- 締切済み
大手企業でUSB等の情報漏洩対策は?
当社は大手企業に多数のIT技術者を派遣しているのですが、現在急ピッチで 具体的な個人情報保護対策案を策定しています。そこで問題になっているのが 当社所有のノートPCを持ち込んでいる社員におけるUSB等のリムーバブルメディアと ライティングソフトの扱いです。私としては原則使用禁止にしたいと思っているのですが、 派遣従事社員が「現場の正社員ですら暗号化等を義務付けている程度で使用制限は無い」 と抵抗しています。しかしそれでは内部の人間がUSBメモリ等で簡単に個人情報を 持ち出せるので実際は監視システム等が動いているんでないの?と疑ってしまいます。 ちなみにその大手とはNECと富士通の地方支店です。 このような会社が監視システム等を稼動させること無くUSBメモリ等の使用を 許可しているなんてことがあり得るのでしょうか? もちろん派遣先の状況に惑わされることなく策定するべきなのでしょうが どうも俄かには信じ難いので、実態をご存知のかたがいらっしゃれば、と思いました。
- kenken_pa
- お礼率53% (90/169)
- その他(ITシステム運用・管理)
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- qaz_qwerty_me
- ベストアンサー率19% (214/1115)
ちょっと違う視点からですが・・・ システム管理の現場から離れて2~3年経つので、最近の個人情報等管理については不明ですが、どんな事をしても所詮は人が考えてシステムを作るので、当然抜け道は存在するという観点から検討するのがベストだと思います。 実名を挙げて申し訳ないですが、報道されたところによればYahooBBの情報漏れの最大の原因は、退社したシステム管理者の ID/Pass をかなり長期間放置していたため、退社した人間がその ID/Pass を利用して情報を盗んだという事らしいです。 そうなると同じ事をしても、勤めている間は正規の仕事、退社後は情報漏洩となるので、どんなシステムを構築しようが意味ないのではないでしょうか? つまり究極のセキュリティーは、人のモラルと、情報に携わる人を必要最小限にするか、業務遂行に必要な最低限の情報だけで仕事をするという事になると思います。 情報を分割するとうい手法は、先進的?な市町村では、個人情報の入力業務で、個人情報を分割して入力させ、分割した情報が仮に漏れても、漏れた情報だけでは個人を特定できないため意味のない情報になるらしいです。 以前、私が某社でシステム管理をしていた時は、システム障害で私が対応に苦慮している中、目を輝かせてシステムが障害で使えないから『本日の残業は中止! 合コンだぁ~』と喜んで帰る人を見掛けて本当にシステムを壊そうと思う事がありましたし、それはボタン1個、コマンド1個で簡単に実行できる環境で、つい最近まで上級のシステム管理者なら、同じような環境だったと思います。 現在は、このような環境ではなく、複数の人に分散されている環境になっていると思いたいですね ^ ^;
- tm_tm
- ベストアンサー率31% (169/537)
実際問題HDD付きのPCを許可してる(サーバー側で集中保存してない)以上はリムーバブルメディアを制限しても大したセキュリティーは確保できません。 監視システムとは何を指してるのか分かりませんがコピーが禁止されて無くまたその行為が必要ならかまわないわけです。 派遣先の方針に従っていれば先ずは良いのではないでしょうか? 派遣社員は内部の人間に相当しますから最後の砦はその個人の順法意識です。 日立のようにネットワークターミナルへの入れ替えを決めるところまで徹底した会社は初めて位ですよ。 安全は費用、効果と利便性を考えて決めるべきで、これらの会社では今の状態で良いと判断してるワケです、完璧とは思ってないでしょうけど。 徹底した対策をするのは漏洩事故が起こった会社くらいです。 従業員の意識を高めるのも大切なことですし、機械的な安全策だけじゃないです。 投資できるなら金を惜しまない方法がとられるとは思いますが大手でも監視ソフトは一般には入れてません、知る限りはですが、DBやネットへのアクセスログは普通に記録されますが。 開発ならプロジェクト終了時にPCを真っ新にされることがあります。 個人情報保護対策案は自社のためにやり、派遣では相手の方針を順守するのが常道と思います。 ただあなたの意識は評価されるべきと思います。 メタフレームはCitrixだったかな~?
お礼
回答ありがとうございます。 大手でもUSBデバイスの制限をしているのは稀なのですね。 漏洩する立場で考えると、最もお手軽な方法なので正直驚きです。 ちなみに監視システムは例えばCWATのようなものを想定しています。
そういうことではなく。 持ち出せてしまうから「派遣会社」に対して「誓約書を書かせる」といったことを要求しています。 「日立」はいち早く、DISKレスパソコンの導入を急いでいます。 ある会社はメタフレームを使い、「USB」「印刷」「DISKへの書き込み」などを、できなくさせています。
お礼
回答ありがとうございます。私の説明が悪くて恐縮なのですが NEC・富士通あたりが、派遣社員でなく自社社員に対して、 USBメモリ使用に制限を設けず監視もしていないことが果たして あり得るものか、実態を知りたいというのが私の希望です。
お礼
アドバイスありがとうございます。 どんなシステムを構築しても意味がない、ということは無いと思います。 ID/Passにしても、一人1個を割り当てて常にログインや操作履歴を残しておけば 内部犯行を目論む人間には相当のプレッシャーとなったはずです。 USBメディアにしても使用すれば痕跡が残りますので、それを周知すれば 不正に使う人は減るはずです。もちろん完璧な対策が無理なのは当然ですが そうやってリスクの高いところから対策を進めていくべきではないでしょうか。