情報漏洩につながるPCの私的利用とその対策
2024年12月26日掲載
話題のサイバーセキュリティ被害、実は毎週発生しているって知ってました?
最近、テレビやネットで企業の情報漏洩(ろうえい)に関するニュースをよく見聞きしませんか。
ある企業に所属する従業員が数千件のサービス契約者情報を記録しているノートPCを紛失したというような事件や、従業員の個人情報とその他情報合わせて数万件を外付けHDD(ハードディスク)に保存し紛失、ほかにも数万件の会員情報が記録されたUSBメモリを紛失したというような内容の事件がよく報じられています。また、漏洩した情報が元となったと思われるサイバーセキュリティ被害も多く発生しています。
実は、そのような事件はニュース等で報じられている何倍も発生していることをご存知でしょうか。
下のグラフは2012年から2023年に発生した情報漏洩・紛失事故の件数を表しています。2023年には上場企業とその子会社が公表した個人情報の漏洩・紛失事故は175件ありました。これは毎週3件以上発生している計算になり、近年は大きく増加している様子がうかがえます。
一方で、国内のPC(パソコン)の出荷台数は個人向けよりも法人向けの方が多くを占めており、2024年からは増加傾向にあります。2024年は特にWindows10サポート終了(2025年10月)に向けての買い替えや、2024年10月1日からの郵便料金の値上げに合わせ、紙の書類をデジタル化するためにPCを導入するという需要もあると思います。
また、国内セキュリティソフトウェア市場も年々拡大し、2024年上半期(1月~6月)は前年比11.2%増の2,781億200万円になると予測※されています。 2023年~2028年の年間平均成長率(CAGR:Compound Annual Growth Rate)は13.0%で推移し、2028年には9,436億3,000万円に達すると予測されています。
※上記のデータ内容については転載禁止とさせていただきます。
出典:IDC Japanプレスリリース「2024年上半期の国内セキュリティソフトウェア市場は前年比11.2%成長 ~IDC Worldwide Semiannual Software Trackerを発行~」(2024/12/02)
自分の会社は大丈夫だと思っていませんか?
以上のような現状をご存知でしたか。あなたの会社では社用PCの安全を確保するために、どのようなセキュリティ対策を行っていますか。
疑問1
いやいや...うちの会社には漏れて困るような秘密なんてないよ
「うちは中小企業だから」「狙われるのって大手企業じゃないの」「うちに漏れて困るような情報なんてないよ」こんなふうに思っている方は、ぜひ今一度考えてください。下記のような情報をあなたの会社でも取り扱っていませんか。
- 従業員のマイナンバー
- お客さまや取引先の連絡先一覧
- 取引先ごとの仕切り額や取引実績
- 新製品の設計図などの開発情報
- 取引先から「取扱注意」として預かった情報
このような情報を取り扱う企業に規模は関係ありません。お客さまを相手に商業活動を行う企業であればどのような企業にも当てはまります。上記の情報は他人に知られてしまうと悪用される可能性があります。
疑問2
Webサイトへの不正アクセスはよく見聞きするけど、社用PCには関係ないのでは?
いいえ、不正アクセスされたWebサイトから盗まれたアカウント情報を元に、フィッシングメールの送信が行われ、そのメールの添付ファイルやリンクをクリックするとマルウェアに感染する恐れがあります。
また、不正アクセスされてWebサイトが改ざんされた場合にも、そのWebサイトに訪れたユーザーのPCがマルウェアに感染する可能性があり、感染するとPCの動作が遅くなったり、機密情報が盗まれる、またはデータを勝手に暗号化して身代金を要求される(ランサムウェア)恐れもあります。
疑問3
サイバー攻撃の被害など、たかが知れているのでは?
企業の情報が流出したというニュースを見聞きしていても、流出後にどのようなことが起こるかまでご存じでしょうか。流出した場合、以下のような事象が発生する可能性があります。
- 被害者への損害賠償
- 取引の停止、顧客の流出
- ネットワークの遮断による業務効率の低下
- 従業員の士気減退
意外とたくさんあると思いませんか。賠償金を支払えばすぐに解決するというわけではなく、企業の信頼を失った後、回復するまでには長い時間がかかります。
例えば、あなたが登録してあるWebサイトや企業から個人情報が流出してしまったらどう思いますか。人によって多少の違いはあると思いますが、このWebサイト、企業は大丈夫かな、今後は使わないでおこうかなと顧客離れが起き、売り上げの減少へとつながることが当然考えられるのではないでしょうか。ほかにも社内で働く従業員への心理的悪影響も考えられます。また、情報漏洩の原因追及、改善のためにシステムの修復や取り換えなどに多額の費用がかかる場合もあります。
情報漏洩につながる3つの原因とは
では、このような情報漏洩につながる原因はどのようなものがあるのでしょうか。情報漏洩の原因は主に「内部不正」「外部攻撃」「人為的ミス」の3つに分けられます。
内部不正
組織の内部にいる人(従業員、委託者など)による悪意のある行為のことを指します。
- USBメモリや外付けSSDに機密情報を保存したり、PC画面をスマホで撮影し社外に持ち出し
- SNSで機密情報の公開
- 自社システムにマルウェアを仕込む
外部攻撃
外部者が社用PCのOSやソフトウェア、Webサービスの脆弱性を狙い、ハッキングやマルウェア感染などのサイバー攻撃を行います。PC画面を盗み見られることも該当します。
- 不適切な公衆Wi-Fi利用、Webサイト閲覧によるウイルス感染
- ショルダーハック ※ により機密情報の盗難
人為的ミス
社用PCを取り扱う人の不注意によるミスやエラーのことです。
- 業務PCを飲食店などに置き忘れ、盗難
- メールの宛先を間違えて機密情報を送信
また、上記の3つにつながる行為として「社用PCの私的利用」が挙げられます。
社用PCから知人のメールアドレスに私的メッセージを送信したり、SNSにログインしてメッセージを投稿、カフェなど多くの人の目に触れるところで作業をするなど、少しだから大丈夫という軽率な私的利用が大きなセキュリティ事故を招いてしまう可能性があるということをしっかり認識しておく必要があります。
従業員の行動を全て監視しないといけないの?
当然、従業員の行動を全て監視することは現実的ではありません。
そこで、まずはIPA(独立行政法人情報処理推進機構)が、取り組むべきセキュリティ対策のポイントとして推奨している「情報セキュリティ5か条」を実施してみてはいかがでしょうか。
情報セキュリティ5か条
1.OSやソフトウェアは常に最新の状態にしよう! OSやソフトウェアには修正プログラムを適用する、または最新版を利用するようにしよう。
2.ウイルス対策ソフトを導入しよう! 社内外からのアクセスを一つ一つ安全であることを確かめることができるツールやウイルスを検知する機能を導入しよう。
3.パスワードを強化しよう! 多要素認証などでログインを強化、パスワードを管理するサービスも必要です。
4.共有設定を見直そう! 無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認しましょう。
5.脅威や攻撃の手口を知ろう! 取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のWebサイトに似せた偽Webサイトを立ち上げてID・パスワードを盗もうとする手口が増えています。
付録1:情報セキュリティ5か条(全2ページ)を基に作成
セキュリティ対策大変そう・・でも BCDMなら簡単に対策できる!
上記5か条に関する運用や従業員の意識改革は必要ですが、外部サービスを利用するとより素早く楽に対策することができます。
ソフトバンクでは、これらの対策の一つとして自社開発のMDM(Mobile Device Management)サービスであるビジネス・コンシェルデバイスマネジメント(BCDM)を提供しています。
BCDMはクラウドを安全に利用するためのサービスを提供している世界的な企業のOktaと連携してゼロトラストセキュリティ※1の重要な要素である認証・許可を強化し、安全で安心なPCの業務環境を実現します。また、BCDMは政府が公認するセキュリティ基準(ISMAP ※2)を満たした信頼できるサービスです。
※2 ISMAPとは政府があらかじめクラウドサービスを評価・登録し、セキュリティ水準の確保、政府機関などへの円滑な導入を目的とした評価制度のことです。
BCDMのPC向けセキュリティ機能例
データ消去ができる
PC紛失時など、遠隔から社用PC内の特定フォルダやファイルを消去することができます。PCがネットワークに接続されておらず、または電源が入っていなくても一定期間後に強制消去される機能も備えています。
アンチウイルス対策ができる
アンチウイルス機能により、ウイルスアプリやマルウェアなどの不適切なソフトウェアのインストールを検知、または不正なWebサイトの閲覧をブロックすることが可能です。情報漏洩の元となるウイルスからPCを守り、危険なWebサイトへのアクセスを制限します。
PC操作ログが取得できる(Windowsのみ)
あらかじめ設定したポリシー設定に違反する操作を検知した際は、利用者画面のスクリーンショットを取得し、証跡として保存します。さらに利用者に警告を表示することで、社員の不正なPC操作を防止します。社用PCの操作ログが管理画面から閲覧でき、勤怠管理にも活用できます。
しかもBCDMならPC管理者作業も軽減できる!
