歓迎会でPC紛失が発生!紛失後に緊急連絡窓口が速やかに機能しない本当の理由
新年度にセキュリティ担当者が、真っ先に直面する現実
4月は新しい仲間を迎え、貸与PCのセットアップやアカウント発行に追われる時期です。この季節、社内が活気づく一方で、セキュリティ管理者の頭を悩ませるのは、PCなどのデジタルデバイスの紛失や盗難のリスクです。
通常は在宅でリモート勤務をしているのに、年度初めの会合で久々にオフィスへ出勤する。こうしたケースでは、帰りの通勤経路や歓送迎会などの酒席で業務用デバイスを放置し、紛失するというインシデントが往々にして起こりがちです。通常とは異なる公共の場にデバイスを持ち込むことで「デバイスの流動性」が高まる季節と言えます。
環境の変化による「気の緩み」や「不慣れな移動」は、時に技術的な防御壁を容易に突破します。皆さんの組織では、業務用デバイスの紛失を完全に防げているでしょうか? また、同じ職場の従業員同士で行動していたにもかかわらず、泥酔した同僚の持ち物に気が回らず、結果的に盗難被害に遭うというケースも頻繁に耳にします。これは本人だけの責任ではなく、同行した従業員の「相互確認」の意識が欠如していたことも要因の一つです。同行者同士で声を掛け合うといった、基本的な意識を組織として植え付けていくことも欠かせません。
PC紛失そのものよりも恐ろしい「沈黙の24時間」
紛失自体も大問題ですが、それ以上に深刻なのは、本人による「報告の遅れ」です。
現場の従業員にとって、PCを失くすことは「組織内での信用失墜」や、人によっては「解雇や契約解除」への恐怖に直結します。その結果、「明日になれば見つかるかも」「自分で探してから報告しよう」という心理が働き、本来なら数分で行うべき回線停止やリモートワイプ※が数時間、あるいは数日遅れることになります。
この「空白の時間」にこそ、情報は漏洩します。なぜ報告が遅れるのか。それは、窓口がどこか知らないから、あるいは窓口があっても「叱責されるだけの場所」として認識されているからです。
※リモートワイプ(Remote Wipe):スマートフォンやPCなどのデバイスを紛失・盗難した際に、ネットワーク経由で遠隔操作によって端末内のデータを消去・初期化する機能
緊急窓口は「置くだけ」では機能しない
多くの組織で「緊急連絡先」は規定の中に存在します。しかし、いざという時に従業員がその電話番号を即座に思い出せるでしょうか? 社内ポータルにログインしないと番号がわからない(そもそもPCを失くしているのに!)という、本末転倒な状況になっていませんか。
セキュビットがポリシー策定を支援する際、最も重視するのは「迷わせない、怖がらせない」仕組みづくりです。
- 受付の仕方の見直し: 24時間365日、誰が電話を受けても「まずは報告してくれてありがとう」と言えるマニュアルがあるか。警察への遺失届の手続き案内や利用交通機関の問い合わせ窓口案内など、「連絡してよかった」と思える応対ができるかが重要です。
- 技術的な即応体制: 窓口で即座にデバイスの遠隔ロックやデータ消去を実施できる体制、あるいは組織ルールとして必要な手続きの案内を網羅できているか。自前での対応が難しければアウトソーシングサービスを活用することも有力な選択肢です。
- 周知の徹底: スマホの裏にステッカーを貼る、名刺サイズのカードを配る。そんなアナログな手段が、実は最強のセキュリティ対策になります。
「やっていいこと・悪いこと」を再定義する
新年度は、デバイスの利用ポリシーを再周知する絶好の機会です。「PCを組織外に持ち出すな」と厳禁するだけでは、今のハイブリッドワーク時代、仕事が回りません。
大切なのは、やっていいこと(許可された手順)と、絶対にダメなこと(無断持ち出しや放置)の境界線を、今の自組織の実態に合わせて引き直すことです。IT資産管理ツール(MDM等)で「失くしたことがすぐ分かる」状態を作るのは重要ですが、持ち歩くのは結局「人」です。
従業員としてのモバイルデバイスの扱いや、携帯時の行動はどうあるべきかをデザインし、ルールに落とし込む。このシンプルかつ本質的な見直しと、全従業員への改めての周知こそが、今求められています。
貴組織のセキュリティ担当の「黒子」として
セキュリティは、従業員を縛るためのものではなく、従業員が安心して挑戦するための「安全装置」です。しかし、理想のルールを作っても、それが現場に定着しなければ意味がありません。
セキュビットのセキュリティコンサルティングは、単なるマニュアル作成に留まりません。実効性のあるルール作りから、現場への浸透・定着まで、貴組織のセキュリティ担当の「黒子」となって伴走支援いたします。
もし、今の自組織の体制に「いざという時の不安」があるのなら、それは制度と実態のズレを解消するタイミングかもしれません。ビット単位の小さな綻びが大きな事故に繋がる前に、私たちと一緒に「現場で機能するセキュリティ」を構築しましょう。
この記事を書いた人
増村 洋二(Yoji Masumura)
株式会社セキュビット 代表取締役。サイバー犯罪対策からITガバナンスまで、20年以上にわたり情報セキュリティの最前線に従事。LINEの情報セキュリティ室マネジャーや楽天グループのサイバー犯罪対策室長兼情報セキュリティ統括室室長、CCCのセキュリティ統括部長などを経て現職。実務者目線と経営的視座を兼ね備えたコンサルティングを展開。