従業員が使うPCの紛失リスクと情報漏洩対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

従業員が使うPCの紛失リスクと情報漏洩対策

2012/11/20


 2010年の情報漏洩事件による損害賠償総額は1899億7379万円、1件あたりの平均想定損害賠償額は1億2810万円にのぼる(JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編(PDF)」)。漏洩企業はこれに加えてさまざまな事後対応、専門家を交えた原因追及と再発防止策の策定、実行のために巨額な支出が必要になり、また社会的信用の低下も忍ばなければならない。周到なサイバー攻撃に遭ったならやむを得ないと諦めることもできようが、「PCの置き忘れ」のような凡ミスでは泣くに泣けまい。紛失・盗難を完璧に防ぐ方法はない。だからこそ、紛失・盗難と情報漏洩リスクを最低限にする対策が必要だ。今回は、特にPCなどの紛失・盗難リスクと事前あるいは予防対策・事後対策について考えてみる。

情報漏洩

電車の網棚への置き忘れ、車上荒らし、ひったくり…PC紛失の理由はさまざま

 「勤務している病院の自室からいつの間にか患者データが入ったPCがなくなっていた」「車上荒らしにあって顧客情報が保存されたPCがカバンごと盗まれた」「会社用業務データが入ったPCを路上でひったくられた」…。最近のPCの盗難事例は、誰にいつ盗られたのかわからない気味の悪いものもあれば、暴力的で防御のしようがないものもある。
 一方「泥酔して路上で眠っていたら会社用PCが入ったカバンが盗まれた」「電車の網棚にPCを置き忘れて自宅で気づいた」といった明らかに個人の不注意が原因の事件も多い。
 このように理由はさまざまでも、その如何を問わず「個人情報が流出」したら会社の管理責任が問われる。たとえ実被害がなくとも損害賠償民事訴訟が起こされれば賠償金を支払うことになる。上述のように1億円を超えるような支出にもなりかねない。また5000件以上の個人情報を持っている企業は個人情報保護法の対象になり、法的に情報管理義務を負う。流出時には報告義務があり、隠していると「6ヵ月以下の懲役または30万円以下の罰金」の刑事罰が科されることがある。当然社会的にも指弾されることになり、企業にとっては死活問題にもなりかねないリスクがある。
 国内の情報漏洩の状況はJNSA(日本ネットワークセキュリティ協会)が調査している。その最新調査の結果から情報漏洩した媒体の比率と情報漏洩原因、そして漏洩媒体(図1)を見てみよう。

図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
図1 漏洩原因比率(件数・人数)と漏洩媒体・経路(件数)
JNSA「2011年情報セキュリティインシデントに関する調査報告書〜個人情報漏洩編」より引用

 紛失・置き忘れによる情報漏洩件数は「誤操作」「管理ミス」の次に多い(13.7%)。ただし「紛失・置き忘れ」は外部で起きた場合のみを対象にしており、「社内や主要流通経路からの紛失」は「管理ミス」に含まれている。
 PCの紛失・置き忘れによる漏洩は4.4%、人数にして4万6152人(0.7%)で、例えば「不正アクセス」による数百万人規模にも達する漏洩事件の中にあっては目立たないものの、毎月必ずといってよいほど報道されている。
 またUSBメモリからの漏洩は相変わらず多く、10.1%を占めている。これは紙媒体からの流出の次に深刻だ。更に心配されるのは、PCやUSBメモリに保存されているのは個人情報に限らず、生データを加工して分かりやすくしたプレゼンテーション文書など、業務関連の重要文書もあると考えられることだ。何の保護対策も施されていなければ、悪意を持つ者はハッキング技術も何も必要なく、労せずして機密情報を入手できてしまう。逆に言えば、そもそもは他意なく拾ったPCなどでも、その中の機密情報を目にすることで悪意が芽生えることもないとはいえない。
 考えれば考えるほど寒気を覚えるが、いったいどのように対策をとればよいのだろうか。今回は「予防対策」「事後対策」の両面で考えてみる。


1

PCなどの紛失・盗難に備える「予防対策」

1-1

何はなくとも「持ち出し」ルールの確立、徹底

 個人情報保護法施行の頃(2005年)には「モバイルPC持ち出し禁止」「USBメモリ使用禁止」というルールを作り、一切会社外に持ち出さない対策を採った企業が多かった。なるほど安全ではあるが、これは現場で不評だったばかりでなく、これまで外回り営業や客先デモ、フィールドサービスなどを行ってきた企業では従来からの業務を継続するために部署やチームで特別ルールを作って一部の持ち出し利用を許すといった穴だらけの運用になりがちだった。また、個人所有のPCを代わりに利用したり、こっそりUSBメモリを使ったりといった、よりリスクの大きい行動を助長する面もあった。
 特にPCについては「持ち出し禁止」ルールを緩和し、より遵守しやすいルールへの改訂が必要だ。それには次のような施策が必要になる。

