top of page

コラム


士業事務所のノートPC紛失、「すぐに遠隔削除できる」と言えますか?
外出先でノートPCを電車に置き忘れた、カバンごと盗まれた——士業事務所で働く方は裁判所・税務署・官公庁への訪問などでPCを持ち歩く機会が多く、紛失・盗難のリスクは一般的な事務職より高い。 問題はPCの「中身」にある PCを1台失うこと自体より、中身の問題です。顧問先の個人情報・決算情報、マイナンバーを含む書類、案件のメールのやりとり——これらが他人の手に渡った場合、情報漏洩として対応が必要になります。 特に見落とされがちなのが「自動サインイン」の問題です。PCさえ開ければMicrosoft 365やGoogleにそのままアクセスできる状態のPCは、紛失した瞬間に「クラウド上のすべてのデータへの鍵」を渡したことになります。 「パスワードがかかっているから大丈夫」は過信 BitLocker(ディスク暗号化)がされていないPCは、ハードディスクを取り出して別のPCに接続するだけでデータを読み取ることができます。Windowsのパスワードとは関係なく。今すぐ事務所のPCにBitLockerが有効かどうかを確認してください。 紛失後30分以内にできる体制を
4月28日読了時間: 2分


「全員同じパスワード」の事務所が今すぐやるべきこと——士業のパスワード管理の現実
士業事務所のIT整備を支援していると、パスワードの管理状況に話が及ぶ場面で必ず「まずい状態」に遭遇します。事務所の共有アカウントを全員で使い回している。パスワードをExcelにまとめて共有フォルダに置いている。所長が全アカウントのパスワードを知っているが誰も他に知らない——それぞれに別の問題があります。 「使い回し」がなぜ危ないか 同じパスワードを複数のサービスで使い回している場合、どこか1つのサービスでパスワードが漏洩した瞬間に、他のすべてのサービスへの不正アクセスのリスクが生まれます。これを「パスワードリスト攻撃」と言います。「身に覚えのないログイン記録がある」という相談の多くはこのパターンです。 「所長しかパスワードを知らない」問題 所長が急病で連絡が取れなくなったとき、事務所のシステムにアクセスできる人間が誰もいなくなります。クラウドの書類が取り出せない。期限のある申請業務が止まる。情報漏洩とは逆方向のリスクですが、実害という観点では同じくらい深刻です。 今すぐできる対策 多要素認証(MFA)の全員設定——Microsoft...
4月28日読了時間: 2分


「個人のスマホで送っただけ」が情報漏洩になる——士業事務所のBYODリスク
「急ぎだったので個人のLINEで顧問先に送ってしまいました」——悪意はない。むしろ対応が早かった分、顧問先への配慮もある。でも情報管理の観点からは問題のある行為です。 管理下を離れたデータは「消せない」 会社が管理するPC・スマートフォン上のデータはMDMツールを使えばリモートで削除できます。しかし個人のスマートフォンに送られたデータは、会社側がどうすることもできません。「管理下を離れたデータは追跡できない」——これが私用デバイスへのデータ流出の本質的な問題です。個人LINEに送った資料は退職後もそのスマホが存在する限り残り続けます。 よく起きている4つのパターン 個人LINEでの資料共有——「急ぎだったから」という理由が最多。業務用ツールの使い勝手が悪いと個人LINEへの流出が常態化します。 個人Googleドライブへのバックアップ——「自分がすぐ見られるように」という動機。退職後もそのデータが個人アカウントに残り続けます。 在宅勤務時の私用PCからのアクセス——テレワーク導入時の「とりあえず個人PCで」が続いている場合、業務データが個人PCの
4月28日読了時間: 2分


退職した職員が顧客データを持ち出す——士業事務所が知っておくべき「その後」の話
「退職した職員が顧客リストを持っていってしまったかもしれない」 この手の話は、士業事務所では珍しくありません。独立開業のために退職するケースが多い業界ですから、顧問先リスト・料金表・業務フォーマットが転職・開業時に「参考資料」として持ち出されるのは、残念ながらよくある話です。 問題は「持ち出しがあったかどうか」ではなく、「持ち出せる状態になっていたかどうか」です。 気づいたときには手遅れになる理由 退職者によるデータ持ち出しの多くは、退職直前の数日間に集中して発生します。USBメモリへのコピー、個人のGoogleドライブへのアップロード——いずれも、確認できる記録がない事務所では、起きたかどうかすら分かりません。 さらに深刻なのが、退職後もアカウントが有効なままになっているケースです。Microsoft 365のアカウントが削除されていない場合、退職後も外部から事務所のメール・ファイルにアクセスし続けることが可能な状態です。 持ち出しを「できない・記録に残る」状態にする USBメモリの接続制御——IntuneやWindowsのグループポリシーで、
4月27日読了時間: 2分


士業事務所がランサムウェアに感染したら——「明日から業務できない」は現実に起きている
「ランサムウェアは大企業の話」と思っているなら、それは5年前の認識です。現在のランサムウェア攻撃は規模を問わず無差別に行われており、むしろセキュリティが手薄な小規模事務所は攻撃者にとって手間のかからないターゲットです。 ランサムウェアとは何か PCやサーバー上のファイルを強制的に暗号化し、「復号したければ金を払え」と要求するマルウェアです。感染した瞬間から、事務所内のすべてのファイルが開けなくなります。過去の申請書類、顧問先の契約書、税務データ、マイナンバー情報——すべてです。身代金を払っても復号されないケースが多数報告されています。 感染後に何が起きるか 感染直後にまずやることは「ネットワークからの切り離し」です。他の端末への拡散を防ぐため、すべてのPCをネットワークから外す必要があります。その時点で業務は全停止します。 官公庁への申請期限が翌日に迫っている、顧問先の決算申告の期日が今週末——このような状況での業務停止が士業としての信頼に致命的なダメージを与えます。 近年増えているのが「二重脅迫型」です。ファイルを暗号化するだけでなく、事前にデ
4月27日読了時間: 2分
bottom of page
