1.PC持ち出し申請書の概要と導入目的について

日本ではサイバー犯罪のリスクが年々高まっており、中小企業や個人がねらわれるケースも出てきました。改正個人情報保護法が2017年に全面施行されたことを契機に、セキュリティ対策の必要性を認識し始めた企業も多いのではないでしょうか。ノートPCの社外持ち出しは機密情報や顧客情報流出のリスクを高めますがメリットも多く、全面的に禁止するのは現実的とは言えません。「持ち出さない」のではなく「どう持ち出すのか」が問われているのです。PC持ち出し申請書はコストをかけずに高い効果が期待できるセキュリティ対策です。社外に社内PCを持ち出す機会が多い企業では導入必須と言えるでしょう。まずは、PC持ち出し申請書の概要と導入目的について紹介します。

1-1.概要

PC持ち出し申請書とは、社員がノートPCなどの業務用機器を社外に持ち出すときに提出する書類のことです。管理責任者がその申請内容をチェックして許可した場合にのみ社外に持ち出せる仕組みです。総務省は「国民のための情報セキュリティサイト」で「社外持ち出し用以外の端末を原則持ち出し禁止にすること」や「持ち出す際には事前申請を義務づけること」を推奨しています。

そもそも、情報セキュリティは担当者だけで実現できるものではありません。守るべきものは企業の情報資産なのですから、企業のトップを含めた社員全員が高いセキュリティ意識を持つ必要があるのです。高度なセキュリティの構築には、技術やハード面の対策も不可欠ですが、組織としての仕組みづくりや社員教育も見逃せない課題と言えるでしょう。PC持ち出し申請書の導入においても、一人ひとりが当事者意識を持って取り組むことが求められているのです。

1-2.導入目的

PC持ち出し申請書の導入目的は大きく2つあります。1つは、情報漏えいを防止すること、もう1つが持ち出しの記録を残すことです。詳しく見ていきましょう。

1-2-1.情報漏えいの防止のため

社内PCを社外で利用することには多大なリスクが伴います。単純に紛失したり落としてこわしたりするおそれがあるだけでなく、機器の盗難や情報漏えいの被害に遭う機会を増大させるのです。機密情報や顧客情報が外部に流出すると企業の社会的信頼にも多大な影響を及ぼします。企業の存続がおびやかされるような事態にもなりかねません。

公の場所でPCを使って作業をしていると、画面を見られるだけで情報が漏れてしまう可能性も高いでしょう。セキュリティが脆弱な公衆Wi-Fiに接続するのは非常に危険な行為ですが、便利だからという理由で安易に利用している人も少なくありません。ウィルスを仕込んだUSBメモリをノートPCのポートに差し込むだけで感染させることも可能です。社外のネットワークに接続したときに悪質なサイトからウィルスを拾ったり、ウィルス付きのメールを開いたりすることでも情報が漏れるおそれがあります。PC持ち出し申請書の提出を義務づけることでセキュリティに対する社員の意識が高まり「自分自身の問題」としてとらえられるようになるでしょう。

世界的に有名なPCメーカーとして知られる日本HPは、身近なウィルス感染の事例を紹介する短い動画を公式サイトに掲載しています。コミカルで親しみやすい内容になっているので、一度視聴してみてはいかがでしょうか。社員一人ひとりが「自分が情報漏えいの原因になるかもしれない」と意識することは企業の情報セキュリティを高める第一歩となります。

1-2-2.機器の持ち出し情報の記録を残しておくため

サイバー攻撃とセキュリティ対策はまさに「いたちごっこ」の状態です。「セキュリティの脆弱性を突いたサイバー攻撃を受ける→脆弱性をカバーする→別の脆弱性が突かれる」のくり返しだからです。情報セキュリティにおいてサイバー攻撃を完全に防御するのは不可能だとすら考えられはじめています。

