会社の規則は穴だらけ？ 誰も守ってくれない「無視されるITルール」【実態調査】

[キーマンズネット]

　企業はITシステムの安定稼働やセキュリティ保護のため、「業務に関係のないWebサイトを閲覧しないこと」「出所不明なUSBメモリスティックを社用PCに接続しないこと」など、実に多様なルールを定めている。

　しかしながら、こういったルールがあっても実際の運用では適切に守られていないことが現実的にはある。

　キーマンズネットは2025年11月に、情報システム担当者を対象にアンケートを実施し、社内IT運用に関する「困ったこと」や「戸惑ったこと」に関する体験談を尋ねた。今回はその中から「形式上は定められているものの、実際にはあまり守られていないと感じる社内ルール」を紹介する。

会社のルールは無法地帯？　誰も守ってくれないITルール9選

　オンプレミスのファイルサーバやクラウドストレージは業務上毎日のように発生する機密データが保管される場所であり、組織の情報共有基盤でもある。情報システム部門などはセキュリティ対策を万全にし、ユーザー部門には適切な利用を求めることになる。

　不適切な利用は情報漏えいのリスクに直結するが、今回のアンケートでは、以下のようにルールを守らない行動が報告された。

個人利用の「Google ドライブ」に網がかかっておらず、ファイル共有できてしまう

　具体的にどのような状況かは想像するしかないが、もし「個人利用のGoogle ドライブに社内のデータをアップロードできる」もしくはそのような行為をしている人がいるということであれば、重大な情報漏えいが発生する可能性がある。次のような回答もあった。

外部のファイルサーバを利用している可能性がある（従業員がいる）

　取引先から秘密保持契約（NDA）の下で提供されたデータを外部のクラウドストレージに保存した場合、その時点でNDA違反と見なされる可能性がある。

　近年では生成AIチャットサービスでも類似の問題が発生している。シャドーITのように社内で適切に運用されていない場合、プロンプトに業務で扱う情報やファイルを入力することで取引先の信用を損なう恐れもある。

私用のメールアドレスに会社のファイルを送っている人がいる

　動機は不明だが、電子メールをファイルの転送に使うケースもあった。これは機密情報の持ち出しにも使われる手法で、実際、2021年に話題になった元ソフトバンク社員による5G基関連機密の不正持ち出し事案でもこの方法が使われたとされている。

デバイスの持ち出し／持ち込み

　今回の調査で特に数が多かったのが、PCやスマートフォン、USBメモリスティックの持ち出し、持ち込みだ。

• PCの事前持ち出し申請をしない
• PCやスマホの持ち出しシールを貼る
• PCの持ち帰りは管理者の許可が必要だが、各自勝手に持ち帰っている
• 会社支給ではない端末の利用
• 登録のないUSBメモリスティックの使用
• 業務時間によく個人のスマートフォンをいじっている

　オフィスや固定の作業場所は、境界型防御の“境界”という役割も担っている部分があり、これをデバイスや人間が出入りするのはリスクだ。テレワークを実施している企業だとPCの持ち出しは日常のことだが、その場合はVPNやゼロトラストの採用などさまざまな方法で対応する。

　モバイルデバイスや記録媒体の持ち出しは損害賠償問題になることもある。2022年に兵庫県尼崎市で発生したUSBメモリスティック紛失事案では、記録媒体の持ち出しの他にもさまざまなセキュリティ上の論点があるが、最終的に市が業務委託先に損害賠償を請求するに至った。

　持ち込む理由が垣間見える回答もあった。

USBメモリスティックの管理。私物は禁止だが会社が買ってくれない

　業務上必要であるにもかかわらず、私物のUSBメモリやSDカードなどの持ち込みや使用をルールで制限しながら、会社支給の機器を用意しない場合、ルール外の利用が発生するのはある意味当然のことだ。ルールを設計する際には、現実的に可能かどうか、実際の業務と照らし合わせて齟齬（そご）がないかの確認が重要になる。

ローカル保存とデータの独り占め

　今回の調査で次に多かったのが、ファイルのローカル保存だ。

• 機密性の高いファイルのデスクトップ保存
• 「Microsoft Word」や「Microsoft Excel」のファイルなどを、とりあえずデスクトップに置く
• ファイルの保存場所。ローカルは作業中もしくは一時保存のみ

　ローカル保存は主に情報漏えい対策の観点から禁止される場合がある。企業が用意しているファイルサーバやクラウドストレージへの保存が推奨もしくは規定され、中には定期的にローカルファイルを削除している企業もある。

　ユーザーの動きとしては同じだが、論点が異なるものとして、共有するべきファイルをローカルや他人が閲覧できない個人フォルダに保存してしまうという回答もあった。

• 「共有できる情報はクラウドに保存しましょう」と言っても個人持ちする人が多い
• 共有すべきファイルを個人持ちしてしまう

　これはセキュリティというより、データ活用や情報共有の観点からルールを定めている場合があると考えられる。業務で発生するデータは企業の情報資産として活用できる可能性があり、近年では生成AIの普及で自然言語で記述されたドキュメントなども利用されることがある。

過剰な共有と必要以上の権限付与

　逆に共有しすぎる人がいるという課題を挙げる人もいた。

• 特権の最小化、時限的な付与と利用
• 社内資料のセキュリティレベルを付与しないといけないルールだが、順守するのが難しい

　各種データには、そのデータを閲覧もしくは編集できる権限が設定されることが多い。重要なデータを誰でも編集できる設定にしておくと、サイバー攻撃者が侵入した際に重要情報やシステムにアクセスされる可能性がある。そのため、基本的には必要以上の権限を付与せず、閲覧や編集を広範囲に許可しないようにすることが重要だ。

　今ではAIエージェントの登場を意識した権限の設定が呼びかけられることもある。AIエージェントは社内データを参照するが、生成AIに必要以上の権限が付与されていたり、低い権限でもデータを編集できる設定になっていたりすると、意図せぬ事故が発生する可能性がある。

パスワード付きZIPファイルの添付が継続されている

　パスワード付きZIPファイルを添付したメールを送り、後から別のメールで展開用パスワードを送信する「PPAP」は、実際に安全性を保証することにつながりにくい点や、マルウェア「Emotet」の流行などの影響で、2020年ごろから廃止の流れになっている。

• ファイルを個人に送付する際にメールなどに直接添付するのではなく、クラウドを使用するルールが守られていない
• PPAPは禁止しているが、役所などがPPAP運用しているため守られない

　メールに関するルールは、やりとりしている相手を巻き込むものでもあるため、社内のルールだけで完全に制御することが難しいこともある。解決に向けては脱PPAP機能のあるメールセキュリティサービスを利用する方法や、強力なセキュリティ保護機能を持つファイル転送サービスを使う方法がある。

迷惑メールを隠す

　電子メール関連では、迷惑メールの扱いについての回答も見られた。

• 迷惑メールについて、扱いが分からなかったら何もせず連絡することになっているが、連絡はほぼゼロで勝手に開いてしまう
• 怪しいメールは開くなと通達しているが、何も気にせず来たメール全て見る者がいる

　前述のEmotetのようにメールにマルウェアが含まれる場合や、詐欺サイトに誘導するものなどもあるが、中にはメールが開かれたことを検知する手法もある。この場合はそのメールアドレスが存在することや、不審メールを開くユーザーであることを攻撃者に悟られる恐れがある。

画面ロックとシャットダウン

　PCの利用方法についての回答もあった。特に多かったのが画面ロックに関するものだ。

• 中座する際、モニターのスイッチをオフにしなければならないのにやっていない
• 離席のときにスクリーンをロックする
• 離席時のPC画面ロック

　これらは情報漏えい対策の観点でルール化されることが多い。類似するものとして「カフェや電車内でのPC作業の禁止」がある。画面ロックなしでPCから離れると、第三者がPCを操作し、情報を閲覧したりPCに細工されたりする可能性がある。

　これと似ているが少し違う問題として以下も挙げられた。

帰宅時など使用しないパソコンはシャットダウンする

　こちらは節電や労働時間の管理などの観点で設定されることがある。監査の際に業務時間の正当性を判断するために勤怠記録など複数のデータと突合するのに使われる。

パスワード付箋

　PCの扱いの一つとしてパスワード管理も課題になっているようだ。

• パスワードを付箋に書いてPCに貼付……いま令和ですけど！！
• 各種パスワードをメモ帳に書いてデスクトップに張り付ける
• パスワードなどを付箋で貼っている

　パスワードのメモに関しては、近年は覚えやすさを優先して容易に推測できるパスワードを設定するより、メモをしても推測しにくいパスワードを作るほうがよいとされる。ただし、メモの保管方法は適切である必要があるため、デスクトップにtxtファイルとして保存したり、モニターに付箋として貼り付けたりと、簡単に内容を閲覧できる状態での保管は不適切だ。

定期的なセキュリティチェック

　最後に紹介するのが次の回答だ。

インターネット上に公開するシステムは定期的にペネトレーションテストを実施することになっているが、コストが大きいので、初回だけ実施している

　定期的なセキュリティチェックは認証制度の要件になっていることがあり、最悪の場合、認証の取り消される可能性がある。一方で定期的な監査は負担になる可能性もあるため、安価に脆弱性を診断できるツールも存在する。

ルールと実現可能性のバランス

　ルールが守られない背景には、単純に面倒だからという場合と、実行が困難な現実的理由がある場合がある。前者はシステムで対応する方法と教育で対応する方法がある。電子メールに関するトラブルを回避するにはメールセキュリティツールを使って自動的に脅威を排除したり、記録媒体の持ち出しに関してはニュースになった事例を示して危機感を感じさせたりといった手を打つことができる。

　後者は現場のヒアリングを通して定期的なルールの見直しや環境の改善などを繰り返すことが対策になる。ルールがあっても現実的に不可能なら守ることはできない。

　重要なのはルールと実現可能性とのバランスだ。パスワードは長く複雑であることが至上ではない。正しく運用される長さと複雑さであることが大切だ。