PCの台数が増えると、セキュリティ対策を実施する管理者の作業も増えてしまいます。
すでに社用PCを管理されている方であればお分かりになるかもしれませんが、PCにセキュリティ対策を施すにはそれぞれのPCに各種設定を行う作業が発生します。複数台のPCを管理されている企業であれば、その設定作業がPCの台数分発生することになります。
BCDMはセキュリティ対策だけではなく、PCの管理者がPCの管理に割く時間をなるべく少なくし、より効率よく管理ができる機能も備えています。
PC(Windows、Mac)管理に便利なBCDMの機能
一括設定(一括管理)が遠隔でできる
BCDMの管理機能では セキュリティポリシーを複数台のPCに一括で設定 できます。
セキュリティポリシーとは、あらかじめ設定しておいた項目に違反したPCを検知する機能であり、通知機能を使用して違反した本人にメールで通知することができます。検知項目には主にOSバージョン、構成プロファイル、IMEIチェック、インストール済みアプリケーション、アンチウイルス対策ソフトチェック、セキュリティパッチチェック、禁止ソフトウェアチェック、MDMプロファイル削除検知などがあります。
また、BCDMでは 各PCをグループ化することができる ため、部や課など組織内の単位に合わせてグループ化を行い、そのグループに管理者を設定することで、各グループに応じたポリシーを一括配布することも可能です。
ほかにも、PCと利用者の情報をそれぞれ単独で管理するのではなく、ひも付けて一括で管理 することによりPCの利用者がすぐに分かり、スムーズに情報を確認することができます。それらの情報にはPC情報、ネットワーク情報、セキュリティ情報、アプリケーション情報、位置情報など40種類以上あり、設定情報収集機能により取得して管理画面に一覧で表示します。指定のアプリケーションを起動できないように制御したり、不要になったアプリケーションをアンインストールするように誘導する指示も 管理者が一括で各PCに送信できます。
それに加えて、BitLocker暗号化や暗号化解除、デスクトップのフォルダやファイルの削除、さらには工場出荷時の状態にすることで PC内のデータを削除することもできます。このような機能はPCを紛失、盗難時に遠隔で設定することができるためとても効果的です。
※ iOSデバイスの場合、Apple Configurator 2で作成したポリシーを適用することも可能です。
資産管理ができる
企業が保有する社用PCなどのIT資産を管理するには、リース契約や保管期間といった各情報が伴います。BCDMではPC管理に必要な多くの情報を一元化し、資産情報の登録、一覧、出力をスムーズに行うことができます。
以上のように、BCDMはセキュリティ対策に加え運用効率化にも対応したサービスです。
さらに詳細な機能は こちら をご確認ください。
文章では使い心地や設定の細部まで体感していただくことは難しいかもしれません。
気になる方はぜひ下記の SaaS ポータルから、まずは トライアル版 を試してみてはいかがでしょうか。
また、お見積りの作成も可能 です。
資料ダウンロード
関連サービス
ビジネス・コンシェル デバイスマネジメント(BCDM)
スマートフォンやノートPCなどのモバイル端末とユーザー情報を一元管理するMDMサービスです。遠隔設定やアプリ配布、紛失時の遠隔ロック・消去が可能で、各ユーザーのID・パスワード管理やシングルサインオン機能も提供します。