>
>
最終更新日
リモートワークの定着や持ち出し端末の増加に伴い、PCやスマートフォンといったデバイスの紛失・盗難による情報漏洩リスクは、企業にとって無視できない脅威となっています。万が一の事態が発生した際、企業の重要なデータや顧客情報を第三者に閲覧されるのを防ぐ「最終手段」となるのがリモートワイプです。
しかし、「MDMを導入してリモートワイプを設定していれば安心」と過信するのは禁物です。端末がオフラインであったり電源が切れていたりするとワイプコマンドが届かないという限界や、Windowsの回復環境(WinRE)の不備による実行失敗など、実務においては多くの「落とし穴」が存在します。
本記事では、リモートワイプの基本的な仕組みや意味から、各OSでの消去手順、BYOD環境下での運用、さらにはオフライン問題を克服する最新トレンドやIntune運用における技術的な対策まで、情報システム(情シス)担当者が実務で知っておくべき知識を網羅的に解説します。
ワイプとは?リモートワイプ(遠隔消去)の基本的な仕組み
この記事でわかること
リモートワイプは、紛失・盗難に遭ったPCやスマートフォンのデータを遠隔で完全に初期化するセキュリティ機能です。
手元で直接操作する一般的な「初期化」とは異なり、ネットワーク経由で強制的にデータを拭き取る(wipe data)役割を持ちます。
リモートロックやローカルワイプと仕組みが異なり、通信オフライン状態ではコマンドが届かないという限界が存在します。
近年では、電源オフ状態でも遠隔ワイプを可能にするハードウェア技術や、端末自体にデータを残さない「データレスクライアント」も登場しています。
リモートワイプ(remote wipe)とは、インターネットなどのネットワーク経由で離れた場所にあるデバイスに消去命令を送り、内部データを完全に初期化するセキュリティ機能です。万が一の紛失や盗難時に第三者によるデータの閲覧や悪用を阻止するために、情シス部門では必須の対策となります。
「wipe data」の意味と手動の「初期化」との違い
IT分野における「wipe data(ワイプデータ)」とは、文字通りデータ領域を完全に「拭き取る(消去する)」という意味を持ちます。では、一般的な「初期化」と「リモートワイプ」は何が違うのでしょうか。
最も明確な違いは、実行する手段と強制力にあります。デバイス本体をユーザー自身が直接操作して工場出荷時の状態に戻すのが通常の「初期化」であり、ネットワーク経由で離れた場所の管理者から初期化の命令を強制的に実行させるのが「リモートワイプ」です。ワイプとは何かを理解する上では、この「手元に端末がない状態でも遠隔から強制的にデータを消去できる」という点が本質となります。
リモートロックやローカルワイプとの決定的な違い
リモートワイプと混同されやすい機能として「リモートロック」と「ローカルワイプ」があります。これらは適用する条件やネットワーク要件が異なるため、セキュリティ設計に合わせて正しく使い分ける必要があります。
機能名 | 概要と仕組み | ネットワーク要件 | メリット・役割 |
|---|---|---|---|
リモートワイプ | 遠隔操作でデータを完全に消去(初期化)する機能。データ漏洩を防ぐ最終手段。 | 通信環境が必須。オフラインでは命令が届きません。 | デバイスが手元になくとも、個人情報や企業秘密の漏洩を完全に防ぐことができます。 |
リモートロック | 遠隔操作でデバイスの画面をロックし、操作不能にする機能。データはデバイスに残ります。 | 通信環境が必須。一時的な保全に有効。 | デバイスが発見された際、ロックを解除するだけで元の業務に即座に復帰できます。 |
ローカルワイプ | パスコードの連続入力ミスなど、事前に定めた条件で端末単体が自動的にデータを消去する機能。 | 通信環境は不要。オフラインでも作動します。 | 悪意ある拾得者が意図的に通信を遮断(SIMカードの抜き取り等)しても、データを防衛可能です。 |
状況に応じた使い分けと「タイマーロック」の活用
通常、端末の紛失や盗難が発覚した際は、まず「リモートロック」をかけて第三者の操作を遮断し、捜索を行います。その後、どうしても発見の目処が立たない場合に、最終手段として「リモートワイプ」を実行するのがセキュリティの定石です。
