従業員が使うPCの紛失リスクと情報漏洩対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

従業員が使うPCの紛失リスクと情報漏洩対策

2012/11/20


 2010年の情報漏洩事件による損害賠償総額は1899億7379万円、1件あたりの平均想定損害賠償額は1億2810万円にのぼる(JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編(PDF)」)。漏洩企業はこれに加えてさまざまな事後対応、専門家を交えた原因追及と再発防止策の策定、実行のために巨額な支出が必要になり、また社会的信用の低下も忍ばなければならない。周到なサイバー攻撃に遭ったならやむを得ないと諦めることもできようが、「PCの置き忘れ」のような凡ミスでは泣くに泣けまい。紛失・盗難を完璧に防ぐ方法はない。だからこそ、紛失・盗難と情報漏洩リスクを最低限にする対策が必要だ。今回は、特にPCなどの紛失・盗難リスクと事前あるいは予防対策・事後対策について考えてみる。

情報漏洩

電車の網棚への置き忘れ、車上荒らし、ひったくり…PC紛失の理由はさまざま

 「勤務している病院の自室からいつの間にか患者データが入ったPCがなくなっていた」「車上荒らしにあって顧客情報が保存されたPCがカバンごと盗まれた」「会社用業務データが入ったPCを路上でひったくられた」…。最近のPCの盗難事例は、誰にいつ盗られたのかわからない気味の悪いものもあれば、暴力的で防御のしようがないものもある。
 一方「泥酔して路上で眠っていたら会社用PCが入ったカバンが盗まれた」「電車の網棚にPCを置き忘れて自宅で気づいた」といった明らかに個人の不注意が原因の事件も多い。
 このように理由はさまざまでも、その如何を問わず「個人情報が流出」したら会社の管理責任が問われる。たとえ実被害がなくとも損害賠償民事訴訟が起こされれば賠償金を支払うことになる。上述のように1億円を超えるような支出にもなりかねない。また5000件以上の個人情報を持っている企業は個人情報保護法の対象になり、法的に情報管理義務を負う。流出時には報告義務があり、隠していると「6ヵ月以下の懲役または30万円以下の罰金」の刑事罰が科されることがある。当然社会的にも指弾されることになり、企業にとっては死活問題にもなりかねないリスクがある。
 国内の情報漏洩の状況はJNSA(日本ネットワークセキュリティ協会)が調査している。その最新調査の結果から情報漏洩した媒体の比率と情報漏洩原因、そして漏洩媒体(図1)を見てみよう。

図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編」より引用

 紛失・置き忘れによる情報漏洩件数は「誤操作」「管理ミス」の次に多い(13.7%)。ただし「紛失・置き忘れ」は外部で起きた場合のみを対象にしており、「社内や主要流通経路からの紛失」は「管理ミス」に含まれている。
 PCの紛失・置き忘れによる漏洩は4.4%、人数にして4万6152人(0.7%)で、例えば「不正アクセス」による数百万人規模にも達する漏洩事件の中にあっては目立たないものの、毎月必ずといってよいほど報道されている。
 またUSBメモリからの漏洩は相変わらず多く、10.1%を占めている。これは紙媒体からの流出の次に深刻だ。更に心配されるのは、PCやUSBメモリに保存されているのは個人情報に限らず、生データを加工して分かりやすくしたプレゼンテーション文書など、業務関連の重要文書もあると考えられることだ。何の保護対策も施されていなければ、悪意を持つ者はハッキング技術も何も必要なく、労せずして機密情報を入手できてしまう。逆に言えば、そもそもは他意なく拾ったPCなどでも、その中の機密情報を目にすることで悪意が芽生えることもないとはいえない。
 考えれば考えるほど寒気を覚えるが、いったいどのように対策をとればよいのだろうか。今回は「予防対策」「事後対策」の両面で考えてみる。


1

PCなどの紛失・盗難に備える「予防対策」

1-1

何はなくとも「持ち出し」ルールの確立、徹底

 個人情報保護法施行の頃(2005年)には「モバイルPC持ち出し禁止」「USBメモリ使用禁止」というルールを作り、一切会社外に持ち出さない対策を採った企業が多かった。なるほど安全ではあるが、これは現場で不評だったばかりでなく、これまで外回り営業や客先デモ、フィールドサービスなどを行ってきた企業では従来からの業務を継続するために部署やチームで特別ルールを作って一部の持ち出し利用を許すといった穴だらけの運用になりがちだった。また、個人所有のPCを代わりに利用したり、こっそりUSBメモリを使ったりといった、よりリスクの大きい行動を助長する面もあった。
 特にPCについては「持ち出し禁止」ルールを緩和し、より遵守しやすいルールへの改訂が必要だ。それには次のような施策が必要になる。

