検索
連載

自宅作業時のセキュリティを考えるセキュリティ、そろそろ本音で語らないか(19)(1/2 ページ)

計画停電の影響で、多くの企業が出社制限や自宅待機を行っています。急な自宅作業を余儀なくされたこんなとき、セキュリティ対策はどのようにあるべきなのか、考えてみましょう(編集部)

Share
Tweet
LINE
Hatena

計画停電で避けては通れない自宅作業

 ご存じのように計画停電によって大きな社会的な影響が生じています。しかも、この計画停電はいつまで続くのか、先が見えない状況といえるでしょう。大急ぎで火力発電所などを復旧したとしても、今度は夏の大需要期がやってきます。そのときの供給計画は明らかにされていません。

 まして、これから復旧フェイズに入っていくためには、現在以上の電力が必要になります。従って、計画停電や節電はこれからも長く続く、と覚悟した方がいいでしょう。数カ月、あるいは1年以上この状態が続くかもしれません。火力発電所も周波数変換設備もそんなに簡単に作れるものではないからです。

 現時点では、都内でも多くの企業が出社制限や自宅待機を行っています。事実、都心の地下鉄はとても空いています。かなり多くのビジネスマンが「出社していない」ものと思われます。

 でも、いつまでもそんなことを続けるわけにもいきません。当然ながら「自宅作業」も避けて通れないでしょう。もちろん乗り換えや徒歩など大変な思いをしてでも出社しないといけない社員もいますが、多くの社員は自宅での作業が可能なはずです。

震災後数日で、大量のPCと情報が「持ち帰り」に

 例えば「週に4日は自宅作業として、1日だけオフィスに行く」という選択肢もあり得るでしょう。これは震災前には少し進んだ一部の企業が取り入れていた手法であり、テレビや雑誌で紹介されていた方法です。

 計画停電によって、その自宅作業が一気に現実のものとなってしまいました。Twitterのつぶやきを見ていても、多くの方がパソコン本体やデータなどを持ち帰っている様子がうかがえます。

 一方で、これまで情報漏えい対策として「ノートパソコン持ち出し禁止」「USBメモリ使用禁止」を掲げていた会社は少なくなく、むしろ多数派であったはずです。このようなルールを適用していた企業は、この危機をどのように乗り切ろうとしているのでしょうか。

 Twitterを見ていると「とりあえず業務ファイルをUSBメモリにコピーして、申請して承認された、これでよし」などと書かれているものを見かけます。

 多くの「情報持ち出し禁止ルール」に依存している企業では、「例外規定」なるものが存在していて、「例外的に使用する場合には申請して承認を得ること」という決まり文句が書いてあることが多いのです。これはむしろ、例外的な措置を生じさせたくないための「牽制」です。日常的に例外が生じるような事態は想定していなかったのです。

 それが急に、震災と計画停電によって、「例外措置が日常」になってしまいました。例外措置を承認する責任者も「セキュリティポリシーどおりにちゃんとやっている」と考えるでしょう。その結果、いま、大量の業務ファイル(業務に関係のある書類)が大量に申請して承認され、堂々と自宅に持ち帰られているのです。

 震災後数日でどれだけの業務ファイルが自宅に持ち帰られたことでしょう。そしてこれからさらに多くの業務ファイルが自宅に持ち帰られることでしょう。

 この状況下で情報漏えいを抑える手段とは何でしょうか?

 シンクライアント端末であればセキュリティ機能が設定されているので、カメラで画面を撮影しない限り、情報漏えいの可能性は極めて低いものになります。しかしながら、自宅で使うとなると十分に時間があって他人の目がないわけですから、高精細デジカメで撮影してOCRで文字認識させることも可能になってしまいますし、図面であれば撮影するだけで十分です。

 持ち出しPCのセキュリティ対策というと「シンクライアントが安全である」といわれます。けれど、本気で情報漏えいを企てる人に対しては絶対的なソリューションではないのです。

現実を見据えれば「そこそこのセキュリティ」でも

 情報セキュリティの中でもITに関しては、「絶対に漏れないこと」が要求されがちです。

 けれど情報は人間の口からも漏れますし、転職すれば企業の重要なノウハウも簡単に流出します。あるいは、営業マンなら得意先のリストを持ち帰ったり、名刺のコピーを持って転職することもあるかもしれません。

 つまり、いろいろなところから情報は漏れてしまう、あるいは漏れている、というのが現実です。そして、その現実とは別に、ITに関しては「絶対に漏れないこと」を求めてしまうのです。

 しかも日本では建前も重要視されます。そこで出来上がるのが「禁止ルール」です。「絶対に持ち出さないこと、というルールを定めてあるから絶対に漏れないのだ」と思い込んでしまうのです。あるいは、その禁止ルールを作っただけで対策をしたことにして、それ以上の実効的な対策は行いません。でも例外があるから、例外規定だけは作ってしまうのです。

 現実には、企業の業務に関する情報はある程度は漏れています。完全に漏れないようにすることはそもそもできないし、できていないのです。

 もしそうであるならば、「そこそこのセキュリティ」でもいいはずです。利便性と生産性を向上できるのであれば、そこそこのセキュリティでもいいのではないでしょうか。

Index

自宅作業時のセキュリティを考える

Page1
計画停電で避けては通れない自宅作業
震災後数日で、大量のPCと情報が「持ち帰り」に
現実を見据えれば「そこそこのセキュリティ」でも

Page2
「絶対に守るべきもの」と「そうでないもの」の分類を
実効性を持つ「把握」と「消去」がカギ
リモートデスクトップも有効
クラウドサービス利用時の注意点


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る