ただし、リモートワイプの最大の弱点は「デバイスが圏外や電源オフの状態では命令が届かない」点にあります [cite: 3]。このオフライン問題を補完するため、通信を必要としない「ローカルワイプ」をポリシーで強制したり [cite: 27]、一定時間サーバーと通信できなければ自動でロックがかかる「タイマーロック」や「タイマーワイプ」を併用したりすることが、情シスにおける堅牢なセキュリティ設定の鍵となります。
情報漏洩の最新動向とMDM(モバイルデバイス管理)の必要性
スマートデバイスの急速な普及とハイブリッドワークの定着に伴い、社外へ持ち出すPCやスマートフォンに対する情報漏洩対策はかつてないほど重要度を増しています。東京商工リサーチが発表した「上場企業の個人情報漏えい・紛失事故」に関する調査(2023年)によると、情報漏洩や紛失の事故原因として「紛失・誤廃棄」や「不正持ち出し・盗難」が毎年高い割合を占めており、物理的なデバイス紛失が重大なコンプライアンス違反に直結しています(東京商工リサーチ調査ページ参照)。
急成長する国内MDM(モバイルデバイス管理)の市場規模
こうした紛失インシデントへの防衛策として、法人向けMDM(Mobile Device Management)ツールの導入が急速に進んでいます [cite: 8]。調査会社IMARC Groupのレポート(IMARC Group: Japan Mobile Device Management Market)によれば、日本のモバイルデバイス管理(MDM)市場規模は2025年に6億110万米ドル(約900億円規模)に達しました [cite: 9, cite: 10]。さらに、2026年から2034年にかけて年平均成長率(CAGR)24.06%という非常に高い成長を示し、2034年には41億8,380万米ドルに達すると予測されています [cite: 9, cite: 10]。国内の独立系IT調査会社ITRの発表(ITR公式サイト)でも、MDM市場の売上金額は前年度比で20%以上の増加を維持しており、企業のデバイス管理需要はより高度化・一元化しています [cite: 8]。
中小企業におけるBYODの普及率と潜在リスク
大企業に限らず、中堅・中小企業でもスマートフォンの業務利用が進んでいます。独立行政法人 情報処理推進機構(IPA)の調査(2021年度実施、IPA情報セキュリティ報告書)を参照した報告によると、従業員規模が小さくなるほど個人の私物端末を業務に利用する「BYOD」の許容率が高まり、小規模企業の約40.7%、101名以上の中小企業でも16.1%がBYODを認めていると回答しています(※2021年度調査のデータ) [cite: 11, cite: 12]。しかし、これらの中小企業において適切なリモートワイプやデータ管理の仕組みが導入されているとは限らず、深刻な情報漏洩リスクを放置する形となっています [cite: 13]。
国内企業におけるMDMの導入・活用事例
組織的にMDMを導入し、リモートワイプやデバイス管理を最適化した国内企業の具体的な事例は以下の通りです。
事例1:三菱重工業株式会社
業種・規模:製造業(重工業)・大企業
導入時期:2011年〜(継続運用中) [cite: 16]
課題:製造現場における図面閲覧や品質管理チェックシート入力のためにモバイル端末(スマートフォンやタブレット)を配布するにあたり、紛失時の徹底的なセキュリティ確保が求められていました [cite: 16]。
施策:マルチOSプラットフォーム対応で操作性が高く、きめ細かな管理者権限設定が可能なMDMツール「MobiControl」を導入 [cite: 16]。
成果:モバイル端末紛失時、情シスの権限で即座に確実なリモートワイプを実行可能に。さらに製造現場のカメラ機能制限などを行い、高いセキュリティ水準での業務変革を達成しました [cite: 16]。
事例2:株式会社メディセオ
業種・規模:医療用医薬品・医療機器卸売業・大企業
導入時期:2010年代半ば〜
課題:配送業務で使用する多数のハンディターミナルについて、セキュリティの確保と現場でアプリやシステムにトラブルが生じた際の迅速な対応 [cite: 16, cite: 20]。
施策:MDMプラットフォーム「MobiControl」の遠隔制御機能や、アプリの配信・管理機能を展開 [cite: 16, cite: 20]。
成果:現場で操作上の問題や不具合が発生した際、管理センターから遠隔でリモート操作してサポートを実施。トラブル対応にかかる時間を従来の「6分の1」に短縮することに成功しました [cite: 16, cite: 20]。
