社員に支給したノートパソコンは、仕事上社外に持ち出すことがありますが、その時どのような管理をしていますか?
もしかして、パソコンの持ち出しの管理の仕方は各々に任せる・・・なんて管理体制を取っていませんか?
普段の何気ない操作が、あとあと賠償責任を伴う情報漏洩事故に発展した例は数知れず。
きちんと管理しないと情報漏洩を起こすリスクが限りなく高くなります。
あなたの会社の持ち出し用パソコンには、どんなリスクが潜んでいるのか?
はじめに起こりやすいリスクを確認して、そのリスク回避のために強化しておきたい5つのポイントをおさえておきましょう!
社員のパソコン持ち出しに潜む情報漏洩のリスク
会社のパソコンを使って、出先で作業をするビジネスマンをよく見かけるようになりました。
場所を選ばず仕事ができるのは確かに便利ですが、そこには多くのリスクが潜んでいます。
具体的な例を挙げると・・・
- 置き忘れ、紛失、盗難から情報漏洩に発展
- セキュリティ性の低い公衆WiFiを使った結果、パソコン内の情報が盗み見られる
- むやみなWebサイト閲覧やフリーソフトのダウンロードでウイルスに感染
- ウイルスが仕込まれたUSBを接続してしまう
などです。
特に、パソコンの中に重要情報が入ったまま紛失したり、ウイルスに感染してしまったりすると、情報漏洩のリスクが限りなく高くなります。
万が一漏洩してしまったとしたら、その後の企業活動に大きな悪影響を与えてしまいます。
そうならないためには、どうしたらいいでしょうか?
これから、パソコンを社外に持ち出す場合のリスクを回避するために強化しておきたいポイントをお伝えします。
パソコンの社外持ち出しを安全に管理する5つのポイント!
パソコンを社外に持ち出すときは、「誰にどの端末を持たせた」という単純な番号管理だけでは危険です。
情報漏洩のリスクを最小限に食い止めるネットワーク環境と、使い方そのもののルールを徹底的に作り込むことで、初めて安全に管理できるのです。
パソコンの社外持ち出しを許可する場合は、次の5つのポイントをおさえて情報漏洩のリスクを最小限にし、安全に管理していきます。
- 重要なデータの管理はサーバーで!
- 各パソコンへウイルスソフトは必須!
- 各パソコンへログインパスワードを設定!
- 使い方に関するルールを細かく決めて浸透させる!
- 情報セキュリティに対する教育を継続的におこなう!
①重要データの管理はサーバーで!
パソコンの社外持ち出しを安全に管理するためのポイントの1つ目として、「重要データの管理はサーバーに集約」することが効果的です。
「重要データの管理はサーバーに集約」とは、顧客情報(個人情報)や社外秘の営業データなど、漏れてはいけない情報は各パソコンで保管せず、ファイルサーバーで集中管理することをいいます。
パソコン内に重要データが保存されていない状態にしておけば、持ち出した先で盗難などにあったとしても、情報漏洩のリスクを下げられるからです。
※パソコンで重要データを見たいときや編集したいときには、ログインパスワードを使ってファイルサーバーにアクセスします。
ちなみにファイルサーバーは、ログインを許可する端末を指定することができます。
各パソコンのIPアドレス(固有に付けられた識別番号)をあらかじめ登録しておけば、そのパソコンのみがファイルサーバーに入れます。
また、ファイルサーバーには、
- アクセス記録が残る
→どのパソコンが、いつ、どんなデータにアクセスして、どんな行動を取ったか?が逐一記録される - アクセス制限をかけられる
→保存されているデータごとに、アクセスできるパソコンを指定できる
という特徴もあります。
誰がどのパソコンを持ち出したか?の先の「使用履歴」まで記録することで、万が一不審なデータの使い方をしていたとしてもすぐに発見できます。
そして超重要データに関しては、アクセス制限で扱えるパソコンの台数を限定すれば、より安全性を高められます。
②各パソコンへのウイルスソフトは必須!
