その油断が引き起こす、スマホの情報漏えいリスクとは～危険なのは社外より「社内」？～

背景

企業の情報漏えい事件が後を絶ちません。日本ネットワークセキュリティ協会(JNSA)の調査によると、2013年中に発生した情報漏えい事件は1388件、漏えい人数は925万人以上にも上ります(※)。2014年に発生した通信教育事業社の内部不正による情報漏えい事件では、最大3500万人もの個人情報が流出し、前年度中に流出した個人情報漏えい人数を遥かに上回る被害状況となりました。この事件が発生する前からも、スマートデバイスは大容量記憶メディアとして情報漏えいリスクの懸念がありましたが、従来のUSBメモリのように十分な漏えい対策を施せていないケースが未だに多いのです……。

※JNSA「2013年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～」より

課題・問題

油断していた、スマホ紛失によるリスク・・・

製薬メーカーX社 (従業員数：350名)

医薬品や医療用食品の受託生産をはじめ、健康食品の製造・販売などを手掛けるX社。同社では外回りの営業マンが多い業務柄、オンプレミス型のIT資産管理ツールによってセキュリティ対策を行い、持ち出しPCやUSBメモリからの情報漏えいを防止していました。

セキュリティ対策は万全かと思われましたが、営業部のとある行為により、再び情報漏えいリスクにさらされることになります。スマートデバイスやデジタルカメラのファイル転送プロトコル(MTP/PTP方式)は、ドライバーのインストールが不要なため、既設のツールではPCへの接続を管理できなかったのです。同社情報システム運営室のA室長はこう語ります。

「もともとデジカメの管理には若干の不安を感じていましたが、社員へのスマートフォン支給台数が増えてきたことで、問題が深刻化しました。PCへの接続やデータ転送を管理者主導で制御することができないため、マルウェア感染や紛失・盗難による重要データの流出などが危惧されました」

ついに起こった営業マンのスマートフォン紛失。"ユーザー任せ"の管理には限界が・・・

もちろん、同社では私物スマートデバイスへの業務データの転送は禁止しましたが、結局のところは従業員任せであり、違反があっても把握できない、いわば"野放し"の状態といえました。また営業マンが持ち歩いているPCの操作状況も、社内ネットワークに接続されていない間はリアルタイムに把握することができません。社外にいる間にスマートデバイスをPCに接続し、データ転送していたとしても、気付いた時にはもう手遅れというケースも考えられます。

そのような折に危惧していた事態が発生しました。営業マンのひとりが得意先回りの際に、数千人分の顧客データが入ったスマートフォンを紛失したのです。幸いなことに、置き忘れた先の会社が端末を保管しておいてくれたことで、事なきを得ましたが、一歩間違えれば重大なセキュリティインシデントにつながるところでした。

事態を重く見たX社経営陣は、早急に新たな情報漏えい対策を講じるようA氏に指示しました。A氏はツールのリプレイスも視野に入れて情報収集を始めましたが、MTP/PTP対応の外部メディア制御機能や操作ログ取得機能を備えたツールがなかなか見つからず、打つ手なしの状態でした。