リモートワイプの種類:フルワイプとセレクティブ(コンテナ)ワイプ
リモートワイプ機能には、データを消去する範囲に応じて「フルワイプ」と「セレクティブワイプ」の2種類が存在します。企業支給の専用端末か、従業員の私物端末(BYOD)かで適切な管理方式を選択しなければなりません。
フルワイプ(完全消去)
フルワイプとは、デバイスに保存されているOSの設定、インストールされたアプリケーション、すべてのデータを完全に消去し、工場出荷時の状態(ファクトリーリセット)に戻す処理のことです。第三者が専用のツールを用いてデータを復元することは極めて困難になるため、会社が所有・貸与する業務用PCやスマートフォンが盗難に遭った際や、リース返却・廃棄する前の直前作業として実行されます。
セレクティブワイプ(部分消去)とBYODにおける法的・プライバシーリスク
セレクティブワイプとは、デバイス全体を初期化するのではなく、特定の業務用データや指定したビジネスアプリケーションのデータのみを選択的に削除する機能です。
BYOD(個人の私物端末の業務利用)環境下で、紛失・盗難が発生した際に会社側の都合でフルワイプを実行してしまうと、従業員のプライベートな写真、家族の連絡先、個人の購入履歴データまで全て消去してしまいます [cite: 21, cite: 22]。これは従業員のプライバシー侵害や損害賠償問題へと発展する重大な法的リスク(プライバシーリスク)を含んでいます [cite: 21, cite: 22]。
これを防ぐために必須となるのが、MAM(モバイルアプリケーション管理)の仕組みです [cite: 22, cite: 23]。MAMは、個人端末の中に暗号化された安全な「業務専用コンテナ(セキュア領域)」を作成し、その領域のアプリやデータのみを管理します [cite: 21, cite: 24]。万が一紛失した際、あるいは従業員が退職した際には、このコンテナ領域内の業務データのみをピンポイントで消去する「セレクティブワイプ(コンテナワイプ)」を実行します [cite: 21, cite: 22]。これにより、個人のデータには一切手を触れずに企業の情報資産だけを守ることが可能となります [cite: 25, cite: 22]。運用に入る前に、「どのような条件でワイプを実行するか」について従業員と明確な合意書(誓約書)を交わしておく必要があります。
▲ フルワイプ(完全消去)とセレクティブワイプ(部分消去)の消去範囲と適したユースケースの比較
OS標準機能でリモートワイプを実行する手順
専用のMDM(モバイルデバイス管理)ツールを導入していない個人利用や小規模なビジネス環境であっても、各OS(iOS/Android/Windows)に標準搭載されている機能を使用してリモートワイプを実行可能です。いざという時の初動対応のために、手順を理解しておきましょう。
iPhone / iPad / Macの場合(Apple製品)
Apple製品では、iCloudの「探す(Find My)」機能を利用してリモートワイプを実行します。これはiPhoneのリモートワイプとして最も一般的な方法です。
事前設定:デバイスの「設定」アプリ>[ユーザー名]>「探す」を開き、「iPhoneを探す」(Macの場合は「Macを探す」)がオンになっていることを確認します。
実行手順:別のPCやスマホのブラウザから
icloud.com/findにアクセスし、紛失した対象デバイスと同じApple IDでサインインします。「すべてのデバイス」から、紛失した対象の端末を選択します。
画面上に表示されるメニューから「このデバイスを消去」を選択し、画面の指示に従うことで遠隔フルワイプが始まります。
Androidデバイスの場合
Androidデバイスでは、Googleが提供する「デバイスを探す(Find My Device)」機能を使用します。
事前設定:デバイスの「設定」アプリ>「セキュリティ」または「Google」>「デバイスを探す」がオンになっていることを確認します。
実行手順:ブラウザから
android.com/findにアクセスし、対象デバイスに紐付いているGoogleアカウントでログインします。対象のデバイスを選択し、「デバイスデータを消去」をクリックします。確認画面で再度実行を選択すると、処理が開始されます。
Windows PCの場合の制約
