SS1製品サイト端末の紛失による情報漏洩のリスクを減らす5つの対策とは?
テレワークが普及し、オフィスからパソコンなどの端末を持ち出すことが増えました。このとき、持ち出した端末を紛失してしまうと、情報漏洩のインシデント(事案)として扱われます。結果として、企業のブランドイメージを傷つけ、顧客からの信頼を失うことにつながります。
このような事案の発生をできる限り減らすために、組織として実施しておくべき対策について解説します。
2 対策② パスワードと認証の強化
3 対策③ 端末(記憶媒体)の暗号化
4 対策④ MDMなどリモートワイプの導入
5 対策⑤ 定期的なバックアップの取得
6 まとめ
対策① セキュリティポリシーの策定と啓発
端末の紛失が起きないようにするには持ち出しを禁止するなどの対策が考えられますが、営業担当者の外出やテレワークなどが必要であり、現実的には難しいものです。
そこで、紛失のリスクを少しでも減らすことを考えます。
技術的な対策は難しいため、まずはルールを定めます。多くの企業では「セキュリティポリシー」を作成しており、この中で従業員が使用する端末の管理などについて定められています。
たとえば、JNSA(日本ネットワークセキュリティ協会)が公開している「情報セキュリティポリシーサンプル改版(1.0版)」では、「システム利用規程」の中でPCの使用場所や媒体の保管、媒体の移動などについて定めています。また、「スマートデバイス利用規程」の中で社外持ち出し時の注意事項などについて定めています。
(参考)https://www.jnsa.org/result/2016/policy/
このようなセキュリティポリシーを策定するとともに、従業員への教育・啓発によってリスクを伝えることで、紛失の事案を減らすことにつながります。多くの企業では、年に1回程度、情報セキュリティ研修を実施していますが、このような場を通じてセキュリティ意識を高めることが大切です。
対策② パスワードと認証の強化
セキュリティポリシーやルールを定めても、実際には紛失の事案は発生します。パソコンやスマートフォンなどを紛失しても、第三者がその中のデータにアクセスできなければ影響を最小限に抑えられます。
紛失時に情報漏洩を防ぐ具体的な対策として、強固なパスワードを使用することや、データを端末に保存しないことが挙げられます。
端末を紛失しても、その端末へのログイン時にパスワードの入力を求められれば、第三者はログインできません。ログインできたとしてもデータを普段からクラウド上に保存しており、端末の中にデータを保存していなければ、クラウド環境にアクセスするパスワードを知らなければ情報漏洩が発生するリスクを抑えられます。
パスワードの管理に加えて、認証の強化も重要です。
具体的には、「長く複雑なパスワードを設定する」「同じパスワードを使いまわさない」「パスワードを付箋などに書いて貼り付けない」といった基本的な対策に加え、2段階認証や生体認証の導入も検討します。
最近のパソコンやスマートフォンには指紋認証や顔認証などの機能を備えているものが多いため、こういった機種を使うと複雑なパスワードを何度も入力する手間を減らすことができます。
対策③ 端末(記憶媒体)の暗号化
ログイン時のパスワードを設定するだけでは、紛失したパソコンからデータをコピーできる可能性があります。
そのパソコンを使用するのであればログインが必要ですが、ハードディスクを取り出して別のパソコンに接続されるとログインしなくても中身を閲覧できてしまうのです。
このため、端末に保存されたデータを暗号化することも必要です。
Windowsパソコンであれば、BitLockerという暗号化機能を有効にしている企業も多いでしょう。ハードディスクやSSD、外付けのUSBメモリなどを暗号化することで、この中のデータにアクセスするときにはパスワードを求められます。
これにより、パソコンやUSBメモリなどを紛失しても、情報漏洩のリスクを減らせます。
最近では、「セキュリティ機能付きUSBメモリ」なども販売されています。これは、データを自動的に暗号化するだけでなく、ウイルス対策機能や指紋認証機能などを備えており、通常のUSBメモリよりもセキュリティ面で優れています。
【関連】IT資産管理ソフトSS1「BitLocker管理機能」
【関連】IT資産管理ソフトSS1「デバイス制限管理機能」
