どうも、マルワの裏方あれこれ担当です。
今回は、「清掃員スキリの事件簿(著作権トラブル編)」のアナザーストーリーとして、「清掃員スキリの事件簿(情報セキュリティ編)」です!
情報セキュリティ編第一話は(こちらもシリーズ化する気満々)「私物USBメモリの業務利用に潜むリスクとは?」と題して、「自分だけ、これくらいなら、といって私物のUSBメモリを使うなど、社内ルールを守らないことにはリスクがありますよ」という内容になります。
情報セキュリティ管理については、「インフォぷりん」というものも発行しております(コチラからお読みいただけます)。
―清掃員スキリの事件簿―
情報セキュリティ編 Vol.01 私物USBメモリの業務利用に潜むリスクとは?
【ご注意】本ブログに掲載されている物語は、一般的な情報提供を目的としたフィクションです。登場する企業名、人物名、団体名などはすべて架空であり、実在の企業・人物・団体とは一切関係ありません。
【免責事項】
- 本コンテンツは、筆者が作成した文章について、複数の生成AI(OpenAI社のChatGPT、Microsoft社のCopilot等)を活用して校閲し、再度筆者が加筆・編集を行ったものです。また、イラストはAdobe社のPhotoshopの画像生成機能(Firefly)を活用して作成したものです。
- 内容の正確性・完全性については十分な注意を払っていますが、必ずしも専門的知見や現実の事実に基づくものではありません。具体的な問題への対策等については、必ず専門家にご相談ください。
- 本コンテンツの利用により生じたいかなる損害についても、当社は一切の責任を負いかねますので、あらかじめご了承ください。
【登場人物】
スキリ: デジタルリスク管理のスペシャリストであるが、ある事情から現在は清掃員として働いている。豊富な知識と鋭い観察眼を持ち、社員からの信頼が厚い。本作の主人公。
ナカノ: 営業部課長。穏やかな性格で部下の面倒見がよい。
コレクライ: 営業部所属。マジメで仕事熱心。今回のトラブルの当事者。
私物USBメモリを会社で利用することのリスク
日本の某所。××(ばつばつ)株式会社。
午前の巡回清掃中のスキリは、給湯室で何かを見つける。
(なぜこんなものがここに……)
そのころ、営業部のコレクライが、焦りを隠せない様子でオフィス内を歩きまわっている。
コレクライさん、さっきから何をしているの?何か探し物ですか?
それが、実は……。USBメモリが見当たらないんです……。取引先のA社様に提出するための企画書と、あと、その……顧客リストのコピーデータも入っているものなんですが……
顧客リスト!?顧客リストなどの重要データは無断コピーも無断持出も社内規定で禁止されているって知っていますよね?なぜそれがUSBメモリに?勝手な持ち出しは個人情報保護法に抵触する可能性もあるんですよ!
すみません……。明日A社様に持っていく資料を作成するついでに、来週までに提出するように言われていた顧客リストの整理も自宅でやってしまおうと思って……
巡回清掃で営業フロアにやってきたスキリが2人の様子に気づき、近づいてくる。
ナカノ課長、コレクライさん、何かあったんですか?
あぁ、スキリさん。ちょうどよかった。コレクライさんが取引先に提出する企画書と顧客リストの入ったUSBメモリをどこかで失くしたみたいなんです。どこかで見かけませんでしたか?外部で失くしていたら大変なことになってしまいます……
コレクライさん、詳しく聞かせてもらえますか。最後にUSBメモリを確認したのはいつ、どこですか?USBメモリは会社支給のものですか?
今朝家を出る時には確かに鞄の中にありました。さっきデータをPCに移そうと思って鞄を見たら入ってなくて……。あと、その……USBメモリは会社支給のものではなくて自分で買った新品の私物です。あ、でも、自宅のPCにデータは残していません。本当です!
スキリはゆっくりとうなずきながら、掃除カートの奥から先ほど拾ったものを取り出す。
なるほど。もしかして、コレクライさんが探しているのはこのUSBメモリですか?さっき掃除中に給湯室で拾ったのですが、会社支給のものとは違うので、システム部に調査をお願いしようとしていたところです。
そう!これです、ありがとうございます!そうか……今朝会社について、そのまま給湯室でコーヒーを飲んだんです。その時に……。でもよかった。これで作業ができる……
残念ですが、まだお返しできません。USBメモリはウイルス(マルウェア)感染の媒介となる可能性があります。社内で見つかったものであっても、落ちていたUSBメモリを安全確認せずに使用するのは危険です。それに、これが本当にコレクライさんのものでも、会社のセキュリティポリシーが適用されていない私物であり、自宅のPCに接続しているので、ウイルスに感染している可能性もあります。だから、しっかり調べてもらう必要があります。
うぅ……。わかりました。
安全が確認されたらお返ししますが、このUSBメモリは二度と会社に持ち込まないでください。会社のPCに私物のUSBメモリを接続すること、会社のデータを私物のUSBメモリに保存することは、会社のセキュリティ規定で厳しく禁止されています。中に入っているデータはシステム部で安全に取り出して、社内サーバーに保管してもらいます。そこからデータを受け取ってください。手間はかかりますが、情報漏洩を防ぎ、会社を守るためにも必要なことです。
トラブルの原因と対策
30分後、システム部でUSBメモリを調査してもらったスキリが営業フロアに戻ってくる。
確認が終わりましたよ。確かにこのUSBメモリはあなたのもので間違いなさそうですね。さきほど仰っていた資料と顧客リスト以外のデータは保存されていませんでした。幸い、マルウェアにも感染してはいません。ただ、一歩間違えれば深刻な事態を招くところでしたよ。
スキリさん、このようなことがまた起きないようにするにはどうしたらいいですか?ルールは既にありますし、一通り営業部員にも周知していますが、お客様とのデータのやり取りにUSBメモリを使うことが多い部署ですから、USBメモリを失くしたり、禁止データを持ち出したりしてしまう可能性はあると思うんです。
そうですね、『やろうと思ってもルール違反ができない仕組みを作る』ことが予防策としては有効ですね。現状では、会社支給USBメモリ以外の利用禁止ルールはありますが、私物のUSBメモリでもPCに接続できてしまいます。それに、顧客データの無断複製禁止ルールはあっても、営業部員は全員アクセスできてしまうし、複製した記録も確認できません。だから、コレクライさんも私物のUSBを使って顧客リストをコピーできてしまった。
やろうと思ってもルール違反ができない仕組みって、具体的にはどういうことなんですか?
