セキュリティの
学び場

今回の解説ニュース

約20年前に導入したパソコンが行方不明になってしまったということです。不要になった情報資産の適切な取り扱いや、大量の情報資産を長年にわたって保持する際に、紛失しないための対策について説明します。

今回のインシデントは、同社社員が、2005年ごろに導入したノートパソコンのリース契約更新をしようとした際に紛失が判明しました。当該パソコンの使用用途と所在について調査したところ、従業員証作成ソフトがインストールされており、ソフト用データとしてテナント従業員の個人情報が保存されていた可能性があるということです。原因として、従業員証は2013年以降は別のパソコンを使用し作成しており、組織変更や執務場所の変更等があった過程で当該パソコンが2013年以降に紛失したと推測されています。

対策として、同社では個人情報保護委員会に報告しており、現在入居のテナントに対しても、謝罪と経緯説明の書面を送付しています。再発防止策として「パソコンの稼働状況、および保存情報の所在についての定期的な確認」「セキュリティワイヤーの使用等によるパソコンの盗難・不用意な移動の防止」「パソコン端末の廃棄の際には外部業者によるソフトウェア消去、電磁破砕消去、破壊消去等を行うとともに、消去証明書を受領」するということです。

利用の役目を終えた社用PC、求められる対処は？

パソコンなどの情報資産は、資産管理を行ったうえで、不要になったデータは適切に破棄することが求められます。

例えば、皆さんも機種変更した際に使わなくなったスマートフォンをお持ちではないでしょうか。使わなくなったスマートフォンに何も対策をしていなければ、個人情報が保存されたままです。そのまま中古として売ってしまうと、誰かにデータを見られてしまうかもしれません。また、使わなくなったからと言って適当に保管していると、どこに行ったか分からなくなってしまって、結果として保存されたデータごと誰かの手に渡ってしまうかもしれません。

組織で保持しているパソコンも同様で、使わなくなった情報資産やデータは適切に破棄することが求められます。具体的には、まず、どのような情報資産が組織に存在しているか台帳管理を行います。次に、その情報資産が確かに存在していることを定期的に確認します。そして、その情報資産が不要になった際は、データが確実に消去されていることを確認した上で、必要に応じて破棄を行います。

今回のインシデントでも、再発防止策として「パソコンの所在についての定期的な確認」と「パソコン端末の廃棄の際に外部業者による消去」が挙げられています。

組織が拡大しても、PCの管理が適切に行える環境作りは可能なのか

組織が大きくなっても情報資産を適切に管理するためには、資産管理について、属人的な管理ではなく、仕組化して管理することが望まれます。

資産台帳と言ってすぐに思い浮かぶのは、Excelやスプレッドシートによる管理ではないでしょうか。確かに、Excelやスプレッドシートはすぐに使えて、操作も簡単ですが、大きな組織で複数人が更新を重ねていくうちに、どれが最新版か分からなくなってしまうことがあります。理由は、Excelやスプレッドシートにより資産管理は属人的になりがちであるからです。

資産管理の属人性を排除するためには、システムで自動化するなどして仕組化することが望まれます。さらに、情報資産の管理に加えて、情報資産を管理する際に紛失以外のセキュリティリスクについても並行して管理できると効率的です。具体的には、情報資産に関連する脆弱性や脅威情報が同時に可視化されると、管理者がどのようなセキュリティ対策を行う必要があるかが優先度も含めて明確になります。

今回は、不要になった情報資産の適切な取り扱いや、大量の情報資産に対するリスク管理についてお届けしました。