このような機能がないハードディスクやSSD、USBメモリなどを使用する場合は、ファイルをZIP形式などで圧縮し、そこにパスワードを設定する方法もあります。
ただし、「日付8桁」のような単純なパスワードでは専用のツールを使えば短時間で解読できてしまうため、長く複雑なパスワードを設定します。また、パスワードを忘れてしまうとデータを取り出せなくなるため、基本的にはディスクの暗号化機能を用い、ファイルを共有する場合はUSBメモリなどではなくGoogle DriveやOneDriveなどのクラウドストレージを使う方が確実です。
対策④ MDMなどリモートワイプの導入
ZIP形式で複雑なパスワードが設定されていても、そのデータが第三者の手元のパソコンに保存されていると、総当たり攻撃などによって時間をかけてパスワードを解読される可能性があります。
このため、端末を紛失した場合には、その端末が遠隔地にあってもデータを消去する方法が考えられます。
このときに使われるのが「MDM(Mobile Device Management)」という技術です。
MDMは、スマートフォンやタブレットなどのモバイルデバイスを一元的に管理する技術で、MDMを導入することで、端末の紛失や盗難が発生した場合に、遠隔地からデータを消去できます。これを「リモートワイプ」と呼びます。
MDMは紛失に備えるだけでなく、モバイルデバイスを一元的に管理するために使われることもあります。端末へのログイン履歴や使用時間、通信量などを確認し、運用にかかるコストを最適化するだけでなく、OSやアプリの更新状況を把握することでセキュリティの向上も期待できます。
個人のスマートフォンなどを業務に使用する「BYOD(Bring Your Own Device)」を導入している企業もありますが、このような個人の端末に対してMDMを導入する際には特に丁寧に利用者に説明し、同意を得る必要があります。
リモートワイプが行われた場合、データが消去されるため、その影響範囲を把握しておく必要があります。
【関連】IT資産管理ソフトSS1「Intune連携機能」
対策⑤ 定期的なバックアップの取得
リモートワイプなどによってデータが消去されると、それまでに蓄積していた情報が失われてしまいます。また、紛失した端末にしか保存されていなかったデータは失われてしまいます。
このため、定期的なバックアップの取得は必須です。
データのバックアップは、必要なデータを別の場所にコピーすることを指し、端末の紛失やデータの破損などのトラブルが発生した場合に、元のデータを復元するために使われます。
このため、バックアップしたデータを同じ端末に保存するのでは意味がなく、紛失などのリスクが低い場所に保存する必要があります。地震や火災などの災害などに備えるために取得する場合には、遠隔地に保存することも検討します。
最近ではクラウドストレージを使用する方法も多く使われています。
バックアップを取得するだけでなく、復元できるかについても確認しておきます。バックアップを取得できていると思っていても、設定ファイルが不足していて復元したデータが使えない、単純にコピーするだけでは復元できない、といった状況も考えられるため、復元したデータが問題なく使えるかを他の端末などで定期的に確認することも重要です。
なお、バックアップを取得するときは、アクセス権限などについても考慮する必要があります。
普段から使うデータについては利用者の部署や役職などに応じたアクセス権限が定められていても、管理者がバックアップをDVDなどに作成するとアクセス権限が解除される可能性があります。
このため、機密情報が含まれる場合には、該当のデータを暗号化してバックアップを取得するなどの対応が必要な場合があります。
まとめ
すべての対策を実施しても、端末の紛失による情報漏洩のリスクはゼロにはなりません。しかし、二重、三重の対策を実施することで、そのリスクをできる限り減らすことができます。
そして、上記のような対策は一度実施すればよいのではなく、時代の変化に合わせてセキュリティポリシーを改訂する、バックアップが正しく取得できているかを確認する、など継続的に運用し続けるようにしましょう。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