「サイバー攻撃を受ける可能性がある」という前提に立って「攻撃されたらどうするか」を考えて対策を講じておくことが求められているのです。PC持ち出し申請書を導入しておけば、インシデントが発生したときに「いつだれが社内PCを持ち出したのか」が即座に把握できるため、スピーディーにトラブルの原因を突き止めて対応策を打ち出せるようになります。

2.どのように作成する？PC持ち出し申請書に含めるべき主な項目

実際にPC持ち出し申請書を作成するためには、どんな情報がセキュリティ向上に役立つのかを知っておく必要があるでしょう。ここからは、PC持ち出し申請書に含めるべき主な項目について紹介します。

2-1.PCの持ち出しの理由・目的

日本で起こる情報漏えいの多くは社員の持ち出しによるものです。意外だと思った人も多いのではないでしょうか。残念ながら社員が企業のPCを悪用する可能性は決して低くないのです。

企業の機密情報や顧客情報には高い価値があり、大金を払ってでも欲しいと思う人間は少なくありません。過去にも社員による情報流出事件は多数起きていますが、情報を売却して見返りを得ていたケースがほとんどです。PC持ち出し申請書に持ち出しの理由や目的の項目を含めることで、PC持ち出しの妥当性を管理者が判断するのに役立ちます。不正な持ち出しに対する抑止効果も期待できるでしょう。

基本的に、モバイル機器には機密情報や個人情報を保存しないのが理想です。シンクライアントや仮想デスクトップを利用すると、ソフトウェアやデータをサーバー側で一元管理できるようになります。利用者が使う端末では最小限度の処理しかできないように制限できるので、企業にとって重要な情報資産が漏えいするリスクを減らせます。セキュリティを高めたいなら導入を検討してみるのもひとつの方法でしょう。

2-2.期間・使用場所

社内PCはほかの社員と共有して使用することも少なくありません。無断で持ち出されると業務に支障が出るおそれも出てきます。PC持ち出し申請書は機器の所在確認を取るためのものでもあるので「いつまで使用するのか」「どこで使うのか」という使用場所や期間の項目を含めておく必要があるでしょう。これによって、トラブルが起こったときにすみやかにPCを回収して原因を究明するのに役立ちます。

2-3.機種・PC名

企業で複数のPCを利用している場合、どの端末を持ち出したかを明確に把握しておく必要があります。同じ機種のPCを複数使っている企業も多いかもしれませんが、区別しやすくするために機種とPC名（デバイス名）の両方をPC持ち出し申請書に記載させるよう徹底しましょう。PC名とは、ネットワーク上で個々のパソコンを識別するために必要となる情報で、ユーザー自身で設定できます。インストール時に設定しないと自動でPC名が割り振られるのが基本ですが、変更することも可能です。ネットワーク上に同じ名称のPC名があると正常に接続できない場合があるため、複数のPCを利用している場合は体系的に管理する必要があるでしょう。

2-4.責任者記入欄

国際標準（ISO／IEC 27001）は、情報セキュリティについて3つの主要特性と4つの要素を定義しています。情報セキュリティにおける基本中の基本なので、知っている人も多いかもしれません。主要特性は、機密性（confidentiality）と完全性（integrity）、および可用性（availability）の3つの柱からなり、これに責任追跡性（accountability）などの要素を含めることも可能です。責任追跡性とは、インシデントが発生したときにその根本原因まで追跡できることを意味します。

つまり、社内PCの持ち出しをだれがいつ把握して許可したのかという情報も記録する必要があるのです。PC持ち出し申請書には必ず責任者記入欄を設けましょう。必要に応じて確認者の押印欄も追加しておくとベターです。

3.PC持ち出し申請書の導入においての2つ注意点とは？

PC持ち出し申請書の導入にあたっては、それをどのように運用していくかという点も重要なポイントのひとつです。申請用紙をただ作れば良いというわけではありません。ここからは、PC持ち出し申請書を運用するうえで知っておくべき2つの注意点について解説します。