■外部記憶メディアは強制的な「使用禁止」を行うか、暗号機能付きメモリを個体管理したうえで利用

 USBメモリは紛失・盗難リスクと同時にウイルスを従業員のPCやネットワークに拡散させる場合があるため、現在でも完全に使用を禁止するケースが多い。USBメモリの使用禁止はOSの設定によって行えるほか、IT資産管理ツールの機能を使って全PCに禁止ポリシーを一括設定することもできるので比較的簡単だ。
 一部にどうしてもUSBメモリを使いたい部署があるという場合には、暗号化機能付きで、しかも個品の一元管理が行えるタイプの製品が使える。強制暗号化や特定PC以外での利用禁止、コピー制限、アンチウイルス、ログ管理などの機能が備えられたデバイスと管理ツールも市販されている。コストと勘案して導入したい。

■持ち出し可能PCにはBIOSパスワード、システムパスワード、HDDの暗号化を設定

 PCではBIOS、OSをパスワードで、HDDを暗号化で保護できる。PCを発見・入手した第三者は悪意がなくとも必ず中味を見ようとすると考えたほうがよい。その時に大事な情報を見られないようにすることに意味がある。プロの手にかかれば「どうせパスワードは破られる」と考えるのは正しいかもしれないが、PC拾得者のほとんどは一般人のはず。完全でないからといってパスワードを利用しないのは間違いだ。

■PC持ち出しを申請承認制にして利用状況を管理

 PCを持ち出す場合には、上長や管理部門などの承認を得るルールを策定すべきだ。誰が、どのPCを、どの時間帯に、どこで利用したかが、すぐに分かり、あとから追跡できるようにしておく必要がある。可能なら、持ち出しPCの内容をすべて記録し管理するのが望ましい。これは非常に負荷が大きい仕事だが(毎回システムのバックアップイメージからクリーンインストールし直す方法が効果的であるがOSやアプリケーションの脆弱性の存在に注意されたい)、内容が管理された持ち出し用PCを社内用とは別に用意して、持ち出し申請〜返却までのワークフローシステムを作ることはそう難しくないだろう。持ち出し前に本人が加えた情報は何かが分かれば、後の対応がスムーズになる。

セキュリティ情報局にご登録頂いた方限定で「従業員が使うPCの紛失リスクと情報漏洩対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/従業員が使うPCの紛失リスクと情報漏洩対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

機密情報ファイルの漏洩対策 DataClasys(データクレシス) 【ネスコ】 クラウド型Webフィルタリングサービス InterSafe CATS 【アルプス システム インテグレーション】 ビジネスWebメールソリューション「Active! mail」 【クオリティア】
暗号化 フィルタリング 電子メール
様々なファイルの暗号化・利用権限設定により、情報漏洩を防止するDRM・IRM製品。権限者は暗号化したまま通常操作で利用可能。海外拠点からの二次漏洩も防止できる。 クラウド型だから、初期投資が不要で運用管理もラク
マルチデバイスにWebフィルタリングをかけ、不要or危険サイトへのアクセスを制限し、ウイルス感染や情報漏洩を防止
Webブラウザ上でメールを送受信するAjax採用Webメールソフト
◎安全/利便/操作性を兼備
◎メールサーバに対して画面表示用のゲートウェイとして働き、利用環境を選ばない

情報漏洩」関連の特集


ノートPCの盗難・紛失による情報漏洩が社会問題になっています。今回はこうした問題を解決するHDD暗号…



LSI製造プロセスで生まれる超微細な個体差を暗号鍵に利用する「LSI個体差暗号技術」。画期的な暗号技…



PCを統合管理して情報漏洩や個人情報保護などのセキュリティ対策に役立つ「シンクライアント」を動画でわ…


情報漏洩」関連のセミナー

高度化するサイバー攻撃から会社を守れ!セキュリティ対策セミナ 【ディーアイエスソリューション/エムオーテックス/Cylance Japan/シスコシステムズ】 締切間近 

開催日 9月22日(金)   開催地 東京都   参加費 無料

【小さな会社のIT担当者のためのセキュリティの常識】の執筆者、船井総合研究所の那須慎二氏登壇決定!・何故サイバー攻撃とそれによる被害は増え続けているのか。これか…

Email Security Conference 2017 東京 【ナノオプト・メディア】 注目 

開催日 9月27日(水)〜9月29日(金)   開催地 東京都   参加費 無料

  「標的型攻撃」「ランサムウェア」「情報漏洩」、「脆弱性対策」など  多様化するサイバー攻撃の最新の脅威動向とその対策について、数々の事例を元に解説します。━…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 10月5日(木),11月2日(木),12月6日(水)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005179


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