企業や組織の運営には、IT技術が欠かせないものになっていますが、IT技術の進化は、生産性を向上できる一方で、情報漏洩のリスクが高まることを意味しています。
こうしたリスクを回避するために、総務省をはじめ、各団体がセキュリティガイドラインを公表し、改定を繰り返しています。
情報漏洩対策には、様々な対策方法がありますが、最近ではリモートワイプやローカルワイプが一般的になりつつあります。
今回は、政府や団体のセキュリティガイドラインのなかで、情報漏洩対策としてリモートワイプがどう位置付けられているのかを解説します。
リモートワイプについて
リモートワイプは、PCやスマートフォンなどの端末に保存されているデータを、インターネットを通じた遠隔操作で削除する機能です。データを端末に保存してテレワークを行っていても、盗難、紛失時の情報漏洩を防止できる機能となります。 リモートワイプと併せて覚えておきたい機能にローカルワイプがあります。ローカルワイプは、インターネット接続などがない状態で、遠隔命令が届かない場合の情報漏洩対策です。例えば、タイマーを用いて管理サーバと一定期間通信ができない場合に自動でデータを消去する機能などがあります。
リモートワイプの位置づけ
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、情報セキュリティ基本方針を実行に移す基準が定められています。総務省はセキュリティを大きく3つに分類しています。
そのひとつである物理的セキュリティでは、「サーバ等の管理」「管理区域(情報システム室等)の管理」「通信回線及び通信回線装置の管理」「職員等の利用する端末や電磁的記録媒体等の管理」が言及されていますが、「職員等の利用する端末や電磁的記録媒体等の管理」のなかで下記の内容が明記されています。
⑥モバイル端末のセキュリティ
モバイル端末を庁外で業務利用する場合は、端末の紛失・盗難対策として、前述のように普段からパスワードによる端末ロックを設定しておくことが必要である。また、紛失・盗難に遭った際は、遠隔消去(リモートワイプ)や自己消去機能により、モバイル端末内のデータを消去する対策も有効である。
また、リモートワイプのデメリットも言及され、その対策に関しても以下のように記載されています。
モバイル端末の遠隔消去(リモートワイプ)機能は、モバイル端末に電源が入っており、かつ通信状態が良好な場合にしか効果が期待できない点に留意する必要がある。このことから、本機能とあわせて、データを暗号化する等、漏えいしても内容が知られることのない仕組みを合わせて導入することが有効である。
※地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)「4.4. 職員等の利用する端末や電磁的記録媒体等の管理」より抜粋
各団体のガイドライン(一例)
リモートワイプの重要性を述べているのは総務省だけではありません。各団体も情報セキュリティ対策のガイドラインを策定しており、その中でリモートワイプの重要性を述べています。ここでは、各団体のガイドラインにおいてどのようにリモートワイプが明記されているかを紹介します。
スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書
内閣サイバーセキュリティセンター(NISC)は、府省庁の業務にスマートフォンを利用する際の情報セキュリティ対策を「スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書」にまとめています。ガイドラインの「情報セキュリティ対策要件」には、府省庁の業務に利用するスマートフォンには、次のセキュリティ対策をすることが決められています。
- ソフトウェアの脆弱性対策
- 不正プログラム対策
- のぞき見防止対策
- 盗難・紛失対策
- ログ管理機能
- 端末管理ツール(MDM:Mobile Device Management)の導入
この中でリモートワイプは盗難・紛失対策に含まれています。
(4) 盗難・紛失対策
スマートフォン等の盗難・紛失対策として、端末ロック機能、リモート端末ロック機能(遠隔操作により端末ロックする機能)及びデータワイプ機能(端末のデータを削除する機能)等の要件を決定する。
※スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書「5.5 情報セキュリティ対策要件」より抜粋
内閣サイバーセキュリティセンター(NISC)は、リモートワイプは通信圏外等では機能しないため、ローカルデータワイプ機能(パスワード入力に何回か失敗したとき、端末データを削除する機能)を推奨しています。
自工会/部工会・サイバーセキュリティ ガイドライン
一般社団法人日本自動車工業会(JAMA)と一般社団法人日本自動車部品工業会(JAPIA)は、サプライチェーンを狙ったサイバー攻撃が増えているため、業界全体でセキュリティ対策すべきと「自工会/部工会・サイバーセキュリティ ガイドライン」を策定しました。
ガイドラインでは、社内接続ルールや物理セキュリティなど24の項目が定められています。その中の物理的セキュリティの達成条件のひとつに、「管理部署がスマートデバイスに対して、機密管理上必要な設定を行っている」という記載があり、「(端末)紛失時のデータ削除機能を設定すること」とその規定には、リモートワイプ機能やローカルワイプ機能の設定の必要性が明記されています。
建設現場におけるスマートデバイス利用に関するセキュリティガイドライン
一般社団法人日本建設業連合会は、建設現場の生産性向上に役立つスマートデバイスでセキュリティ事故を起こさないように「建設現場におけるスマートデバイス利用に関するセキュリティガイドライン」を策定しています。建設現場でスマートデバイスの利用を許可する場合は3つのルールを推奨しています。
- スマートデバイスの利用手続き
- 情報漏洩対策の実施
- 情報セキュリティ事故発生時の対応
リモートワイプは、その中の「情報漏洩対策の実施」に含まれていて、盗難・紛失時の事故に備えて導入することが現場所長の実施すべき対策として明記されています。
① 盗難・紛失対策
・パスコード/パスワードの設定
・ローカルロックの設定
・常に肌身離さず持ち歩き、置き忘れに注意する。
・[MDM等によるリモートワイプ機能]
・[PWを一定回数間違えるとローカルワイプ]
※建設現場におけるスマートデバイス利用に関するセキュリティガイドライン「4.利用を許可した場合の実施事項」より抜粋
ここでも、端末の盗難・紛失対策は、具体的な方法が明記されているようです。
まとめ
最近では、テレワークなどで様々な端末を持ち運ぶことが一般的になっています。同時に、紛失や盗難時の情報漏洩のリスクも高まり、その対策は必要不可欠となっています。
総務省や各団体がそれぞれにセキュリティガイドラインを策定し、その改定を繰り返しているのは、その必要性が以前よりも増しているからだと言えるのではないでしょうか。
今回は、総務省やいくつかの団体の情報セキュリティ対策ガイドラインを調べてみましたが、端末の紛失・盗難による情報漏洩対策では、リモートワイプの導入(通信圏外に端末を持ち運ぶ恐れがある場合はローカルデータワイプ機能の導入)が必要不可欠であると述べられていました。 リモートワイプは、一般的には、まだまだ知られていない機能かもしれませんが、今後、その必要性はさらに増していくでしょう。