なお、この箱は自動的に消滅する：こうしす！ こちら京姫鉄道 広報部システム課 ＠IT支線（35）

情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第35列車は「網棚の荷物」です。※このマンガはフィクションです。

[原作：井二かける（OPAP-JP）, 解説：京姫鉄道，＠IT]

「こうしす！」とは

ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。

その情報システム（鉄道システムを除く）の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。

「こうしす！＠IT支線」とは

「こうしす！」制作参加スタッフが、＠IT読者にお届けするセキュリティ啓発4コマ漫画。

今回の登場人物

祝園アカネ（HOSONO Akane）

広報部システム課　係員。情報処理安全確保支援士。計画的怠惰主義者で、有休取得率は100％。しかし、困っている人を放っておけない性格が災いし、いつもシステムトラブルに巻き込まれる

英賀保芽依（AGAHO Mei）

広報部広報課係員。天才的トラブルメーカーで、システム課やシステム子会社からは「アルティメットバグトリガー」として知られる。アカネの同期

第35列車：母さん、私のあの箱、どうしたんでしょうね

※Live2Dモデル：Live2D, 高嶋るみあ／背景3D：頭座技富／OPAP-JP contributors

井二かけるの追い解説

　今回のテーマは、「網棚の荷物」です。

　サイバーではない物理の情報セキュリティインシデントとしてよくあるのが、荷物の紛失とそれによる情報漏えいです。

　マンガでは、社用PCが入った箱を電車で姫路の本社から京都支社まで運搬する際に、芽依が荷物を網棚に置いたまま眠ってしまいます。その結果、箱ごと荷物を紛失してしまいました。社用PCですから中には業務上の重要なデータが含まれているかもしれません。

　重要な手荷物はなぜか消滅しがちです。盗難に遭うケースや単純に置き忘れてしまうケース、泥酔してどこに置いたかすら分からないケースなど、情報システム担当者なら何度も経験してきたことでしょう。

　このような事件は無数に存在します。

関連記事

尼崎市のUSBメモリ紛失事件　“アンチパターン盛り合わせ”から学べること（ITmedia エンタープライズ）

量子科学技術研の病院がUSBメモリ紛失　患者情報3300人分入り　使用したまま医師離席、戻った時には見当たらず（ITmedia NEWS）

商業施設でPC紛失、テナント従業員の情報最大1万件を保存していた可能性　なくした時期は「2013年以降」（ITmedia NEWS）

　今後はテレワークと出社のハイブリッドで自宅と職場間を移動する機会が増加する方も多いでしょう。そのときに、うっかりPCや周辺機器を紛失してしまう事態も増えていくかもしれません。いくら気を付けていても、紛失は完全に防げません。では、どのように対策すればいいのでしょうか。

　まず考えるべきは、紛失の発生確率を下げることです。

紛失の発生確率を減らすには

　以下のような方法で、PCや周辺機器紛失の発生確率を減らせます。

• 会社（テレワークの場合は自宅）外に持ち出さない
• 社用車などで運搬する
• 公共交通機関で移動する際は、荷物は必ず膝の上に置き、網棚などは使用しない
• 飲み会などアルコールが入る集まりに参加するときは、荷物を会社や自宅に置いて出掛ける

　そもそも物理的に書類やPCを社外に持ち出さないのがベストです。データや書類の交換であれば、クラウドストレージなどを用いるなどの方法が考えられます。

　しかしそうはいっても、事業所間や顧客との荷物のやりとりは発生します。そうしたときは、不特定多数に盗まれ得る状況を避け、公共交通機関ではなく社用車で運搬するという方法も考えられます。しかし2008年には、顧客リストなどを社用車ごと紛失した事例もあり、社用車といっても安心はできません。

関連記事

東邦液化ガス、車両盗難で顧客リスト紛失 - 制服や社員証も（Security NEXT）

　社用車を使用する場合でも、荷物を目立たないようにするのはもちろん、なるべく車を離れない方が望ましいといえるでしょう。

　どうしても公共交通機関を利用しなければならないときは、荷物を必ず膝の上に置き、手を離さないようにしましょう。網棚に置くと、うっかり忘れてしまったり、寝ている間に盗まれてしまったりするリスクがあるからです。もちろん膝の上に置いたからといって盗まれないわけではありませんが、網棚に置くよりはリスクが低いでしょう。

　ありがちな置き忘れのケースといえば、飲み会です。飲み会では、どうしても気が緩みがちになり、荷物も放置しがちです。そのような場には盗まれても構わないものしか持っていかないのが原則です。盗まれたら困る荷物は会社や自宅に置いてから飲み会に参加しましょう。

