コロナ禍を経て浸透したリモートワークなど働き方の多様化で、パソコンなどの業務端末の紛失・盗難の危険性が高まっている。インシデント発生によって生じた情報漏えいは、企業・組織に甚大な悪影響を及ぼしかねない。この記事では、パソコンの紛失・盗難で想定されるリスクを踏まえつつ、講じるべき対策を解説する。
いまだ無くならないパソコンの紛失・盗難
業務用パソコンの紛失、盗難、あるいは置き忘れを原因とした情報漏えいは、今なお起こっている。コロナ禍を経て、リモートワーク、ハイブリッドワークなどが浸透した結果、パソコンを社内外で持ち運ぶ機会が増えたことも無関係とは言えないだろう。
JIPDECが公表している2021年度「個人情報の取扱いにおける事故報告集計結果」によると、2021年における個人情報漏えいのうち、盗難を原因とする件数は18件。その半数近くがノートパソコンやスマートフォン(以下、スマホ)などのデジタル端末からの盗難であったと報告されている。また、同報告では紛失の件数が380件となっており、件数の内訳こそ言及されていないものの、持ち運びやすいノートパソコンやスマホが約半数を占めていると言及されている。
これらの件数自体は、ほかの情報漏えいの原因とされる項目と比較しても多いわけではない。しかし、盗難や紛失に遭遇した場合、漏えいするデータは端末に保存されているデータ量に比例する。加速するデジタルシフトの潮流も伴い、インシデントが生じた際のインパクトも大きくなっているのだ。
パソコンの紛失・盗難がもたらすリスク
パソコンを紛失・盗難される事態になった場合、以下のようなリスクが想定される。
1)機密情報、個人情報の流出
企業・組織における機密情報、個人情報が流出することは多方面に悪影響を及ぼしかねない。流出したデータに顧客・取引先情報、開発・研究データなどが含まれる場合、事業継続が危ぶまれるような事態に発展する可能性すらある。
2)業務停滞、中断
パソコンの紛失や盗難によって業務に必要なデータが失われてしまうと、そのデータのバックアップが存在しなければ、最悪業務自体が中断となり得る。また、データ流出の原因究明などにより、業務が停滞する恐れもある。
3)信用毀損
昨今、企業・組織に向ける一般消費者の目線は厳しいものとなっている。情報漏えいといった重大なコンプライアンス違反を起こすことで、企業の評判やブランドイメージに深刻なダメージを与えかねない。情報漏えいの規模が大きなものになると、メディアでも大きく取り扱われることになり、ブランドイメージに与える影響が長期化する恐れもある。
4)法的責任、損害賠償
日本国内においても、個人情報保護法の改正を経てインシデントの報告義務が厳格化されており、個人情報の漏えい発生時の企業・組織の法的責任は重くなっている。また、個人情報保護委員会の指導をもとに、改善の実行なども求められる場合がある。流出した情報が機微な場合、損害賠償額が高額となる可能性も否定できない。
5)サイバー攻撃への悪用
紛失・盗難されたパソコンに不正ログインされてしまうことで、業務利用していたサービスが不正利用される恐れがある。そうした不正利用の結果、仮にメールのクレデンシャル情報が流出してしまうと、悪用されて次なるサイバー攻撃へと発展する恐れもある。
パソコンの紛失・盗難が起こった際の対処策
万一、パソコンを紛失・盗難されてしまった場合の被害を最小化するために、どういった対処策を講じるべきだろうか。
1)上長・システム管理部門に報告
企業・組織のパソコンやスマホの場合、まず行うべきは上長への報告だ。その後、上長と相談した上でシステム管理部門への報告を求められることになる。管理者が紛失・盗難に対して事前対策を講じている可能性もある。
2)「デバイスを検索」機能を利用
Windows 10以降のWindowsでは「デバイスの検索」機能が利用可能となっている。これはiOSにおける「iPhoneを探す」と同様の機能であり、事前の登録、設定が必要だ。この機能が有効化されている場合、ログインをロックすることも可能だが、電源がONになっている状態に限って有効となるため注意が必要だ。管理者により事前に設定されているならば、その指示に従う必要がある。
3)ログインアカウントからの強制ログアウト
