業務情報、フリマで流出 退職者がHDD売却 情報セキュリティのラックが謝罪
コメント
注目のコメント
リモートワークで自宅で業務用PCを使う機会が多いので、仕組みで止めるのは難しいですね。
USBデバイスへの書き込み制御はできても、ファイルサーバーには接続できるようになってることが多いので…
あらためてセキュリティとコンプライアンス意識の醸成が重要だと気付かされる
“HDDを流出させた元社員はラック在職中、業務用PCの入れ替え時にルールに反して業務情報を個人PCにバックアップ。データ消去が不完全なままフリマに出品していた。”仕組みでの打開策を考えると、個人情報は外部アクセス遮断で限定された人が限定された申請と方法でのみ可能にする(スマホ持ち込み禁止のセキュリティルームを作る)、業務データはHDDリスク対策として、ローカルにダウンロードさせないDaaSサービスの活用するなど、データのレイヤーとアクセス制御の仕組みでできるだけガバナンスをもたせた仕組みをすすめていくといった方法がありますね。
とはいえ、セキュリティルームは感染症による出勤停止措置に弱く、リモートワークを阻害する要因といった課題があり、DaaS活用はスクリーンショットやスマホの撮影は回避できないという課題があります。
そのため、この領域は利便性や漏洩時のリスク判定を鑑みた上で経営的な判断が必要かつ、社会情勢や技術革新でアップデートが常に求められてくる領域だと思います。
そう考えると、自社で要件を決めて設計から外注するITシステム構築の契約スタンスではなく、この手に詳しい会社と共創関係を結び、要件から運用まで共創しながら運用をアップデートしていく契約スタイルを適用するほうが効果的なのかもしれませんね。コロナもあってアクセスする端末や場所を選ばないクラウドサービス導入が増えているので、さらに気をつけたいところ。
端末認証やディスクレスPCなどゼロトラストの考え方に基づいた対策を何も取らなければ個人PCからのアクセスを許容してしまいがちで、同様のリスクを孕む
しかしそれ以上の問題は、こういうニュースに敏感に反応できるリスク感度の高い企業は既にそういう対策を実施しているし、リスク感度の低い企業はこういうニュース自体を見ていないし、見ても自分ごとにできない点