　とはいえ、外に持ち出さないから大丈夫というわけでもありません。事務所内で紛失という事例も発生しています。

関連記事

交付前のマイナカード紛失、千葉県富津市　他の来庁者を対応中、行方不明に（ITmedia NEWS）

　自宅でテレワークの場合でも、強盗や空き巣の可能性がありますから完璧な対策はないといえるでしょう。紛失することを前提とした対策も必要です。

紛失した場合の被害を最小化する

　PCや書類などを紛失したとき、その被害や事後対応コストを最小化するには、まず、「何を紛失したのか」を特定できるようにしておくことが重要です。

　例えば、「必要なもの以外は何も入れない」「持ち出し記録簿に記録を残す」「ファイルのアクセス履歴などをサーバで記録しておく」など、紛失した荷物に何が入っていたか特定できるようにします。

　もし紛失したものを特定できなければ、考え得る全ての情報が漏えいした前提で対応しなければならず、必要以上にコストがかさむことになるからです。

　そして、PCを紛失したときの被害を最小化するには、以下のような方法が考えられます。

• シンクライアント化し、PCにデータを保存しない
• Bitlockerドライブ暗号化でデータを暗号化し（Windowsの場合）し、UEFIの設定でTPMのパスワードを設定する
• 遠隔消去（リモートワイプ）できるようにするモバイルデバイス管理（MDM）システムを導入する
• 失われて困るデータはあらかじめバックアップする

　紛失時の被害が最も少ない方法は、PCに何もデータを保存しないことです。そのような目的のため、ノートPCをシンクライアント化するという方法があります。

　ローカルへの保存を禁止すれば、データはサーバに保存されますので、紛失したときにはアクセスを遮断するだけで対策できます。とはいえ、シンクライアントシステムの導入や運用には多額のコストが発生する他、ネットワークを経由して仮想PCなどを遠隔操作するため、通信遅延などにより操作性が低いというデメリットもあります。

　次善の策は、データの暗号化です。Windowsの場合は、「Bitlockerドライブ暗号化」を使用できます。ただ、自動的な復号に必要な暗号鍵はTPM（トラステッドプラットフォームモジュール）に保存されており、起動時に、これを用いて自動的に復号されるようになっています。そのため、いくらデータ自体が暗号化されていても、Windowsを起動さえすれば、何らかの方法でデータを読み出せてしまう可能性があります。そのため、電源投入時にTPMのユーザー用パスワードの入力を要求するようUEFIを設定するなどの対策と組み合わせる必要があります。

　最後は遠隔消去（リモートワイプ）です。モバイルデバイス管理（MDM）システムを使用することで、インターネット経由でPCに消去命令を送ることができるのが一般的です。しかし、原理上、そのPCがインターネットに接続されるまでは消去が実行されません。実行されるのは、LTE通信モジュール搭載などで常時インターネットに接続している場合や、窃盗犯がわざわざインターネットに接続した場合に限られるため、スマートフォンならともかくPCでは実効性は薄いかもしれません。

　いずれにしても、紛失したPCに保存されていたデータは失われることになります。失われて困るようなデータは、あらかめバックアップする必要があります。

紛失してしまったときは

　では、マンガの事例のように荷物を紛失してしまったときはどう行動するべきでしょうか。

即座にセキュリティ担当者に連絡しましょう。

　大切なことですので、繰り返します。

即座にセキュリティ担当者に連絡しましょう。

　直ちにアカウント停止や遠隔消去などの措置を行う必要があるからです。紛失物を見つけようと探していては、手遅れになってしまう可能性があります。

　もしPCの現物が見つかっても、第三者によりマルウェアを仕込まれている可能性もあります。そのまま報告を怠ったり、発見したPCを個人の判断で社内のネットワークに接続したりしないようにしましょう。

こうしす！ #3.3「セキュリティに完璧を求めるのは間違っているだろうか（Part3/4）」（OPAP-JP公式）

Copyright 2012-2023 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます

筆者プロフィール

原作：井二かける

アニメ「こうしす！」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。

著書：「こうしす！社内SE 祝園アカネの情報セキュリティ事件簿」（翔泳社）2020年2月発売

「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」（京姫鉄道出版） 2022年6月発売

• Twitter：@k_ibuta

解説：京姫鉄道

「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。

原作：OPAP-JP contributors

オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす！」を制作中。

• Twitter：@opap_jp、@kosys_pr
• 公式サイト：Open Process Animation Project Japan（OPAP-JP）
• 貢献者一覧：こうしす！/クレジット