トレンド解説 2019/08/08

機密情報の外部流出リスクとは？～PCやUSBの持ち出しやメール誤送信～

会社支給PCの持ち出しで考慮すべきリスクとは

営業活動やリモートワークなどで使用するために、会社支給のノートPCについて持ち出しの需要が高くなっています。一方で会社支給PCの持ち出しには常に情報漏えいにつながるリスクが伴います。PC持ち出しで考慮すべきリスクと対策についてご紹介します。

PCの社外持ち出しで考慮すべき情報漏えいリスク

PCを社外に持ち出すことで起こるリスクには次のようなものがあります。いずれも情報漏えいにつながる危険性があり、ケースごとに対策を考えておく必要があります。

盗難、置き忘れなどによる紛失

PCが入った鞄を置き引きされる、車上荒らしに遭う、カフェなどで使っていて離席した際に盗まれる、電車の網棚の上などに置き忘れるなどPCを持ち出す機会が多い人ほど、紛失する危険性に常にさらされています。

紛失したPCの中に重要な顧客情報やメールが保存されていれば、それらがそのまま漏えいしてしまう可能性があります。

公衆Wi-Fi利用によるウイルス感染

カフェや公共の場所でPCを使う際に公衆Wi-Fiに接続したことがきっかけでウイルスに感染してしまうことがあります。安全性の高い公衆Wi-Fiも多いのですが、中にはそれらに似せた名前で罠を張っているフリーWi-Fiも存在しているのです。

また、Wi-Fi経由ではありませんが、公共の場で利用していて少し席を外した隙にウイルスを仕込んだUSBメモリをPCのポートに差し込まれ感染させられるケースもあります。

一旦、ウイルスに感染すると、PC内の情報が勝手に通信で送信されてしまうなどの被害に遭う危険性があり注意が必要です。

ショルダーハック

ショルダーハックとは、パスワードなどを入力しているところを背後や横から盗み見られて情報を取得されることです。カフェや電車でPCを使うときは背後や周囲に注意すべきです。また、ときにはカメラの望遠レンズなどで覗き見されることもあります。

社員の不正などによる被害

本来あってはならないことですが、PCを社外に持ち出した社員自身が悪意を持っている場合は、いくらでも情報を盗み取るチャンスを与えることになってしまいます。社外や自宅でPCを使用するときは社内の場合と違って緊張感が解け、つい魔が差してしまうということもあるかもしれません。

また、自宅使用では家族などがPCを操作してしまうリスクもあります。

隠れ残業への配慮も必要

PCの社外持ち出しを厳格に禁止している企業がある一方で、働き方改革の一環としてリモートワークなどを取り入れ、PCの持ち出しを認めるようになった企業も増えています。

それによってセキュリティリスクが増大することも問題ですが、もう一つ、自宅に仕事を持ち帰って業務を行う、いわゆる「隠れ残業」が発生し得るのも懸念すべき点です。

PCの持ち出しや持ち帰りを許可する場合でも、そのことで隠れ残業を促すようなことにならないよう配慮が必要です。

会社支給PCの社外持ち出しに必要なリスク対策

PCの持ち出しを許可する場合にはどのような対策を行うべきなのか、その方法を挙げていきます。

OSやソフトウェアの更新の徹底

持ち出し用PCは社内のネットワークに常時接続されていないため、Windowsの最新アップデートが実行されていないケースがあります。パッチを適用していないことで、脆弱性を悪用した攻撃を受けやすい状態になっているかもしれません。これはMicrosoft Officeなどのソフトウェアも同様です。持ち出しの際は必ず最新状態への更新を徹底しておきましょう。

セキュリティソフトの導入と更新の徹底

持ち出すPCにはセキュリティソフトの導入も必須です。またセキュリティソフトも最新化されている必要があります。ウイルス定義ファイルが最新かどうかは安全性の強度を大きく左右します。

事前申請を必須にする

PCの持ち出しは担当部署や管理責任者への事前申請を必須にし、必ず誰が持ち出しているのかが分かるように記録して管理しましょう。持ち出し申請書には持ち出しの目的、期間、使用場所などを明記します。

持ち出し用のPCを用意する

社外に持ち出すPCは、持ち出し用の専用PCを用意しましょう。普段から社内で使用しているノートPCには重要な情報が日々蓄積されていきます。専用PCに持ち出して作業する際に最低限必要なファイルのみをコピーして外で使用するようにするだけで安全性は高くなります。

ログインパスワードの設定

Windowsのログインパスワードは必ず設定しておきましょう。ただし、ログインパスワードは解析されたり解除されたりする方法がないわけではありません。ノートPCの中には指紋認証など生体認証によるロック機構が用意されているものもあるので積極的に活用するとよいでしょう。

ハードディスクへのパスワード設定

BIOSの設定画面でハードディスク（HDD）にパスワードを設定することも有効です。さらに重要なファイルの暗号化、メールソフトのパスワード保護なども実行しておくことをおすすめします。

