一度のインシデントで会社の信用を落としてしまう「情報漏えい」は後を絶ちません。
NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの発生原因の中で「盗難」のケースもあり、全体の3.8%が盗難による情報漏えいとなっています。
この数字は決して多いわけではありませんが、どの企業でも盗難被害は十分に起こりうることです。盗難による情報漏えいを防ぐために、私たちはどのようなことに気をつけるべきか考えていきましょう。
「盗難」による情報漏えいとは
盗難による情報漏えいの定義は次の通りです。
「第三者によって情報記録媒体と共に情報が盗まれてしまったケース」が該当します。
情報のみが盗難に遭遇した場合は、不正アクセスに分類されるため、ここでは言及しません。盗難が多発するケースとしては、車上荒らしや、窃盗目的での事務所への侵入などが考えられます。
PC、スマホなどは、盗んだ端末を転売することでお金に換えることができるため、盗難対象となるケースは珍しいことではありません。
盗難による情報漏えい事例
盗難による情報漏えいには、具体的にどのような事例があるのか、ここ最近発生した事例を紹介します。
事例1 出張先で盗難被害に遭遇
大学病院の患者情報3217件が入ったノートパソコンと、1000件の職員情報を記録したモバイル端末の入ったカバンが、海外出張先で盗まれました。このケースでは、個人情報が不正利用された形跡はありませんでした。
事例2 車上荒らしによる情報漏えい
住宅賃貸を請け負う企業が、昼食時に飲食店の駐車場に車を停めていた際に、車上荒らしに遭遇。100人分のお客様情報が入った書類が紛失してしまいました。個人情報が記載されている書類をそのまま車内に放置してしまったことが情報漏えいの原因とされています。
事例3 事務所荒らしによりハードディスク盗難
群馬県で、ケーブルテレビ会社が電力会社に顧客情報を提供した後で、電力会社内に何者かが侵入し、ハードディスクが盗まれてしまいました。ハードディスク内には、加盟者の個人情報が記載されていましたが不正な利用は見られていないようです。
「盗難」による情報漏えいの考察
「盗難」による情報漏えいがなぜ発生してしまうのか、防ぐためにはどのようなことに気をつけるべきかを考えていきましょう。
背景と課題
盗難による情報漏えいで少なくないのが、PCやUSBメモリに入っている情報や機器をお金に換えてしまうケースです。
最も多いのは、ハードディスクを転売目的のために盗んで、データを消失させてしまうケースで、バックアップをとっていない場合には、たとえハードディスクが戻ってきても復旧ができないことも考えられます。
このような事例は、端末に目的があるため個人情報が流出する恐れはありませんが、個人情報や機密情報が目的のケースも少なくないため、ブラックマーケットでの個人情報売買にも注意が必要です。
ブラックマーケットでは、個人情報を犯罪に悪用するケースが多く、個人情報の流出が原因で詐欺事件にまで発展することがあります。
個人情報や機密情報を盗む主な犯行手口は、ネット上からのサイバー攻撃ですが、元社員がPCやUSBメモリを盗み、情報を漏えいさせるケースもあります。盗難による情報漏えいは企業が対策をしていれば最悪の状況を回避できるため、すぐに行うべき対策であると言えるでしょう。
解決手段
さまざまな対策をしていても、盗難自体を防ぎきれないこともあります。対策をするために必要なことは、盗難が発生した後の対処方法をしっかりと対策しておくことです。盗難に遭遇しても、次のような方法で対処が可能です。
対策1 仮想デスクトップの構築
ノートPCから、サーバー内にあるデスクトップにアクセスをして作業ができる「仮想デスクトップ」環境を構築すれば、クラウド上のやりとりで完結するため、盗難被害に遭遇しても、個人情報が流出する可能性を回避できます。
しかし、仮想デスクトップを利用しても、ログイン設定やパスワードを簡略化している場合には個人情報漏えいのリスクが考えられます。
仮想デスクトップ環境の構築と同時に、社員に対する情報セキュリティ教育をあわせて行うことを心がけてください。
対策2 紛失防止を講じたデバイス
盗難被害にいち早く気づくことも重要です。盗まれたことに気づかない状態が長引けば長引くほど、情報漏えいが進行していく可能性があります。
そうしたケースを防ぐために、モバイル端末などにシールを貼り付けておくと、手元から離れた際にスマホに通知されるBluetoothを用いたシール型紛失防止デバイスなどもあります。
このようなデバイスを設置しておくことで、万が一盗難被害に遭遇してもすぐに対応できるため、「盗まれた場合どのような問題が考えられるのか」を想定した対策を検討するようにしましょう。
対策3 リモートワイプによるデータ操作
万が一盗難被害に遭い、端末が見つからない場合には、リモートワイプによってデータが削除できれば情報漏えいを未然に防ぐことが可能です。特に職場で持ち出す可能性があるノートPCやスマホを支給している企業では、リモートワイプによる対策を行うことをおすすめします。
おすすめの対策ツール
さまざまなリモートワイプ商品がある中で、どの商品を選ぶべきかわからないという方にオススメのサービスが、「ワンビ リモートワイプ」です。
「ワンビ リモートワイプ」は、パソコンをリモートから遠隔ロック・消去が可能な、エンドポイントのセキュリティソフトウェアで、60日間無料で使えます。機能は下記のとおりです。
遠隔ロック
遠隔からロック命令を受信するとマウス、キーボード、タッチパネル等の入力デバイスを無効化して、PCを操作不能にします。
遠隔消去
遠隔から消去命令を受信すると、フォルダやドライブ単位の消去ではなく、OSを含むドライブ上の全データを消去します。
モバイル端末の盗難だけでなく紛失などの際にも情報漏えいを防ぐことができるため、このようなサービスの導入を検討するようにしてください。
まとめ
盗難による情報漏えいは、いつ発生してもおかしくありません。盗難被害に遭遇しないために、社員教育や社内のセキュリティ環境を見直すのはもちろんのこと、盗難後の対策を検討することも重要です。
情報漏えいを防ぐために、今回紹介した内容を一度整理して、盗難に対する対策を検討するようにしましょう。