情シス涙！パスワードの使い回し､メールの誤送信､デバイス紛失､“サイバー攻撃”まさかの原因は｢社員のうっかり｣連発

社内研修などでは、自社で実際に観測されたなりすましメールや最新フィッシング手口のサンプルを紹介し、具体的に注意すべきポイントを共有しておきましょう。

紛失したPCやUSBメモリから情報漏洩することも

会社から支給された端末より私物の端末のほうが効率的に作業できると考える人はたくさんいます。テレワークの普及に伴い、私物デバイスを業務で利用するBYOD（Bring Your Own Device）が急増していますが、セキュリティリスクも比例して高まっています。

BYODは自分の端末なので、休日も含め常に持ち歩くことになります。当然、うっかりなくしてしまう可能性は高まります。会社支給の端末であれば遠隔ロックやデータ削除が可能でも、私物端末では管理ツールの導入がプライバシー侵害と捉えられ、対策が不十分になりがちです。

ウイルス感染などによる情報漏洩のリスクもあります。私物の端末ではセキュリティソフトのアップデートが個人任せになりやすく、ウイルス対策が不十分になる傾向があります。ウイルスに感染した端末が社内ネットワークに接続されると、社内全体に感染が広がってしまうのです。

もちろん、端末そのものから情報漏洩することもあります。これは、USBメモリなどの記録媒体も同じです。情報セキュリティ白書によれば、情報漏洩事故の約15％がUSBメモリなどの可搬記録媒体の紛失・盗難に起因しています。

例えば2022年に話題となったのが、兵庫県尼崎市の事例です。市の業務委託先の社員がUSBメモリを紛失し、一時所在不明となりました。そのUSBメモリには市民約46万人分の個人情報が格納されており、大きな問題となったのです。幸い後日発見されたものの、関係各所に多大な不安と迷惑をかける事態となりました。

この手のインシデントは頻繁に起きており、国土交通省の幹部が飲食後に業務用タブレットを置き引きされる事件や、高速道路管理運営会社が個人情報の入ったUSBメモリを紛失した事例など、枚挙にいとまがありません。

対策としては、BYODをやめて会社支給端末でモバイルデバイス管理（MDM）を導入するのが確実です。BYODを認めるとしても、複雑なパスワードや生体認証によるロックを必須にする必要があります。端末の取り扱いや情報セキュリティに関する教育を定期的に実施し、従業員の意識向上を図ることも必要でしょう。