ファイルサーバーのデータを持ち出さない

持ち出し用のPCには、ファイルサーバーのデータは残さないのが理想的です。そのためにシンクライアントに代表される、手元にデータを残さないセキュアアクセス系の環境などを構築することも検討してみましょう。

PCの社外持ち出しにはリスクが伴う、ということをまずはしっかりと認識しなくてはなりません。リスクを回避するための対策はここに挙げた通りですが、それ以外にも社員のリテラシーを高めることも重要です。社員一人一人が持ち出したPCに対して責任を持つよう、社内教育や周知活動を行っていきましょう。

企業でUSBメモリを使用するリスク

USBメモリの使用にはさまざまなリスクが伴うことから、社内でのUSBメモリの使用を禁止している企業もあります。具体的にどのようなリスクがあるのか、安全にUSBメモリを使用する方法はないのかなど、企業でUSBメモリの使用を検討する際に知っておくべきことについて解説していきます。

USBメモリは企業で使用しない方がよいのか

USBメモリはコンパクトで大容量なストレージであり、コンビニエンスストアなどでも気軽に購入することができます。データのコピーや移動、持ち運びに便利なために一気に普及しましたが、企業においてはその使用には危険性が伴います。

現在、仕事上でUSBメモリの使用を認めていない企業も多いでしょう。デジタルデータをよく扱う企業ほど、使用には慎重になっているはずです。USBメモリの利便性の高さには疑いはありませんが、企業にとっては日常的に使用するにはリスクの高い記録媒体だといえるでしょう。

USBメモリを使用するリスク

USBメモリの使用はなぜ企業にとって問題なのか、どのようなリスクが考えられるのかを挙げてみましょう。

紛失

USBメモリはコンパクトであるがゆえに紛失しやすいアイテムです。社内で紛失するならまだしも、社外で紛失してしまった場合は重要なデータが漏洩してしまう危険性が高くなります。実際に、USBメモリをどこかに落としてしまった、置き忘れた鞄の中に個人情報を保存したUSBメモリが入っていたという事例も発生しています。USBメモリを持ち歩くことを許している限り、紛失の危険性はなくならないでしょう。

盗難

USBメモリを社外に持ち出していることを知っている誰かが盗むという危険性もあります。また、鞄の置き引きや車上荒らしに遭った結果、その中にUSBメモリが入っていたというケースも考えるべきでしょう。社内での使用も、重要データが入ったUSBメモリが外部からの侵入者などによって盗難されるリスクが伴います。

内部犯行の発生

日常的にUSBメモリを使用していると、企業の内部に悪意を持つ者がいた場合、盗難などの犯行がしやすい状況が生まれてしまいます。内部犯行であれば、USBメモリに欲しいデータをコピーして簡単に持ち出せるからです。また、USBメモリにウイルスを忍ばせることもできるでしょう。考えたくはないことですが、そうした危険性があることは把握しておくべきです。

ウイルス感染

USBメモリを自宅に持ち帰って自宅のパソコンで作業をしたとします。その自宅のパソコンが万が一ウイルスに感染していれば、USBメモリにウイルスがコピーされる可能性があります。そのUSBメモリを会社のパソコンに接続すると今度は会社のパソコンがウイルスに感染します。USBメモリがウイルスに感染経路になるケースは一時期急増しました。

USBメモリを安全に利用する方法はあるのか

重要データの入ったUSBメモリの紛失やウイルス感染がニュースなどで取り上げられるようになってから、USBメモリを安全に利用するための対策も取られるようになってきました。

たとえ紛失したり盗難されたりしたとしても、パスワード保護やファイルの暗号化によって情報漏えいを防ぐ機能を持つUSBメモリが作られ、販売されています。

また、企業でUSBメモリを運用する際にはウイルスチェックを義務づけ、アクセスログ管理を徹底することである程度、安全性を高めることができます。あるいは社内ネットワークから切り離し、USBメモリの自動実行を無効化した専用パソコン用意するという方法も考えられます。

ただし、それでもヒューマンエラーが絡むケースもあり、完全に安全なUSBメモリの運用方法を確立することは難しいでしょう。IT部門などがUSBメモリの使用を厳格に管理するのは負荷もかかり、USBメモリ本来の手軽さなどの利便性も損なわれることになります。

USBメモリを使用しないという選択肢

現在では、企業においてUSBメモリを使用しなければできない作業・業務というのはほとんどないはずです。

USBメモリで行っていたことは、ネットワークを利用して安全なファイルの受け渡し・共有を可能にするツールや機器で代替できるようになっています。またクラウドサーバーを利用すれば、USBメモリよりももっと簡単に、安全にデータをやりとりすることができます。

リアルな記録媒体をそのまま持ち歩く必要がないということは、紛失する危険性も盗まれる危険性もないということです。ウイルスやサイバー攻撃に対しては、十分なセキュリティ対策を備えたサーバー業者を選ぶことなどで防御可能でしょう。

