社外持ち出しPCのセキュリティ強化方法とは？実施すべき重要な対策

社外への持ち出しPCが増えた背景

企業の従業員が、PCを社外へ持ち出すケースが増えた背景には、リモートワークの導入が拡大したことや、PCの持ち出しを可能にするセキュリティ製品の充実が挙げられます。

リモートワークの拡大による需要の増加

総務省が実施した「令和4年通信利用動向調査」によれば、2021年から2022年において、リモートワークを導入している企業は50％を超えていることがわかります。

出典：総務省「令和4年通信利用動向調査」

2020年の新型コロナウイルス感染症の拡大を皮切りに、リモートワークを採用する企業が急速に広がったことが大きな要因です。

このような背景から、場所を選ばない働き方の普及にともなって、PCを社外へ持ち出すケースも急激に増えたといえるでしょう。

PCの持ち出しを可能にするセキュリティ製品の充実

「暗号化ソフトが安価となった」「OSの標準基準で暗号化できる」など、セキュリティ製品の充実によりPCの持ち出しが容易になったことも背景にあります。

たとえば、Microsoftは2015年、Windows 10のリリース後1年間はWindows7・8.1から10へ無償でアップグレードをする施策を打ち出しました。

Windows 10・11には、ドライブ暗号化機能である「BitLocker」が搭載されています。機能を有効にすることで、PCを紛失した際の情報漏えいリスクを減らせます。

当時、Windows 10の導入が急速に進み始め、PCに保存されたデータを暗号化しやすい環境となったことも、社外への持ち出しPCが増えた大きな要因といえます。

持ち出しPCによって考えうるセキュリティリスク

社外へPCを持ち出すことで、以下のようなセキュリティリスクが生じる可能性があります。

PCの盗難や紛失による情報漏えい

PCの盗難や紛失が発生した場合、社内の機密情報が漏えいしてしまう可能性があります。

PCの盗難や紛失は、たとえば以下のようなケースが考えられます。

• PCを入れていたバッグを、移動中の電車や立ち寄った飲食店などに置き忘れてしまう
• コワーキングスペースで盗難に遭う
• 車上荒らしに遭いPCが盗まれる

PCを社外に持ち出す機会が多くなれば、盗難・紛失の危険性も高まっていきます。重要な顧客データや、社外秘の機密資料がPCに保存されていると、その情報資産が漏えいする可能性があります。

ショルダーハックによる情報漏えい

ショルダーハックとは、作業中のPC画面を背後や横から盗み見られ、機密情報が取得されてしまうことです。ときには、望遠カメラで遠方からのぞき見されるケースもあります。

外出時にPCの画面上に顧客データや重要情報を表示していると、不正にデータを取得される可能性があります。

公衆Wi-Fi利用によるウイルス感染

ファミリーレストランや喫茶店などが提供している公衆Wi-Fiの利用がきっかけで、PCがウイルスに感染してしまうリスクがあります。

たとえば、店内に貼り出されたネットワーク名（SSID）から、Wi-Fiを利用しようとした際、似たネットワーク名が複数見つかったとします。そのうちのどれかは、第三者がなりすましたアクセスポイントであるケースです。

間違って利用してしまうと、マルウェア感染や不正アクセスといったセキュリティインシデントへつながる可能性があります。

悪意ある従業員の不正行為

悪意ある従業員の不正行為によって、情報漏えいが発生してしまうリスクもあります。

PCを持ち出してオフィス外で利用することで衆人環視がなくなり、つい出来心で不正を働く従業員も出てくるかもしれません。

たとえば、内部の従業員が不正に社内システムへアクセスしてデータを搾取し、抜き取ったデータを外部へ販売することなどを目的としたケースです。

本来、自身の部下や上司、同僚が罪を犯すことは考えたくないものです。しかし、セキュリティリスクを考慮すれば、不正行為に手を染める者がいることも想定し、適切な対策を講じておくべきです。

社内だけでなく、オフィスに常駐する外注先の従業員や出入りするベンダーにも、不正行為のリスクが潜んでいると想定することが望ましいでしょう。

ヒューマンエラーによる情報漏えい

情報漏えいのリスクは第三者からの不正アクセスだけでなく、社内の従業員によるヒューマンエラーを要因としたケースもあります。

たとえば、顧客名を特定できる重要情報が記載されたメールを誤った取引先へ送信してしまうことや、社内システムへのアクセス権の設定を間違えたために、外部から閲覧できてしまうミスが挙げられます。

