【背景】社員任せのセキュリティ実態

組織にとってセキュリティ対策に取り組むことは、取引先からの信頼や、自社を守るためなど様々な理由がある。昨今では組織の内部・外部関係なくセキュリティ脅威は存在しており、多方面からの複合的な対策が急務とされている。

しかし、こうした組織のセキュリティ確保や、社内システムのトラブル等を請け負う、いわゆる「情報システム部門(情シス)」に属する担当者は専任でない場合もあり、つきっきりでの対応は難しい。

業務形態も社内にいる時しか仕事ができないという時代から変わり、社内外問わず仕事ができる環境を整備している企業が増えた。営業職のような、端末を持出して外出先等で仕事をするといったワークスタイルも珍しくはない。さらに国内外に複数拠点を展開している企業においては、拠点ごとに情シス担当を付ける訳にもいかず、拠点の状況を把握できていないケースが多い。

こうした持出し端末や、拠点端末の把握できていない・目に見えていない部分は、企業にとって大きな脅威となりかねない。そこで今回は、手付かずの状態となっている拠点の状況や持出し端末のセキュリティ実態を元に、クラウドサービス「ISM CloudOne」を活用した運用想定をご紹介したい。

実態1:社内から持出されたPCはセキュリティホールだらけ

工場や事業所を複数所有している製造業を例として説明する。社内で業務を行っている社員は、常にPCが社内ネットワークに接続された状態で仕事をしている。社内では情シスの管理も行き届くため、必要最低限のセキュリティ対策は施されている。

しかし、営業職のようにPCを持出し、外で仕事をする事がある場合は、社内の端末と比べてセキュリティ対策が手薄になってしまう。例えば、外出ばかりでなかなか本社に戻って来られない営業の場合、OSの更新プログラムのアップデートがおざなりになってしまう。 アップデートできていなかった事が原因でPCがウイルスに感染していた場合、会社に戻り、そのまま社内ネットワークへ接続したら、感染が拡大するリスクも考えられる。このように管理が行き届いていない持出し端末は、脆弱性が修正されていない危険な状態で日常的に利用されている 。

実態2:業務時間外に機密情報へアクセスしている社員がいる

また事業所のPCによっては、機密情報へ誰でも・いつでもアクセスできてしまう環境がある。設計部門の社員のみ取り扱いが許されている重要データだとしても、誰でも閲覧・コピー可能な状態であれば、部門外の社員が取り扱う可能性も予測でき、また競合他社へデータを持ち込む社員がいてもおかしくはない。万が一そのようなことが行われてしまったら経営損失につながりかねない。

そもそも決められた時間外にPCを利用している社員が把握できれば、厳重注意を行うなどの対応はできるのだが、PCを利用している社員が把握できていないばかりに、このような事態が起きることも想定できる。

さらに企業情報へのアクセス以外に、社員のFacebookやTwitter等のSNS利用も注意したい。ここ数年、社員やアルバイトの不用意な書き込みによる情報流出事件が増えている。私物のスマートフォンやPCでの書き込みを防ぐのは難しいが、業務利用の端末であれば、何かしら不正な書き込みを防ぐ手段があるはずだ 。

<社員任せのセキュリティ実態>
・事業所によっては、PCの持出しが自由に行われている
・OSの更新プログラムのアップデートが行われていないPCがある
・機密情報に、いつでも・だれでもアクセスすることができる
・FacebookやTwitterなどのSNSへいつでもアクセスできる環境