本当にあった「新入社員が入社直後にPCなくした！」話 対応マニュアル

在宅勤務とオフィス勤務が混在し、情報端末を持ち歩くことで想定されるリスクが「PCの紛失」です。筆者自身、入社直後の従業員が同期との決起集会で一晩飲み続け、帰りの朝にPCをなくした事例を耳にしたことがあります……。今回はPC紛失時の情シスの対応についてお話しします。

[久松 剛，エンジニアリングマネージメント]

　エンジニアリングマネージメントの社長兼「流しのEM（エンジニアリングマネジャー）」の久松です。業務委託先でエンジニアリングマネジャーを担当しつつ、ITかいわいについて歴史やエピソードを基に整理し「IT百物語蒐集家」として人の流れに主眼を置いたnoteを更新しています。

　情シスの抱える業務の一つに社内セキュリティの保全があります。セキュリティ製品の導入やログ監視などは重要ですが、どんなにシミュレーションしても対応が追い付かないのが重大インシデントの数々です。

　特に昨今は、テレワークによる在宅勤務と出社によるオフィス勤務が混在する「まだらテレワーク」と呼ばれる状況が産まれやすいです。結果、どうしてもノートPCなど情報端末を持ち歩かなくてはなりません。更に会食や飲み会といった人に会う機会が増えているため、増加が想定されるリスクが「PCの紛失」です。

　私自身、従業員のPC紛失の対応をしたことがあります。さらに珍しいことに、紛失したPCが見つかるといったこともありました。企業が貸与したスマートフォンの紛失や、企業の情報が入った私物スマートフォンの紛失は、より頻繁に発生していました。今回はPC紛失時の情シスの対応についてお話しします。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito

入社初週でPC紛失……事前にやるべき対策は

　PCの紛失はいつ何時起きるか分かりません。私が知っている事例では、入社したその週に紛失したというものもありました。同期入社の人たちの決起集会で一晩飲み続け、帰りの朝に紛失したそうです。こういった事態に備え、事前に打つべき対応を2点紹介します。

速やかに連絡をとれる体制を構築する

　個人情報を多く扱う企業であれば、セキュリティ教育を定期的に実施しているでしょう。私自身、入社時研修に加え、半年から年に一度の定期研修の講師を担当していました。

　研修で覚えて帰ってもらう必要があることの一つが「企業が貸与したPCやスマートフォン、企業の情報が入っている自身のデバイス（BYOD）を紛失した場合、速やかに情シスに伝えること」です。

　いろいろな紛失報告を見てきました。人というものは、「無くした」と認知してからしばらくは無くしたことに対する恥ずかしさとばつの悪さから、心当たりのある場所を探しがちです。一晩中探してから報告することもあれば、いったん冷静になるため週末を跨ぎ、翌営業日まで報告を待つといったケースもありました。

　悪意のある人に拾得されたり盗難に遭ったりすると事態は一刻を争います。昔であればハードウェアが中古市場に流れるくらいでした。しかし、数年前よりダークウェブなどで個人情報や機密情報、ID・パスワードなどの売買が起きています。

　銀行口座や高額ポイントがたまっているアカウント、公共性の高いアカウントの金額は高いなど、情報の内容と価値もしっかりとひも付けられています。過去には「ダムの管理画面のアカウント」なんてものも売買され話題になりました。

　このようなリスクと戦うためには一分一秒を争う対応が重要になります。無くしたと思ったら取りあえず担当者に報告することを社内で共通の認知にすることが重要です。

紛失時対応マニュアルの整備

　紛失を想定したマニュアルを作っておくというのが理想です。企業によってはインシデント対応の一環で整備しているでしょう。実際に紛失対応時にすぐ確認すべきことは3点あります。

• 企業関係者の連絡フロー
• 当該情報端末に何の情報が保存されていたか
• 当該情報端末を経由して何のサービスにアクセスしていたか

　1点目については事前に用意しておくのがよいでしょう。時間外に連絡することもあるため、緊急連絡網のような連絡の取りやすい方法を取りましょう。私は情シス関係者の他、役員、内部監査室を基本とし、都度その上長を交えたチャンネルを作っていました。紛失者本人をチャンネルに入れてしまうとプレッシャーが強すぎて報告しにくくなるため、チャンネルに入れず別途ヒアリングをするよう気を付けていました。

　3点目についてはアカウントの一時停止、パスワードの変更などをされている可能性が考えられます。対応に抜け漏れがあると、忘れた頃に悪意のあるユーザーによる不正アクセスが発生するリスクがあります。