自宅で作業するケースが多くなった昨今では、席を外す際に開けっ放しのPCを家族が操作してしまい、情報漏えいにつながってしまう場合もあります。

オフィス外で仕事をする場合で、特にプライベートエリアで業務に当たる際は、集中力やセキュリティ意識が低下することも考えられます。

持ち出しPCによるセキュリティリスクへの対策例

情報漏えいは、企業として必ず避けたいものです。それでは、持ち出しPCによる情報漏えいのリスクには、どのような対策を実施するべきなのでしょうか。

申請書によるPC管理の徹底

情報漏えいの事故を未然に防ぐため、いつ・誰が・どのPCを・どこで利用しているかを管理することが重要です。そのためには、申請書による持ち出しPCの徹底管理が必要です。

申請書に記載する事項は、たとえば以下のとおりです。

• PCを持ち出す従業員の氏名
• 理由
• 期間
• 場所
• PCの管理番号や機種名
• 持ち出しPC総責任者（もしくは部門長）の承認欄

PCの持ち出しを管理する責任者を任命し、使用履歴と持ち出しの実績を記録します。インシデント発生の際は、それらの記録をもとに対応します。

急ぎの場合などで管理責任者が不在の際には、部門長が代理で承認できる仕組みとするのもよいでしょう。

PCを持ち出す際に、都度承認を得なければならないことで、従業員だけでなく部門長のセキュリティに対する意識の向上にもつながります。

PC持ち出し時のルール策定

PCを社外へ持ち出す際、セキュリティルールを定めておきます。

【持ち出しPCのルール例】

• 端末ログの取得
• 端末内データの暗号化の実施、またはデータレス化
• ソフトウェアを常に最新の状態にしておくこと
• スクリーンセーバーを5分以内に設定
• パスワードの設定（例：8桁以上、数字、記号、アルファベット大・小文字混在など）
• 規定したウイルス対策・次世代ウイルス対策ソフトのインストールなど

「端末ログの取得」では、LANSCOPEやSKYSEAといった資産管理ツールや、EDRツールなどを使用すればPCのログを取得できます。

これらのルールを遵守することでトラブルを最小限に抑えます。セキュリティ研修の機会を設けて従業員全員へ周知徹底しましょう。

ゼロトラストによるセキュリティ対策

社内において、セキュリティを強化する効果的な方法として「ゼロトラスト」の考え方があります。ゼロトラストとは、簡単にいうと「何も信頼しない」ことを前提としたセキュリティ対策の考え方です。

つまり、社内外のネットワーク環境の「境界」という概念をなくし、社内情報へアクセスするもの全てを信用しないことを意味します。

>>ゼロトラストについてさらに詳しい情報を知りたい方はこちら

ゼロトラストを実現させるためのセキュリティソリューションとして、たとえば「SWG」や「EDR」があります。

SWG（Secure Web Gateway）とは、社外へのアクセスを安全に行うためのクラウド型セキュリティサービスです。　

SWGは、従業員の作業場所を問わず、社内と同等レベルでのWebアクセスを可能とするため、ウイルス感染やフィッシング詐欺被害のリスクを低減させるメリットがあります。

それにより、従業員が有害なサイトに接続したり、ウイルスに感染したファイルをダウンロードしたりといったリスクを回避できます。

>>SGWについてさらに詳しく知りたい方はこちら

また、EDR（Endpoint Detection and Response）は端末内の脅威を検知して迅速に対処するシステムです。

従業員がどこにいても端末のログをリアルタイムに収集・分析が可能で、脅威を発見した際には速やかに管理者へ通知します。脅威の影響範囲を特定し、遠隔から迅速に対応できるため、社内外に関わらず端末のウイルス感染等のリスクを最小限に抑えられます。

>>EDRについてさらに詳しく知りたい方はこちら

まとめ

社外への持ち出しPCが増えた背景には、リモートワークの拡大による需要の増加や、PCの持ち出しを可能にするセキュリティ製品が充実したことが挙げられます。

ただ、PCの紛失や盗難、ショルダーハックやヒューマンエラーによる情報漏えいなど、技術的な理由以外の要因におけるセキュリティリスクも懸念されます。

これらを防ぐためには申請書によるPC管理の徹底や、PC持ち出しのルールの作成、SWGなどを活用したセキュリティ対策が不可欠です。

オプテージでは、PCの持ち出しによって考えられるセキュリティリスクへの対策支援を行っていますので、お気軽にご相談ください。

◎製品名、会社名等は、各社の商標または登録商標です。