■外部記憶メディアは強制的な「使用禁止」を行うか、暗号機能付きメモリを個体管理したうえで利用

 USBメモリは紛失・盗難リスクと同時にウイルスを従業員のPCやネットワークに拡散させる場合があるため、現在でも完全に使用を禁止するケースが多い。USBメモリの使用禁止はOSの設定によって行えるほか、IT資産管理ツールの機能を使って全PCに禁止ポリシーを一括設定することもできるので比較的簡単だ。
 一部にどうしてもUSBメモリを使いたい部署があるという場合には、暗号化機能付きで、しかも個品の一元管理が行えるタイプの製品が使える。強制暗号化や特定PC以外での利用禁止、コピー制限、アンチウイルス、ログ管理などの機能が備えられたデバイスと管理ツールも市販されている。コストと勘案して導入したい。

■持ち出し可能PCにはBIOSパスワード、システムパスワード、HDDの暗号化を設定

 PCではBIOS、OSをパスワードで、HDDを暗号化で保護できる。PCを発見・入手した第三者は悪意がなくとも必ず中味を見ようとすると考えたほうがよい。その時に大事な情報を見られないようにすることに意味がある。プロの手にかかれば「どうせパスワードは破られる」と考えるのは正しいかもしれないが、PC拾得者のほとんどは一般人のはず。完全でないからといってパスワードを利用しないのは間違いだ。

■PC持ち出しを申請承認制にして利用状況を管理

 PCを持ち出す場合には、上長や管理部門などの承認を得るルールを策定すべきだ。誰が、どのPCを、どの時間帯に、どこで利用したかが、すぐに分かり、あとから追跡できるようにしておく必要がある。可能なら、持ち出しPCの内容をすべて記録し管理するのが望ましい。これは非常に負荷が大きい仕事だが(毎回システムのバックアップイメージからクリーンインストールし直す方法が効果的であるがOSやアプリケーションの脆弱性の存在に注意されたい)、内容が管理された持ち出し用PCを社内用とは別に用意して、持ち出し申請〜返却までのワークフローシステムを作ることはそう難しくないだろう。持ち出し前に本人が加えた情報は何かが分かれば、後の対応がスムーズになる。

セキュリティ情報局にご登録頂いた方限定で「従業員が使うPCの紛失リスクと情報漏洩対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/従業員が使うPCの紛失リスクと情報漏洩対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

クラウド型Webフィルタリングサービス InterSafe CATS 【アルプス システム インテグレーション】 IT資産管理ソフトSS1<System Support best1> 【ディー・オー・エス】 ネットワーク分離ソリューション 【アクシオ】
フィルタリング IT資産管理 その他ネットワークセキュリティ関連
クラウド型だから、初期投資が不要で運用管理もラク
マルチデバイスにWebフィルタリングをかけ、不要or危険サイトへのアクセスを制限し、ウイルス感染や情報漏洩を防止
IT機器などの最新情報をリアルタイムに把握・可視化し、資産・セキュリティ・ログの管理を効率化する。新機能のソフトウェア資産管理機能でコンプライアンス強化も支援。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。

情報漏洩」関連の特集


メルマガはユーザサポートとして役立つだけでなく、新規顧客の獲得や新製品・新サービスの宣伝・告知手段と…



なぜ、今伸びているのか?“ドキュメントスキャナ”の市場動向から何が解る!?基本機能から最新動向、活用…



 近年、セキュリティの必要性は、多くの場面で言われており、情報システムを考える際には不可欠な要素とな…


情報漏洩」関連のセミナー

体験談!生産性を向上させる働き方改革 【日本事務器/エムオーテックス】  

開催日 2月6日(火)   開催地 東京都   参加費 無料

生産性向上を目指し、今や多くの企業がICTを活用したテレワークの導入を進めています。その一方で、企業の情報を狙う攻撃も、その手口は益々巧妙になりテレワークの導入…

2018年を大予測、複雑化するランサムウェアから会社を守れ! 【スターティア】  

開催日 2月2日(金)   開催地 東京都   参加費 無料

【こんな方にオススメ!】・セキュリティ対策の投資に優先順位付けをしたい・自社でセキュリティ事故や情報漏洩の経験を持つ・効率よく、2018年のセキュリティ対策の情…

データ消去ソフト サーバーディスクシュレッダー 製品セミナー 【パーソナルメディア】  

開催日 1月17日(水),1月31日(水),2月14日(水),2月28日(水)   開催地 東京都   参加費 無料

データ消去ソフト「サーバーディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいた…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005179


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