ALSI (アルシー)

アルシー セキュリティブログ

中古HDDに企業の業務データが!?思わぬ情報漏洩を防ぐ2つの対策

元社員のルール違反により業務データが流出

2022年1月、某企業の元社員がフリーマーケットサイトに出品した私物HDDから、業務データの流出が明らかになりました。流出データには、ビジネス文書が約2,000件、個人情報も最大1,000件含まれていたと報告されています。

購入者からの通報でHDD内にデータが残っていたことが発覚。報告を受けた同社はHDDを回収し、購入者以外への情報漏洩がないことを確認しました。

では、なぜ私物HDDに業務データが保管されていたのでしょうか?

原因は、元社員が在籍中にPCリプレイス作業を行う際、ルールに反してオンラインストレージの私用アカウントを利用したこと。オンラインストレージはHDDと同期されていたため、業務データが保管され、元社員は出品時にデータを削除していたものの、購入者により復元が可能な状態でした。

社内ルールだけでは防げない「シャドーIT」

今回のような事故が起きないよう、多くの企業では、管理者が把握できていないデバイスやクラウドサービス、いわゆる「シャドーIT」の発生を防ぐために、私物HDDやクラウドストレージへのデータ保存を禁止するなど、ルールを制定していると思います。

しかし、クラウドサービスはビジネスシーンで活用が進み、私生活での利用も増えているため、社員は便利なツールについ手を伸ばしてしまう可能性があります。

社内ルールとして禁止事項を制定していても、シャドーITの発生は防げません。ALSIは、社員が意図せず不正を働いてしまうのを防ぐための技術的対策として、「クラウドストレージの利用制御」と「ファイル暗号化による保護」をご提案します。

データ流出を未然に防ぐ、クラウドストレージの私用アカウント利用制御

弊社のWebフィルタリング製品「InterSafe WebFilter」(オンプレミス型)や「InterSafe GatewayConnection」(クラウド型)により、業務PCでのDropboxやOneDriveなどのクラウドストレージ利用を制御することができます。さらに、アカウント単位でアクセス制御できるため、私用アカウントのログインは禁止し、業務用の会社契約アカウントのみアクセスを許可するといった運用が可能です。

データ流出発生に備える、ファイル単位の暗号化

InterSafe FileProtection」はファイル単位で暗号化を行うソリューションです。ファイルを保存するタイミングで自動暗号化されるため、ユーザは意識することなくセキュアにファイルを保管できます。保管場所を問わずに暗号化状態を維持するため、今回のようなHDDごとファイルが流出した場合も、第三者がファイルの中身を見ることができないため、情報漏洩を防ぐことができます。

意図しない「シャドーIT」の発生を防ぐために

今回の事故では、HDD購入者や取引先企業に対し適切かつ迅速な対応をおこなったため、情報漏洩被害が拡大する事態にはなりませんでしたが、自分の企業がいつ同様の事態になってもおかしくはない、と考えたほうが良いでしょう。

社員任せのルール設定だけではなく、セキュリティ製品を上手に活用して、会社の情報を守る体制整備を検討しましょう。

contact.png

おすすめ記事

最新記事

GIGAスクール

早期発見・対応により増え続けるいじめを防ぎ、 子どもたちの学校生活を守るために

GIGAスクールログ管理教育機関向け

早期発見・対応により増え続けるいじめを防ぎ、 子どもたちの学校生活を守るために
自治体

ガバメントクラウドとは?セキュリティ要件や課題、対策方法を解説

クラウドセキュリティファイル暗号化情報漏洩対策自治体

ガバメントクラウドとは?セキュリティ要件や課題、対策方法を解説
個人情報漏洩対策

個人情報漏洩事件から考察する内部犯行の手口とその対策

ランサムウェア対策ログ管理個人情報漏洩対策内部不正対策情報漏洩対策

個人情報漏洩事件から考察する内部犯行の手口とその対策