ZENMU Virtual Desktop
営業や出張で会社支給のPCを社外に持ち出すことも珍しくありません。昨今はコロナ禍の影響もあり、リモートワークやサテライトオフィスで仕事をする機会もさらに多くなり、PCを社外持ち出しするケースは増加傾向にあります。
一方で、PCの持ち出しが増えるにつれ、情報漏えいのリスクも高まっているのが実情です。企業はどのように対策を講じればよいのでしょうか。
そこで今回は、PCの社外持ち出しによる5大リスクと対策方法を解説します。「PC持ち出し許可申請書」の作成方法もご紹介していますので、社内のセキュリティ体制を整えることが可能です。
※本記事に掲載している情報は2024年9月時点のものです。
目次
ZENMU Virtual Desktop
テレワークでの安全・快適なPC利用に
PCの社外持ち出しに関する課題を解決します。
社内で使っているPCを社外に持ち出すことで、以下5つのセキュリティリスクが発生する恐れがあります。
これまでも営業や出張の際にPCを社外に持ち出す機会はありましたが、最近はテレワークやサテライトオフィスでの社外業務も増え、いままで以上に情報漏えいリスクが高まっています。対策を練るために、まず情報漏えいの原因から探っていきましょう。
1つ目は、社外に持ち出したPCを紛失することによる情報漏えいリスクです。PCが入ったバッグを公衆トイレや電車内などに置き忘れてしまう、カフェや公共の場でトイレに立つ隙を狙って盗まれるなど、PCを持ち出す機会が多いほど盗難や置き忘れの危険性は高まります。
PCの盗難や置き忘れと同様に、ショルダーハックにも注意しなければなりません。
ショルダーハックとは、PCやスマートフォンを利用している背後から情報を盗聴されることです。画面上のパスワードや企業の機密情報が表示されていれば、ショルダーハックによって情報を不正に取得されてしまいます。
しかし、自分のすぐ後ろを警戒すれば済むというわけではありません。ときには望遠レンズや望遠カメラなどで遠くから情報を盗聴しようとするケースもあるため、PCを社外に持ち出す際は利用場所をよく検討する必要があるでしょう。
公衆Wi-Fiのネットワーク経由でPCがウイルスに感染し、機密情報が漏えいしてしまう恐れもあります。
最近はPCを社外に持ち出し、公衆Wi-Fiが使えるカフェやカラオケなどで使用するケースも増えています。公衆Wi-Fiは安全性の高いものも多い一方で、中には有名なWi-Fiサービスの名称に似せて悪質なサービスを提供している場合もあります。
ウイルスの種類にもよりますが、感染するとPC内のデータが自動的に送信されるようなケースもあります。そのまま悪意のある人の元に情報が渡ってしまうと、大きなセキュリティ上のトラブルに発展してしまう可能性があります。
情報漏えいは、悪意を持った第三者がいなくても、PCを使用する社員の単純な人的ミス(ヒューマンエラー)によって発生するリスクがあるため注意が必要です。
例えば、メール送信時の宛先や添付ファイルを間違えることで、社内の重要情報を取引先などの社外に流出してしまうケースがあります。また、システム管理者がディレクトリやサーバーなどのアクセス権限の設定を誤り、本来非公開とすべき情報にインターネット上から誰もがアクセスできる状態になってしまうケースもあります。
オフィス内での業務と異なり、特に自宅での業務は集中力が散漫になりやすいため、ミスの生じやすいポイントをマニュアルなどにまとめ、日頃から社員教育を行うのが重要といえるでしょう。
5つ目のリスクは、悪意のある社員による不正行為です。社員が故意にデータを盗み取り、それを別の企業に販売するというケースが考えられます。また、もともと悪意がなくても、周囲に同僚のいない自宅環境で仕事をしているとつい気持ちがゆるみ、不正行為に手を染めてしまうといった場合もあるでしょう。
本来であれば自分の仲間や上司・部下でもあるので、性善説に則って彼らを信じたいところですが、セキュリティリスクを考える以上は不正行為をする社員がいる可能性も考慮し、適切に事前対策を講じておく必要があります。
ここまで5つのPC持ち出しによるリスクをご紹介しました。これらのリスクは情報漏えいが起こる原因にもなり得るため、しっかりと対策方法を考えておくべきでしょう。
PC持ち出しによる情報漏えいリスクに備えるには、大きく分けて3種類の対策方法があります。
それぞれ以下で詳しく解説します。
PC持ち出しに対する1つ目のリスク対策は、セキュリティ体制の整備です。データの暗号化やログインパスワードの設定など、技術的なリスク対策がメインとなります。
PCの紛失やショルダーハック対策として役立つのが、PCのデータ暗号化です。たとえば、社内の機密情報や重要なデータにパスワードを設定することで、悪意のある人がデータの盗聴やPCを手に入れたとしても閲覧が困難になります。 セキュリティ対策ソフトの中には、ハードディスクに保存してあるデータを一括で暗号化できるものもあり、導入することでセキュリティを強固にできます。
