Reg Tech Panel一般的なビジネスパーソンに、コンピュータシステムに保存されているデータのセキュリティ責任者は誰かと尋ねると、おそらくIT部門を挙げるでしょう。結局のところ、パスワード、鍵、ファイアウォール、コンピュータルームのドアの鍵など、システムに関する認識は、深く考えることなく身につけたものばかりです。
まあ、これは一部のビジネスマンにとっては迷惑な話かもしれませんが、侵害が発生すると、IT 部門の電話が鳴り始めるまでにそれほど時間はかかりません。
同時に、IT担当者、特にサポート担当者は、一部のユーザーの無責任さに驚かされることが尽きません。この記事を読んでいる皆さんは、無責任な、あるいは軽率なユーザー行動がもたらすリスクについて学ぶ必要はありませんが、ノートパソコンの使用に関しては、以下に挙げた一般的なリスクを念頭に置く必要があります。
- 車内、喫茶店、その他の公共の場所に機器を放置し、人目につく場所に放置して盗難に遭う危険性があります。
- 飛行機や電車などで座っているときに、近くにいる人が読めるように機密情報を画面に表示します。
- ローカルに保存されたユーザー名とパスワードを使って、システムやウェブサイトに自動的にログインするように設定されています。マシンに侵入すれば、他のすべてにもアクセスできるようになります。
- 他の人に自分のノートパソコンを「借りて」、数分間オンラインにしてメールをチェックさせる。
- 子供にパソコンで遊ばせたり、怪しいソースから怪しいソフトウェアをロードさせたり、インターネット上の怪しいサイトにアクセスさせたりします。
- 疑わしいソースから疑わしいソフトウェアをロードし、インターネット上の怪しいサイトにアクセスします。
- IT 部門が実装したセキュリティ対策は不便で、処理速度を低下させるため、無効にしたり回避したりします。
- 所有者や他のユーザーがいるかどうかを考慮せずに、利用可能なあらゆるワイヤレス ネットワークに接続します。
これらは単なる例であり、他にも考えられる例があると思います。
これまで触れていない明白なリスクの一つは、USBメモリなどのリムーバブルメディアを介して情報を簡単にコピー・交換できることがもたらす、まさに地雷原です。ノートパソコンを使用するモバイルユーザーは、特にこの点でリスクにさらされやすいです。なぜなら、彼らは通常、情報を共有したいと考える可能性のある外部の人と日常的にやり取りするからです。機密データが悪意のある人物の手に渡るリスクに加え、ユーザーが自分のマシンに接続した他人のデバイスからマルウェアに感染するリスクも常に存在します。
現実には、モバイルセキュリティにおいて最も脆弱なのはテクノロジーではなく、ユーザーです。では、どうすれば良いのでしょうか?
そうですね、もしまだポリシー、手順、ガイドラインが存在しないのであれば、まずはそれらを整備することから始めるのが当然です。しかし、少し前にモバイルワーク全般に関して実施された規制調査(pdf)によると、それだけでは十分ではないことが示唆されています。
受け取ったフィードバックから、ユーザーへの積極的なトレーニングと、セキュリティに関する彼らの姿勢や意識との間に強い相関関係があることが示されました。特に、正式な教室でのトレーニングを実施した組織は、従業員への信頼度がはるかに高いことが顕著でした。
こうした点を踏まえ、ノートパソコンのセキュリティに関する「人的要因」への対処について、皆様のご経験をお聞かせいただければ幸いです。賢明とは言えない行動の例、最もリスクの高いリスク要因に関する見解、そして特に、実際に試したり実装したりして効果があったりしなかったりした事例など、ぜひお聞かせください。
この問題の責任の所在について、IT部門、人事部門、経営管理者、あるいはユーザーなど、何かご意見がありましたら、ぜひご意見をお聞かせください。ぜひ下のコメント欄でご意見をお聞かせください。®
