テレワークの拡大によって情報漏えいリスクが拡大。持ち出しPCの適切な対策とは?

テレワークの拡大によって情報漏えいリスクが拡大。持ち出しPCの適切な対策とは?

インターネットが普及したことにより様々なサービスが提供され、あらゆる行動ひとつひとつが短縮あるいは簡略化されるようになりました。仕事の形態もそのうちのひとつです。今までは電車やバスに乗り、会社まで行かなければ業務に取り掛かることができなかったものが、インターネットやデバイスの進化に伴い在宅ワークやリモートワークなど、業務の場所を選ばない働き方が広まりつつあります。

国会で働き方改革関連法案が可決したことからも、この広まりは継続していき、在宅ワークやリモートワークなどは、今後当たり前になっていくと考えられます。しかし遠隔地で業務をする場合に決して避けて通れないのが「PC 持ち出しによる情報漏えいのリスク」です。時間や場所を選ばない柔軟な働き方を導入・実現する上で、情報システム部門はこれらの問題について考えなければいけません。よって今回はPCの持ち出しによる情報漏えいのリスクと対策について考えていきます。

【1】PC持ち出しによる情報漏えいの原因と対策

企業規模にかかわらず情報漏えいが身近で起こっていることだと認識するため、過去の事例をいくつか紹介します。

PC端末の紛失・盗難の事例と対策

2018年6月26日に、久留米大学の教員が研修先のドイツのホテル内にて業務用PCが盗まれたとのニュースがありました。盗まれたPCには、学生や大学院生の氏名・学籍番号・メールアドレスが含まれた個人情報データが保存されていました。このような盗難・紛失への対策として、ハードディスク全体を暗号化しておくなど、万が一事故が発生しても簡単には復号化できないツールを導入しておくことが重要です。

重要情報の漏えいの事例と対策

一例として、クレジットカードの情報が盗まれて偽造され、犯罪グループに売られるケースが多く発生しています。これは脆弱性のあるアプリや無線LAN を使用した場合に、犯人が足跡を残さずに誰にも気づかれないまま情報を盗むという不正アクセスから生じています。このようなことを避けるために、管理外のデバイスが無線LAN経由で自社のネットワークに接続されるのを防ぐという対応や、認証したIPアドレス以外のデバイスからのアクセスを拒否するようなフィルタリングの設定が必要です。

不正侵入・踏み台の事例と対策

ある地方自治体のホームページに、脅迫的な書き込みをした人が威力妨害の容疑で逮捕されました。しかし、実際には逮捕された人のPCが乗っ取られており、その人が書き込んだかの様に見せかける「踏み台攻撃」が原因だったのです。踏み台攻撃の原因は、主にウィルス感染です。そのため社内で使用されるPCだけでなく、社外に持ち出されるPCにも一元的な「ウィルス対策ソフト」導入や「パッチ管理」が必要です。

これらのような情報漏えいを防ぐためには、「ルール」「人」「技術」の三位-体のバランスがとれた対策が重要です。どこか一箇所でもうまくいかないと、PCを持ち出すことの便利さよりもリスクの方が高くなってしまいます。ルール・人・技術が上手く補完し合いながら全体のセキュリティレベルを落とさないようにして、社外でも安心な仕事環境を用意することが必要です。

【2】情シスは、安全で円滑な社員間のやり取りをサポートすることも役割

PC持ち出しを許可したとしても、各社員が離れた場所からでも、円滑にコミュニケーションを取れなければなりません。PC持ち出しによって、これまでの生産性を維持および向上させることまで考慮するのが情シスの役割と言えます。情シスは、単純に情報漏えい対策を施すことだけに集中するのではなく、社員の生産性を高める視点でも考える必要があります。

例えば、データの受け渡しにUSBメモリーやメールを使っているような企業の場合、外出先で仕事をする社員が増えると、データやファイルをやり取りする頻度が高くなります。しかし、添付メールでは大容量データには対応していなかったり、USBメモリーでは紛失などが生じたりと、生産性やセキュリティに影響が出る可能性があります。そのようなことを解決するために、情シスとしてクラウドストレージなどによるデータ共有化の仕組みづくりを提案すべきです。

【3】理想は社員の意識や行動に頼らない環境構築

情シスがやるべきセキュリティ対策と社員の生産性向上という視点でやるべきことを紹介してきました。しかし、セキュリティという課題において人間はミスを犯したり、人目がないところで不正を行ったりしがちです。現にセキュリティ事故の8割は人為的ミスによるものとされています。

その対策のために細かくルールを決めても効果は少なく、 かえって業務の効率を下げかねません。そのため、ルール設定と同時に不正な操作をすることのできない環境作りが重要です。また、社員間の円滑なコミュニケーションのためにも、業務中に従業員にリスクを意識させないことも情シスの役割のひとつです。

国の方針としてテレワーク、働き方改革が推進されています。それを考慮すると、今後ますます社外で仕事をする人は増加していくことが考えられます。情シスとしては、そのような時代の中で何ができるかを日々情報収集し、適宜対策をとることが求められます。

【4】まとめ

ある企業ではテレワークを導入することで人材募集の応募条件から居住エリアをなくすことができるようになり、優秀な人材を全国から採用できるようになった事例も出てきています。テレワークに対応しているか否かは、今後企業が成長していく上で重要な要素になる可能性があります。そういう意味で、持ち出したり、遠方で使用したりするPCに対するセキュリティ対策は企業の成長を支える重要な施策です。情報システム部門として十分に検討し、自社に合ったシステムを導入することが重要です。

ISM CloudOne機能一覧