データ漏えいを防ぐ方法としてログインパスワードの設定が有効です。WindowsやMacといったOSにパスワードを設定しておくと、万が一PCの盗難・紛失があった場合でも中身を見られるリスクを抑えられます。
ただし、「12345678」など、誰もが安易に想像できるようなパスワードの設定は避けましょう。内閣サイバーセキュリティセンター(NISC)の発行する「インターネットの安全・安心ハンドブック」では、大文字・小文字の英数字、記号を組み合わせた10桁以上の複雑なパスワードを作成することが推奨されています。
古いバージョンのOSやソフトウェアを使用していると、その脆弱性を突いてウイルスに感染するリスクが高まります。最新バージョンがアップデートされたときは、できるだけ早期にOSやソフトウェアを更新しておきましょう。
持ち出し用のPCにセキュリティソフトを導入することも欠かせません。PCを社外に持ち出すと、無料Wi-Fiサービスを使えるような幅広い環境で仕事ができます。しかし、ネットワーク環境が普段と異なればウイルス感染のリスクも増すため、アンチウイルスソフトなどの導入を検討しておきましょう。
ハードディスクやSSDなど、外付け記憶媒体にもパスワードを設定できます。パスワードを設定しておくと、PCと共に記憶媒体を持ち出した場合でも、正しいパスワードを入力しないとデータの転送ができません。ハードディスクやSSDの紛失によるデータ漏えいを防ぐことができます。
MDM(Mobile Device Management)ツールは、ノートPC、タブレット端末、スマートフォンなどのモバイル端末を管理するツールで、端末のセキュリティ設定やOS・各種ソフトウェアのアップデートなどを一元管理でき、業務効率の向上が期待できます。多くのMDMツールはGPSを利用して端末の位置情報を取得する機能を搭載しているため、万が一、盗難や紛失の場合でも端末の現在位置を把握することが可能です。また、遠隔操作で端末をロックする「リモートロック機能」、遠隔操作で端末を初期化する「リモートワイプ機能」により、情報漏えいのリスクを軽減できます。
PC持ち出しに対する2つ目のリスク対策は、社内体制の整備です。申請書の作成や情報周知の徹底など、社内の管理・運用体制に関する整備が中心となります。
PCの持ち出しに際して、管理責任者やセキュリティ担当者への事前申請を徹底するようにしましょう。より管理を厳重にするためには、申請書や誓約書の作成・提出、持ち出しルールの明文化といった方法が役立ちます。
事前申請の提出および持ち出し管理を行う責任者を決めておくことも大切です。管理責任者がいないと社員が自由気ままにPCを社外に持ち出してしまい、重大な事故が起こった際に原因を究明できません。
また、任用した管理責任者の下、持ち出しルールの周知徹底や社員教育なども行っておきましょう。社内研修などで、情報漏えいが起きた場合に会社にどのような被害が出るのかを社員に理解させ、会社全体で危機意識を持って取り組むことが重要です。
社員が普段から使用しているPCには重要な情報が蓄積されているため、万が一情報が漏えいした場合は会社への被害が計り知れません。このような事態に陥らないよう、持ち出し専用のPCを用意しておきましょう。持ち出し専用PCには必要最小限のデータのみを入れておくことで、被害を軽減できます。
PC持ち出しに関する最後のリスク対策が、クラウドサービスを利用することです。 便利で幅広い種類が存在するクラウドサービス。中でも、自宅やカフェ、サテライトオフィスなどで仕事をする際に役立つのが仮想デスクトップ(VDI)です。
仮想デスクトップとは、普段仕事で使っているPCの情報をクラウドに保存し、別の端末からアクセスしても社内PCと同じ環境を構築できる仕組みです。社内PCを持ち出す必要がなく、さらに仮想デスクトップを導入した端末にはデータが残らないため、盗難や紛失のリスクに備えられます。
会社用のPCを社外に持ち出すと確かに情報漏えいリスクは高まるものの、働き方の変化やリモートワークの台頭が著しい昨今、全面的に持ち出しを禁止するのは現実的ではありません。そこで、PC持ち出し用の許可申請書を作成するなど、「どのようにリスクを減らすか」という点を中心に社内体制を整えましょう。
ここでは、その「PC持ち出し許可申請書」の作成方法をご紹介します。作成する際に重要となる項目は次のとおりです。
持ち出しPCの用途 | 職場PCを社外に持ち出す用途や目的を記載します。用途を記載しておくと、管理責任者がPC持ち出しの妥当性を判断する際に役立ちます。 |
---|---|
持ち出し日と返還予定日 | 職場PCを持ち出す期間を記載します。職場PCは社員間で共有することも多いため、スケジュールをしっかりと定めておくことが大切です。また、「返還日」も記載して、予定より返還日がずれる場合は、その理由を確認し返還日を変更するようにしましょう。 |
持ち出し端末の名称 | どの端末を持ち出したかをほかの社員が把握できるように、PCの機種や名称を記載しておきます。PCと同時に外付けHDDなどを持ち出す場合も、その機種の名称を記載しておきましょう。 |