Windows 10/11にも「デバイスの検索」機能が備わっています。ブラウザから account.microsoft.com/devices にアクセスし、Microsoftアカウントでサインインすることでデバイスの位置特定やリモートロックが可能です。
ただし、PCでのリモートワイプには重大な構造上の制約があります。スマートフォンは携帯キャリアネットワーク(4G/5G)で常時接続されていますが、一般的なノートPCはWi-Fi等の接続環境がなければオフラインとなり、遠隔からの命令は届きません。また、Windowsの標準機能による完全なデータ消去は限定的であるため、企業ユースにおいては次に解説する高度な消去方式の導入が求められます。
Windows PCにおける高度なデータ消去と次世代遠隔ワイプ技術
企業のWindows PCにおいては、単に表面上の「フォーマット」や「初期化」を行うだけでは、市販のデータ復元ツールによって情報を抽出される危険性が残ります。確実な機密データ保護を実現するために、最新の消去基準とハードウェアレベルの次世代技術を把握しておきましょう。
最新標準「IEEE 2883-2022」と暗号化消去(CE)
近年のSSD搭載PCにおいて、データ消去の国際的ガイドラインは従来の米国NIST「SP 800-88」から、現代のストレージ構造に適応した「IEEE 2883-2022」(2022年制定)へとシフトしています。なお、本規格は制定から数年が経過していますが、2025年時点においても業界標準として広く参照されており、実際の運用導入にあたっては常に最新の公式情報をご確認ください。この最新標準で推奨されている消去方式が「暗号化消去(Cryptographic Erase / CE)」です。
暗号化消去では、PCのドライブ全体をあらかじめBitLocker等の機能で暗号化して運用します。PCの紛失が発覚した際、遠隔からのコマンドによって「データを復号するための暗号鍵(マスターキー)」だけを瞬時に破棄します。鍵を失ったことで、ストレージ内のデータは解読不可能な単なる乱数の塊となり、実質的にデータが完全に消去された状態と同等になります。全体をゼロデータで上書きする方式に比べてわずか数秒で完了するため、時間制限が厳しい緊急事態でのリモートワイプに極めて有効です。
電源オフ・通信オフも克服する次世代ハードウェア・ワイプ
従来のソフトウェアベースのMDMでは、PCが電源オフ状態である場合、また悪意のある拾得者がWi-Fiを切断し、SIMカードを抜いた(オフライン)状態である場合、ワイプコマンドがいつまでも届かず、実行を完了できないという致命的な弱点がありました [cite: 4, cite: 3]。
この限界を克服する手段として、近年注目されているのが「HP Protect and Trace with Wolf Connect(以下、HP Wolf Connect)」に代表されるハードウェアレベルのリモート管理技術です [cite: 5, cite: 6]。
この技術は、PC内部(マザーボード等)にIoT機器向けの省電力セルラーLPWA規格である「LTE Cat-M」対応の独立したモバイル通信モジュールと、GPSセンサーをファクトリー出荷段階で搭載します [cite: 1.2.1, cite: 1.2.4, cite: 1.2.7]。これにより、以下のような従来の常識を覆す遠隔保護を実現します [cite: 6, cite: 4]。
電源オフ時の強制ワイプ:PCの電源が入っていない状態であっても、管理クラウドからワイプコマンドを送信すると遠隔でシステムが起動 [cite: 5, cite: 6]。即座にNIST(米国国立標準技術研究所)が定めるパージ(除去)レベルでのデータ消去が自動で実行されます [cite: 5, cite: 6]。
SIM抜き取り・圏外対策:OS標準のWi-Fiやモバイル回線とは完全に独立した専用のナローバンド通信経路を使用するため、SIMカードが抜かれていても、OSが起動不能な状態であっても、グローバルなモバイルネットワークを介して確実にロックやワイプコマンドをPCに届けることが可能です [cite: 7, cite: 4]。
▲ 最新規格「IEEE 2883-2022」が推奨する暗号化消去(CE)による遠隔データ無効化の3ステップ
MDMによるリモートワイプ管理が必要な理由とデータレスクライアントという選択肢
企業が組織的に数十台、数百台規模のデバイスを管理・保護する場合、個人向けのOS標準機能に依存することは運用の破綻を招きかねません。一元管理の仕組みを構築するために、MDMの活用、さらには「そもそもデータを保存させない」データレスクライアントの導入を検討する必要があります。
