず、送信前警告や自動暗号化などの仕組みに組み込みます。さらに、最小権限・ログ・バックアップ・ベンダー管理・行動分析を中期テーマとして設計し、インシデント対応の稼働訓練で機能の可用性を確認します。最後に、経営レベルでのリスク受容と継続的改善の枠組みを、ITと業務の双方で共有します。

利用システムを最新の状態に更新する

まずは既知の悪用済み脆弱性を最優先で潰します。Microsoft 365 や Google Workspace の管理センター、端末OS、VPN・UTM・NASなどのファームウェアに対し、更新方針を「毎月定例＋緊急即時」に切り替えます。優先度付けは、CISA が公開する Known Exploited Vulnerabilities（KEV）を基準に、実際に悪用されている欠陥から先に対応するのが効果的です。

クラウド側はベンダー更新が中心でも、認証連携やアドオンは自社責任での更新となる領域が残るため、対象資産の棚卸表を最新に保ち、リリースノートを購読する運用を定着させます。ゼロデイへの備えとしては、仮想パッチや公開範囲の一時縮小、影響サービスの段階的停止までを事前に決めておき、決断を早めます。

アカウント管理と多要素認証を徹底する

不正アクセスの大半はアカウントから始まります。全ユーザーに多要素認証を必須化し、管理者ロールは常時付与を避け、必要時のみ昇格する仕組みにします。フィッシングに強い認証（FIDO2 セキュリティキーやプッシュ認可の番号一致）を既定にし、SMSのみの認証は原則廃止します。

国内外からのアクセスや新しい端末・場所では追加認証を求める条件付きアクセスやコンテキスト認証を有効化し、旧式プロトコルは遮断します。退職・異動時は人事と連動した自動失効を必ず入れ、共有アカウントは廃止して個人に紐づけます。メール転送の外部宛てや不審アプリ同意を日次で検出し、ユーザー通知と強制取り消しを組み込みます。

社内教育を定着させる

教育は「一度学ぶ」から「日々守れる」に変えます。まず、宛先確認や外部送信の警告、添付ファイルの自動暗号化や社外宛ての件名付与など、操作時に学びを促す仕掛けを既定化します。次に、実メールに近い模擬フィッシングを月次で行い、個人を責めるのではなく、引っかかった操作を制度で防ぐ改善につなげます。

送信前の違和感を相談できる短い導線をTeamsやChatで用意し、早期相談を評価します。新入社員・異動者・委託先向けに、クラウドの共有ルール、持ち出しの可否、USB・私物端末の扱い、外部ストレージの利用可否を短い動画とクイズで反復します。中小企業向けに整備された国内の実務ガイドを土台に、会社の実情に合わせてテンプレート化しておくと運用が持続します。

権限設計・ログ監視・バックアップ・ベンダー管理・UEBA

最小権限は「読める人を減らす」だけでは機能しません。共有の所有者を明確にして期限付き付与を基本にし、部署やプロジェクトの終了時に自動剥奪します。ログは、認証、メール転送変更、外部共有の作成、ダウンロードの急増、特権昇格、アプリ同意を必須範囲として保存し、相関して検知します。

バックアップはオンラインのみだと攻撃者と同じ権限で消されるため、不変・オフライン・異なるアカウント管理の三層で復元性を確保します。ベンダー管理は、委託・SaaSの権限要求を棚卸し、最小化と定期レビュー、脆弱性対応のSLAと監査証跡を契約に織り込みます。

UEBA（行動分析）は、通常行動のベースラインを作り、大量ダウンロードや夜間アクセスの増加、権限要求の連続などの逸脱を早期に可視化します。これらの実装は、アクセス制御、監査、継続計画、サプライチェーン管理、監視という複数の管理策の組合せで成立し、フレームワークに沿って段階的に整備するのが現実的です。

まとめ

情報漏洩は、単発のミスや単一の欠陥ではなく、人・プロセス・技術の継ぎ目で起こります。中小〜中堅企業でも、まずは既知の脆弱性の迅速な修正、全社的な多要素認証の必須化、送信前警告や暗号化の既定化、期限付きの最小権限と自動剥奪、外部共有・転送の見える化を短期間で実行します。次に、監査ログと行動分析で早期検知の目を増やし、バックアップの不変化・隔離で復元性を担保します。

最後に、委託・SaaSを含むサプライチェーンの管理と、インシデント対応訓練を経営と現場で反復し、運用の落とし穴を減らしていきます。方針は難しくありません。既知を潰し、例外を減らし、仕組みに埋め込み、早く気づき、すぐ戻す。この順番で回すことが、過度な負担をかけずに漏洩リスクを下げる近道です。