近年のクラウドシフトにより、Webサービスを利用しているケースも少なくないだろう。そうしたサービスを多数利用している場合、トラブル時に使用状況を正確に把握するのは困難だ。普段利用しているWebブラウザーでパスワードを管理しておけば、万一の際は別端末でWebブラウザーにログインしパスワードを変更することで、Webブラウザーにて管理しているWebサービスの不正利用を抑制することができる。
4)警察への届け出
パソコンの管理者により指示されることもあるだろうが、盗難・紛失に遭遇した際は上司・管理者への報告後に警察にも届け出ることが必要だ。紛失の場合、どこでいつ紛失したのか。盗難の場合、その時の状況を適切に伝えることだ。届け出ることで、後日発見された場合には連絡を受けられる。
パソコンの紛失・盗難に備えた事前の対策
先述のようなリスクを回避するためにも、以下のような対策を事前に講じておきたい。
1)ログイン認証の強化
ログインが必要な場合、単純で推測が容易なパスワードは利用しないこと。そして、利用できるのであれば二段階認証などを活用したい。また、Webサービスの場合、普段利用するWebブラウザーのアカウントでパスワードを管理しておくことで、紛失・盗難の際はまとめてログアウトできるため安全性が高まる。
2)定期的なデータのバックアップ
パソコンの紛失・盗難が生じた際、事前に内部のデータがバックアップされていれば、別のパソコンを用いてバックアップ時点でのデータに復旧させることが可能だ。その時点で携わっている業務の遂行に与える影響を最小限にとどめられるだろう。
3)デバイス暗号化ツールの活用
Windowsには基本機能としてProなどのバージョンでは、デバイスの一部領域を暗号化するBitLockerの機能が利用可能だ。Windows Homeエディションの場合では、BitLockerは使えないものの、デバイス上でTPMが有効化できる場合、デバイス暗号化の機能を利用できる。
ただし、これら機能はデバイスごとに設定が必要なため、企業・組織の場合、デバイスごとに設定状況を把握、あるいは回復キーの管理が必要となる。一括で管理する場合は専用のツールや管理者による運用工数が別途必要となってしまう。従業員数の人数に比例して求められる管理工数も増大することに注意が必要だ。
4)エンドポイントセキュリティの活用
企業・組織向けに最適化されているエンドポイントセキュリティソリューションでは、パソコンが紛失・盗難されてしまった場合の情報漏えいを防止する暗号化機能も充実している。
例えば、ESET PROTECT Completeでは、フルディスク暗号化「ESET Full Disk Encryption」を搭載している。この暗号化機能ではUEFIをサポートしているため、より高い安全性を実現している。また、紛失・盗難してしまった端末の監視や位置の特定などを行えるアンチセフト(Anti-Theft)機能も搭載している。加えて、管理コンソールとして提供されるESET PROTECT Cloudにて統合管理が可能となっており、管理する手間を抑制できるのも特長だ。
図1:ESET PROTECT Cloudの特長
加えて、暗号化機能以外のエンドポイントセキュリティも一括で管理できるため、マルウェアの発生状況の確認やログの監視などをワンストップにてダッシュボード上で行えるのだ。セキュリティ対策は煩雑で管理工数が膨らみがちだからこそ、統合管理可能な点はセキュリティ担当者にとって大きなメリットとなるはずだ。
パソコンの紛失・盗難に遭遇すると、そのパソコン自体を取り戻すことは困難を極める。そのため、紛失・盗難などで他者の手にわたってしまった際に、情報が漏えいしないための対策が求められるのだ。そうした事態を招かないための対策として、特に有効なのが内部ストレージ自体の暗号化だ。
先に述べたように、紛失・盗難に遭った場合のリスクはかつてないほどに高まっている。コンプライアンスに厳格さが要求される現代において、適切な対策を講じているかどうかがインシデント発生時には大きく問われることになる。また、パソコンを暗号化していた場合、復号に必要な暗号鍵を確実に廃棄することでデータが読み出せなくなる「暗号化消去」となり、廃棄時のリスク軽減となる。紛失・盗難などが起こり得るリスクを見越して、適切に対策を講じるようにしたい。
