PC持ち出しは避けられない！持ち出しPCのセキュリティリスクと注意すべき5つのポイント

20年以上PCの開発設計から製造、運用や保守・保証サポートまでのすべてを行なっているVAIO株式会社が「端末持ち出し」に潜むセキュリティリスク、その対策ポイントについてわかりやすく解説します。

「PC社外持ち出し」によるセキュリティリスクとは

これまでは、PCの社外持ち出しは厳しく制限、またはルールを運用してきた企業が多いと思います。ところが、テレワーク・ハイブリッドワークの広がりにより、この制限について緩和せざるを得なくなった企業も多くありました。デスクトップPCをタクシーで自宅に持ち帰る。そんなSNSへの投稿が話題になったのも記憶に新しいところです。IPA行ったアンケートでは、コロナウイルス感染症の拡大に伴い、会社支給PCの持ち出しに関し、一時的な特例・例外を行った組織は、33.5%に上ります。

当然、これまで企業内で利用されていたPCを持ち出さず、VDIやリモートデスクトップを使うことで、セキュリティリスクを部分的に低下させることは可能です。しかし、導入・運用コスト面などのデメリットも多く、ユーザー体験の部分でもFAT端末には及ばないのが実情で、多くの企業では社内で利用していた端末を持ち帰り自宅で利用する運用をおこなっているようです。

ですが、PCを社外に持ち出すには、十分なセキュリティ対策を併せて行うことが重要です。

企業内ネットワークではPCの安全を守る仕組みが構成されていた

端末をウイルスなどの脅威から保護するために、アンチウイルスソフトウェアを導入している企業は多いでしょう。しかし、PCの安全を守るのはアンチウイルスソフトだけではありません。

端末ポリシーを制御するディレクトリサービス、端末のソフトウェアを最新状態に保つ資産管理ソフトやアップデートサービス、他にも、どの端末がどのようなサイトにアクセスしたのかを記録し、危険なサイトや業務に無関係なサイトアクセスをブロックするUTMなど様々な仕組みが、企業内で働きネットワークや端末を保護しています。言い換えると、企業内ネットワークに接続されて利用しているPCは、ユーザーが意識しなくても、様々な仕組みによって守られる構成になっている。この点が大きな安心につながっていました。

しかし、ひとたびPCが外部に持ち出されると、セキュリティ面で安心をもたらしていたさまざまな保護システムから外れてしまい、持ち出されたPCのリスクは一気に高まります。

（社外に持ち出されたPCのリスクについては、ブログ「ハイブリッドワーク導入を進める際に注意すべき3つのポイント」でも詳しく説明しています。）

また、社外でインターネットを利用する場合、UTMを使った危険なサイトへのアクセスをブロックする機能も働きません。当然ながらインターネット上には非常に多くの危険があるわけですから、PCを社内ネットワーク以外に接続する際には十分な注意と対策が必要です。

不正アクセスの増加と攻撃手段の多様化

インターネットにPCをつなぐ危険性について、少し見てみましょう。警察庁は、インターネット上にセンサーと呼ばれる装置を配置し、攻撃者が攻撃対象を探索する場合などに利用する無差別に送信される通信パケットを観測することで脅威の状況を調査し、その結果を公開をしています。

この調査によると、センサーが検知する件数は年々右肩上がりに増加しており、令和３年では一日に7000件を超える場所からリスクのあるアクセスを検出しています。PCをインターネットにつなぐことは、このような脅威が侵入を試みる対象になり得るということになります。このような脅威に対する防御としてファイアウォールによる侵入防止や、脆弱性を利用された侵入などのリスクにさらされないために、PCを最新にするなどの十分な対策を行うことが重要になります。

また、ランサムウェアに代表される標的型攻撃は、メール添付による侵入手法に加え、昨今は、機器の脆弱性を用いた攻撃、Webサイトへアクセスさせウイルスを流し込むなど、侵入手法が多様化しています。

こういった被害を防止するには、怪しいメールは開かない、メール内のリンクはクリックしないという従業員の教育的対策に加え、装置や端末の脆弱性対策を迅速かつ確実に行える体制、不審なメールの自動チェックツールの導入、危険なサイトへのアクセスをブロックする仕組みの導入などの対策が重要です。

新たな脆弱性への理解と対策

既存対策の見直しが必要

実は前述した対策は、PCが社内にあれば、ユーザーが意識することなく境界型防御の仕組みが実現してくれています。境界型防御の中にあるPCでは、ふるまい検知や、UTMによる怪しいメールの削除、危険なサイトアクセスのブロックなどの対策が働きましたが、PCが外部に持ち出された場合、これまでの対策では、脅威に対して十分な対策がとれていない状況になってしまいます。

そのため、端末を持ち出した場合に新たに想定される脆弱性をきちんと理解し、現状の対策でどこまでカバーができているか、脅威に対して十分な対策ができているかなどを把握し、追加対策の実施や既存対策の見直しを検討することが重要になります。

また、端末を社外に持ち出すことにより様々な危険にさらされるのは、ウイルスやランサムウェアといった第三者による脅威だけではありません。利用者の不注意や悪意による事故も起きやすくなります。例えば、電車の中にPCを入れたバッグを置き忘れてしまう（紛失）、車上荒らしにあいPCが盗まれてしまう（盗難）、カフェなどで目を離した隙にPCの画面を盗み見されてしまう（のぞき見）といった危険もあります。また、自宅のプリンターで機密文書を印刷する、自宅内ネットワークを介し外部機器に企業情報を保存する――など、ユーザーの不注意やルール違反による情報漏洩も起きています。

特に盗難や紛失に対するリスクは、みなさん懸念するものの、ルールや教育のみで対策している企業が多く見受けられます。認定個人情報保護団体である一般財団法人日本情報経済社会推進協会（JIPDEC）が2022年10月に公表した（2021年度）『個人情報の取扱いにおける事故報告集計結果』によると、2021年における情報漏洩事故に占める紛失の割合は12.5%となっており、紛失を原因とした情報漏洩は決してレアケースではありません。ここにも、ルールや教育だけではなく仕組みによる防御を考えることは重要です。

このように、PCが社内で利用されていた環境とは異なり、様々な場所でPCが利用されるようになったテレワーク・ハイブリッドワーク時代は、これまでに想定しなかった、または、これまでは起こりえなかった新たなリスクが発生します。

ハイブリッドワークを推進するには、想定される新たなリスク要因や脆弱性を調査し、対策をとっていくことが求められています。機器の脆弱性やポリシーコントロールを確実に行う、インターネットからの様々な脅威を防止する、端末紛失・盗難への対策、情報持ち出し制限の実現――などの仕組みを、PCがどのような場所で利用されても、対応ができるセキュリティシステムを作ることで、社外でも安心して働くことが可能になります。

PCを持ち出す際に注意すべき5つのポイント

VAIOがおすすめする端末セキュリティ

VAIOは、モバイルPCを長年開発設計してきたノウハウを生かし、様々な端末セキュリティソリューションを提供しています。PCを持ち出すことにより高まる様々なリスクと、テレワークに最適なデバイスの条件についてより具体的にお知りになりたい方は、こちらのホワイトペーパー「IT担当者の苦悩-超高速化させるVPNとデバイスの条件」もご覧ください

それぞれのサービスの詳細は、こちらをご覧ください。