はい。例えば、USBメモリの使用を全面禁止にして接続できないようにするか、許可されたUSBメモリ以外はPCに接続できないように設定することですね。セキュリティソフトやMDM、EDRなどの管理ツール※を使えば可能です。USBメモリの紛失対策としては、会社から支給するUSBメモリはすべて暗号化機能付きのものに限定する。そうすれば、万が一USBメモリを失くしても中のデータが漏えいするリスクを減らせます。
禁止データの無断複製や持出への対策は、重要データへのアクセス権限を最小限にすることと、データサーバーのアクセスログを取得・定期的に監査すること、ですかね。この部署は全員許可しよう、といった便宜的な判断ではなく、本当にアクセスが必要な最小限の人だけ許可して、その上で、誰がいつ、どのファイルにアクセスしたのかを記録しておくことが大切です。
でも……。こんなことをしておいて言うのもなんですが、残業できない時とかに自宅で作業したいこともあるじゃないですか?そんな時は私物のUSBメモリを使いたいなって思う人は私だけじゃないと思うんですけど……
許可されていないUSBメモリを会社のパソコンに接続するのは、『見知らぬ人から渡されたお菓子を、何も考えずに同僚に配るようなもの』です。そのお菓子には毒が入っているかもしれない。それに、暗号化されていないUSBメモリに重要データを入れて持ち出すのは、『重要書類の保管されている金庫を、鍵もかけずに持ち歩くようなもの』です。いつ、どこで、誰に中身を盗まれてもおかしくない。そのようなリスクを低くするために社内規定があるんです。少しだけ、今回だけ、自分だけ、これくらいいいだろう、といった考えが事故を招く。そのことを肝に銘じておくべきだと、私は思いますよ。
その通りですね。今回のことは社長にも報告しなければいけません。その際に、スキリさんが提案してくれた対策を提案してみますね。
※MDMやEDRなどの端末管理ツール とは?
端末管理ツールとは、端末が不正に利用されたり、データ(情報)が悪用されたりしないように守るためのツールです。
- EDR …スマホやパソコンに変な動きがないか見張り、もし変な動きがあったら通信を切ったり、隔離したり、管理者に知らせたりしてくれるツール
- MDM …スマホやパソコンをまとめて管理して、失くしたときに遠隔でロックしたり、強制的に初期化したりできるツール
後日、臨時の幹部会議が開かれ、「PCへのUSBメモリの利用制限設定の実施」「支給USBメモリを暗号化機能付きのもに買換え」「重要データへのアクセス権限の見直しとアクセスログの監視」の実施が指示された。
また、コレクライは今回の件で厳重注意処分となり、社内での情報セキュリティ研修への参加が義務付けられた。
今回のトラブルを防ぐための三箇条
- USBメモリの利用には潜在的なリスクがあることを認識する! USBメモリは小さいため紛失のリスクが高いこと、コンピューターウイルスに感染するリスクがあることに注意しましょう。安易な利用は情報漏えいやシステム障害につながる可能性があります。
- 重要データへのアクセス権は「必要最低限」、社内ルールを明確に! 個人情報や機密情報などの重要データへのアクセス許可は、本当に業務上必要な最小限の人に限定しましょう。また、重要データを持ち出す場合の社内ルールをできるだけ具体的に定めましょう。
- 社内ルールを厳守することを社員研修で周知! 定期的に全社員を対象にした社内ルールについての研修を実施しましょう。その際に、社内ルールを厳守することの重要性も具体的に伝え、社員一人ひとりのセキュリティ意識を高めることが重要です。
この後、スキリに次なるトラブルが待ち受けているのですが、それはまた別のお話で……
いかがでしたでしょうか?
利便性と安全性を天秤にかけて、自社で許容できる範囲内でルールを定め、安全に運用していけたらいいですね。
また、当社Webサイトには、このような情報セキュリティ対策の実施を含めて、自社のCSR活動の現状を把握し、改善策や必要な対策を検討することの一助になることを目的とした簡易的な「中小企業CSR診断」コーナーがございます。
よろしければ以下のバナーをクリックして診断を実施してみてください。
ということで、今回の「清掃員スキリの事件簿」のBGMは、イタリア映画音楽の巨匠、アルマンド・トロヴァヨーリのスキャットが印象的な名曲「黄金の七人(同名映画のテーマソング)」なんかいいんじゃないでしょうか。
なんて思いつつ、本日はこの辺で。
