ALSI (アルシー)

アルシー セキュリティブログ

中古HDDに企業の業務データが!?思わぬ情報漏洩を防ぐ2つの対策

元社員のルール違反により業務データが流出

2022年1月、某企業の元社員がフリーマーケットサイトに出品した私物HDDから、業務データの流出が明らかになりました。流出データには、ビジネス文書が約2,000件、個人情報も最大1,000件含まれていたと報告されています。

購入者からの通報でHDD内にデータが残っていたことが発覚。報告を受けた同社はHDDを回収し、購入者以外への情報漏洩がないことを確認しました。

では、なぜ私物HDDに業務データが保管されていたのでしょうか?

原因は、元社員が在籍中にPCリプレイス作業を行う際、ルールに反してオンラインストレージの私用アカウントを利用したこと。オンラインストレージはHDDと同期されていたため、業務データが保管され、元社員は出品時にデータを削除していたものの、購入者により復元が可能な状態でした。

社内ルールだけでは防げない「シャドーIT」

今回のような事故が起きないよう、多くの企業では、管理者が把握できていないデバイスやクラウドサービス、いわゆる「シャドーIT」の発生を防ぐために、私物HDDやクラウドストレージへのデータ保存を禁止するなど、ルールを制定していると思います。

しかし、クラウドサービスはビジネスシーンで活用が進み、私生活での利用も増えているため、社員は便利なツールについ手を伸ばしてしまう可能性があります。

社内ルールとして禁止事項を制定していても、シャドーITの発生は防げません。ALSIは、社員が意図せず不正を働いてしまうのを防ぐための技術的対策として、「クラウドストレージの利用制御」と「ファイル暗号化による保護」をご提案します。

データ流出を未然に防ぐ、クラウドストレージの私用アカウント利用制御

弊社のWebフィルタリング製品「InterSafe WebFilter」(オンプレミス型)や「InterSafe GatewayConnection」(クラウド型)により、業務PCでのDropboxやOneDriveなどのクラウドストレージ利用を制御することができます。さらに、アカウント単位でアクセス制御できるため、私用アカウントのログインは禁止し、業務用の会社契約アカウントのみアクセスを許可するといった運用が可能です。

データ流出発生に備える、ファイル単位の暗号化

InterSafe FileProtection」はファイル単位で暗号化を行うソリューションです。ファイルを保存するタイミングで自動暗号化されるため、ユーザは意識することなくセキュアにファイルを保管できます。保管場所を問わずに暗号化状態を維持するため、今回のようなHDDごとファイルが流出した場合も、第三者がファイルの中身を見ることができないため、情報漏洩を防ぐことができます。

意図しない「シャドーIT」の発生を防ぐために

今回の事故では、HDD購入者や取引先企業に対し適切かつ迅速な対応をおこなったため、情報漏洩被害が拡大する事態にはなりませんでしたが、自分の企業がいつ同様の事態になってもおかしくはない、と考えたほうが良いでしょう。

社員任せのルール設定だけではなく、セキュリティ製品を上手に活用して、会社の情報を守る体制整備を検討しましょう。

contact.png

おすすめ記事

最新記事

市場動向

「情報セキュリティ10大脅威2022」から見る重視すべきセキュリティ

ウイルス対策シャドーIT対策ファイル暗号化フィルタリングログ管理内部不正対策市場動向情報漏洩対策

「情報セキュリティ10大脅威2022」から見る重視すべきセキュリティ
シャドーIT対策

中古HDDに企業の業務データが!?思わぬ情報漏洩を防ぐ2つの対策

シャドーIT対策ファイル暗号化フィルタリング内部不正対策情報漏洩対策

中古HDDに企業の業務データが!?思わぬ情報漏洩を防ぐ2つの対策
ウイルス対策

再び迫るEmotetの脅威!会社を守る対策とは

ウイルス対策エンドポイントセキュリティ情報漏洩対策

再び迫るEmotetの脅威!会社を守る対策とは