最も典型的なPCやUSBメディアの紛失・盗難対策は、「持ち込み・持ち出しの禁止」ではないだろうか。理解できる面もあるのだが、少々疑問に思う点もある。例えば、ノートPCの購入や外部接続を行う際の稟議書・決裁書では、「業務の効率化、競争力の強化」が理由として挙げられている場合が多い。しかし、持ち出しの禁止による競争力の低下から、売上や目標の下方修正が行われたという事例は聞いたことがない。
現実的には、労働時間が増えるなどのしわ寄せが起きているか、何らかの方法で以前と同等か類似の行為が行われていると考えられる。
例えば、外部のWebメールを使って自宅のPCにデータを送ったり、無料のファイルサーバーを使って、外部とのデータ交換を行うといった事が考えられる。そして、スマートフォンの普及が進むと、このような「管理外の抜け道」による問題が、より深刻になると予想される。

マイクロソフトでは、ノートPCの持ち出しに制限はない。また、持ち出したPCから、社内ネットワークへの接続も自由に行うことが出来る。このため、USBメディアを利用する必要はほとんどない。このような多様な利用形態が認められているため、例えば、小さな子供を持った社員が夕方に帰宅し、家事がひと段落した後に自宅で業務を行ったり、時差のある電話会議に自宅や出張先から参加するなど、様々な仕事の仕方が選べるようになっている。
この方針の背景には、”Security as a business enabler”という考え方がある。つまり、セキュリティを担保することによって、新たな（価値のある）ビジネスやビジネス形態を実現するという考え方である。セキュリティが日常の業務やビジネスを不便にしてしまうことが多いのだが、セキュリティを担保することで、業務やビジネスの改善・飛躍を目指すといった考え方が重要と考えている。

2011年、これまでの事例にみる脅威とその対策　第3回 – 日本のセキュリティチーム

ちょうど、このBLOGを公開しようと思ったタイミングで、マイクロソフトMVP(Most Valuable Professional)の濱本さんが、一連の事件に対する興味深いレポートを公開されていることに気づきました。MVP Open Dayで概要は伺っていたのですが、考えていた以上に参考になる点が多い内容でした。これまで、このような分析が公開されたことは、あまりなかったように思います。

2011年、これまでの事例にみる脅威とその対策　第3回 – 日本のセキュリティチーム