1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. セキュリティ道場 第五回

FUJITSU PC Security Lab.

富士通がお勧めする Windows.
セキュリティ道場 監修 萩原 栄幸氏

 普段、常識だと思っているセキュリティ対策は本当に正しいのじゃろうか?セキュリティ道場の弟子となって師匠から出される問いかけに答えてみるのじゃ。また企業の情報セキュリティ実態に詳しい、日本セキュリティ・マネジメント学会の常任理事 萩原 栄幸氏が、解説してくれるので、そちらも必見じゃ。

第五回 まさか!?退職者の○○の巻

萩原 栄幸氏の解説

 企業からの情報漏えいのケースにはいくつかのパターンがあります。その中の1つがこの「退職者による情報漏えい」です。
 諸外国では、退職者による情報漏えい対策として、退職が確定した段階から正規のアクセス権をはく奪する企業すらあるのですが、現状の日本の企業ではまだそのような対策はほとんど行われていません。それどころか、コンサルタント先での調査では、退職後1週間経過しても、またさらに1カ月経過しても、退職者用のIDとパスワードがそのまま利用できていた企業もあったのです。これでは内部犯罪を推奨しているようなもので、たとえば退職しようとしている社員が金銭目的で悪用しようとするなら、データを盗むチャンスはいくらでもあるというわけです。
 30年程前から内部犯罪調査を行ってきたなかで、個人情報漏えい事件の流出データ数を「外部者」「内部者」「不明」に分類して分析した結果、実は外部よりも内部犯罪の方が圧倒的に多いということがわかっています。(※1)
 さらに、「セキュリティに関して、深刻な脅威と感じていることは何か」の質問について、国内企業から最も多かった回答は、「内部者による妨害やデータ盗難(39.8%)」と「従業員の過失(39.8%)」で、外部からの脅威である「ウイルス/ワーム(31.0%)」や「スパイウエア(25.2%)」、「スパム(23.6%)」を上回っているのです。(※2)

 これらを踏まえると、企業はせめて退職者の動向はログで管理し、退職日当日には速やかにそのIDを抹消すべきです。
 最近では退職者のパソコンにフォレンジック調査(※3)を行い、持ち出された機密データの有無についてチェックしている企業すらあるのです。たとえば米国では、2008年に会社を辞めたり、解雇された従業員1000人を対象にこの調査を実施した結果、回答者の59%が顧客リストなどの社外秘情報を持ち出したことを認めました。(※4)
 これからは、以下のポイントを踏まえ、退職者による情報漏えいを起こさないよう、企業として確かな対策を講じることが重要です。
【退職者による情報漏えい対策のポイント】
1:職位が高い退職者ほど企業にダメージを与える重要な情報にアクセス・コピーする傾向にある。
2:退職届が提出されてからの休日出勤は、セキュリティ担当者の同伴がないと認めないなどのルールを構築する。
3:退職日当日定時以降には、退職者IDが無効となる設定にする。
4:退職者全員にフォレンジックの実施を報知する。(報知のみで漏えいがほぼ無くなったという企業もある)
5:セキュリティ・ポリシー上では「退職予定者」は内部の人間だが「条件付」であり、たとえ役員でも(役員だからこそ)その動向には十分に注意すること。
6:調査の結果如何では支払済の「退職金」の返還を求めることも想定し、退職時誓約書の内容を再検討することも重要。
【参照】
(※1)
参照元:ITmedia掲載記事
http://www.itmedia.co.jp/enterprise/articles/0502/17/news001.html
(※2)
参照元:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20071030/285925/
(※3)
「デジタル鑑識」といい、パソコンの操作内容を徹底的に調べて隠しても無駄な程トレースを行うこと。専用の機器を使用する。
(※4)
参照元:ITmedia掲載記事
http://www.itmedia.co.jp/enterprise/articles/0902/24/news028.html
 
第一回 あやしい添付ファイルの巻
第二回 忍術!?USBの消せぬ○○の巻
第三回 無料Wi-Fiの危険な落とし穴の巻
第四回 油断大敵、パスワード運用の巻
第六回 見えない○○がトラブルを生む!?の巻
第七回 非公開と思っていたはずのSNSがトラブルを生む!?の巻

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。