パソコンの社外持ち出しを安全に管理するためのポイントの2つ目として、「各パソコンへのウイルスソフトは必須!」にすることも効果的です。
ウイルスは、電子メールに添付でくっついてきたり、Webサイトにこっそり紛れてきたり。
インターネットを経由して、パソコンにウイルスを侵入させる手口は跡を絶ちません。
ウイルスソフトは、そんな異常にすぐに気付いて原因を駆除する役割を持っています。
つまり、パソコンそのものを脅威から守るためのツールです。
基本的に、持ち出し(ノートパソコン)、デスクトップに関わらず、社内で使うパソコンには全てウイルスソフトを導入しておきましょう。
ウイルスソフトは家庭用と法人用に分けて販売されていますが、会社で使うのであれば法人用をおすすめします。
法人用のウイルスソフトなら、
- 社員がウイルスソフトの設定を独断で変更できない仕様になっている
- 導入した端末の一括管理ができる
- 業務に関係のないWebサイトにアクセス制限をかけられる
- 業務に関係のないアプリケーションに利用制限をかけられる
など、パソコンを使う側の動作を制限でき、怪しいメールやWebサイトに触れる機会を未然にブロックしてくれます。
③各パソコンにはログインパスワードを設定!
パソコンの社外持ち出しを安全に管理するためのポイントの3つ目として、「各パソコンにはログインパスワードを設定!」することも効果的です。
まず、各パソコンは、ログインパスワードを入力しないと立ち上がらない設定にしておきます。
そのパスワードも、単純すぎず推測されにくい単語にしておきましょう。
単純すぎるパスワードは、ツールを使って数秒で解析されてしまいます。
もちろん、パスワードを書いた紙をパソコンの本体に貼り付けておくなんてことはしないでくださいね。
社外に持ち出したパソコンが盗まれ、誰かの手に渡ったとき、簡単にデスクトップ画面にたどり着けないようにするのがパスワードの役目です。
悪意ある者からしてみれば、パソコンの中身が見られなければ、それは単なる金属の塊にすぎません。
とにかく、中に入らせないようにする。そのために、玄関に鍵をかけるのと同じく、パソコン自体にも鍵をかけることが大切です。
もしも携えていくのが難しい状況であれば、必ず画面ロックをおこなってから席を立ちます。
(画面ロックは、Windows10であれば「Windowsマーク(窓のようなマーク)」と「L」を同時押しするとできます)
④使い方について、ルールを決めて浸透させる!
パソコンの社外持ち出しを安全に管理するためのポイントの4つ目として、「使い方について、ルールを決めて浸透させる!」ことも効果的です。
社外に持ち出したパソコンを情報漏洩の危機にさらしてしまうのは、結局は「使う人」です。
いくらファイルサーバーに重要データを集約して保管していたとしても、いつの間にか社員が自前のUSBにコピーして持っていたり、セキュリティ性の低い無料の公衆WiFiにつないでインターネットを使っていたりすれば、そこから情報漏洩する可能性はぐんと高まります。
そんな「危ない使い方」をさせないためにも、きちんとルールを決め、全社員に浸透させていくことが大切です。
具体的には、次のようなことを徹底するように呼びかけていきます。(ルールマニュアルを作るとより効果的です)
- パソコンを社外に持ち出す際は申請する
- 持ち出すパソコン本体にデータを保存しない
- USBなど外付けの記憶メディアを接続しない(メディア経由でウイルス感染を防ぐため)
- 許可されていないクラウドストレージ(オンライン上に情報を保存できるサービス)にデータを保存しない
- 私用の端末にデータを転送しない
- 人の目に付きやすい場所では重要情報を見ない
- セキュリティ性の低い公衆WiFiを使ってインターネットにつなげない
- 許可されたアプリやソフト以外はインストールしない
- 持ち出したパソコンは常に携帯する
どうしてこんなルールを守る必要があるのか?理由が分からないと、ついつい自己流で会社のパソコンを使ってしまう社員も出てくるでしょう。
ルールに沿った使い方をしないと、どんなリスクにさらされるのか?それが会社全体や社員ひとりひとりにどんな影響を与えるのか?
決まりをただ押しつけるのではなく、背景にある理由も含めての説明を心がけ、全社員の理解を深めていきましょう。
⑤情報セキュリティに対する社員教育を継続しておこなう!