OS標準機能と法人向けMDM/UEMの違い
個人向けに提供されているOS標準機能と、法人向けのMDM(またはUEM:統合エンドポイント管理)の最大の違いは、管理者の統制力(強制権限)と法的・内部監査に耐えうる「監査ログ(証跡)」の有無にあります。
比較項目 | OS標準機能(個人向け) | MDM / UEM(法人向け) |
|---|---|---|
ワイプの実行権限 | 各デバイスに紐付けた個人のApple ID、Google、Microsoftアカウントのパスワードが必須。 | 情報システム部門の管理者が一括管理コンソールからデバイスに紐づく個人認証を無視して強制実行可能。 |
実行ログと監査証跡 | いつ実行されたか、完了したか等の明確な証跡を組織として収集・保存することが困難。 | 「いつ・誰が・どのデバイスに対してコマンドを送信し、いつ正常に消去が完了したか」が詳細な監査ログとして記録されます。 |
消去範囲の制御 | 基本的には、デバイス全体の初期化(フルワイプ)しか選べません。 | 業務に関連するコンテナデータのみを消去する「セレクティブワイプ」を細かく制御可能です。 |
ライセンス・費用感 | 無料(デバイスに標準搭載)。 | 有料(MDMツールやプラン、台数による。月額数百円〜/台が目安)。 |
退職者がデバイスを返却しないケースや、パスワードを変更されてしまった場合、OS標準機能では情シスが遠隔から介入できません。MDMを導入していれば、情シスの権限で即座にデータ消去を執行できます。
予防対策:端末にデータを保存させない「データレスクライアント」
リモートワイプは「紛失した後に消去命令を送る」という事後対策です。これに対し、「最初からPC内部にデータを残さない」ことで、万が一の紛失・盗難時にも情報漏洩のリスクを極小化する「予防対策」として機能するのが「データレスクライアント」というアプローチです [cite: 26, cite: 14]。
「Shadow Desktop」や「CACHATTO Desktop」などのソリューションは、通常のPC(FAT-PC)の使い心地を維持したまま、ユーザーがPC上に作成・保存したデータを即座にクラウドストレージへ自動アップロードしてデータレス化(同期後にPC上から元のファイルの実体を排除し、キャッシュのみを一時的に暗号化保持)します [cite: 1.4.3, cite: 1.4.5]。PCのシャットダウンやログオフを検知したタイミングで、ローカルキャッシュは自動でワイプされます [cite: 1.4.3, cite: 1.4.5]。
このデータレス化のアプローチは、高額な仮想デスクトップ(VDI)と比較して導入の手間やサーバー負荷が大幅に抑えられるため、大幅なコスト削減につながります [cite: 1.4.3]。
事例3:株式会社JTB
業種・規模:旅行業・大企業 [cite: 17, cite: 18]
導入時期:2020年代 [cite: 17]
課題:リモートワークにおける生産性向上と持ち出しPCのセキュリティ強化。従来のリモートデスクトップ(VDI)環境では通信が重く動作が遅いため、業務効率が低下していました [cite: 19]。
施策:PCをデータレス化し、高いセキュリティとFAT-PCの快適な利便性を両立する「Shadow Desktop」を導入 [cite: 19, cite: 18]。
成果:データはクラウドに保存され、ローカルには一切残らないため、高額なMDMによる厳格な紛失ワイプに依存せずとも完璧な漏洩防止を達成。通信遅延のない快適な作業環境を同時に実現しました [cite: 19, cite: 18]。
e-Janネットワークス株式会社におけるコスト削減実証
同社の実証事例によると、従来のVDI環境では年間1人あたり約4万円のサーバー・ライセンス費用が発生していました [cite: 14]。約70名のユーザーを自社製品「CACHATTO SecureContainer(セキュアコンテナ)」によるデータレスクライアントへ移行した結果、VDIの維持費用と比較して5年分に相当する約400万円のコスト削減を達成しました [cite: 14, cite: 15]。
リモートワイプを確実に実行するための運用ポイントと失敗時のトラブルシューティング
