マイナンバー制度がスタートを切り、情報漏えい対策の重要性が以前にも増して高まっている。そんな中、業務で利用するモバイルデバイス──つまりは、モバイルPCやスマートデバイスの情報セキュリティをいかにして確保するかも、企業や組織にとって大きな課題として再浮上しつつある。

 果たして、モバイルデバイスの「安全な運用」を組織全体で維持し、重要情報の漏えい・流出を阻止するには何をどうするのが正解なのか。 企業・組織で情報セキュリティ対策を取り仕切る2人のキーパーソンに匿名を約束に本音で語ってもらう。

<覆面座談会参加者>
 

ギャラリーページへ

●大学職員Aさん:務め先の大学で情報セキュリティ全般を統括。事務系システムのセキュリティ管理のみならず、大学教授を含む教職員のセキュリティ管理に関しても責任を負う。

 
ギャラリーページへ

●IT部門長Bさん:某大手メーカーのIT関連企業で、同メーカーの社内ITシステム全体を取り仕切る。情報セキュリティの仕組み作りと運用についても責任を持つ。

 

 

すぐに忘れられるセキュリティ
現場の意識を高く保つために

──日本でも情報漏えい事件が多く発生しています。一方で、昨年よりマイナンバー制度もスタートしました。お2人が所属する組織では、情報セキュリティ(以下、「セキュリティ」)に対する意識に何らかの変化はありますか。

大学職員Aさん(以下、Aさん):日本の大学は、民間企業に比べてセキュリティに対する意識が総じて低いのが現実です。もちろん、サイバー攻撃による情報漏えい事件がマスコミで大きく報じられたりすると、セキュリティに対する皆の意識は高まります。ところが、「喉元過ぎると何とやら」で、一定の時が過ぎ、騒ぎが収まると、多くがセキュリティのことを忘れてしまう。ですから、セキュリティに対する意識をどう維持するかが大きな課題の一つになっています。

IT部門長Bさん(以下、Bさん):その辺りは、民間企業も同じだと思います。当社の場合、セキュリティリスクに対する経営サイドの危機感はかなり強まっていますし、現場の意識も高まりつつあります。それでも、セキュリティに対する現場の意識を高く保つのは難しく、何もしないでいると、彼らはすぐに警戒を解いていまいます。それを避けるために、当社ではセキュリティに関して少し厳しいルールを敷いています。

──それはどのようなルールですか。

Bさん:一つは、モバイルデバイスの紛失・盗難といったインシデントを引き起こした社員と、その上長を懲戒処分にすることです。

── ミスを犯した当事者だけではなく、上長も懲戒処分にする狙いはどこにあるのでしょうか。

Bさん:上長には部下の監督責任があります。ですから、ミスを犯した部下と上長をセットで懲戒処分の対象にするのは妥当なことですし、そうしたルールを敷くことで、セキュリティに対する組織全体の意識づけを行い、一人ひとりの社員に当事者意識を持ってもらうことが大切だと考えています。

 言うまでもなく、モバイルPCなどの紛失・盗難による情報漏えいは企業にとって大きな脅威で、そのリスクがゼロではない以上、それを極力小さくするルールや仕組みを用意することが不可避です。我々は、社用のモバイルPCのローカルディスクに業務データを格納することを原則認めていませんが、業務の特性上、そうすることが困難な場合もあるでしょう。そのような場合には、ルールを設けるだけではなく、万が一の紛失・盗難に備えて、リモートからすぐにモバイルPC上の重要データが消去できるような仕組みが併せて必要とされるはずです。

電源OFFでもデータの完全消去が可能!
パナソニックPCだからできる、PC盗難・紛失時の情報漏えい対策がパワーアップ!
「TRUSTDELETE Biz」の詳細はこちらから>>

 


── Aさんの大学では、Bさんの会社のようなルールを何か敷いていますか。

Aさん:PCの紛失・盗難リスクの回避という意味では、事務職員に対しては、学内で使うPCの持ち出しを原則禁じています。他方、教授などの教員が携帯するPCは各自の私物です。そのため、学外への持ち出しを禁じることはできませんが、彼らのPCにも研究情報・知的財産が入っており、その紛失・盗難は大学にとってかなりのリスクです。ですから、罰則こそ設けていないものの、紛失・盗難などのインシデントを発生させた場合には、すみやかな報告を義務づけています。

── 報告はしっかりと行われているのですか。

Aさん:ここ数年来、きちんと報告されるようになりましたね。その点で、セキュリティに対する各自の意識は高まっていると言えるでしょう。また、罰則を何も設けていないことが、良い方に働いているのかもしれません。

