事例で学ぶセキュリティインシデント（第5回）うっかりパソコンを置き忘れ。ハイブリッドワークの落とし穴

　E社では、コロナ以前は情報漏えい防止の観点から社内パソコンの社外持ち出しを禁止していた。だが、多くの企業と同様にコロナの感染拡大でテレワークになり、「緊急避難」的に社内パソコンの社外利用を認めてきた。営業部員のようにパソコンを置き忘れ、紛失するリスクの他にも、営業車の中に置いたパソコンが盗まれたり、ネットカフェなどでパソコン操作中に盗み見されたりする恐れもある。

　悪意のある第三者が紛失・盗難のパソコンを不正に入手し、パソコンに保存された機密情報を盗み取る手口もある。万一、機密情報や個人情報が漏えいした場合、企業の信用失墜のみならず、取引停止などの可能性もある。パソコンだけでなく、USBデバイスにデータを保存して会社から自宅に持ち帰る際、盗難・紛失による情報漏えいのリスクもある。そこで、情報漏えい防止策として、データの暗号化や、第三者に不正アクセスされないように推測されにくいID、パスワードの設定、複数の認証を組み合わせる多要素認証といった対策も効果的だ。

　また、パソコンの情報漏えい対策として、パソコン内にデータを残さない仮想デスクトップなどを導入する方法もある。既存パソコンからの切り替えにコストはかかるが、セキュリティ対策の他、一括したアプリケーションの導入・更新が可能になり、パソコンの運用管理の効率化も期待できる。

インシデント対応の手順を再確認

　テレワーク、ハイブリッドワークに欠かせないのがパソコンのエンドポイントセキュリティ対策だ。会社では、社内ネットワークとインターネットとの境界にUTM（統合脅威管理）を置いてウイルスの侵入や不正アクセスを防ぐことが一般的だ。だが、テレワークではパソコンレベルでウイルス対策や不正アクセス対策を行う必要がある。

　コロナ禍のテレワーク導入時に会社支給のパソコンが間に合わず、私有パソコンの業務利用を認めたケースもある。かつての「パソコンの社外持ち出し禁止」のように、エンドポイントセキュリティ対策がなされていない場合、「私有パソコンの社内持ち込み禁止」といった措置を講ずる。新型コロナウイルスの感染症法上の位置付けが5類感染症になり、私有パソコンの業務利用などの「例外措置」をそろそろ見直す必要もありそうだ。

　E社の情報システム担当者は、今回のインシデントの経緯を全社員に説明し、再発防止を徹底するよう伝えた。パソコンには個人情報や取引先の重要情報が保管されておらず、情報漏えいもなかったことから、経営層とも相談の上、社外に公表しなかった。そして、パソコンや外部記憶デバイスの盗難・紛失などの問題発生時には、直ちに上司や情報システム担当者へ連絡する。情報漏えいが疑われる場合、情報の種類や件数、データ暗号化の有無などの状況を確認するといったセキュリティインシデント対応の手順を再確認した。

　すべての従業員に対して、ID、パスワードを定期的に更新することや、パソコンの基本ソフトやアプリケーションの更新を適切に行うこと、メールの添付ファイルの開封やURLのクリックを安易に行わないことなど、基本的なセキュリティ対策を守るように周知。そして、パソコンレベルでウイルス対策やUSBデバイスの制御が可能なエンドポイントセキュリティの導入や、社内の情報共有のみならず、取引先と受発注データなどを安心してやり取りできるクラウドストレージサービスの導入を検討することとした。セキュリティ対策を強化し、パソコンの利用や情報の取り扱いのルールを規定しても、従業員が守らなければリスクとなる。E社ではハイブリッドワーク、リモートワークといった柔軟な働き方を続けるためにも、従業員がルールを順守するよう教育・啓もう活動にも力を入れていく考えだ。