テレワーク中は要注意…「私物PC」が持つ情報リスク

パソコン、モバイル端末、紙媒体、名刺、USBメモリ、CDやDVDなどの取り扱いについてのルールを定めます。近年は、個人のスマートフォンやタブレットを業務に使用するBYOD（Bring your own device：従業員が個人のパソコンやスマートフォンを職場に持ち込み、業務に使用すること）を許可している企業も増えていますが、私物の機器を業務に使用すると、情報漏えいのリスクも高まりますので私物パソコンの使用ルールなども定めていきます。たとえば、次のようなルールがあります。

 

●業務で用いる私物パソコンのOSアカウントは家族や友人などの第三者と共有しない

●私物パソコンで行った業務の終了時には、ダウンロードした業務データを削除する（共有データとしてクラウドに保存しておく）

 

また、スマートフォンなどの会社支給のモバイル端末にも注意が必要です。端末を私物化しないようルールを徹底しないと、いつの間にか情報が筒抜けになっていたという危険性があります。たとえば、紛失時のリスク対策としてパスワードや生体認証の設定をする、スマートフォン本体にはデータは保管せずクラウドを運用する。ロック画面にメールの件名や本文などの情報が出ないようにするなどです。

 

 

しかし、ルールは守られなければ意味がありません。ルールを設けたら、セキュリティ担当者からの指導や教育を通じて、現場に浸透させていく必要があります。

パスワードの主旨「第三者の不正利用を防ぐ」を徹底

情報セキュリティコンサルタントとして、企業の情報の取り扱いについてヒアリングすると、「1234」や「0000」など単純なパスワードを設定している人がたくさんいることに驚かされます。

 

確かに、あまり複雑なものにすると忘れてしまうリスクはありますが、だれでも簡単に推測できるパスワードでは意味がありません。また、パスワードを複雑にしたにもかかわらず、それを付箋にメモしてパソコンのディスプレイに貼り付けている人もしばしば見かけますが、それではパスワードの意味がありません。

 

情報漏えいを防ぐには、パスワードの設定方法と管理方法についても以下のようなルールを定めておく必要があります。

 

●辞書に載っているような一般的な単語を使用しない

●10桁以上にする・英語の大文字

●小文字と数字を1文字以上使用する

●プライベートで使っているパスワードは使わない

●サービスごとにパスワードを変更する

 

最近ではSSO（シングルサインオン）など、複数のパスワードを本人が覚えなくてもよいサービスもいろいろと出ていますが、やはりまだまだ個別にパスワードを管理しているケースも多く見られます。

 

「パスワードは記憶しておけ」は数が多くなってくると無理になってきますので、どうしてもどこかに記録しておかなければなりません。おすすめはパスワード管理サービスなどの利用ですが、紙に書いておく場合はサービス名とID、パスワードを別々に書いておくと、第三者の不正利用をある程度防ぐことができます。

 

筆者が実際に過去に見たケースでは、ノートに銀行名、URL、ID、パスワードが「わかりやすく」書かれていたことがありました。これだけ聞くと笑い話に思えるかもしれませんが、「もしこのノートが第三者に見られたとしたら」と思うと、まったく笑えない話です。

有償セキュリティサービスの導入は「必要な投資」

電子メールソフトやSNSのメッセンジャーなどをはじめ、近年は業務効率改善のためのソフトウェアが無料でダウンロードできます。しかし、情報セキュリティの観点から見れば、なんでもかんでも使ってよいわけではありません。そのため、やはり利用時のルールを決める必要があります。

 

●プライベートで利用しているアカウントを業務で利用しない

●提供元が不明（あるいは個人）のサービス、ソフトウェアは利用しない

●個人SNSアカウントでは、仕事（特に顧客に関すること）に関連する情報は投稿しない

 

近年では本当によいサービスが登場しており、スマートフォンやパソコンで利用できるサービスも多くあります。プライベートで使っているサービスを「便利だから」という理由だけで業務でも利用するケースがありますが、その場合は事前に利用規約やライセンスの確認をしてください。商用利用だと有償になるケースもありますので注意が必要です。

 

よいサービスを利用するためにはそれなりの金額が必要になるということは、ぜひ覚えておいてください。無料のサービスにはなにかしらの理由があるものです。

 

従業員数が多い場合には相当の金額となりますが、一つの情報漏えいが大きな被害をもたらすことは珍しくありません。サービスを導入してセキュリティを向上させるための「必要な投資」と考えられるかどうかも、情報セキュリティ対策では大切な考え方です。

発覚次第、即時報告・対応できる仕組みを整備

社内であっても、顧客や関係者が出入りするような場所では情報の取り扱いに対する意識が必要です。たとえばホワイトボードにミーティング内容が残っていたり、机の上に契約書が置いてあったり、重要な書類をそのままごみ箱に捨てたりするだけで、情報漏えいのリスクがあります。

 

あるいは、カフェや電車内など社外であり不特定多数の人が往来するような場所でパソコンを開いて社外秘のファイルを見たり、大声で大事な情報についての話をしたりすれば、簡単に盗まれてしまいます。

 

そのため、来客者の動線を考慮したオフィスレイアウトやホワイトボードの使用ルール、デスク周りの整理整頓の徹底、社外で業務を行う際のルールなど、働く場所に応じてセキュリティを確保するためのルールを整備することも大切です。

 

どれだけ対策を取っていても情報セキュリティ事故は0（ゼロ）にはなりません。情報セキュリティ事故で最も重要なことは、事故が発生した場合はすぐに報告をすることです。問題は放置すればするほど深刻化していくので、問題が発生したら、できる限り早い段階で対応しなければいけません。

 

そのため、事故が発生した際にだれにどんな方法で連絡するのかを決めておく必要があります。筆者がよくクライアントに投げかける質問は「金曜日の深夜2時ぐらいに事故に気づいた場合、いつ、だれに、どのようにして連絡しますか？」です。

 

この場合であれば、「事故に気づいた担当者から管理職へ電話で連絡し、その後の対応は管理職が行う」などとし、メールやSNSでのやり取りはしないことを伝えます。あるいは、緊急時の専用ダイヤルを設けておくなども一つの方法です。

 

このように、可能であれば想定できる事故に対してはだれがどう対応するのかといった手順を決めておくと、万一のときも落ちついて対応ができます。たとえば、次のような事態が発生した場合に、どのような対応を取るかなどを決めておきましょう。

 

●業務資料や業務データが入った媒体（パソコン、スマートフォンなど）を紛失した

●パソコンがウイルス（マルウェア）に感染した

●社員証を紛失した・不明な宛先からの添付ファイルが届いた、あるいは開いてしまった

●メールを誤送信した

●外部から情報漏えいに関する連絡があった

 

だれしもが事故の報告はしたくないものです。特に日ごろから過度にミスを責めたり、ミスに対して重過ぎるペナルティを科していたりすると、従業員はミスを隠したくなり結果的に報告が遅くなってしまいます。

 

事故の早期発見は、「ミスを許さない文化」からは生まれません。ミスを罰するのではなく「ミスを見つけて改善する」といった意識が必要です。くれぐれも対応のルール化だけで満足しないように注意しましょう。

 

＜ポイント＞

事故が発生した場合は、すぐに報告が挙がる仕組みを整える。

 

 

 

幸松 哲也

LRM株式会社　代表取締役　CEO