パソコンの社外持ち出しを安全に管理するためのポイントの5つ目として、「情報セキュリティに対する社員教育を継続しておこなう!」ことも効果的です。
「社外に持ち出したパソコンには情報漏洩のリスクがある!」
「万が一情報が漏洩したら、会社の信用がなくなり賠償責任が発生する!」
声高らかに呼びかけたとしても、社員に当事者意識が芽生えなければ油断は出てきてしまいます。
会社が持っている情報(個人情報、機密情報)は「資産」であること。
売買目的でその「資産」を狙っている第三者がいること。
たったひとりの油断で、情報はまたたく間に漏洩すること。
このように、今パソコン上で見たり編集したりしている情報がいかに重要か?を全社員が認識できるよう、情報セキュリティに対する継続的な社員教育プログラムが必要です。
情報管理やITの専門社員がいる大手企業では、情報セキュリティにまつわる研修を3ヵ月に1回はおこなっています。
そのくらい繰り返し学んでいくことで、ようやく全社員のセキュリティ意識が根付いていくのです。
中小企業でも、最低半年に1回は社員への教育研修を実施すべきです。
さらには、社員ひとりひとりに対して「誓約書」を交わすと良いでしょう。
誓約書は、社員ひとりひとりにも賠償責任があるという内容にします。
データの管理がずさんで万が一情報漏洩してしまったときには、漏洩の原因を作った社員本人にも責任を取ってもらうかたちを取ります。
そこまでやって初めて、情報は資産であるという意識付けができます。
実際に、世間では毎日のように情報漏洩事故が起こっています。
そのほとんどが、「ちょっとくらいデータ管理を怠けてもいいだろう」という油断が原因です。
※画像はセキュリティネクストから引用
そんな、「ほんのちょっとの油断で起きた情報漏洩事故」で、億単位の賠償金が発生しているのです。
※情報漏洩を起こした際の損害賠償額のデータ(画像は日本ネットワークセキュリティ協会より引用)
『情報漏洩のリスクが高まるパソコンの社外持ち出しには、全社員の未来がかかっている』
オーバーに聞こえるかもしれませんが、情報抜き取りの手口が巧妙になってきた今では、これくらいの意識を持っていて損はありません。
明日は我が身かもしれないから、リスクを最小限にする行動は日頃から取っておくべき!
この考え方を常に全社で共有できることが、会社の情報を守る最も効果的な対策になります。
弊社でも相談を承っていますので、どうぞお気軽にメールでご連絡ください!
まとめ
パソコンの社外持ち出しを許可する場合は、次の5つのポイントをおさえて情報漏洩のリスクを最小限にし、安全に管理していきます。
- 重要なデータの管理はサーバーで!
→重要データはファイルサーバーで集中管理する環境をつくり、パソコンに入れて持ち歩かないようにする - 各パソコンへウイルスソフトは必須!
→パソコンそのものが脅威にさらされないように、ウイルスソフトやパスワードで予防線を張る - 各パソコンへログインパスワードを設定!
→玄関に鍵をかけるのと同じく、パソコン自体にも鍵をかける - 使い方に関するルールを細かく決めて浸透させる!
→データの扱い方やパソコン持ち出しに関して細かいルールをつくり、全社員に浸透させる - 情報セキュリティに対する教育を継続的におこなう!
→情報管理に対して継続的な社員教育プログラムを実施し、全社員に「当事者意識」を持たせる
この5つのポイントは、「適切なネットワーク環境の構築」と「社員への意識付け」から成り立っており、会社の持ち出し用パソコンに起こりやすいリスクを回避するために重要な対策です。
「適切なネットワーク環境の構築」と「社員への意識付け」は、2つ同時進行させていきます。
どちらも欠けてはいけませんが、特に「社員への意識付け」は重要です。
どれだけネットワーク環境を完璧にしたところで、結局は使い方次第でリスクの高さは決まるのです。
できるところから少しずつ、情報資産の守備を固めていきましょう。
今回は、会社の持ち出し用パソコンを社外に持ち出すときの管理体制について、「これだけは絶対強化しておきたいポイント」をお伝えしていきます!