なぜ、中小企業のパソコンはセキュリティが弱いのか? その2

　
パソコンのセキュリティポイント

業務で使われているパソコンのセキュティ対策ポイントは大きく分けると次の3つがあります。それは「内部による情報漏洩対策」「外部からの情報漏洩対策」「なりすまし対策」になります。

まずは、「内部による情報漏洩対策」ですが、さらに従業員が「故意に行う情報漏洩」と、「過失による情報漏洩」の2つに分かれます。

従業員が故意に行う情報漏洩は、主に離職時などに行われる顧客リストや製品情報、従業員の個人情報などの持ち出しが相当します。企業側も認知をしているケースが非常に少ないですが、退職者から返却されたパソコンなどを調べてみると、かなりの確率で、こういった情報が外部のUSBメモリーなどの記憶装置にコピーしたり、個人宛の電子メールアドレスにファイルを添付して送信している形跡が見つかります。これらの情報漏洩を防ぐ方法は、企業側で機密情報の整理を行い、情報管理方法を定めることです。従業員全てが全ての情報にアクセス出来る状況を出来るだけ作らずに、その情報が必要な従業員に必要な情報にだけアクセス出来るようにしていくのです。例えば、経営に大きな影響を及ぼす情報は、極秘扱いに行い、その情報にアクセス出来る従業員を制限し、情報の暗号化、パスワード化を行う。また、その情報にアクセスした従業員の履歴を取るなどの対応をして行きます。

また、従業員の過失による情報漏洩は、業務用ノートパソコンの紛失・盗難、古いパソコンの間違った処理方法、クラウドストレージサービスと言われる外部へのデータ同期サービスの誤った利用法などが挙げられます。特にパソコンなどの情報機器は、オフィス狙いの窃盗犯にとっては、換金がしやすく、足が付き難い商品でもあるので、必ずと言っていい程、盗難のターゲットになります。また、従業員が出張などで業務用パソコンを持ち出した際に、電車の吊り棚に鞄を置き忘れてしまったり、置き引きの被害などに合うケースも情報漏洩の引き金になるケースが多くあります。

このような紛失、盗難の場合は、犯行を行う者の目的が、パソコンそのものの換金価値であり、パソコンのハードディスクに記憶されている情報ではありませんので、被害はないように思われますが、その後、盗難パソコンに内蔵されているハードディスクが、インタネットオークションや中古市場に流通し、それを盗難品と知らずに入手した人が、思わず盗難元の企業情報を入手してしまい、その情報をインターネット上に公表したり、その情報を得ることにより利益を得る可能性のある人に渡すことも少なくないのです。

これと同じ様なケースで、古いパソコンの間違った処理方法から情報を漏洩するケースもあります。古いパソコンをリサイクルショップや中古店、処理業者に引き取ってもらう場合、ハードディスクのデータを消去しても、多くの場合、データ復元ソフトウェアなどを利用すると、元に戻す事が出来てしまうのです。この場合、専用のデータ消去ソフトウェアを利用して完全消去を行ったり、あるいは専門のデータ消去サービスを行う事業者に依頼を行う事が必要です。

また、最近ですと、利便性から普及しているクラウドストレージサービスによる情報漏洩も起こっています。この仕組みは、パソコンのハードディスクに保存したデータがインターネットを介して、サービス提供者のサーバーにそのデータが保存されるというものです。そのサーバーに業務用パソコンのデータが常に保存されますので、業務用パソコンのデータバックアップにもなりますし、他のパソコンやスマートフォンやタブレットなどの端末からも、その情報にアクセス出来ますので、非常に利便性が高く、業務用のパソコンでも利用している人も多くなってきました。しかしながら、このサービスの設定をきちんと理解して使っていれば良いのですが、間違えて、業務用パソコンのデータが送られているサーバーのフォルダを「公開」設定にしていたりすると、そのフォルダに保存された情報は、誰でも見れるようになってしまい、情報が漏洩するだけでなく、そこから漏洩していくことに気付くまでは、常に業務用パソコンの最新データが、その誰でも見れるフォルダーに更新され続けることにもなってしまうような事態になってしまいますので、注意が必要です。