人事異動や引越しのすき間を狙う脅威とは？：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

年度始めの慌しさが落ち着き、新しい環境での活動が本格的に始まるが、人事異動や引越しの際のセキュリティ対策は忘れがちだ。その落とし穴を狙う脅威とは？

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらから！

　多くの会社では4〜5月に多くの人事異動が行われます。新しい体制が上の役職者から決まり、それに応じて順次、部署の体制や配属が決まります。また、個人でも大学進学などに伴う地方からの上京や父親の転勤に伴う引越し、新社会人としての一人暮らしが始まるといったさまざまなケースがあります。今回は、企業内での人の異動や個人の移動に伴うセキュリティの「よもやま話」をお伝えします。

人事異動や退職での注意点

異動に伴うPCチェック

　あなたの使用していたPCをその席へ異動した人が再利用する場合は、できるだけ「完全消去」に努める必要があります。最近の消去専用ソフトウェアには、HDD全体を消去するという選択肢のほかに「現存しているファイル以外の領域のみを完全に上書き消去する」というものがあり、ぜひ利用をお勧めします。実際に地方へ栄転が決まった人が2年程度使っていたPCを次の人に引き渡したものの、その人物が密かに復元ソフトウェアを使用して消去されたデータを悪用し、大きな問題を引き起こした事件がありました。

　PCと一緒に異動する場合なら問題はありませんが、地方から本社へ、本社から地方へという場合はその拠点専用のPCを使う場合が多いので注意が必要です。「管理者がきちんと管理をしているから大丈夫だ」「何も悪いことをしていないから心配する必要はない」という考えは捨てるべきです。例えば、あるプロジェクトで使用された固有の業務資料が、そのプロジェクトとは関係のない従業員によって復元されれば問題になってしまいます。

　セキュリティは、「自分の身は自分で守る」のが鉄則です。管理者が絶対に「善」であるという根拠はまったくありません（決して管理者が「悪」ということではなく、可能性の問題として警告であり、99％の管理者は仕事を正しく遂行されている「企業戦士」です）。

　また、逆にPCを引き継ぐ場合も注意すべきでしょう。ぜひ、利用者自身の手でPCに不審なプログラムがインストールされていないかをチェックすることをお勧めします。ウイルスなどの場合は会社で使用している対策ソフトウェアを利用しますが、総務省と経済産業省が共同プロジェクトとして推進している「サイバークリーンセンター」などを利用することで、より有効な対応が可能です。サイバークリーンセンターは、インターネット上でボットの検知・駆除に必要な手段を提供しています。

退職者のPCを調べる

　退職者や異動者のPCがどのように使われていたかをきちんと精査することが大切です。退職者のPC調査は米国では一般的な業務になっていると聞きますが、まだ日本ではこれを恒常的な作業に位置付け、専門業者などを利用して実施しているというケースをわたしはまだ知りません。現状では挙動不審者や退職後に不正が明らかになった場合など一時的に実施しているところがほとんどです。

　退職者のPCを精査することはその行為自体が牽制となって、内部犯罪の抑止効果が高まるという事実があります。経営者ならぜひとも検討していただきと思います。通常、こうした調査ではフォレンジックという徹底的な調査を行って、使用者の行動を「丸裸」にします。しかし、どうしても日数や費用がかかるため、退職者や異動者の端末調査は定型化されているのが一般的です。重要とする部分だけの調査でも実施している専門企業を活用する方法もあります。

盗聴や盗撮

　異動のために周囲を整理していると、机の下にあったコンセントや書棚に盗聴器や盗撮器が仕掛けられていたということがまれにあり、注意が必要です。専門会社によれば、こういうことがきっかけとなり、ビル全体の盗聴器発見の調査を依頼されることがあるそうです。最近では安価でも十分に機能する発見器が流通しており、場所の特定は難しくても盗聴されていることが分かるものがあります。まずはこうした機器を利用して調べてみてはいかがでしょうか。