ミスの隠ぺいリスクは仕組みで低減


── 確かに、罰則を厳しくすると、かえって「ミスの隠ぺい」を誘発し、セキュリティリスクを高めるとの意見もあります。Bさんの会社では、そうしたリスクをどう見ておられるのですか。

Bさん:これは当社に限った話かもしれませんが、罰則によって強制力を働かせないと、セキュリティに対する現場の意識を高く保てないのが実情です。ですから、報告の遅れやミスの隠ぺいといったリスクに対しては、仕組みとプロセスによる低減を図っています。例えば、社員のモバイルPCが一定期間ネットワークに繋がっていなかったり、PCの操作ログから怪しい挙動が認められたりした場合には、自動でアラートを出し、管理サイドが社員に問い合わせをかけるといった具合です。

 また、Webサイトへのアクセスログを含めたPCの操作ログをすべて取得し、それらの相関分析によって、社員の意図的な情報窃取・漏えいの動きを捉えられるようにもしてあります。

―― 監視・管理がかなり厳しいように感じますが。
 

ギャラリーページへ

Aさん:大手の民間企業でセキュリティを確保しようとするなら、そうするのが当然ではないでしょうか。大学の場合、そこまで監視の目を行き届けることはできませんが。

──それはなぜですか。

Aさん:大学には教授などの教員がいるからです。彼らは、一人一人が民間の企業で言う「社長」のような存在で、セキュリティ対策に関する自身の考えを押し通す傾向があります。ですから、職員と同じメール監査やログ監視のルールを教員のPCに適用しようとすると、一部から猛反発を受け、事が前に進められなくなるのです。ここに大学でのセキュリティ対策の難しさがあると言えるでしょうね。

Bさん:大学の先生ほどではないにしても、民間企業の現場もなかなか手ごわいですよ(笑)。メール監査や(モバイルデバイスの)位置情報の取得といった監視・管理に対しては、少なからずの反発を受けますし、当社の場合、グローバルでビジネスを展開しているので、欧米の社員に対してもセキュリティ上の統制をかけなければなりません。彼らは、日本人以上に監視・管理を嫌うので抵抗を抑えるにはなかなか骨が折れますね。
 

生産性アップとセキュリティ強化をセットで考える


―― セキュリティ対策に対する現場の抵抗を抑えるうえでは、何が必要とされるのでしょうか。特に、モバイルデバイスはそもそも現場の生産性を高めるツールです。ですから、セキュリティ対策によってその利便性が損なわれることを、すべての社員が嫌うと思うのですが。

Bさん:大切なのは、セキュリティを強化するための仕組み作りと、業務を効率化するための仕組み作りを併せて推進することです。例えば、モバイルデバイスの位置情報を取得するにしても、セキュリティ強化だけを目的にするならば、現場はまず受け入れません。位置情報の取得によって現場の仕事をどう効率化するかを考え、そのための仕組みをセットで提供することが肝心です。

Aさん:それは同感ですね。セキュリティ対策上で必要だからと言って不便な仕組みを押し付けても、現場にはなかなか浸透しませんから。

Bさん:その意味でも、「生産性が落ちることをセキュリティルール違反の“イイワケ”にさせない」ような仕組み作りが必要だと考えています。

 先に触れた通り、当社の場合、モバイルデバイスのローカルストレージに業務データを保存することは原則認めていませんし、そうできないような仕組みも構築しています。つまり、モバイルワーカーには、ネットワーク経由で業務データにアクセスさせているわけです。ですから、ネットワーク環境によってレスポンスが多少悪くなる場合もありますが、社内と社外の違いはせいぜいその程度です。業務に必要なアプリケーションは社外のモバイルデバイスからすべて利用できますし、電子決裁や電子稟議の仕組みによって、社外にいてもワークフローが回せます。こうした仕組み作りを進めれば、「生産性が落ちるから」というイイワケは通用しなくなるはずです。
 

セキュリティと生産性の両立で
モバイルPCに求めること


―― モバイルデバイスの生産性とセキュリティの両立を図るうえでは、どんなデバイスを選択するかも一つのカギになると思います。その観点から、モバイルPCにどんな機能やサービスを求めたいですか。

Bさん:一つは、MDM(Mobile Device Management:モバイルデバイス管理)の優れたソリューションです。例えば、当社では、スマートデバイス上で個人の領域と業務の領域をしっかりと分離させて管理し、モバイルワークの生産性を落とさずに業務データのセキュリティを担保しています。モバイルPCでもそうした管理が可能になれば効率的です。

