危険度は上昇し続けており、情報セキュリティチームや彼らのIT部門でのカウンターパートとなる担当者はこれまでにない困難に直面しています。ネットワークの緊密なモニタリング、ファイアウォールの強化、パッチのインストールなどの施策を講じても、コンピューター画面に表示される重要な情報という、目の前にある重大な脆弱性の存在に気づかないことがあります。
いずれにせよ、どのデータも目に触れる機会があり、目に触れたら最後、ビジュアルハッキングの対象となり得るのです。³
「ライバルの手に渡ったリソースは通常、企業が所有するリソースよりも多く、情勢は不利になります」
—John Brenberg、3M情報セキュリティリスク・コンプライアンス担当
次回会議やイベントに参加した際に、周囲を見渡すと、電話機やノートパソコンに表示されているデータがいかに多いか気づくでしょう。そばを通りかかった人は誰でも、機密データが表示されている画面の写真を撮ることができるのです。それはほんの一瞬で終わります。Global Visual Hacking Experimentの期間中、あるオフィスを歩いていた善意のハッカーである研究者は、その時オフィス内のデバイスに表示されていた機密情報の81%を入手できました。⁴ データに電子的に侵入して漏えいする行為では通常、法医学捜査官が追跡できる痕跡を残るものですが、ビジュアルハッキングでは痕跡が残らない場合もあります。
画面に表示されたデータを他人の目に触れさせない簡単な手順をご紹介しましょう。
無意識か意識的かはともかく、内部関係者の30%が許可を得ていない相手への確認済みデータ公開に関与しています。⁵ 街中のオフィスビル内を、行き交う人たちのことを思い浮かべてください。-来客や契約業者、配達員、その企業の別部門で働く社員もいるでしょう。その人たちはどのような情報を目にするでしょうか?その情報の価値は何でしょうか?
低コストのソリューションがあります。
ディスプレイに装着されたプライバシーフィルターは、ディスプレイの正面にいるPC利用者は画面を鮮明に見ることができますが、左右の横側からデータがほとんど見えない仕組みになっているため、利用者のすぐ隣にいてもデータは読めません。
「プライバシーフィルターは、ITの専門家があまり考えたことのないITセキュリティ上、最後のフロンティアです」
—Ed Nelson、3MグローバルPCハードウェアリード
3Mや他のFortune 500企業は、すでに導入に取りかかっています。10年以上前から、多くの職場でデスクトップコンピューターからラップトップの使用へと切り替えが進んでいます。その際、3MのITセキュリティチームは、画面のプライバシーが包括的なITデータ保護計画に不可欠な要素であると実感しました。知的財産、取引上の秘密事項、通信や顧客情報の漏えい防止策となることから、プライバシーフィルターへの投資が進みました。現在、3Mアメリカの従業員船員が自分のラップトップにプライバシーフィルターを装着しています。
3Mの情報セキュリティ、リスク、コンプライアンス担当のJohn Brenbergは、他社の担当者と話し合う席で、このようなことをよく考えました。「彼らは私たちと同様、電子的データのセキュリティ対策に追われ、疲弊しています。プライバシーフィルターでデータを物理的に守る処理能力ひとつを取ってみてもそうでした。ビジュアルハッカーはひっきりなしに攻撃し、脅威の形態は都度変わります」
「当社の社員は世界各地を移動します。当社の従業員は高い倫理標準を守っています。私たちは、彼らがこうした高い期待に応えるツールを提供する必要があります」
—John Brenberg
3Mで画面上のデータ漏えい阻止に携わるエキスパートでさえ、同僚にプライバシーフィルターの装着を義務付け、フルに活用させることの難しさを実感しています。大規模な職場全体でプライバシーフィルターを普及させるのは困難な課題だと思います。フィルターの使用を会社の情報セキュリティポリシーとして義務付けるのも大事ですが、全社を挙げてフィルターの使用を習慣化するには継続的な努力が求められます。フィルターを使いやすくすることが重要です。同僚同士で画面を共有する際、フィルターの取り外し作業に手間がかかると困りますが、この取り外しの利便性が足りない場合もあります。
フィルターを付けようという動機付けの材料があるとよいかもしれません。3MグローバルPCハードウェアリードのEd Nelsonはスタッフの動機付けに対して独自の考えを持っています。「フィルター導入の当初から「Spot:Reward(見つけたら報酬を)」キャンペーンを行うのです。プライバシーフィルターを使う習慣が身に付けば社内カフェテリアの割引クーポンがもらえます」 Edは、動機付けの材料があれば、社員は皆、自社の高評価や財務安定性に貢献しようと考えるだろうと確信しています
「3Mの電子資料を公共空間で閲覧する場合、ディスプレイにプライバシーフィルターを装着し、周囲に気を付けるなどして3Mの機密情報を保護してください」
— 3M社内ガイドラインでのプライバシー基準に関する事項