「MDMを導入していれば紛失時に100%ワイプできる」というのはよくある誤解です [cite: 3]。いざという時にワイプが作動しない事態を防ぐため、失敗の原因と対策、そして実務向けのチェックリストを徹底しましょう。
オフライン依存への対策:ローカルワイプの併用
前述の通り、ネットワークに繋がっていない端末に対して、サーバーから遠隔でワイプを送信することはできません [cite: 3]。この弱点を補完するために、ポリシー設定によって「ローカルワイプ」を強制させます。これは「パスコード入力を10回失敗した場合に端末自身が自動で初期化を行う」など、ネットワーク通信を必要とせず端末内のOSが自律して初期化を行う仕組みです [cite: 27]。オフライン対策として必ずセットで有効化しておきます。
暗号化への過信という「落とし穴」
「BitLockerなどでドライブを暗号化しているからリモートワイプはしなくても良い」と判断するのは危険な間違いです [cite: 3]。従業員が安易なパスコードを設定していたり、PC本体にパスワードを記述したメモを貼り付けていたり(認証情報の流出)した場合、暗号化は容易に突破されてしまいます [cite: 3]。暗号化は「時間稼ぎ」のための手法であり、紛失発覚時には、暗号化の有無にかかわらず即座にリモートワイプコマンドを発行するルールを徹底しなければなりません [cite: 3, cite: 28]。
技術解説:Microsoft IntuneでWindows PCのワイプが失敗する原因と対処法
近年、企業の標準プラットフォームであるMicrosoft Intuneを用いてWindows 10/11端末へ遠隔ワイプ(doWipe)コマンドを実行した際、ポータル上では「ワイプ成功」と表示されるのに、実際にはPC内のデータが消去されずにそのまま起動できてしまう「ファントムワイプ」や、途中で処理がクラッシュする事例が報告されています [cite: 29, cite: 30]。情報システム部門として検証すべき主な原因と対応ステップは以下の通りです [cite: 29, cite: 1.3.5]。
Windows RE(回復環境)の構成不備
原因:Windowsのリモートワイプは、内部的にWindows RE(回復環境)のシステムリセット機能を利用して実行されます [cite: 1.3.5]。しかし、ディスクイメージのクローンキッティングやリカバリを施したPCでは、回復環境イメージ(
WinRE.wim)のパス登録が外れて無効化されていることがあります [cite: 29]。この場合、Intuneからコマンドを受け取っても「Event ID 400(The request is not supported)」というエラーが発生してワイプ処理を無視します [cite: 29, cite: 31]。情シスによる対策:検証対象のテストPCで管理者権限のコマンドプロンプトを立ち上げ、
reagentc /infoを実行します。ステータスが「Disabled(無効)」の場合は、reagentc /enableを実行して回復環境を再構築・有効化します。
Windows Updateパッチとの競合
原因:特定のWindows Update(Recall機能に関連するシステムパッケージ等)が適用された環境において、Intuneからワイプを実行すると一部のUser Experience関連のコンポーネントが競合を起こし、リセットの途中でクラッシュ(進行度30〜40%前後で Event ID 4502 などを発生)して失敗する不具合が報告されています [cite: 30, cite: 1.3.8]。
情シスによる対策:WinREパーティション自体に、最新の「Safe OS Dynamic Update(例:KB5079471)」を直接統合(Dismコマンドを用いた.cabパッケージの適用)します [cite: 1.3.2, cite: 1.3.8]。また、OSビルドを最新かつ修正プログラム適用済みの状態に管理・同期させておきます [cite: 1.3.8]。
ストレージコントローラドライバ(RST等)の欠落
原因:Dellなどのメーカー製PCの一部モデルにおいて、Windows RE回復環境内にIntel RST(Rapid Storage Technology)などのストレージドライバが組み込まれていないため、初期化の処理中にシステムがストレージを見失い、「PCを初期化する際に問題が発生しました」とクラッシュします [cite: 32, cite: 1.3.4]。