 また、繰り返すようですが、どんなに厳格なルールを敷いても、モバイルデバイスの紛失・盗難といったリスクを100%排除することは不可能です。そう考えれば、一部のスマートデバイスのように、デバイスが立ち上がってない状態でも、リモートからデータが消去できるような仕組みも必要になるでしょう。ただし、リモート消去と言っても、ハードディスクやSSDのデータを完全に消去することができない方式では盤石とは言えません。ですから、データをローカルに保存させないといった仕組みや運用面でのカバーが必要とされると思います。
                   

―― 例えば、パナソニックの法人向けモバイルPCのように、OSが起動していなくても、マザーボードのチップでSMSの命令を感知し、データをまるごと消去できる機能を持った製品もありますが。

Bさん:盗難・紛失時は、電源が入っていなかったり、スリープ状態になっていたりする可能性が高いので、そうした機能は企業におけるモバイルデバイスのセキュリティ対策として、当然のごとく必要とされるでしょうね。

Aさん:そもそもパナソニックのモバイルPC「レッツノート」は、軽くて丈夫なうえに、省電力設計で、バッテリの交換が可能といった優れた特徴も備えていますからね。モバイルワークの生産性を高めるという点でも、いい製品だと思います。

電源OFFでもデータの完全消去が可能!
パナソニックPCだからできる、PC盗難・紛失時の情報漏えい対策がパワーアップ!
「TRUSTDELETE Biz」の詳細はこちらから>>

 

  あとは、ID/パスワードによる管理があるために起こるフィッシング詐欺のような被害を防ぐためには、指紋認証を始めとした生体認証による保護も必須だと思います。

 ただ現状では、フィッシング詐欺にかかる人をゼロにすることは不可能ですし、モバイルデバイスを紛失したり、盗まれたりする向きも必ず出てくるでしょう。ですから、人的ミスによるセキュリティインシデントの発生を前提にした仕組み作りが大切ですね。

Bさん:Aさんのおっしゃるとおり、セキュリティに「絶対」はなく、私も経営陣から「うちのセキュリティは大丈夫か」と問われた際に、「絶対に大丈夫です」とは答えないようにしています。それはモバイルデバイスのセキュリティについても同様で、どのような対策を講じようともセキュリティリスクをゼロにすることはできません。ですから大切なのは、そのリスクをいかに最小化するかで、今後もそれに向けた努力を続けるつもりです。

── 本日は、貴重なお話をお聞かせいただき大変参考になりました。お越しいただき、本当にありがとうございました。

Aさん・Bさん:こちらこそ、ありがとうございました。

ギャラリーページへ

パナソニック法人向けパソコン
レッツノート・タフブックのラインナップはこちらから>>

 

TOUGHPADの企画記事はこちら

■『TOUGHPADを大林組に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/37670

■『TOUGHPADを野菜くらぶに使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/38695

■『TOUGHPADを大川原製作所に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/38901

■『TOUGHPADを水道機工に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/39565

■『TOUGHPADをエクセル航空に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/39847

■『TOUGHPADをジョイフル本田に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/40045

■『TOUGHPADを信玄食品に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/40292

■『TOUGHPADを埼玉水道サービス公社に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/41219

■『TOUGHPADを共栄セキュリティーサービスに使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/42316

■『TOUGHPADを日本梱包運輸倉庫に使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/43156

■『TOUGHPADをセンチュリーコートで使ってもらいました!』の企画記事はこちら
http://jbpress.ismedia.jp/articles/-/43340
 

TOUGHPADでビジネスの限界に挑む!シリーズ

■【第1弾・防滴編】誠意あるメールは滝に打たれながら送るべし!
http://jbpress.ismedia.jp/articles/-/42123

■【第2弾:防塵編】砂塵の中でも最高のプレゼンをすべし!
http://jbpress.ismedia.jp/articles/-/42384

■【第3弾:耐衝撃編】突然のテニスでも強力なスマッシュを打ち返すべし!
http://jbpress.ismedia.jp/articles/-/42725

TOUGHPADの開発Storyはこちら

■600グラムの壁を突き破れ!筋骨隆々・7型液晶タブレットの開発に挑んだ男たち
~「TOUGHPAD FZ-M1」が現場で強いのにはワケがある~
http://jbpress.ismedia.jp/articles/-/42574

 ■「司令塔がふたり」の異常事態を乗り越えた世界初4K入力対応タブレット開発の舞台裏~「TOUGHPAD 4K FZ-Y1CH」は放送現場の期待に応えて誕生した~
http://jbpress.ismedia.jp/articles/-/44370
  

■頑丈はそのままに、着脱自在で回転させても使いたい
そんな難題への挑戦が、常識を覆す頑丈ノートPCを生み出した
~デタッチャブル&コンバーチブルで軽くて薄い新型「TOUGHBOOK CF-20」誕生~
http://jbpress.ismedia.jp/articles/-/46263
 

 <PR>