オンライン展示会「ITトレンドEXPO2025 Summer」が9月2日~5日に開催された。9月4日には、「パソコンをなくしただけなのに ~情報漏洩は他人事じゃない。 中小企業の現場で起きている“リアルなリスク”とその防ぎ方~」と題して、SBテクノロジーでセキュリティリサーチャーを務める辻伸弘氏と、長年セキュリティ対策に力を入れてきた日本HPのセキュリティエバンジェリストである木下和紀エドワルド氏の特別対談が行われた。

両氏は、過去のPCの盗難、紛失の事例を挙げながら、その事件の問題点や同様の被害を防ぐための対策について意見を交わした。本稿では、同対談の模様を紹介しよう。

  • 対談を行うSBテクノロジープリンシパルセキュリティリサーチャー辻伸弘氏(右)と日本HP セキュリティエバンジェリスト ワークフォースソリューション事業本部 ソリューション技術部 木下和紀 エドワルド 氏(左)

    対談を行うSBテクノロジープリンシパルセキュリティリサーチャー辻伸弘氏(右)と日本HP セキュリティエバンジェリスト ワークフォースソリューション事業本部 ソリューション技術部 木下和紀 エドワルド 氏(左)

情報漏洩対策は可能な限りシステムで行う

初めに、辻氏は、テレビ新潟放送網の東京支社の営業社員が移動中に社用PCに加えて、パスワードを記載したメモもセットで紛失してしまった事件を挙げた。同社は対応として、紛失したPCから、クラウドサービスと社内のネットワークにアクセスできないようにした。結局、PCは見つからなかったが、このPCには個人情報は含まれていなかったという。

  • 辻氏が最初に紹介したテレビ新潟放送網の事例

    辻氏が最初に紹介したテレビ新潟放送網の事例

この事件について、辻氏は「テレビ新潟放送網は、情報漏洩対策として社内ルールの徹底と適正化を図っていたといわれています。しかし、ルールが守られていなかったからメモがあったのだと思います。ルールは作っておく必要がありますが、可能な限りシステムで制御し、ユーザーに負荷をかけないことが理想だと考えています」とコメントした。

リモートで内部データを削除できない場合も

辻氏が紹介した2つ目の事例は、慶応義塾大学病院に勤務する医師が、屋外でPCを入れていたバックごと盗難された事件。PCは医師の個人のものだったという。

このPCには、慶応大病院の168人分の個人情報と虎ノ門病院の約1,000人の患者の医療個人情報が入っていた。虎ノ門病院は、この医師が以前に勤務していたという。

対策として、盗難にあった翌日に盗まれたPCがインターネットに接続された場合、内部データを自動で削除されるようにしたが、PCは結局見つからなかった。

  • 辻氏が2番目に紹介した慶応義塾大学病院の事例

    辻氏が2番目に紹介した慶応義塾大学病院の事例

この事件の問題点について、辻氏は、内部データを自動削除する対策を実施したのは進んでいると思うが、プロアクティブではなかったと指摘した。同氏は「過去の事件を見ると、PCやスマートフォンの盗難では、犯人が電源を入れない、もしくは入れたとしても通信環境がまったくないところで作業を行う、SIMを抜いてから行うというケースも多いです」と、リモートで内部データを削除できない場合があることを明らかにした。

こうした課題に対し、木下氏は、MDM(Mobile Device Management)ソリューションである「HP Protect and Trace with Wolf Connect」を紹介した。同製品は、電源が入っていない状態や通信環境がない状況で作動できるという。

同製品では、PCの位置を特定するためのFindのコマンド、PCをファーム上でロックするLockコマンド、データを消去するEraseコマンドを実施でき、PCがフル充電の状態で3週間~4週間操作が行えるという。

「BitLocker」が入っていれば安心なのか?

対談の後半では、両氏が情報漏洩対策に関する疑問点を挙げ、話し合う展開になった。

木下氏からは、Windowsの暗号機能「BitLocker」を使っているので情報漏洩対策はできているという顧客がいるが、「BitLockerだけで大丈夫なのか?」という質問が投げられた。

これに対し、辻氏は「Raspberry Pi Pico」で「BitLocker」の復号鍵を1分以内に取り出す方法が昨年発表されたほか、今年のサイバーセキュリティカンファレンス「Black Hat USA 2025」でも、「BitLocker」の脆弱性をついて復号する方法が紹介されたことを説明。

「BitLockerはショートカットキーの組み合わせのようなテクニックを覚えれば、小学生でも簡単に突破できてしまうものです。『BitLockerのみの暗号化が100%危険です』というつもりはないが、どの製品においても依存しすぎてそれだけでOKと思うのはあまりよくないでしょう」と語った。

また、木下氏は「BitLocker」とは直接関係はないが、PCの紛失・盗難に遭った際に会社への報告をためらうケースがあることを指摘。

「怒られると感じると隠してしまう形になり、それによって報告が遅れて対処する時間がなくなり、被害が拡大し、社会的な損失も大きくなるので、(会社にすぐに報告するという)組織の文化醸成にも留意する必要があると思います」と述べた。

PCを廃棄する際のデータ消去方法

続いて木下氏は、PCを廃棄する際のデータ消去にやり方について質問した。

辻氏によれば、データ消去の方法はClear(クリア)、Purge(パージ)、Destroy(デストロイ)の3つに分けられるという。同氏は、この3種類のデータ消去の方法の違いについて、次のように説明した。

「Clearとは、復元ソフトウェアやフォレンジックなど、事故にあったPCを調査したり、犯罪者がPCの中身で消したものを復元したりして調査するなど、ツールを使えば元に戻せるような状態です。Purgeは、研究所レベルのツールを使っても、ほぼ、復元は不可能という方法です。Destroyは、文字通り、物理破壊です」

機密性が高い情報はPurgeもしくはDestroyが適しているが、Destroyは業者に頼むことになりコストもかかるので、「Purgeが一番良いと思います」と辻氏はアドバイスしていた。

一方辻氏からは、PCや携帯の位置情報を取得する場合、本人の許可なく勝手に見られることが問題になっており、立場を悪用してストーカーまがいのことをした人がいると聞くが、この辺りの管理は大丈夫なのかと質問した。

これに対し、木下氏は以下のように自社のケースを例に回答した。

「『管理者があなたのPCの位置を見ようとしています』というポップアップで出てくるので、ユーザーにはわかるようになっています。また、誰が、どのPCのロケーション情報を取得したのかが監査ログとして残るようになっているので、権限があるからといって何でもやってもいい状況にはなっていません」と説明した。