1人1台の所有が当たり前になったPC。社内で利用しているPCは、企業の必要最低限のセキュリティ対策が施され、あらゆる脅威から守られている。しかし、社内から一歩外に出たPCは、社内のみで利用している端末とは異なる環境に置かれており、それを取り巻く脅威も異なってくる。
そこで今回は、社外で利用するモバイルPCのセキュリティリスクから、気をつけるべきポイントを解説する。
「外」で仕事は当たり前の時代
カフェやファーストフード店でモバイルPCやタブレットを開いている人がいる光景は珍しくなくなった。オフィス内という場所に縛られず、いつでもどこでも仕事ができる環境になってきている今の時代ならではの光景だ。1時間かけて客先から会社に戻るのであれば、近場でメールの返信等ができ、外出していてもすきま時間を使って効率的に業務が行えるはずである。しかし、社外へPCを持ち出し、外でも社員が仕事を行える環境を整えるには、セキュリティやコスト面での課題があり、なかなか踏み切れない企業がいるのも事実だ。
PCを「社内」と「社外」で利用する時の違い
それでは、「社内」と「社外」でPCを利用する際の違いは何だろうか。
まず社内でのみPCを利用する場合、PCを起動させたら必然的に社内ネットワークへ接続をすることになり、そのネットワーク上でしか見ることのできないデータや、業務専用のソフトウェアに当たり前のようにアクセスすることができる。またゲートウェイセキュリティやアンチウイルスソフトの導入により、基本的なセキュリティ対策は施されている企業が多いのではないだろうか。さらにオフィス内であれば、何かあった時でも情報システム部門のヘルプも受けやすい。
では「社外」はどうだろうか。外出中の空き時間に、社内のファイルサーバーに保存されているデータにアクセスしたい場合、VPN接続を用いてファイルサーバーへアクセスをすることになるだろう。また社内ネットワークから出てしまった端末の情報は、リアルタイムで確認できないケースが多い。そのため、外出先でPCになんらかの不具合や、不審な操作をしていたとしても、情報システム部門が即座に気付ける環境ではない。社内から一歩外に出たモバイルPCが抱える危険性はどのようなものがあるだろうか? 万が一どこかに置き忘れたら?盗難被害に遭ったら? 重要データを外部メディアにコピーされてしまったら? ・・・情報システム部門の目が届かない社外では、何かが起こってからでは手遅れになるケースが多い。モバイルPCには、社内とは異なる視点でのセキュリティ対策が必要となるはずだ。
社外で待ち構えているモバイルPC利用のリスク
実際に社外で使われているモバイルPCは、どのような点が脅威となり得るのだろうか。考えられる5つの脅威について解説していきたい。
「攻撃者に狙われる要因となる脆弱性の存在」
まず、PCの「脆弱性」はできるだけ減らしておきたい。攻撃者は、セキュリティが弱い部分(脆弱性が存在する箇所)を狙い攻撃を仕掛けてくることが多い。脆弱性を放置することで狙われやすい環境を自ら作っていることになってしまう。
「危険性の高いプログラムやソフトウェアの起動」
企業にとってリスクの高いプログラムや、ソフトウェア等が起動することで、いつの間にか端末に保存してあった重要なデータが流出してしまうケースも考えられる。
「不正なWEBサイトアクセスによるウイルス感染や標的型攻撃による被害」
プロキシによるWEBアクセス制御の効かない外出先では、社員が不正なWEBサイトにアクセスしている可能性もある。それをきっかけにマルウェアに感染してしまうと、遠隔操作等により個人情報や機密情報が外部に持ち出される恐れがある。また、感染PCを把握出来ないまま社内に戻ってネットワークに接続すると、社内に被害が拡大する可能性もある。
「端末の紛失・盗難の恐れ」
モバイルPCを利用する上でもっとも気をつけたいのが端末の紛失や盗難だ。外出先で万が一紛失し、悪意のある人に拾われた場合、端末に保存してある重要データを閲覧したり、外部に持ち出す等、深刻な情報漏えいに繋がるかもしれない。
「端末データの持ち出し」
万が一個人情報・製品開発等に関わる機密情報を従業員が外部に持ち出し転売などしていたら、企業の経営損失に繋がり兼ねない。
ここであげた5つの脅威については、モバイルPCのみに言えることではない。もちろん社内で利用している端末にも同様に気を付けるべき点はある。