3-1.提出された申請書はなくさないように管理を徹底する

PC持ち出し申請書の導入によって複数の効果が期待できますが、トラブルが起こったときこそ最も真価を発揮すると言えるでしょう。しかし、社員が提出した申請書そのものを紛失してしまうと、問題が発生したときに原因を調査するのが難しくなったり対処が遅れたりする可能性も高まります。そのため、PC持ち出し申請書は厳重に管理しなくてはならないのです。

PC持ち出し申請書を導入するときに情報セキュリティの体制についても併せて見直して、担当者間で管理方法を共有しておきましょう。「担当者が不在でPC持ち出し申請書の保管場所がわからない」というような事態になるのは避けなくてはなりません。

3-2.申請書提出時に改めて社員に注意喚起する

社員のセキュリティに対する意識を高めることは、PC持ち出し申請書を導入する目的のひとつです。PC持ち出し申請書の提出を社員に義務づけても、それが形だけのものになってしまっては意味がありません。情報セキュリティの問題は、一般人にはわかりにくい部分も多いため「担当者や担当部署に任せておけば良い」と考える管理職や社員も多いのではないでしょうか。しかし、一部の社員の努力だけで、社員全員が保有するすべてのモバイル端末から完全に情報が漏れないようにするのは事実上不可能です。社員一人ひとりが情報セキュリティを自分の問題として考える必要があるのです。

社員のセキュリティ意識を高めて制度の緊張感を持続するためには、PC持ち出し申請書を提出させるときに改めて注意喚起するのも役立ちます。また、責任の所在を明確にするために誓約書を書かせるのも効果的です。

4.社員に周知しておきたいPCを外出先に持ち出す時のルール

企業の情報セキュリティを考えるうえで、実際に社内PCの紛失や盗難、情報漏えいが起きてしまった事態を想定して対策を立てておくことは欠かせません。社内PCを外出先に持ち出す際に順守すべきルールには、トラブルを最小限にするための方法を盛り込む必要があります。ルールを策定したら社員への周知徹底を図りましょう。ここでは、PC持ち出しのルールを策定するうえで知っておきたいポイントについて解説します。

4-1.ソフトウェアは常に最新の状態にしておく

サイバー攻撃に対して、情報セキュリティは後手に回っているといわざるを得ません。システムに脆弱性が見つかったら、カバーする修正プログラム（セキュリティパッチ）を作ってユーザーに配布することで対応している状況です。セキュリティパッチがユーザーに届くまでには一定の時間がかかるので、その期間は無防備な状態になってしまいます。

パッチを当てずにシステムを使うのは、裸で戦場に行くようなもの。非常に危険です。企業は社内LANを守るために、ファイアーウォールと呼ばれる防御システムをインターネットの入り口に設置するのが一般的ですが、それがあれば完全に安全だというわけではありません。社外に持ち出すかどうかにかかわらず、インターネットにつなげるPCのソフトウェアは常に最新の状態にしておきましょう。特にセキュリティソフトは、新たなウィルスや不正行為が見つかるとそれに対応する機能が追加される仕組みになっているので、自動的にアップデートする設定にしておくのがおすすめです。

一般のPCユーザーが自分のPCから情報が漏れるのをソフトウェアによって防ぐことには限界があります。そんな時代にあって、セキュリティ意識の高いユーザーの関心を集めているのが日本HPです。これまでも、日本HPのPCはセキュリティの高さに定評がありました。しかし、PCの基本ソフトウェアであるOSの影響を受けないセキュリティチップを搭載することで、ハードウェアレベルでの高いセキュリティを実現したのです。

日本HPのPCならwebの閲覧でウィルスに感染しても、ブラウザを閉じるだけで被害をなかったことにできます。セキュリティソフトが止まってしまうサイバー攻撃を受けたとしても自動的に復旧します。生体認証と時間制限を使ったデバイス管理や、ビジュアルハッキング（画面ののぞき見）を防ぐためのディスプレイなど、ハードウェア技術に根ざしたセキュリティ機能が満載です。

