BBCの”実績”を見ると、テレワークの比率が高くなったオフィス内からの”機器盗難”が懸念されます。
www.infosecurity-magazine.com
英国の公共放送局の敷地から2年間で合計35台の携帯電話が盗まれました。2019年に19台、2020年に16台です。さらに、この期間に17台のラップトップとMacBookが盗まれました。2019年に11台、2020年に6台です。昨年、2台のタブレットコンピュータが盗まれました。
2年間に盗まれたと報告されたその他の電気機器は、36個の個別のマイク、4個のハードドライブ、1個のカムコーダー、1個のファイアスティックでした。
これに対し、BBCは声明の中で、「BBCは犯罪事件を真剣に受け止めており、犯罪を減らし、紛失物や盗品を回収するための措置を常に実施し、見直しています」と述べています。
(Infosecurity Magazine記事より引用)※機械翻訳
キタきつねの所感
2019年と2020年合算データですので、全てがテレワーク下という訳でも無いのですが、BBCの敷地内から販売価値の高いスマホ、PC、マイク等の資産が多数盗み出された事に少し驚きました。
とは言え、BBCの従業員は全世界に2.2万人以上(※NHKは約1万人)いると考えると、転売目的で会社から(高価な)端末を持ち出そうとする従業員、あるいは外部スタッフが一定数いる事は仕方がない事なのかも知れません。
オフィスに多くの人がいる中(衆人環境)では、こうした”犯行”は少ないかと思いますが、夜間・休日や、”テレワークで出社する人数が少ない”ケースでは、誘惑に負ける(元々そうした意図がある)人を妨げるのは難しいのだと思います。
”実行犯”(内部犯行者)は、恐らく高く盗品を売れれば良い程度で機器を持ち出すのだと思いますが、こうした機器には会社の機密情報や個人情報が保存されている可能性がある事に留意が必要です。
企業側は、コロナ禍で従来よりもリスクが高くなっている事を認識し、端末を持ち出されない対策(防御)、そして端末を持ち出されたとしても機密情報が漏えいしない対策(検知・対応) を再考すべきかと思います。
前者(端末の持ち出し対策=防御)であれば、例えばPCのワイヤーロック固定、鍵付き棚での管理、監視カメラ、IDゲートによる入退場者の記録などが考えられます。
後者(検知・対応)を考えると、警備員による持ち物検査(出入口)、定期的な資産棚卸し、端末のパスワードロック(暗号化)、遠隔データ削除(リモートワイプ)などでしょうか。
対策例を見ると「普通」であると感じる方が多いかも知れません。職場の監視カメラや警備員の持ち物検査あたりは実施していない所もあるかと思いますが、「大体実施している(事になっている)」企業が多いかと思います。
では何が問題でインシデントが発生するのか?と考えると、そこにルールと実際の実施内容にギャップがあるからだと想像します。
BBCの記事には原因部分が書かれてないので、過去に仕事で日本のテレビ局に行った際に見た事や、マスコミで働く知人の話を聞いた事から考えると、テレビ局は従業員のみならず、外部スタッフや出演者等、外来者の出入りが当たり前で、ある程度の所までは外来者が「入れてしまう」環境である気がします。
IDゲートを共連れで突破してしまえば、従業員の「机」までたどり着くのはそう難しくない環境の場合、机の上に置きっぱなしのスマホやノートPCの持ち出しは比較的容易です。
テレワークでBBCの様なリスクが高くなってないかどうか、自社の物理対策を見直す事が重要かと思います。
余談ですが、もう1つテレビ局に行った際に(少し前ですが)気になった・・・「机の上が汚い」方が結構いた事です。
仕事中に書類が机の上に山積みなのは”作業中”である場合、仕方が無い事かも知れませんが、「帰宅時も机の上が汚い」のであれば、充電したまま忘れてしまったスマホや、鍵をかけずに袖机にしまってあるノートPCを部外者が持ち出す事が「雑然としているだけに」容易になってしまう事も十分考えられます。
※雑然としている環境からスマホやPC、USBメモリ等が仮に盗まれた場合、”本人”が盗難に気づかずに、どこか別な場所で紛失したと考えてしまう事もあり得るかと思います。
一般的なセキュリティ対策もさる事ながら、「5S」(整理・整頓・清掃・清潔・しつけ)も重要であり、帰宅時の「クリーンデスク」「クリアデスク」を中心とした、セキュリティ意識向上(従業員教育)も併せて見直すべきかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
