マカフィーセキュリティニュース
大丈夫?その「データ共有」〜柔軟な働き方のためのセキュリティ予備知識
「働き方改革」をセキュリティで見ると?
生産性の向上、勤務時間の問題……。いま日本人の「働き方」が注目されています。各企業や自治体は「働き方改革」を目指し、定時退社や在宅勤務、リモートワークといった制度面をはじめ、さまざまな取り組みを進めています。
そうした中では、今後ますますICTツールやデバイスの活用が欠かせないものになっていきます。オフィス内からグローバル規模まで、ICTツールを活用することで情報共有が効率化でき、新規ビジネスの展開にも有利になるでしょう。
一方でそうしたツールを利用すればするほど、セキュリティ面でのリスクヘッジも必要になります。柔軟で効率的な働き方を念頭に置きながら、これからの情報共有のあり方について考えてみましょう。
1会社でのデータ共有には落とし穴がいっぱい
入社1年目のAさん。仕事には慣れてきたものの、まだまだ覚えることがいっぱいです。そんなある日、作成した資料のファイルを先輩のBさんに引く継ぐことに。どうやって送ろう……としばらく考えた末、いつもプライベートで使っていたDropboxにデータをアップしてBさんに連絡しました。しかしこのことで、Aさんは叱られてしまったのです――。
似たような出来事が、あなたのオフィスでも起こっていないでしょうか。最近はクラウドストレージが普及して、プライベートでも気軽に使われるようになっています。クラウドストレージはどこにいてもデータを受け渡すことができ、グループで作業する際にも便利なものです。
Aさんがうかつだったのは、公私のアカウントを分けずに混ぜてしまったこと。公開範囲の設定を間違えて、ライバル会社の友人に新商品の秘密を見らてしまったら大問題です。またアカウントに不正ログインを受けたりすれば、サイバー犯罪者のもとに会社や顧客の情報が流出して、大きな損害をもたらす可能性があります。「私用アカウントを仕事で使うのは厳禁!」と肝に銘じましょう。似た事件も実際に起こっています。自宅のパソコンに仕事用のファイルを保存していたところ、ファイル共有ソフトを通して、プライベートなファイルと一緒に業務用のデータが流出したケースです。
では冒頭のシーンで、Aさんはどうすればよかったのでしょうか。まずウェブ上のサービスを利用してデータを送信するときは、より安全性の高いサービスを利用するのが望ましいといえます。具体的には、勤務先で契約しているサービスがあれば、必ずその方法を使ってください。難しいようなら、同じオンラインストレージでも運営元がしっかりした企業であるかなど、なるべく慎重に検討しましょう。
オフィス内でのデータ共有であれば、社内LANやメール、クラウドストレージ、USBメモリなどさまざまな手段が選択肢に挙がります。ファイルの種類や容量などをみて、受け渡しやすく安全性の高い方法を落ち着いて都度検討することが大切です。いずれにしても勤務先でルールが定められている場合もありますので、確認しながら安全に活用したいですね。
そしてBさんがAさんを注意したように、受け取る側のセキュリティ意識も大切です。2015年には日本年金機構からの125万件の個人情報流出事件が大きく報道されました。事件の幕開けは、ある職員が不正なメールを受け取ったことでした。
メールの件名は「厚生年金基金制度の見直しについて(試案)に関する意見」と、通常のビジネスメールのようで、怪しくは見えませんでした。しかしメール本文に書かれたクラウドストレージのURLをクリックしたことで、そこから不正なファイルを開いてしまい、マルウェアに感染してしまったといいます。
さらに後日、不正な圧縮ファイルが添付された約100通のメールがさまざまな部署に届きました。このとき既に警戒の指示が出ていたのに、うっかり開く職員が何人もいたため、流出の規模が拡大してしまいました。
しかし、そもそも「公的機関が」「公的文書を」「クラウドストレージで」やり取りすることは、通常の業務ではまず行われない流れです。また不正な添付ファイルも、少し冷静になって警戒指示のことを思い出せば、開くことはなかったかもしれません。「そのとき」不審な点に気付くことができれば、被害を防げた可能性があったのです。
オンラインでのやり取りは手軽であるだけに、うっかり誤操作でも機密情報の漏えいにつながるもの。送信時、受信時とも、送信先や添付ファイルが正規のものかどうか、怪しい点はないのか、慎重に確認するくせをつけることが大切です。特にメールなどの標的型攻撃は高度化しており、注意が必要となっています。
2自分でできる対策はある
近年は日本の複数の自治体で、数十万件もの個人情報が流出した事件が発生しています。事件が明るみに出ていると、流出につながったのはサイバー攻撃だけではなく、職員の不用意な行動だった……という事例もみられます。
本来は厳重なセキュリティで守られているはずのデータを業務や「システム開発のため」などとして職員が持ち帰り、自宅から流出させてしまったケースです。しかし悪意の有無にかかわらず、不必要な持ち出しはもちろん「厳禁」。流出被害のリスクがあるだけでなく、持ち出すこと自体が所属先の信用を下げ、自分自身も責任を問われる重大なことなのです。
自治体でも企業でも、業務で扱うファイルには「外部秘」の項目や個人情報が含まれているもの。万一のことがあったら社内外で影響が大きく、「悪意はなかった」「ついうっかり」という言い訳は届きません。
サイバーセキュリティでは「これをやったから100%安全」と言い切るのは難しいものです。業務のなかでネットやデジタルデバイスを使う場面が広がるなか、危険の芽をひとつひとつ摘み、トータルでの安全性を高めるリスクマネジメントの考え方が大切です。
まずは勤務先のセキュリティルールに従った行動を取ること。そしてデータの漏えいに気付いたら、上司にすぐに報告を。一人のビジネスパーソンとしても、組織としても、迅速な対応ができるかでその後の信頼を左右することになります。さらに下記の表のようなポイントを参考に、自分なりの対策を立てておくと良いでしょう。
見直そう! ファイル共有のための心構え
- まずは意識づけ
- データの取り扱いは、ルールを守って細心の注意を払いましょう。「自分だけは」「これくらい大丈夫」は通用しません。
- トラブルを隠さない
- トラブル発生時は、上司や情報システム部門へすぐに報告を。
- パスワードで保護
- モバイルデバイスはパスワードで保護し、ファイルやハードディスクの暗号化を検討しましょう。遠隔でデータを削除する機能があれば必ずONにしておきましょう。
- マルウェアをスキャン
- USBメモリやCD-ROMなどの記憶媒体にマルウェアが潜んでいる場合もあるので、セキュリティ製品でスキャンして安全確保を。
- セキュリティ製品の使用
- デバイスやファイルをマルウェアからの保護するほか、盗難時の対策などさまざまな機能を持つセキュリティ製品を活用するのがおすすめです。
Twitterで最新の更新情報やおすすめQ&A、アドバイスをお届けしています。