意外な場所で発生!PC紛失による情報漏洩の可能性

20150121_07

先日、あるクライアントが業務発注先の業者を対象に開催した、情報セキュリティーに関するセミナーに参加してきました。企業が引き起こす情報漏洩の事故が絶えない中、こうしたことを起こさないための対策・ルールについて紹介されました。ISMS認証を取得している当社では、既に実施済みの対策が殆どでしたが、今後の参考になるトピックもあり、非常に有益なセミナーでした。

そのセミナーで強く訴えていたのが、「機密情報が入っているデバイス(ノートPC・USBメモリ等)を”酒席”には絶対に持ち込まない」という事でした。酔った後は、注意力が散漫になり、電車やトイレ等に置き忘れを起こしやすくなるのは自ずと分かることですが、実際にこのクライアントのパートナーが、事例としてこうした環境下での情報漏洩を多発させているのだとか。

20150121_05

情報漏洩が起こる機会は?

情報漏洩を起こしてしまうと、引き起こした企業は社会からの信頼を失うばかりでなく、損害の補償など多額の費用がかかったりし、会社の存続問題に至る可能性があります。

では、情報漏洩の発生の原因はどのようなものが多いのでしょうか。

NPO法人日本ネットワークセキュリティ協会(JNSA)が発表している、2011年情報セキュリティインシデントに関する調査報告~発生確率編~(以下のグラフ類はすべてこちらの報告書から引用)では、一般に公開されたインシデントの情報を集計し、各種統計分析を行っています。

こちらのデータを見てみると、デバイス類の紛失・盗難よりも、電子メールの誤送信がはるかに割合が高く、次いでSNSによる情報漏洩が多くなっています。

20140121_01

電子メールの誤送信は、ちょっとしたミスや気の緩みで、誰でも起こし得やすいインシデントです。ただ、他の項目と比べると漏洩範囲が特定しやすく、比較的漏洩の被害が小さく済む例が多いようです。

電子メールに次ぐインシデントの割合が高いのが、SNSによるものです。不用意に秘密事項をSNSに書き込んでしまい、新製品情報などが漏れてしまう事例が多くあります。SNSの企業利用シーンがますます増えていくことで、息抜きや情報収集などで職場での私用のSNS利用も増え、インシデントが増えていくことが予測されます。

デバイスの紛失は3種類合わせると、年間6.6%のインシデントが起こっていることになります。割合で言うと少ないように思えますが、従業員100人の会社であれば1年間で約7回何らかしらのデバイス紛失(=情報漏洩事故の可能性)が起きている計算になります。

意外に多い、PCの社内紛失

ノートPCの紛失といえば、冒頭にご紹介したような、酒席で酔って紛失したり、車上荒らしに遭って盗難される例を思い出しますが、実はノートPC紛失のインシデントの60%以上は社内で紛失しているという報告があります。

20140121_02

 

20140121_03

小規模の会社の場合、なかなか想像しづらいと思いますが、PCの社内紛失は大規模の会社でよく起こりがちのようです。このようなインシデントが起こってしまうのは、ずさんな管理体制が招く結果であるといえるでしょう。

ノートPCには、企画書やヒアリングシート・メールを含む顧客の連絡先等、多くの機密情報が入っている場合が多くあります。実際、社内紛失したPCに機密情報が含まれていなかった割合は5%未満となっています。

20140121_04

では、どのように対策するべきか

「絶対ミスを起こさない人間」は世の中に居ない以上、インシデントの頻度は努力によって減らすことはできても、完全にゼロにすることはまず不可能です。

ミスは起こってしまうものだと考え、インシデントが発生した時に如何に被害を出さずに済むかを考えることが重要になってきます。

当社では、ISMS認証取得のために、PCの取り扱いに関してルールを定め、「情報セキュリティ対策基準」という冊子にまとめ、社員のルールブックとしています。

20150121_06

・当社のパソコンのハードディスクには作業中のデータなど、最低限のものしか保存してはいけない。
・帰社時や作業終了時、データは社内のセキュアなファイルサーバに保存し、ローカルのデータは消去する。(ごみ箱も空にする)
・ PCのログイン時にパスワードを設定する。5分間操作が無い場合はログイン状態に戻る設定を行う。
・ログインパスワード含め、パスワード類は3ヶ月に1回変更する。(変更したかチェックを行う)
・私物のUSBメモリー・ポータブルハードディスク等は使用禁止。
・ノートPCのHDDは暗号化をかける。
・ノートPCにはパソコンロックを導入し、PCの運搬時には物理的なUSBキーは外してPCとは別の場所に置いて運搬する。
・帰宅時、ノートPCは鍵のかかる袖机内にしまう。

ざっと思いつくだけで以上のルールを定めて運用しています。これだけの対策を行っておけば、もしPCが悪意ある者の手元に至ったとしても、ログインまでの道のりが遠く、万一ログインされたとしても、元々データさえ入っていなければ安心です。

途中でも申し上げましたが、情報漏洩という事故を起こすと、社会からの信頼をなくすだけでなく、多額の補償費用が必要になる場合もあり、会社の存続問題に繋がる可能性があります。その一方、特にwebサービスの充実に伴い、便利ではあっても情報漏洩のリスクが同時に発生してしまう場合があります。業務効率を意識しながらも、会社規模でルールを定めて運用することでリスクを低減させていくことが重要だと考えています。

Photo by Jimmy Yao