日本企業では総務部などがPCの選定や購入を担当することも多いかもしれません。しかし、セキュリティの知識を持った人や企業のトップがPCの購入にかかわる必要性が高まっています。セキュリティ担当者になった人は、日本HPの公式サイトを一度チェックしておくと良いでしょう。

4-2.ログインパスワードを設定しておく

盗難や紛失によってPCが悪意のある第三者に渡ってしまった場合に役立つのがログインパスワードです。ログインパスワードとは、玄関につけるカギのようなもの。PCのOSにログインするときに必要になります。ログインパスワードがわからなければ通常はPCにログインできません。ただし、パスワードを忘れないようにメモなどに記録してPCに貼り付けている人もいるので注意喚起が必要です。誕生日や名前などといった推測されやすいパスワードを使用するのも避けましょう。「123456」といった数字だけのパスワードや、キーボードを順番に押してできる「zxcvbn」などのパスワードも危険です。

4-3.データは暗号化しておく

悪意のある第三者に社内PCを盗まれたとしてもハードディスクを暗号化しておけば内容を読み取られるリスクを大幅に減らせるでしょう。ハードディスクを暗号化する方法は主に2通りあります。1つは市販の専用ソフトウェアを購入する方法で、もう1つがWindows の暗号化機能「BitLocker」を使うやり方です。ただし、「BitLocker」はWindows OSのすべてのエディションで使えるわけではありません。Windows 10 ならPro以上のエディションにのみ搭載されています。

暗号化の機能や専用ソフトウェアを使えば、USBメモリや外付けハードディスクの暗号化やファイル単位での暗号化も可能です。ファイルが暗号化されていても、OSにログインすれば通常通りPCを使えます。ただし、暗号化で使うパスワードやキーは厳重に管理する必要があるでしょう。また、データを暗号化していても絶対に解読されないというわけではありません。パスワードをできるだけ長くしておくと、解読に時間がかかるためより安全です。

4-4.必要のない情報は格納しないようにする

社外に持ち出す機器には、できるだけデータを保存せずサーバーで一元管理するのが理想ですが、たとえ情報を格納する必要がある場合でも最低限度の範囲にとどめなくてはなりません。業務の遂行に必要ない情報まで格納していると、流出が起きたときに被害が拡大する可能性が高まります。最低でも社外に持ち出し可能な機器とそうでない機器を分けておくのが望ましいでしょう。USBメモリなどの外部記録媒体は紛失防止のため基本的に持ち出し禁止にすべきです。USBメモリの使用自体を禁止する企業もあります。USBメモリをノートPCのポートに差し込まれると簡単にウィルス感染するおそれがあるので、USBポートをロックすることも検討しましょう。

ただし、PCにデータが入っていなければセキュリティが低くても良いというわけではありません。2012年にはPCを乗っ取られて遠隔操作され、意図せず犯罪に加担した4人が誤認逮捕された事件が起きています。脆弱なセキュリティのPCが犯罪の踏み台にされるケースは増加しています。ネットワークにつながる機器すべてのセキュリティを高めておく必要があるのです。

5.社員にPC持ち出し申請書の提出を義務づけよう！

PC持ち出し申請書は比較的低コストで始められる仕組みでありながら、大きな効果を期待できるセキュリティ対策です。改正個人情報保護法の施行とともに、個人情報の取り扱いに対する社会の関心が高まっています。社内PCの社外持ち出しにあたっては、申請書の提出を義務づけるとともに、社員に対してルールや注意点を周知徹底する必要があるでしょう。企業の情報資産と社会的信用を守るために、PC持ち出し申請書の導入を検討してみてはいかがでしょうか。

【IT管理者必見！】セキュリティソリューションガイド