　紛失のためだけにマニュアルを作るのは大変という場合、退職時にアカウントを停止する際のチェックリストを兼用するのがおすすめです。部署ごとに利用しているサービスやWebサイトをリストアップし、各箇所をチェックしながら対応するというものです。

　近年企業で利用するSaaSが多すぎるため、情シスが管理せず、各部署にまかせてしまっているケースも耳にします。管理リスクが高いため、手間を惜しまずに時間を割いてでも整理しておく必要があります。

紛失時の対応

　紛失が起きたらどうなるのか、実際に私が担当した際のことを振り返りながらお話しします。

一次対応

　一次対応としては下記があります。

• （MDM利用時などであれば）遠隔の端末ロックやデータ消去コマンドの発行
• 上述した緊急時連絡フローに基づいた社内関係者への連絡
• アカウント停止、またはパスワードの変更
• 各種アクセスログの確認

　情シスが一次対応している間、本人には警察への届け出や一緒にセットで無くしたもののリストアップを依頼します。警察への届け出は後述する保険適用にも必要ですし、見つかる可能性もありますので早期に届け出る必要があります。

　上記の対応終了後、事前に作成した連絡網に初期作業報告完了の連絡をします。ここまでの対応は前述したように一分一秒を争うため、なるべく早い対応が求められます。

　対象の情報端末がレンタルやリースだった場合、レンタル元・リース元にも連絡が必要です。多くの場合は保険に加入しているため手続きが発生します。

本人からのヒアリング

　デジタルデータ以外に、紙などで紛失したものがないかどうかのヒアリングをします。資料や契約書などの場合はどの程度機微な情報を含んでいるのかも調査する必要があります。他社から受け取った資料を含む場合は、他社にも連絡が必要な場合もあります。

　対応が厄介なものの一つは「顧客と交換した名刺」です。無くした名刺の持ち主全てに法務から連絡しなければならない場合もあります。特に、頂いた名刺を自身の名刺ケースに保管するタイプの方には注意が必要です。

　他社への連絡や対応をどうするかは必ず法務に相談するようにしましょう。内容の機微さによっては弁護士を交えて相談する必要があるため、フライングして連絡すると非常に厄介なことになります。

見つかった場合の対応

　ここまでがPCを無くした場合の対応です。ごくまれに無くした端末が見つかるということがあります。警察に届け出さえしておけば、発見時にも連絡が来ます。

　私が経験したものは、何者かが盗難して電車内で備品管理シールを剥がそうとしたもののうまくいかず、結局放置されたものが電車の椅子の隙間に挟まり、幾重もの奇跡を経て車庫で回収されたというものです。

リース・レンタルの場合は保険の調整を

　無くしたと思って保険会社が動き始めた後に機器が見つかると厄介なことになる可能性があります。見つかったという連絡があったと同時に、早期にリース元・レンタル元に連絡するようにしましょう。

警察に取りに行く

　無くした場所にもよりますが、私が経験したパターンでは飯田橋にある警視庁遺失物センターに取りに行く必要がありました。

　管理責任者として、取りに行った際に身分証を確認される他、「ログインしてみてください」と言われました。こちらもケースバイケースの可能性がありますが、認証の一環として必要な場合もありますので注意が必要です。Administratorのパスワードが役に立った瞬間でした。

各種ログ確認

　物理的にダメージが無いかどうかを確認します。特にHDDやSDDが取り外されたかどうかには注意が必要です。

　OSログを確認し、電源ONやOSログイン成功の痕跡が無いかを確認します。もしログインされてしまっていた場合、資産管理システムを導入している場合はそちらのログも確認する必要があります。情報の持ち出しや不正アクセスなどの範囲が分かるでしょう。

まとめ：過激な事前対応策

　今回はPCの紛失という、情シスが関わるインシデントの中でも特に憂鬱なセキュリティ事故についてお話しました。

　世間には過激なソリューションもあります。電源をオンにし、ログイン後に一定の時間オンラインにならなければローカルのファイルを全て消すという自害ソリューションも聞いたことがあります。しかし、自社ではトラブルしか想像ができず導入を見送りました。

　VDIといったソリューションも想定できますが、ある程度の従業員数がいる大手企業でなければ費用対効果が厳しいものです。また、インターネットをまたぐ分使い勝手があまり良くなく、実際に利用している方から業務効率面の苦情をよく耳にします。

　業務効率とセキュリティを両立させることが必要です。何かあった場合に慌てなくても済むように、事前にマニュアル整備や連絡網整備、そして経営層と事前の握りを実施しておきましょう。