現在の職場環境は情報技術と肩を並べ、急速に変化してきました。パーティションの壁は年々低くなり、スタッフは閉じた環境からオープンオフィス環境へと移行しました。会議参加者が狭い空間に閉じ込められたような気分にならないよう、オフィス空間の設計者はガラス窓で囲んだ開放的な会議室を設計しました。モニターが大きいと、ホールから、時には屋外の通りから見えることもあります。このような画面が保護されていないと、思いがけない結果を引き起こすかもしれません。通りすがりの詮索好きな訪問者がたまたま通りがかったおかげで、気づいた時には役員に提出する先行収益報告書の内容がウォール街で噂になっているかもしれません。
ITマネージャーと情報セキュリティ担当者が協力してソリューション作りに取り組んでも、このようなことが起こる可能性があります。オフィスのある建物を歩き回って、特に通行量の多いエリアで画面にどんなものが表示されているかをメモしてください。クライアントのデータを表示して収集する組織、例えば病院、空港ターミナル、コーヒーショップ等は、個人情報や財務情報の保護に特別な配慮をする必要があります。
モバイル勤務の従業員も、画面上のデータ保護が必要です。旅客機の真ん中の座席に座り、ラップトップを開くと、隣の乗客に画面をのぞき込まれて困ったという経験をした人は数多くいます。目の前にある画面につい目が行くのは人間として自然なことですが、悪意のない人ばかりとはかぎりません。
こちらは、待合室、ロングテーブル、背の低いパーティションで区切られた各自のワークスペースやオフィスなど、さまざまなオープンスペースにいるスタッフ14人を描いたイラストです。何人かは立っています。それぞれオープンオフィスのフロアプラン、オープンタイプの個室、窓際のオフィス、共有ワークスペース、通行量の多いエリアという注釈が付けられています。
報道されるほど重大なデータ漏えい事件は、私たちが緊張感を持って、自社の貴重なデータを電子的・物理的な漏えいから守るべきだという知恵を授けてくれます。
3Mでは、こうしたイニシアチブにEd NelsonのようなITハードウェアマネージャーによる支援が得られます。現在も支援が行われています。彼らの支援があれば、会社支給のラップトップにプライバシーフィルターを提供することで、ハッカーの阻止、インサイダーによる脅威への対応モバイル機器がらみの情報漏えい防止に役立つかもしれません。企業情報を無断で使用されたことで生じる巨額の損害が、低コストの投資で回避できるかもしれません。
3MのグローバルPCハードウェアリーダー
Ed Nelsonは、3Mで情報セキュリティ、プロジェクト管理とハードウェア調達に従事してきました。現在は、世界各地の従業員が使用するPC、モニター、アクセサリの試験や評価にあたっています。現職の前は、世界的なパッチ管理を行うLANDESK管理者としてセキュリティの最前線で働いており、パッチのリリースから2週間以内の、ワークステーションパッチの展開率95%を維持していました。Edは3Mの従業員をクライアントとみなし、重要な企業データを守りつつ、生産性を向上させる高性能処理ツールの提供に尽力しています。
3Mの情報セキュリティ、リスク、コンプライアンス担当
John Brenbergは30年以上にわたってマーケティングリサーチ、システム開発、インフラストラクチャ管理、情報セキュリティを担当したほか、さまざまな部署や業務プロセス全体をカバーする全社規模でのコンプライアンス業務に携わっています。3Mで担当する情報セキュリティ、リスク、コンプライアンス業務で、Brenbergは情報セキュリティ、コンプライアンス、リスク対策プログラムのリーダー的立場にあり、もっぱら社内情報や顧客情報などのデータを保護していますが、重要な事業プロセスの保護にも従事しています。Brenbergは自身の成功を、知的財産、プライバシー、コンプライアンスおよびシステム管理に関する多くの強力な社内パートナーシップに帰するものであると考えています。
1 IBM X-Force Threat Intelligence Index 2018
2 FBI Internet Crime Complaint Center, 2017 Internet Crime Report
3 ビジュアルハッキングとは、取り扱いに注意が必要な情報、個人情報、機密情報などを不正目的のために取得する方法です。
4 Average based on global trials conducted by Ponemon Institute during the “Visual Hacking Experiment,” 2015, and the “Global Visual Hacking Experiment,” 2016, both sponsored by 3M.
5 2017年~2018年のData Breach Investigations Reportで報告された53,000件の事例および2,216件の確認された侵害。
6 Ponemon Institute Public Spaces Survey Study, 2017