PCの紛失、置き忘れ、盗難…事後の対策は?

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

PCの紛失、置き忘れ、盗難…事後の対策は?

2010/07/06


 CDわずか3枚にコピーされた個人情報が流出して、会社が被った損害は70億円。昨年の某金融機関での個人情報漏洩事件はまだ記憶に新しい。手元のモバイルPCにはその何倍の情報量が記録できるだろうか。流出情報量と影響の深刻さが比例するわけではないが、膨大な量の情報を持ち歩けるモバイルPCには、紛失や置き忘れ、盗難・ひったくりなどによって内部の情報が流出・悪用される可能性が常につきまとう。とはいえ、営業活動などの生産性や効率のためにPCの社外持ち出しを完全にストップするのは難しい。今回は、業務効率や生産性を維持・向上させながら、紛失や置き忘れ、盗難等による情報漏洩を引き起こすリスクを最大限に低下させるための対策を考えてみたい。まずは「ケースファイル」を手がかりに、紛失/盗難事故が起きた際の対応はどうあるべきかから考えていく。

PCの置き忘れによる情報漏洩

#018

数秒の出来事で莫大なコストと信頼感損失に発展!

 「今日の仕事はこれで終了!」すっかり暗くなった出先の駅前の喫茶店で、A商事会社のF課長代理は自前のノートPCで営業報告書を作成し終えた。今日最後の訪問先の顧客との打合せにはずいぶん時間がかかった。すでに午後7時半を回っている。今日の営業報告書は今日の午後8時までに社内のファイルサーバに保存しなければならない。それが社内のルールになっていた。会社の自分用ノートPCもあるのだが、社外への持ち出しは厳禁というルールがあるので、遠方の顧客先への訪問時にはいつも自前のノートPCを持って出ることにしている。

 F氏はまとめた報告書をそのまま社内サーバに送信し、ひと息ついた。あとは電車に乗って自宅に帰るだけ。最寄りの駅から電車に乗り、ノートPCはカバンごと網棚に載せて、自宅近くの駅まで読書をして過ごした。熱中して読んでいるうちに自宅の最寄り駅に到着。あわてて扉から駆け出たF氏。電車が発車したすぐあとにF氏は気がついた。
 「カバンがない!」電車の網棚にノートPCの入ったカバンを置き忘れてしまったのだ。真っ青になったF氏はすぐに駅員に事情を話し、カバンの捜索をしてもらったものの、カバンは発見できなかった。F氏は震える手で携帯電話から営業部長に連絡をとった。
 すでに夜間になっているにもかかわらず、A社では緊急対策会議が開かれた。F氏のPCにはどんな情報が入っていたのか。どのような形で保存されていたのか、予想される二次被害の範囲や深刻度はいかほどか…。しかし、F氏の自前のPCの内容を会社ではまったく把握できておらず、確かな答えは出なかった。すぐ後にF氏の記憶によってある程度までPCに保存されていた情報の内容がわかったものの、顧客などの関連先に関する機密情報がどれだけ保存されていたかは明確にできず、確実な影響範囲の特定はできなかった。
 結局、A社はPC紛失の事実と情報漏洩の可能性について、すべての顧客やパートナー企業に対して謝罪し、起こりうる二次被害の可能性と対策のお願いを行うことにした。監督官庁に対しても、各官庁のガイドラインに応じた届出を行い、自社Webサイトにもお詫びと対策のお願い、二次被害が生じた場合の対応などについてのページを設けた。さらにマスメディア向けにニュースリリースを作成して送付を行った。問い合わせ対応のためのチームも編成し、問い合わせやクレームの電話やメールなどに対応できるようにした。公表直後から、対応チームは昼夜を問わず忙殺されることになった。
 ほんの数秒の出来事が、莫大なコストと業務時間・人員のロスを引き起こした。さらに企業ブランドと信頼感に大きく傷がつき、今後の事業への影響も懸念される状況だ。

(ケースファイルはIPAの公表資料をもとにキーマンズネットが作成)




1

外部に持ち出すPCには「紛失」「置き忘れ」「盗難」がつきもの

1-1

絶え間なく公表/報道されているPC紛失・盗難事例

 ケースファイルのように、電車の中でノートPCをカバンごと置き忘れた事例は決して珍しいものではない。最近の例では次のようなものがある。

図書館システムの構築・保守・管理受託業者の社員が、図書館利用者の個人情報(11件)やシステム構築に利用された画像データなどが入ったノートPCをカバンに入れ、電車内で居眠りをしているときに盗難に遭った。本来は消去すべきデータがノートPCに消し忘れで残っていた。(2010年5月)

地方自治体職員が研修からの帰宅途上で食品に関する苦情の通報者名や調査施設名などの情報が入ったノートPCをカバンに入れて電車の網棚に置いておいたところ、移動途中で紛失に気づいた。(2010年3月)

セキュリティ情報局にご登録頂いた方限定で「PCの紛失、置き忘れ、盗難…事後の対策は?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


PCの置き忘れによる情報漏洩/PCの紛失、置き忘れ、盗難…事後の対策は?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「PCの置き忘れによる情報漏洩」関連情報をランダムに表示しています。

「その他エンドポイントセキュリティ関連」関連の製品

Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】 クラウド型セキュリティサービス InterSafe GatewayConnection 【アルプス システム インテグレーション】 接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。 クラウドゲートウェイで多層防御を実現するWebセキュリティサービス。振る舞い検知を含む脅威インテリジェンスを活用した通信遮断とWebフィルタリングをクラウドで提供。 デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。

「その他エンドポイントセキュリティ関連」関連の特集


悪質パケットが飛び交うネット社会のありさまをリアルタイムに観測!対サイバー攻撃アラートシステム「DA…



 前回は、管理者が脆弱性対策情報を収集する方法について紹介した。脆弱性対策情報は収集されるだけでなく…



 前回は、情報処理推進機構(IPA)に届け出られた地方公共団体のシステムにかかる脆弱性の傾向と、地方…


「その他エンドポイントセキュリティ関連」関連のセミナー

情報セキュリティファンデーション試験対策研修 【IT&ストラテジーコンサルティング】 締切間近 

開催日 1月19日(木),3月14日(火)   開催地 東京都   参加費 有料 5万3136円(税込)

本研修は、ITプロフェッショナル(もしくは同等の知識をお持ちの方)向けに、情報セキュリティマネジメントシステム(ISMS)に関する国際規格ISO/IEC 270…

HSMまるわかりセミナー 【マクニカネットワークス】  

開催日 3月14日(火)   開催地 東京都   参加費 無料

暗号鍵管理の手法としては、暗号鍵のアクセス制限や暗号鍵自体の暗号化・定期更新などソフトウエア上の対策がありますが、それだけでは限界があります。例えば、データベー…

セキュリティフェア in 中部 【NECネクサソリューションズ/日本電気】  

開催日 3月10日(金)   開催地 愛知県   参加費 無料

標的型攻撃や内部情報漏えい等のインシデント発生は拡大を続けており、どの企業・団体でも起こりうる身近なリスクです。 安心して業務を継続するためのセキュリティ対策を…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003668


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