情シスによる対策:キッティングイメージを作成する際、WinRE.wimイメージに対して必要なストレージコントローラドライバ(.infファイル)をDismコマンド等で手動マウントし、事前にインジェクション(ドライバ追加)して配布します [cite: 1.3.6, cite: 1.3.9]。
実務ですぐに使える紛失エスカレーション・チェックリスト
端末紛失・盗難が発生した際の対応フローを時系列で整備し、従業員および情シス部門に周知徹底させておきましょう。以下は推奨されるエスカレーションタイムラインとアクション確認リストです。
✅ 情シス用・運用管理チェックリスト:
エスカレーション体制:紛失後「30分以内」の第一報ルールが全従業員に周知されており、休日・夜間の受付ルートが確保されているか
ロック・ワイプ判断基準:紛失発覚から「何時間」見つからなければリモートワイプを実行するか、ルール(セキュリティポリシー)が定められているか
バックアップ管理:ワイプを実行して端末ローカルデータが全て消えても、本人が速やかに代替PCで業務を再開できるよう、日頃からOneDriveやクラウドストレージへの同期設定が稼働しているか
BYOD誓約書の徴収:BYOD対象の従業員から、紛失時に「セレクティブワイプ(コンテナ消去)」を実施する旨について、書面または電子同意を事前に得ているか
▲ 端末紛失時にリモートワイプを確実に実行するための通信状態別判断フロー
よくある質問
Q:リモートワイプはオフラインや電源オフの状態でも実行可能ですか?
A:原則として、一般的なOS標準機能やソフトウェアベースのMDMではネットワーク通信が切断されていると実行できません。ただし、省電力セルラー回線(LTE Cat-M)の独立した通信経路を搭載する「HP Wolf Connect」等の最新ハードウェアを採用しているPCであれば、電源オフやオフラインでも遠隔ワイプが可能です。
Q:BYODで利用している従業員の個人PCやスマートフォンをフルワイプしても問題ありませんか?
A:事前の合意なく個人端末をフルワイプした場合、プライベートな写真やデータも消失するため、プライバシー侵害や損害賠償といった法的リスクが発生します。BYOD環境では、業務用のセキュアコンテナ内データのみを削除できる「セレクティブワイプ(コンテナワイプ)」を運用してください。
Q:Microsoft Intuneでワイプを実行した際、「 doWipeエラー(イベント ID 400)」が出る場合の対処法は?
A:対象のWindows端末において、Windows RE(回復環境)が破損または無効化されている可能性が非常に高いです。管理者コマンドプロンプトで「reagentc /info」を実行し、回復環境がDisabledになっている場合は「reagentc /enable」を実行してWinREの関連付けを再構築してください。
Q:PCのローカルディスクを暗号化(BitLocker等)していれば、リモートワイプは不要ですか?
A:暗号化は極めて重要ですが、認証情報の漏洩(パスワードが記された付箋の貼り付けなど)によって突破される可能性があります。暗号化は情報アクセスまでの「時間稼ぎ」と捉え、紛失したことが確実な場合は、速やかにリモートワイプや暗号鍵の破棄(暗号化消去)を行うことが推奨されます。
まとめ
リモートワイプは、PCやスマートフォンの紛失・盗難時に企業の機密データを漏洩から守るための強力な「最終防衛手段」です。しかし、ネットワークのオフライン問題や、Windows REの構成不備に起因するIntuneワイプ失敗といった実務上のハードルに対処するためには、自律動作するローカルワイプの併用や、最新の暗号化消去(CE)設計、さらには「そもそも端末にデータを残さない」データレスクライアント(Shadow Desktopなど)の導入を多角的に検討する必要があります。
明日から取り組める最初の一歩として、まずは現在自社で貸与しているPCにおけるWindows REの有効化状態(reagentc /info)の確認や、スマートフォンにおけるパスコード連続入力ミス時の「自動初期化設定」が有効になっているかの見直しをお勧めします。まずは reagentc /info で自社貸与PCのWindows RE有効化状態を確認するところから始めてみてください。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
