2023年5月13日に、SNSで以下のような投稿をされているのを目にしました。
この投稿者は、そこそこ大きい規模の会社の情シス担当部長さんみたいです。そこそこ大きい規模だと判るのは、24/365で情シス担当者さんが社内にいらっしゃる事が推測できますので。また、情シス担当部長というのはプロフィールに書いてありましたので。
実は、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」でも毎年上位に入るのが「内部不正による情報漏えい」なんですね。最近で大きなものですと「双日を警視庁が捜索、転職してきた30代社員がライバル総合商社の営業秘密を不正持ち出しか(読売新聞オンライン)」というニュースもありました。営業情報持ち出しや技術情報持ち出しというのは、そこそこ良くある話だったりします。大企業だと先のように報道されますが、中小企業だと報道されることはないので、実際には多くの持ち出しが発生していると推定されます。
参考までに、情報セキュリティ10大脅威2023を貼っておきます。
では、どのように対策を行えば良いのでしょうか?
昔は大企業でも結構ザルだったので、メールで外部(自分自身の個人のメールアドレス)に送信するとかが行われていましたが、最近だと、メールが監視対象になっていて外部に持ち出すのが困難になってきていますので現実的ではなくなりました。また、データのサイズの巨大化もメールでの外部持ち出しが現実的ではなくなった理由の一つにもなっています。そこで、先のSNSの投稿の場合は「自分のPCを持ち込んで吸い出した」のだと思われます。大企業だと業務用パソコンのUSBポート自体が殺されている場合も多いので、USBメモリを使えないという事情もあるのでしょう。
しかしながら検知されてしまったわけです。
実は、弊社でも中小企業様に提案することがあるのですが、大企業だとほぼ確実に導入されているのが「資産管理システム」というものです。元々はパソコン(および、インストールされたソフトウェア)の管理台帳を作成してくれるようなものでしたが、現在では大幅に進化していて「情報セキュリティツール」のひとつに挙げられる存在になっています。その機能の一部として「LANに未登録の機器を接続された際にはアラートを出す」という機能があります。そこに引っ掛かったのでしょう。
資産管理システムは新型コロナ前まではオンプレミス型が多くて最低導入ライセンス数も多かったりと、特に小規模な企業には導入しにくいものでしたが、新型コロナによってリモートワーク前提になった事により、オンプレミス型ではデータ収集が難しくなることに気付いたメーカー側が続々とクラウド型を販売し始めました。同時に最低導入ライセンス数の縛りも緩くなったり等、中小企業でも導入しやすいものになってきました。特にクラウド型になったメリットとしては「サーバーの管理が不要になる」事ですね。ただでさえ、中小企業の情シスさんは兼務が多くサーバーの知識も乏しい人が多いのにオンプレミス型でサーバーの管理もしなければならないのはハードルが上がっていました。そこから解放されるのは大きいかと思います。
また、資産管理システムではメールの監視も出来るものがあり、その機能を使うことでメールによる不正な持ち出しを防ぐことができますし、USBポートの制限もできますので登録外のUSBメモリを使えなくすることもできます。あと、多くの製品ではオプションではありますがLAN監視機能もありますので、先のような「個人のPCの持ち込み」を検知することも可能です。
資産管理システムは中小企業にも是非とも導入して頂きたいシステムです。名前からは想像ができないほど高度な情報セキュリティ対策製品となっていますので、弊社にお問い合わせ頂ければ幾つかの製品の紹介程度なら行えます。残念ながら弊社取扱製品はないので、アドバイス程度しか行えませんが。あと、導入や運用を弊社に任せたいという相談にも対応可能です。右下のチャットからお問い合わせください。