Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

キヤノングループの皆さまへ
NEC Mail Magazine for Canonグループ様
情報セキュリティ最前線 その(3) シンクライアントが企業を救う 

情報セキュリティ最前線 その(3) シンクライアントが企業を救う

9月号、10月号と2回にわたって情報セキュリティの現状とトレンドを解説してきましたが、最終回は、実は一番多い「紛失事故」の傾向と対策についてご紹介します。

「情報セキュリティ最前線 その(2)」でご紹介したように、サイバー犯罪の急増に目を奪われがちですが、実際の情報漏洩原因の80%以上は「事件」ではなく「事故」です。NECのヘルプデスクにおいても情報漏洩インシデントの問合せが増えていますが、情報漏洩に関するお問い合わせのうち89%は事故によるものという統計結果が出ており、その約半数が「不注意による紛失」によるものです。

諸悪の根源はインターネットなのか?

ABC社の熱血営業マンAさんが起こしてしまった漏洩事故

入社5年目の営業マンAさんは、入社時から営業部に所属し、お客様との関係づくりや提案力、そして何よりも本人の努力が功を奏して、入社翌年には新人賞を、昨年は社長賞を獲得するほどの営業成績を上げていました。昨晩も一人で社内に残り翌日クライアントへ提出する企画書作成に没頭していました。仕事が終わらないまま終電の時間が迫り、やむなく自宅で作業をすることに。その際、企画書作成に必要な書類や資料を持ち帰ることにしました。

日頃の疲れもあり、電車で居眠りをしてしまったAさんは、気がつくと最寄り駅に到着していたため慌てて電車から降り、早足で帰宅。企画書を仕上げるため机に向かいます。ところが…、書類や資料が入った紙袋がないことに気づいたのです。書類の中にはクライアントの機密情報が記された書類が混ざっていました。

過去2週間の情報漏洩事例とその原因

情報漏洩事故の諸悪の根源はインターネットであるかのような先入観を持つ経営者も多いようです。しかしながら、実際には「紙」や「USBメモリ」の紛失のほうがまだまだ件数が多いことがわかります。過去2週間で報道された情報漏洩事件・事故とその原因を見てみましょう。

情報漏洩事件・事故とその原因
法人種別 情報漏洩の概要 原因
●●病院 患者の個人情報を第三者に誤送信 メール誤送信
●●信組 顧客情報含む3500件の書類を紛失 紙紛失
●●市 小学校全校児童の個人情報を記載した資料を紛失 紙紛失
●●社 メール誤送信でイベント参加者のアドレス流出 メール誤送信
●●県 県立高校で生徒情報が保存されたUSBメモリを紛失 USBメモリ紛失
●●大学 NAS設定ミスで個人情報がインターネットから閲覧可能に システム設定
●●大学 一部学生への連絡メールに学生2634人分の個人情報が混入 メール誤送信
●●協会 委託先がxxxxオーナーなどの個人情報を紛失 紙紛失
●●社 誤送信で氏名やメルアドが流出 メール誤送信
●●学院 生徒97人分の個人情報含む私物USBメモリを紛失 USBメモリ 紛失
●●県 XXXXX指導者の個人情報をサイトで公開 リテラシー
●●社 元従業員が医師などの個人情報を持ち出し 故意 USBメモリ
●●社 電車の網棚に置き忘れた顧客情報、別車両で回収 紙紛失
●●社 カード番号1500件を保存した記憶媒体を社外で紛失 記録媒体紛失
●●機構 ●●イベントの観覧希望者情報が流出 紙紛失

~セキュリティは紙をなくすことから~

写真

Aさんの所属するABC社では、Aさんの機密情報漏洩ミスを教訓に、セキュリティに関するポリシーの見直しをしました。まずセキュリティ対策プロジェクトを立ち上げ、メンバー間でデジタルデータ化することが安全なのか危険なのかを議論しました。
データ化すると「サイバー攻撃の標的になるのでは?」という多くの管理者の意見に対して、若手メンバーからは紙のほうが危ないという意見がでたため、社内の実業務で実証実験をすることにしました。

その結果は、満場一致で「紙をなくす」に決定でした。
紙で情報を管理する場合に同じ業務をデータで行った場合と比較して10倍近い管理ポイントが発生し、その分漏洩リスクが増す、という結果だったからです。具体的には以下のような管理負荷&リスクなどが挙げられました。

