従業員が使うPCの紛失リスクと情報漏洩対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

従業員が使うPCの紛失リスクと情報漏洩対策

2012/11/20


 2010年の情報漏洩事件による損害賠償総額は1899億7379万円、1件あたりの平均想定損害賠償額は1億2810万円にのぼる(JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編(PDF)」)。漏洩企業はこれに加えてさまざまな事後対応、専門家を交えた原因追及と再発防止策の策定、実行のために巨額な支出が必要になり、また社会的信用の低下も忍ばなければならない。周到なサイバー攻撃に遭ったならやむを得ないと諦めることもできようが、「PCの置き忘れ」のような凡ミスでは泣くに泣けまい。紛失・盗難を完璧に防ぐ方法はない。だからこそ、紛失・盗難と情報漏洩リスクを最低限にする対策が必要だ。今回は、特にPCなどの紛失・盗難リスクと事前あるいは予防対策・事後対策について考えてみる。

情報漏洩

電車の網棚への置き忘れ、車上荒らし、ひったくり…PC紛失の理由はさまざま

 「勤務している病院の自室からいつの間にか患者データが入ったPCがなくなっていた」「車上荒らしにあって顧客情報が保存されたPCがカバンごと盗まれた」「会社用業務データが入ったPCを路上でひったくられた」…。最近のPCの盗難事例は、誰にいつ盗られたのかわからない気味の悪いものもあれば、暴力的で防御のしようがないものもある。
 一方「泥酔して路上で眠っていたら会社用PCが入ったカバンが盗まれた」「電車の網棚にPCを置き忘れて自宅で気づいた」といった明らかに個人の不注意が原因の事件も多い。
 このように理由はさまざまでも、その如何を問わず「個人情報が流出」したら会社の管理責任が問われる。たとえ実被害がなくとも損害賠償民事訴訟が起こされれば賠償金を支払うことになる。上述のように1億円を超えるような支出にもなりかねない。また5000件以上の個人情報を持っている企業は個人情報保護法の対象になり、法的に情報管理義務を負う。流出時には報告義務があり、隠していると「6ヵ月以下の懲役または30万円以下の罰金」の刑事罰が科されることがある。当然社会的にも指弾されることになり、企業にとっては死活問題にもなりかねないリスクがある。
 国内の情報漏洩の状況はJNSA(日本ネットワークセキュリティ協会)が調査している。その最新調査の結果から情報漏洩した媒体の比率と情報漏洩原因、そして漏洩媒体(図1)を見てみよう。

図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編」より引用

 紛失・置き忘れによる情報漏洩件数は「誤操作」「管理ミス」の次に多い(13.7%)。ただし「紛失・置き忘れ」は外部で起きた場合のみを対象にしており、「社内や主要流通経路からの紛失」は「管理ミス」に含まれている。
 PCの紛失・置き忘れによる漏洩は4.4%、人数にして4万6152人(0.7%)で、例えば「不正アクセス」による数百万人規模にも達する漏洩事件の中にあっては目立たないものの、毎月必ずといってよいほど報道されている。
 またUSBメモリからの漏洩は相変わらず多く、10.1%を占めている。これは紙媒体からの流出の次に深刻だ。更に心配されるのは、PCやUSBメモリに保存されているのは個人情報に限らず、生データを加工して分かりやすくしたプレゼンテーション文書など、業務関連の重要文書もあると考えられることだ。何の保護対策も施されていなければ、悪意を持つ者はハッキング技術も何も必要なく、労せずして機密情報を入手できてしまう。逆に言えば、そもそもは他意なく拾ったPCなどでも、その中の機密情報を目にすることで悪意が芽生えることもないとはいえない。
 考えれば考えるほど寒気を覚えるが、いったいどのように対策をとればよいのだろうか。今回は「予防対策」「事後対策」の両面で考えてみる。


1

PCなどの紛失・盗難に備える「予防対策」

1-1

何はなくとも「持ち出し」ルールの確立、徹底

 個人情報保護法施行の頃(2005年)には「モバイルPC持ち出し禁止」「USBメモリ使用禁止」というルールを作り、一切会社外に持ち出さない対策を採った企業が多かった。なるほど安全ではあるが、これは現場で不評だったばかりでなく、これまで外回り営業や客先デモ、フィールドサービスなどを行ってきた企業では従来からの業務を継続するために部署やチームで特別ルールを作って一部の持ち出し利用を許すといった穴だらけの運用になりがちだった。また、個人所有のPCを代わりに利用したり、こっそりUSBメモリを使ったりといった、よりリスクの大きい行動を助長する面もあった。
 特にPCについては「持ち出し禁止」ルールを緩和し、より遵守しやすいルールへの改訂が必要だ。それには次のような施策が必要になる。

