持ち出しPCやUSBの情報漏えい対策では不十分!?

背景

企業の情報流出経路の大半を占めるのが、USBメモリなどの外部記憶メディアである。日本ネットワークセキュリティ協会(JNSA)の調査によると、2011年に流出した個人情報の約6割が「USB等可搬記録媒体」を経路としたものであるという※。近年ではスマートデバイスが新たな"大容量記憶メディア"として、情報漏えいを懸念されているが、従来のUSBメモリ等のように十分な対策を施せてないケースが多い……。

※JNSA「2011年情報セキュリティインシデントに関する調査報告書」より

課題・問題

情報漏えい対策が万全でなかったデジカメとスマートデバイス・・・

製薬メーカーX社 (従業員数：350名)

医薬品や医療用食品の受託生産をはじめ、健康食品の製造・販売などを手掛けるX社。同社では外回りの営業マンが多い業務柄、オンプレミス型のIT資産管理ツールによってセキュリティ対策を行い、持ち出しPCやUSBメモリからの情報漏えいを防止していました。

セキュリティ対策は万全かと思われましたが、営業部のとある判断により、再び情報漏えいリスクにさらされることになります。デジカメやスマートデバイスのファイル転送プロトコル(MTP/PTP方式)は、ドライバのインストールが不要なため、既設のツールではPCへの接続を管理できなかったのです。同社情報システム運営室のA室長はこう語ります。

「もともとデジカメの管理には若干の不安を感じていましたが、社員が所有する携帯電話がスマートフォンに変わってきたことで、問題が深刻化しました。PCへの接続やデータ転送を管理者主導で制御することができないため、マルウェア感染や紛失・盗難による重要データの流出などが危惧されました」

ついに起こった営業マンのスマートフォン紛失。"ユーザー任せ"の管理には限界が・・・

もちろん、同社では私物スマートデバイスへの業務データの転送は禁止しましたが、結局のところは従業員任せであり、違反があっても把握できない、いわば"野放し"の状態といえました。

そのような折に危惧していた事態が発生しました。営業マンのひとりが得意先回りの際に、数千人分の顧客データが入ったスマートフォンを紛失したのです。幸いなことに、置き忘れた先の会社が端末を保管しておいてくれたことで、事なきを得ましたが、一歩間違えれば重大なセキュリティインシデントにつながるところでした。

事態を重く見たX社経営陣は、早急に新たな情報漏えい対策を講じるようA氏に指示しました。A氏はツールのリプレイスも視野に入れて情報収集を始めましたが、MTP/PTP対応の外部メディア制御機能を備えた機種が見つからず、打つ手なしの状態でした。