  • 「コピーをする」際の置き忘れ、印刷物廃棄、コピーミス書類の廃棄。コピー機にはデジタルデータが残る。
  • 「送付する」際に関わる人数が多い(社内便、郵送等)。また、結局スキャンしてデジタルデータ化してしまう。
  • FAX送信でのミス防止やFAX受信側の管理徹底が難しい。
  • 「保管する」際の鍵の管理、保管者の責任分散が難しい。情報活用・再活用時の管理ポイントは活用人数分。
  • 「持ち出す」際に暗号化ができない。人的ミスが起きた場合の想定シナリオが無限大
    等など。

~「データは守るもの」ではなく「活用するもの」~

紙を極力なくすという方策は当然、情報システムの仕組みの変更を伴います。ABC社ではすべての事象は「人」が起こすものという事実を重視して、個人認証の仕組みの見直しと「なりすまし」を防止する電子証明書の導入を行い、ノートパソコン等のUSBポート制限を実施しました。

ABC社の取組例:個人認証システム
ABC社の取組:USBポートとMTP接続のブロック

一方で紙資料を極力排除した結果、副次効果として情報活用が大幅に促進されました。紙資料は再活用に手間がかかることと、所在をオープンにすることが難しかったため、活用が制限されていたということが改めて認識されました。企業が情報を得るのは、それを活用するためです。守ることばかりを意識して煩雑なオペレーションを余儀なくされると、ストレスになるばかりか、企画力・提案力といった創造力が削がれる可能性も出てきます。

もちろんデータを守らなくても良いというわけではありません。ただ、創造性を求められる職場や、顧客に対峙している職場等において、セキュリティを意識するあまりに情報活用のスピードや質が低下することは、企業競争力の低下に直結します。

よりスピーディーでストレスの少ない情報活用を安全・安心に行い、競合優位性を高めるためには、進化を続ける情報テクノロジーを取捨選択して活用し続けることが重要です。

NECが採用したのは“シンクライアント”

情報テクノロジーとインターネットの普及で、国民の大半がスマートフォンやパソコン・タブレット等を活用して情報を得たり、メールやチャットで他人とつながったりする時代になりました。30年前、20年前、そして10年前と比較してみてください。今や子供やお年寄りまで携帯端末を持って情報活用やコミュニケーションをとっています。

この急速な進化により情報システムの領域は、これまでの「エンドユーザ」と「システム開発・運用者」という垣根がなくなりました。「エンドユーザ」と定義されていた職種の人は、今では情報の「受け手=エンド」ではなく、「発信」もし「分析」もするのです。この現象を「セルフサービス化」と呼ぶことにしましょう。

セルフサービス化が進むと、大量のデータや情報を日々活用するユーザーは、これまでの「社内で仕事をする」という考え方では仕事の効率が極端に落ちてしまいます。「いつでも、どこでも、必要な情報に」アクセスでき、情報をストレスなく受信、発信、編集、分析できる環境が業務生産性の向上につながるような働き方をしているからです。ただし、その情報の中には機密情報や顧客情報等、漏洩リスクが大きな情報も含まれます。これらの機密情報をどうやって守るのか。

NECが出した結論は、シンクライアント。
前述したように、人的ミスはゼロにはできません。事故も起こります。それを従業員やパートナー社員等の個人の管理に委ねるのではなく、集中管理で会社として責任を負える姿が望ましいと判断したのです。

また、お客様向けの情報交換にはセキュアな情報交換サイトを活用しています。
シンクライアントは社内作業者にも適しています。パソコン等のデバイスにデータを保持することがないため、データの持出ができません。データの受け渡しが必要な時には、保護・暗号化されたデータをセキュアな情報交換サイトを介して行います。このサイトへのアクセス制御は個人認証のシステムと連携しており、いつ、だれが、どんな情報をやり取りしたかが一目瞭然です。

シンクライアントの効果はセキュリティだけではありません。まずは働く人がストレスなく情報をフルに活用できるという生産性の向上があげられます。一般的に「フレキシブルワークスタイル」といわれている働き方を実践することにより、子育てや女性の職場活用を支援する等、企業の社会性も向上させることができるでしょう。さらにOSやアプリケーションをセンターで集中管理するために、管理運用コストを低減することができます。

シンクライアント導入のセキュリティ以外のメリット

これからも情報は増え、また情報活用のデバイスの種類やネット環境も日進月歩で進化していきます。これで終わりということのないセキュリティ対策の効果と効率を継続して改善することが企業に求められています。

●NECの情報セキュリティ対策ソリューションに関して、お気軽に担当営業までお問い合わせください。