端末盗難が大規模漏えいに直結する理由と、委託先管理で見落としがちな対策

サイバー攻撃だけではない「情報資産を狙う手口」

近年の情報漏えいは、ランサムウェア等の侵入だけが原因ではありません。業務端末の盗難が、そのまま重大事故に発展する事例も増えています。

端末が持ち去られると、社内ネットワークを守っていても、保存データや認証情報がオフラインで解析される恐れがあります。物理被害が直ちに情報事故へ変わります。

特に公共分野や大企業では、委託先が運用・保守を担う場面が多く、物理アクセスを持つ外部要員が「内部者」に近いリスクになる点が重要です。

国内行政機関で発生した端末大量盗難と個人情報リスク

報道では、国内行政機関の庁舎で利用されていたPCが多数盗まれ、端末内に最大で約11万人分の個人情報が保存されていた可能性があるとされています。

端末紛失・盗難は、それ自体が事故ですが、保存データが暗号化されていない、または保護が弱い場合、盗難の時点で漏えいリスクが現実化します。

端末には住民関連の基本情報に加え、福祉・税・保険、連絡先、申請書類のスキャン等が含まれ得ます。なりすましや詐欺、標的型フィッシングにもつながります。

さらに委託先社員の関与が疑われ、転売目的とみられる点は、委託・再委託を含むサプライチェーン管理の盲点を示したといえます。

影響を抑えるために点検したい技術・運用・契約の要点

最優先はフルディスク暗号化です。暗号鍵が適切に保護され、起動時認証を伴う構成であれば、「盗まれたが読めない」状態に近づけられます。

次に、端末へ個人情報を残さない設計が重要です。業務データをサーバ側へ集約し、ローカル保存を抑止します。例外は期限・暗号化・自動消去を前提にします。

資産管理とMDMによる制御も欠かせません。台帳と実機情報の突合、一定期間オンラインにならない端末のアラート、リモートロックやワイプを運用に組み込みます。

内部不正の抑止にはログの一元化と監視が効きます。異常なログオンや大量操作、USB接続等を把握できるようにし、「監視されている」状態を制度として明確化します。

委託先統制は契約と運用をセットで具体化します。持ち出し禁止、保管方法、入退室、監査権、再委託の事前承認、違反時の報告義務を運用できる粒度で定義します。

まとめ

ネットワークベンダーとして、PSIでは、端末盗難を「防犯」ではなく情報セキュリティの基本要件として捉えることを推奨します。物理とサイバーは分離できません。

多層防御の観点で、端末暗号化、データのサーバ集約、資産管理の自動化、ログ可視化を組み合わせ、単一対策の破綻が全体破綻に直結しない設計が重要です。

加えてゼロトラストの考え方に沿い、委託先を含むアクセス権の最小化や職務分掌、監査による抑止を徹底することで、内部不正と過失の両面に備えられます。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp