「ノートPC泥棒」をどう食い止めるか（1/2 ページ）

ただ備品が盗まれたという話では済まない。ノートPCの盗難は、企業の機密情報や顧客の個人情報の紛失・流出という大災害につながる恐れがある。それを防ぐために、企業は何ができるだろうか？（IDG）

[IDG Japan]

　ダニエル・ロビンソン氏は一見、求職者のように見えた。ダークグレイの背広にウィングチップ、地味な赤いネクタイ、きちんと整えた髪型。まったく普通の姿に、トイレを使いたいので部外者立ち入り禁止の場所に入ってもいいかと聞かれた受付嬢は、何のためらいもなく彼を通してしまった。そのわずか数分後、新品のノートPCが1台――そして偶然ではなく同時にロビンソン氏も――消えた。

　これは作り話だが、十分に現実味のある話だ。米コンピュータセキュリティ研究所（CSI）と米連邦捜査局（FBI）による2003年版コンピュータ犯罪・セキュリティ調査では、ノートPCの盗難を報告する企業の数は減ったものの、ここ数年は調査対象者の半分以上がノートPC盗難の被害に遭ったことがあると報告している。

　そして実際の被害談はあちこちで聞かれる。例えばある大手保険会社は、ロックした車の中に置いていた2台のノートPCを盗まれた。その中には約20万人分の顧客のデータが入っており、該当する顧客に個人情報盗難の危険にさらされていることを通知しなくてはならなかった。ある大手銀行は、住宅ローンを利用している数千人の顧客のデータが入ったノートPCをレンタカーのトランクから盗まれた。2人の行員がイグニションにキーを指したまま、コンビニに立ち寄った隙を突いての犯行だった。また、オーストラリア政府は過去数年で1000台以上のノートPCを紛失したことを明らかにした。そのうち537台は同国国防省のものだという。米デラウェア州とペンシルベニア州の警察は、車上荒らし専門の盗品売買屋に対抗するための合同捜査班を設置、首謀者の会社を家宅捜索し、盗難に遭った35台のノートPCと20台のPDAを押収した。

　コンピュータ向けの保険を扱うSafewareの推定では、2002年に米国のPC所有者が出したコンピュータの盗難届は62万件。そのほとんどはノートPCの盗難だという。この数字が増えていくことは確実だ。IDCは、米国ではノートPCがPC全体に占める割合が（2004年の29％から）2008年には50％に拡大すると予測している。つまり、たくさんのターゲットがそこらをうろつくことになるのだ。多くのPC所有者は、自分のマシンを取り巻くリスクに気付いていないようだ。盗難事件の多くは、所有者が不用心にも自分のコンピュータを盗まれそうな場所に置きっぱなしにしたことで起きている。

　こうした盗難の損害額を判断するのは容易ではない。CSIとFBIの調査では、2003年にノートPC盗難により米企業が受けた損害を680万ドルと推定しているが、これには必ずしも失われたデータの価値は含まれていない。Gartnerの推定では、ノートPCを1台盗まれた場合、企業はハード、ソフト、データの復旧（バックアップがあったと仮定して）、ユーザーのダウンタイムに関して6000ドル以上の損害を被る可能性があるという。しかもこの数字にはデータの紛失・流出に関わるコストは入っていないと同社のアナリスト、レスリー・ファイアリング氏は語る。

　企業はコンピュータの盗難を防ぐために何ができるだろうか？　「今のセキュリティは1980年代のクオリティと同じだ」と語るのはホワートンスクールのCIO（情報統括責任者）ゲリー・マッカートニー氏だ。「人々は『心配しなくてもいい。当社にはセキュリティ対策チームがあるのだから』と言って、いつもオフィスを開けっ放しにして出かける。これは、セキュリティは自分の問題ではなく他人の問題だという考え方に起因している」

　しかしクオリティと同じように、「（セキュリティ）意識が組織に浸透しているか、あるいはそうでないかだ。看板を立てれば意識を確立できるというものではない」と同氏は指摘する。

　少なくとも、一朝一夕では身に付かないと航空・防衛企業Northrop Grummanの上級ディレクター兼CISO（最高情報セキュリティ責任者）ティム・マックナイト氏は語る。同氏は、企業文化の変革が難しいことは認めつつも、上層部が音頭を取りさえすれば、セキュリティ意識を高めることは可能だと主張している。同氏は「この問題に万能の策はない」とし、企業は「ユーザー意識」「物理セキュリティ」「新技術・古い技術」「ポリシー」の4分野に注意を払わなくてはならないと述べている。

　「これら分野に常に取り組まなくてはならない。さもなければ手に負えなくなる」とマックナイト氏。このためNorthrop Grummanは常にセキュリティを強調している。同社は全社員にセキュリティ意識向上プログラムへの参加を義務付け、CEO（最高経営責任者）も含めて社員に対し、特定の国に出張する際にノートPCを持っていくことを禁じている。また同社のセキュリティポリシーでは、会社の物理的な境界線から持ち出されるデバイスにデータを格納しないよう強く推奨している。

　そのような策をとっても、同社は時折ノートPCを盗まれることがある。だたし、車の窓を割って荷物を奪うような古典的な手法ではなく、出張先のホテルから盗まれることがほとんどだ。ホテルは磁石のごとくノートPC泥棒を引き寄せる。ノートPC泥棒は、周りに注意していない、あるいは空いている会議室でノートPCケースをちょっと床に下ろしている疲れた出張ビジネスマンを探している。

　コンサルティング会社McKessonはノートPCのHDDにパスワード保護をかけて、取り出しても中身が読めないようにしている。同社のエンタープライズセキュリティ責任者パトリック・ヘイム氏は、「ユーザーには少々不便だが」、会社にとっては価値のあることだと語る。同社は機密情報を持ち運ぶユーザーのみに対してデータの暗号化を行っているという。McKessonのポリシーでは車にノートPCを置いていくことは防止できないが、HDDのパスワード保護により同社の責任は限定されるし、これが同社にとって実施可能な対策だと同氏は述べている。