自社にマッチした、これらの方法を見つけることで、USBメモリを使用しない方法を選ぶことができます。もちろん、それでもUSBメモリを使う方がメリットは大きいというのであれば、それも選択肢の一つです。

企業でUSBメモリを利用するのであれば少なくとも、USBメモリの使用にはどのようなリスクがあるのか、そのリスクを軽減させるには何をすべきなのかという点については熟考が必要です。その上で、USBメモリを使用するか否かの判断をすることをおすすめします。

企業は何をすべき？メールの誤送信対策

メールはビジネスに欠かせないものですが、誤って送信をしてしまうと取り消しができないという大きな弱点があります。メール誤送信は、送信相手の信頼を損ねることにつながるだけではなく、情報漏えいという重大なインシデントにも発展しかねません。誤送信の事例や対策について解説します。

どのようなメール誤送信が発生しているのか

メール誤送信で多いのは、まずアドレス帳からの選択ミスなどによって起こる宛先間違いです。メールアドレスの自動補完機能を利用していて似たような別アドレスが入力されてしまうケース、アドレス帳自体に間違いがあって別人に送信してしまうケースなどが考えられます。

メールアドレスを電話で聞いた場合や、名刺を見ながらメールアドレスを手動入力する際にアドレスを打ち間違えてしまうケースもあります。存在しないアドレスに送った場合は通常、メールサーバーから不達を知らせるバウンスメール（エラーメール）が返ってきます。しかし、たまたま同じ社内に氏名が一文字違いの人がいたような場合は、その人に間違った内容のメールが届いてしまうことがあります。

BCCやCCにアドレスが入っていることを見落としていて、複数の人に送るべきでない内容のメールを送信するケースも起こりがちです。BCCに入力すべきアドレスをTO欄やCC欄に入力して一括送信してしまい、公開すべきではないアドレスを大量に拡散してしまうというミスもしばしば問題になります。

間違いや問題のある文面を送信するケースも誤送信の一種です。書きかけの内容や修正し忘れた内容が含まれたまま送信してしまうことがこれに当たります。

添付すべきファイルを添付し忘れたまま送ってしまう、あるいは間違ったファイルを添付して送ってしまうというケースもよく見られます。とくに機密情報や個人情報を含むファイルを間違えて添付して送信すると重大な問題につながる可能性があります。

メールを誤送信すると企業はどうなるのか

メールの誤送信はそれだけで送信相手に悪印象を与えることになります。相手が取引先や顧客であれば不信感を抱かれたり、ITリテラシーの低い会社との評価をされてしまったりすることは避けられないでしょう。

誤送信した内容に機密情報や個人情報が含まれていた場合は、その段階で情報が漏えいしたことになります。誤送信したことに早い段階で気づけば被害を最小限にとどめられるかもしれませんが、一括送信などで大量に流出させてしまった場合は情報がインターネット上に拡散されてしまうこともあり得ます。

情報漏えいは、その内容や規模の大きさによっては多額の賠償金の請求や、社会的信用の失墜につながる可能性があります。また情報漏えいの原因うち、不正アクセスなどと並んで多いのが情報の管理ミスや誤操作であることも覚えておくべきでしょう。

メールの誤送信を防ぐための対策

メールの誤送信を防ぐには次のような対策を立てることが考えられます。

誤送信防止システムの導入

誤送信防止システムには、メール送信時に送信先アドレスが適正かどうかをシステムが判定して再確認を要求する機能、アドレスやドメインで送信先を制限する機能、第三者による承認機能などが備わっています。完全ではありませんが、ケアレスミスをできるだけ減らすことには役立つでしょう。

ダブルチェックする

メールアドレス、文面、添付ファイルの内容などをダブルチェックすることをルールとし、徹底する方法です。作成したメールは即時送信するのではなく、一旦、保留して再確認してから送信することを義務付ける方法もあります。

一時保留機能を使う

メールソフトに、送信時に必ず一定時間保留してから実際に送信する機能が付いている場合があります。この一時保留機能を使うと指定時間内であれば送信取り消しができます。また一時保留したあと、自己承認しないと実際に送信されない仕組みの機能が設定できる場合もあります。

CCに上長や社内関係者のアドレスを入れる

CCに必ず上長やセキュリティ管理担当者のメールアドレスを入れて送信することをルール化する方法です。上長などがメールをチェックすることでミスが起きたときに早く気づき、対応しやすくなるというメリットがあります。

添付ファイルを暗号化する

添付ファイルは必ず暗号化し、開封パスワードを別のメールで送信する方法です。万一、間違った添付ファイルを送ってしまった場合や送り先を間違えた場合でも、ファイルを開封されるリスクを軽減できます。ただし、開封パスワードを送る際に添付ファイルを間違ったことに気づかなかったり、開封パスワードの送信先も同じように間違えたりした場合は意味がないので、いずれにしろ添付ファイル送信の際は十分な注意をすべきです。