情報漏洩を“起きてから”で終わらせない：把握と可視化の技術

4-1. なぜ情報漏洩対策は把握から始まるのか

「守るべきものがわからない」状態では、どんな高価なツールも効果が出ません。
被害の大半は“設定や運用の穴”から発生しますが、その穴を塞ぐ順序は資産とデータの把握が決めます。
把握ができれば、共有の既定値を変える、監査ログを見る、バックアップ対象を絞るなど、安くて効く手を選べます。
逆に把握のない対策は、運用が続かず現場の反発を招きます。

4-2. データ資産の棚卸し手順

ステップ1 資産カテゴリを決める
売上に直結する業務データ、個人情報、機微情報、知財・設計図、経営情報、メール・チャットの6分類で洗い出します。

ステップ2 1行台帳で書き出す
「どこに」「何が」「誰が」「誰と共有」を1行で記録します。
例:「会計SaaS 請求書PDF 経理部 取引先A社外共有あり」。
30分×各部門で十分に始められます。

ステップ3 危険タグを付ける
社外共有あり ダウンロード可 期限なし 退職者関与 監査ログなし の5つを“赤タグ”に。
赤タグの数が多い場所が最初の改善候補です。

ステップ4 所有者を決める
フォルダやスペースごとにデータオーナーを1名指名。
整理や権限の最終判断者を明確にします。

4-3. データ分類と取り扱いルール

分類レベル
– 橙 機密 会社の存続に関わる情報 例 設計図 原価表 個人番号
– 黄 社外秘 取引先に関する非公開情報 例 見積 契約交渉メール
– 青 社内 社員向け通達や議事録
– 白 公開 公式サイトや採用情報など

取り扱い原則
– 橙は社外共有禁止 透かし 表示のみ ダウンロード不可を標準に
– 黄は期限付き共有のみ 可視化のため共有先にラベル付与
– 全レベルで既定の共有は社内のみに設定 公開リンクは承認制に
– メール添付は原則禁止 URL共有へ切替 履歴と失効を活用

4-4. 流出の主要経路と検知ポイント

メール 取引先なりすましや自動転送ルールの悪用が典型。
→ 新規転送ルール作成を即通知。
外部宛大量送信にしきい値を設定。
クラウドストレージ パブリックリンクや社外共有の放置。
→ 組織全体の共有リンクを月次棚卸。
期限なしを検出したら自動失効。
端末 USB持ち出し 大量削除 大量暗号化。
→ 大量IOとプロセス異常をEDRで検知。
重要フォルダはごみ箱を経由させる設定に。
ブラウザ 拡張機能や未承認SaaSへのアップロード。
→ 高権限拡張をブロック 許可カタログ方式で統制。
生成AI 機密の貼り付け。
→ 利用方針を明文化 入力禁止情報の例示と社内ガイドを配布。
物理 誤配送 印刷物の放置。
→ 宛先の二者確認 重要書類は封緘＋回収ボックス。

4-5. 早期検知の仕組みづくり

– 見るイベントの定義 メール転送ルール作成 短時間の多拠点ログイン 外部共有作成 退職者のログイン試行 管理者権限追加 APIトークン発行
– しきい値設計 大量ダウンロード 大量削除 大容量添付送信の閾値をサービスごとに決める
– 通知経路 セキュリティ専用チャンネルに集約 自動でチケット化 期日と担当を付与
– 可観測性 監査ログは最低90日 可能なら180日保持 ダッシュボードで週次サマリを共有

4-6. 封じ込めと初動対応プレイブック

0分 受付 連絡窓口は1本化 チャットか電話のどちらかに統一して迷子をなくす
15分 切り分け 影響範囲を仮置き アカウント単位 共有リンク単位 端末単位で分類
30分 封じ込め アカウント強制サインアウト パスワードリセット 二要素再登録 転送ルール削除 共有リンク一括失効
60分 証跡保全 監査ログと管理画面の状態をエクスポート 画面キャプチャ 保存先は専用リポジトリに限定
120分 関係者連絡 経営 情シス 部門責任者 法務 取引先へ段階連絡 原因未確定でも事実ベースで速報
24時間 影響再評価 復旧方針の確定と再発防止の一次案を提示 リストア試験の有無を経営に報告

4-7. 監査と証跡運用

– 作業前後の状態差分を必ず保存 誰が いつ 何を どこで を1行で記録
– 監査ログの改ざんリスクを避けるため 別ストレージにエクスポートして保全
– 年2回の机上監査を実施 プレイブックの手順を読み上げながら記録の有無を確認
– 取引先提出用に「MFA必須化 ストレージ共有既定OFF 監査ログ保持90日以上」の運用証跡パッケージを用意

4-8. 30日プラン 把握→可視化→検知→封じ込め

Week1 把握 部門ごとに30分ワークで1行台帳を作成 赤タグ付け 上位10件を選定
Week2 可視化 共有既定を社内のみへ変更 外部共有の期限一括付与 ダッシュボードの雛形を作成
Week3 検知 見るイベントとしきい値を設定 通知をセキュリティチャンネルに集約 週次サマリ開始
Week4 封じ込め プレイブックで机上演習を実施 共有リンクの一括失効手順を確認 退職者の棚卸を完了

4-9. よくある失敗と回避策

– 分類が細かすぎて進まない → まずは4段階 基準は「社外共有の可否」と「ダウンロード可否」だけで良い
– オーナー不在で決められない
→ 各スペースの最終意思決定者を明示 代理不可を原則に
– 通知が多すぎて誰も見ない
→ 週次サマリを1枚に集約 重大イベントだけ即時通知に
– 対策が続かない
→ 毎週の「できたこと」を共有 小さな達成を社内で可視化