利用場所 | 最近は無料Wi-Fiサービスを利用してさまざまな場所で仕事ができるため、利用場所を記載し、会社の許可していない場所・環境でPCが使用されていないか確認するようにしましょう。 |
書類を作成する際に必ず入れておきたい項目は上記4点です。特にPCを持ち出す際のスケジュールは最低限記載しておかないと、社員間で情報が共有できません。
社員が共同で利用するPCを長期間持ち出してしまうと、ほかの社員の業務効率性を阻害してしまうため、書類にはその項目を設け、スケジュールを社員全員で共有しておきましょう。
これらに加えて、返還日・返還者・申し送り事項など、返還時の項目を追加してもよいでしょう。
PC持ち出し許可申請書を作成したとしても、ろくに内容も確認せず、形式ばかりの管理・共有を行っていたのでは意味がありません。そのため、申請書を使ってどのように運用するか、といった体制を整えることも大切です。以下のように書類の徹底管理や提出時の注意喚起が求められます。
申請書を作成しておくと、PCの紛失や盗難に遭った際に適切・迅速に原因を究明できます。一方、仮に書類の管理が甘く、申請書そのものを紛失した場合には対処が遅れます。申請書を管理することも重要なセキュリティ対策として扱う必要があるでしょう。
また、事前に申請書の保管場所を決めておくことも大切です。管理責任者が不在のとき、万が一トラブルが起こると書類の保管場所がわからないため、社員全員で保管場所の情報を共有しておきましょう。
PC持ち出し許可申請書の提出が形骸化しないよう、定期的に管理責任者から各社員へ注意喚起を行うことも重要です。入念に注意喚起を行うことで、社員一人ひとりのセキュリティに対する意識を高められます。
申請書を提出する際、同時に誓約書を書かせるのも方法の一つです。持ち出したPCの管理は各々の社員が責任を持っていることを自覚させることで、リモートワーク中でも緊張感を持って仕事にあたることができます。
PC持ち出し許可申請書には、上長や管理責任者が承認サインを押す項目を必ず設けます。ただ、承認者が一人しかいなければ確認漏れが発生してしまう恐れもあるため、より安全に運用するにはダブルチェック制の採用を検討してもよいでしょう。
1人目の承認者は管理責任者および直属の上司、そしてその承認者の上長にあたる人が最終責任者として承認サインを押しましょう。2人体制で内容をチェックすることで確認漏れのリスクを抑えられます。
これまで実際にどのような情報漏えいの事故が起きているか、具体的な事例を3つご紹介していきます。PC持ち出しによるセキュリティリスクをより身近なものとしてとらえ、有効な対策を検討する際にお役立てください。
2015年、チケット販売事業を行う上場会社で、社員の住宅に窃盗犯が侵入し、自宅に持ち帰っていたノートPCが盗難被害に遭いました。このPCには、顧客の会員ID・氏名・住所・電話番号などの個人情報が保存されていましたが、PC起動時のパスワード、Windows起動時のIDとパスワード、データファイルそのもののパスワードという三段階のセキュリティが設定されていたことで、第三者への情報漏えい・不正使用は確認されていません。また、盗難発覚直後に社内サーバーへのアクセスを拒否する措置を講じたため、不正アクセスなどは確認されませんでした。
2012年、アメリカの連邦機関に勤務する職員が、施錠して駐車していた車の中から会社のノートPCを盗まれる事案が発生しました。このPCには、連邦機関職員や契約社員に関する個人情報が大量に保存されており、パスワードロックはかけられていましたが、フルディスク暗号化ソフトは搭載していなかったため、情報が流出した恐れがあるとされています。この盗難事件の発生を受けて、同連邦機関は、フルディスク暗号化ソフトを搭載していないノートPCの持ち出しを禁止することとしました。
2023年、国内の航空会社で、過去に同社に在籍していた退職者が業務上の地位を利用して同社が保有する保安情報に不正にアクセスし、外部に持ち出したと公表しました。この社員は、会社が貸与したPCから同社のサーバーにアクセスし、秘匿性の高い保安情報を不正に取得するとともに、私物のUSBメモリーにコピーして外部に持ち出したことがわかっています。また、退職後は同業他社に転職しており、不正競争防止法違反容疑で送検されました。
リモートワークで働く社員が増えるにつれ、社外にPCを持ち出す機会も多くなります。普段利用しているPCを持ち出すことで社外での仕事が進めやすくなる一方で、情報漏えいリスクが高まる点には注意が必要です。 今回は、PC持ち出しによるセキュリティリスクに備える3つの対策方法をご紹介しました。
上記のような対策がおろそかになってしまうと、万が一トラブルが起こった際に適切な対処や迅速な原因究明が困難になってしまいます。リモートワークに関する社員の働きやすい環境を構築すると共に、情報漏えいリスクに対する備えもしっかりと整えておきましょう。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。