■外部記憶メディアは強制的な「使用禁止」を行うか、暗号機能付きメモリを個体管理したうえで利用

 USBメモリは紛失・盗難リスクと同時にウイルスを従業員のPCやネットワークに拡散させる場合があるため、現在でも完全に使用を禁止するケースが多い。USBメモリの使用禁止はOSの設定によって行えるほか、IT資産管理ツールの機能を使って全PCに禁止ポリシーを一括設定することもできるので比較的簡単だ。
 一部にどうしてもUSBメモリを使いたい部署があるという場合には、暗号化機能付きで、しかも個品の一元管理が行えるタイプの製品が使える。強制暗号化や特定PC以外での利用禁止、コピー制限、アンチウイルス、ログ管理などの機能が備えられたデバイスと管理ツールも市販されている。コストと勘案して導入したい。

■持ち出し可能PCにはBIOSパスワード、システムパスワード、HDDの暗号化を設定

 PCではBIOS、OSをパスワードで、HDDを暗号化で保護できる。PCを発見・入手した第三者は悪意がなくとも必ず中味を見ようとすると考えたほうがよい。その時に大事な情報を見られないようにすることに意味がある。プロの手にかかれば「どうせパスワードは破られる」と考えるのは正しいかもしれないが、PC拾得者のほとんどは一般人のはず。完全でないからといってパスワードを利用しないのは間違いだ。

■PC持ち出しを申請承認制にして利用状況を管理

 PCを持ち出す場合には、上長や管理部門などの承認を得るルールを策定すべきだ。誰が、どのPCを、どの時間帯に、どこで利用したかが、すぐに分かり、あとから追跡できるようにしておく必要がある。可能なら、持ち出しPCの内容をすべて記録し管理するのが望ましい。これは非常に負荷が大きい仕事だが(毎回システムのバックアップイメージからクリーンインストールし直す方法が効果的であるがOSやアプリケーションの脆弱性の存在に注意されたい)、内容が管理された持ち出し用PCを社内用とは別に用意して、持ち出し申請〜返却までのワークフローシステムを作ることはそう難しくないだろう。持ち出し前に本人が加えた情報は何かが分かれば、後の対応がスムーズになる。

セキュリティ情報局にご登録頂いた方限定で「従業員が使うPCの紛失リスクと情報漏洩対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/従業員が使うPCの紛失リスクと情報漏洩対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

日配食品業向け販売管理システム SkynetDish 【東計電算】 オンプレミス型ビジネスチャットシステム 【ChatLuck】 【ネオジャパン】 サーバアクセスログ『ALog ConVerter』 【網屋】
販売管理システム 社内SNS 統合ログ管理
日配食品業の業務や商慣習に対応した「販売管理」「購買管理」「製造管理」「在庫管理」を1システムで提供。情報の見える化、合理的かつ効率的な情報管理を実現する。 オンプレミス型のビジネス向けチャットシステム。チャットアプリを中心にリアルタイムかつ効率的なコミュニケーションを実現。セキュリティなどビジネスに必要な機能を搭載 重要データへのアクセス記録をエージェントレスで取得する製品。重要データが格納されるサーバ側からログを取得するため、低コストで効率的なログ管理を実現可能に。

情報漏洩」関連の特集


近年、サイバー攻撃や内部者のミス、または故意による情報流出事件が世間を賑わせている。個人情報漏洩事故…



メールを取り巻く脅威から企業を守る、メールフィルタリングツール。今回は、脅威を整理しながら、その最新…



こんにちは。吉政創成の吉政でございます。今回の「見落としがちなマイナンバーのこと」は前回に続き、鈴与…


情報漏洩」関連のセミナー

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【エヌ・ティ・ティ・ソフトウェア】  

開催日 11月17日(木),12月15日(木),1月19日(木),2月16日(木),3月9日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

従来のセキュリティ対策を超えて 【日立ソリューションズ】  

開催日 12月9日(金)   開催地 大阪府   参加費 無料

クラウドサービスの普及により、これまでのように情報システム部門でネットワークをすべて管理することは非常に困難となっています。従来のセキュリティ対策では、クラウド…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005179


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