盗難されたノートパソコンがデータ漏洩につながるたびに、なぜ関係する企業が安全対策を講じていなかったのかと疑問に思うものです。例えば、オクラホマ大学の元医師から暗号化されていないノートパソコンが盗まれたときや、保険会社オレゴン・ヘルス・コープから1万5000人の加入者データが入ったノートパソコンが盗まれたときなどが挙げられます。
少なくとも、金銭が彼らの動機になるだろうと思われる。11月、EMCとハートフォード病院は、2012年に約9,000人のデータを含む暗号化されていないノートパソコンが盗難された事件で、コネチカット州に9万ドルの支払いを命じられた。このノートパソコンはEMCの従業員の自宅から盗まれたものだった。
この問題は医療業界だけにとどまりません。例えば、ニューヨークに拠点を置く身元調査サービス「SterlingBackCheck」から盗まれたノートパソコンには、10万人分のデータが入っていました。
こうしたタイプの侵害は、大規模なサイバー犯罪やハッキング事件ほど注目を集めることはありません。ノートパソコンの盗難被害に遭った従業員1,000人の方が、ターゲットの顧客4,000万人よりも規模が小さいからです。しかし、企業データベースへのハッキングよりもノートパソコンの盗難の方がはるかに容易です。そのため、ノートパソコンだけでなく、デスクトップパソコンやフラッシュドライブの盗難や紛失は、物理的なセキュリティ強化と従業員研修の必要性を浮き彫りにしています。
データベースをハッキングするよりもノートパソコンを盗む方が簡単
ここで言及した組織は賢明な判断を下しました。オクラホマ大学の広報担当者は、機密データの取り扱いに関して、暗号化プログラムと職員向けの新たな研修を開始したと述べています。
スターリングバックチェックは、暗号化と監査の手順を更新し、機器保管プロトコルを改訂し、従業員にプライバシーとデータセキュリティについて再教育し、ポータブルデバイスにリモートワイプソフトウェアをインストールしたと述べた。
Koldunova_Anna/iStock/Thinkstock デバイスにリモートワイプ、暗号化、またはその他の保護機能が備わっていない場合、ラップトップ泥棒が企業情報にアクセスする可能性があります。
データに対するもう一つの脅威は、BYOD(個人所有デバイスの持ち込み)ポリシーとモバイルワーカーの増加です。ガートナーは、2017年までに企業の半数がBYODポリシーの導入を何らかの形で必要とすると予測しています。従業員はオフィス内や外出先で、会社支給のデバイスだけでなく、個人所有のデバイスも使用するようになります。これにより、デバイスの紛失や盗難といった新たなリスクが生じます。
Sophosなどのセキュリティ企業は、企業に対し、業務用デバイスの取り扱いに関して、ディスク全体の暗号化、クラウドやリムーバブルメディアの暗号化など、堅牢なポリシーの導入を強く推奨しています。強力なパスワードの設定も強く推奨されますが、それだけでは十分ではありません。
より緊迫感を持つことも、決して悪いことではないだろう。オクラホマ州では、医師は個人用ノートパソコンが紛失する前に大学を退職していた。ノートパソコンに機密データが含まれていたかどうかは断言できなかったが、その可能性が浮上した時には既に手遅れだった。
別の事例では、製造会社トレムコ社で、従業員が会社支給のノートパソコンを飛行機内で紛失しました。従業員がノートパソコンに従業員の個人情報が入ったスプレッドシートが入っていることに気付くまで、数週間かかりました。
暗号化、リモートワイプ、より優れたデータ追跡
企業は、データがどのデバイスに保存されているかだけでなく、そのデバイスが物理的にどこに配置されているかを常に把握する必要があります。
これは、SterlingBackCheckが導入したリモートワイプツールの必要性を浮き彫りにしています。ノートパソコンが紛失または盗難された場合、企業は機密データを漏洩から守るために、リモートで簡単にデータを消去できる手段を持つべきです。
大規模なハッキング攻撃と同様に、データ侵害が発生した場合、真に被害を受けるのは消費者または患者です。クラウド上にあっても、バス内のノートパソコン上にあっても、企業はそのデータを責任を持って取り扱う責任を負います。
