PCの持ち出し禁止について|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。
夏バテで冷麺しか喉を通らない蔵本です。

しかしせっかくの新富士出張だったので、アジフライ定食を食べました！
大盛りは完食する自信がなかったので、普通盛りで食べましたが、外はさくっと、中身はほわっと、夏バテの身体に効きました！

さて、本日は PC の持ち出し禁止についてお話します。

以前もブログに書きましたが、警察庁が毎年「不正アクセス行為対策等の実態調査」という調査結果をアップしています。
こちらの中身をご覧になった方いらっしゃいますでしょうか。

P.31「過去1年間の情報セキュリティに関する被害状況」を見ると、被害の内訳が載っているのですが、1位と2位ってなんだと思いますか？

1位は予想できた方もいたかもしれませんが、「ウイルス等の感染」です。
そして、注目の2位ですが「ノートPC盗難」なんですね。こちらは中々予想できなかったのではないでしょうか。

私は実は PC 持ち出し肯定派です。
なぜなら、PC を持ち出すことで生産性が向上するからです。

ここを単純に、「ノート持ち出すと紛失したり盗難される可能性があるから持ち出しは禁止しよう」という発想になってしまうと、「やっぱりセキュリティと生産性は天秤にかけるしかないのか」という結論になってしまいます。ビジネスの邪魔にならず、それでいてしっかりと守るのがエンタープライズ環境におけるセキュリティの理想です。

近年の流行でもありますが、やはり代表的な対策としては「ハードディスクやリムーバブルディスクの暗号化」でしょう。
暗号化しておくことで、紛失や盗難におけるリスクの本質である情報漏えいのリスクを低減する事ができます。
しかしながら、同書P.20の「暗号化技術の用途」を見ると、「記憶媒体上の情報」が4割弱と、結構少ない状態です。

これだけ顕在化しやすいリスクであるにも関わらず、対策状況が4割程度というのは、非常に心許ない結果です。

ノート PC や USB メモリといった、携帯性の高いデバイスは、便利である反面、盗難や紛失が発生しやすいデバイスであることを認識する必要があります。また、盗まれる他にも、単純に「なくしてしまう」ケースもあります。電車に置き忘れたり、酔っ払って紛失したりといったケースですね。盗難や、置き忘れにより、物理的にデバイスを持っていかれてしまうと、自宅でゆっくりと作業されてしまいます。

この場合、パスワードロックを掛けていても、ハードディスクを引っこ抜いて別のマシンにさせば、中身はあっさりと見られてしまいます。

ファイルやフォルダの暗号化技もありますが、抜け漏れの可能性は否定できません。近年では、ハードディスクの丸ごと暗号化や、リムーバブルディスクの丸ごと暗号化等もありますので、こちらの方が、抜け漏れもなく、また、ピンポイントのデータだけでなく、システムドライブ等も暗号化可能なため、より安心です。

また、リムーバブルディスクに対しては、リムーバブルディスクが暗号化されていない場合は、リムーバブルディスクを読み取り専用にし、データの書き出しを禁止するといった技術を実装している製品もありますので、より確実に運用ルールを徹底する事ができます。

以前、グループ大セキュリティの回でお話した通り、ガバナンス適用範囲が広がるにつれ、技術的安全管理措置における強制の重要性はますます高くなります。強制力のない、マニュアルでの運用ルールは、「忙しい」等の理由で破られる可能性が非常に高いため、できる限り、強制力を持った、技術的安全管理措置による対策を検討する事が重要です。

リスクが顕在化しやすい項目に関しては、管理規定が破られる前提での対策を検討する事で、より一層高いセキュリティレベルでのビジネスが可能になります。

それでは、次回をお楽しみに！