「PC持ち出し禁止」ルールの意義を再考する:ワークスタイル変革とセキュリティの両立
紛失や盗難に伴う情報漏えいなどの損害を考慮して、PCの社外持ち出しを禁止している企業が少なくない。持ち出しPCによるリスクを回避するには「禁止」というルールだけで十分なのだろうか――。
持ち運びが可能なPCを使って自宅や社外でも仕事ができれば、社員の生産性が高まると期待される。しかしPCが紛失・盗難に遭えば、PC本体の金銭的な損失が発生するだけでなく、保存された重要情報が外部に漏えいする危険を伴う。そうなれば顧客などの関係者が損害を受け、漏えいした事実が公表されることで風評被害も生まれかねない。
PCの持ち出しによる危険を回避するには、「持ち出し禁止」というルールを導入することが手っ取り早い方法と思われがちだが、社員の生産性向上というメリットを犠牲にしてまで導入・運用すべき対策だろうか。PCの持ち出しがもたらす危険を再考し、適切な対策を講じる上でのヒントを探る。
紛失・盗難で生じるコスト
社員の生産性を高めるPCの活用とセキュリティの確保は、企業が抱える大きな課題の1つとなっている。
ITmediaが5〜6月に実施した読者アンケート(有効回答685件)によると、クライアントPCの管理状況について、72.1%が「PCの取り扱いルールを規定」、66.1%が「社員向けセキュリティ教育の実施」、27.0%が「ノートPCの社外持ち出しの禁止」を挙げた。また、61.6%が「社員がノートPCを社外へ持ち出すニーズがある」、47.7%が「業務用のノートPCを社外に持ち出すことがある」と答えた。
企業においてPCを持ち出すニーズは高いと言え、そのためにルールや教育で社員にセキュリティを啓発しているケースが多いと想定される。だが「持ち出し禁止ルール」を導入している企業が約3分の1を占めているように、管理者側は「ノートPCの持ち出しを認めたくない」という意向が根強い。PCの持ち出しを希望するのは、社外での業務が多い営業や顧客対応を中心とした現場部門が多いと思われ、管理者と現場の間でPCの持ち出しをめぐる対立が存在しているようだ。
PCの紛失・盗難に伴う金銭的な被害については、米Intelが2009年4月に調査結果を発表した。それによると、空港やタクシー、ホテルといった場所でノートPCの紛失・盗難を経験した企業の平均損害額は、4万9246ドルだった。内訳はPCの再購入、事件の調査費用、情報の損失、生産性の低下、法的対応といったものであるという。
盗難・紛失に遭った当日に何らかの対応が可能な場合、損害額は8950ドルとなるが、1週間以上経過すれば11万5849ドルになる。役職別の損害額は、取締役の場合で平均2万8449ドルだが、ディレクターやマネジャーなどの管理職では同6万781〜6万1040ドルと高額になる傾向にある。
PCが紛失・盗難に遭えば、企業の損害は大きなものになる。調査の数字には表れていないが、風評のように可視化の難しい被害については、企業のブランド力や社会的な信用度によって、さらに大きな損害をもたらす可能性もある。複雑で実態の把握が難しい損害の発生を抜本的に封じることができる手短な対策の1つとして、管理者はPCの持ち出しを禁止するルールを実施しているようだ。
漏えいは「持ち出し」ではなく「管理ミス」が原因
PCの持ち出しが関係する情報漏えい事故・事件(インシデント)の発生は、どのような状況にあるのだろうか。日本ネットワークセキュリティ協会が公表している「2009年度 情報セキュリティインシデントに関する調査報告書」から、その一端を見ることができる。
それによると、2009年度の個人情報が漏えいするインシデントは、報道されたものだけで1539件発生した。漏えい媒体・経路別の割合は、「紙媒体」が72.6%で最多を占め、「PC本体」は3.8%である。「PC本体」の割合は2005年の16.8%を最高に、前年度比で0.2ポイント上昇した2007年度を除けば減少傾向が続く。また原因別の割合の最多は、「管理ミス」の50.9%で、「紛失・置き忘れ」は7.9%、「盗難」は7.6%となっている。
これらの傾向から、「PCの持ち出し禁止」というルールが、PCが関係する情報漏えいを防ぐ抜本的な対策になるとは必ずしも言えないようだ。「管理ミス」が原因の半数近くを占めているように、PCが関係する情報漏えいを防ぐには、PCを扱う社員のセキュリティ意識を高めることがポイントだろう。
「紛失・置き忘れ」と「盗難」の合計値も15.5%に上るため、教育や研修を通じてセキュリティ意識を高めるだけでは、PCの持ち出しによるリスクを解消できない。報告書によれば、PCが関係するインシデント1件当たりの平均漏えい人数は4713.4人。万が一の場合には、情報漏えいを食い止める対策を併用することが必須だと言える。
あるセキュリティコンサルタントによると、「PCの持ち出し禁止」ルールを運用している企業の中には、過去にPCの持ち出しが原因となって深刻な損害を経験し、ルールをやむを得ず導入したところがあるという。またセキュリティのルールを運用する上では、内容を変更せず、例外を作らないことが重要とされるため、一度決めたルールを継続しているところも多い。しかし、「実態に即さないルールには意味がない」と指摘する声も聞かれる。
「PCの持ち出し禁止」ルールは本当に意味があるのか――その効果や意義を再検証すべき時期にある企業は少なくないようだ。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。