元社員のルール違反により業務データが流出
2022年1月、某企業の元社員がフリーマーケットサイトに出品した私物HDDから、業務データの流出が明らかになりました。流出データには、ビジネス文書が約2,000件、個人情報も最大1,000件含まれていたと報告されています。
購入者からの通報でHDD内にデータが残っていたことが発覚。報告を受けた同社はHDDを回収し、購入者以外への情報漏洩がないことを確認しました。
では、なぜ私物HDDに業務データが保管されていたのでしょうか?
原因は、元社員が在籍中にPCリプレイス作業を行う際、ルールに反してオンラインストレージの私用アカウントを利用したこと。オンラインストレージはHDDと同期されていたため、業務データが保管され、元社員は出品時にデータを削除していたものの、購入者により復元が可能な状態でした。
社内ルールだけでは防げない「シャドーIT」
今回のような事故が起きないよう、多くの企業では、管理者が把握できていないデバイスやクラウドサービス、いわゆる「シャドーIT」の発生を防ぐために、私物HDDやクラウドストレージへのデータ保存を禁止するなど、ルールを制定していると思います。
しかし、クラウドサービスはビジネスシーンで活用が進み、私生活での利用も増えているため、社員は便利なツールについ手を伸ばしてしまう可能性があります。
社内ルールとして禁止事項を制定していても、シャドーITの発生は防げません。ALSIは、社員が意図せず不正を働いてしまうのを防ぐための技術的対策として、「クラウドストレージの利用制御」と「ファイル暗号化による保護」をご提案します。
データ流出を未然に防ぐ、クラウドストレージの私用アカウント利用制御
弊社のWebフィルタリング製品「InterSafe WebFilter」(オンプレミス型)や「InterSafe GatewayConnection」(クラウド型)により、業務PCでのDropboxやOneDriveなどのクラウドストレージ利用を制御することができます。さらに、アカウント単位でアクセス制御できるため、私用アカウントのログインは禁止し、業務用の会社契約アカウントのみアクセスを許可するといった運用が可能です。
データ流出発生に備える、ファイル単位の暗号化
「InterSafe FileProtection」はファイル単位で暗号化を行うソリューションです。ファイルを保存するタイミングで自動暗号化されるため、ユーザは意識することなくセキュアにファイルを保管できます。保管場所を問わずに暗号化状態を維持するため、今回のようなHDDごとファイルが流出した場合も、第三者がファイルの中身を見ることができないため、情報漏洩を防ぐことができます。