2009年はUSBメモリなどで感染する「オートラン」ウイルスなどの騒ぎがありました。これによって、企業の対応がかなり進んでいると思われがちです。しかし、実態はそうではありません。一応は就業規則などで「私用のUSBメモリは禁止」などをうたっている企業でも、実際はほとんど規則が守られていないか、ないに等しい運用をされていました。
規則は設けたがその運用まで考えておらず、対策に費用を掛けることもできず、いつの間にか、対策以前の状態に戻ってしまうのです。「1年前にかなり大変な思いをしたが大丈夫だ」と今思っている企業は、危ない状況にあるかもしれません。
またUSBメモリ以外にも、SDカードやメモリースティックといったメディアがあります。そして、最近利用が増えているのがハンディタイプの外付けHDD(ハードディスク装置)です。今では汎用品でも1台で2テラバイトもの情報を記録できる製品が1万円ほどで購入できるほどなので要注意です。
対策の基本は、
注意すべき点として意外に多いケースが、「当社ではきちんとログ採取をしている。しかも過去5年分保存しているので、何かあったらすぐに解析できるので安心だ」というものです。でも、これは「最悪」ともいえる状況です。なぜなら異常事態だと気がつかなければ、ログは単に「採取」するだけで誰も分析しないのであり、結局は何も分からないまま、5年が経過すれば、ログ情報は廃棄されるわけです。このような言葉を発するような担当者には注意すべきです。
日本ネットワークセキュリティ協会(JNSA)の調査によると、情報漏えい事件で一番多い漏えい媒体が「紙」となっています。費用対効果を考慮すれば、紙媒体の厳重な管理を真っ先にすべきといえるでしょう。ただし、デジタル情報ではない「紙」は一度印刷やコピーをすると、その後の利用状況についてトレースしたり、運ばれた経路の分析をしたりすることはほとんどできません。多額のコストを掛けないとその管理が非常に難しいのです。
導入されている主な防止策は、次の通りです。
実際には相当な苦労が伴い、大企業ですらこれらの対策を徹底できているところはほとんどありません。しかし、たまに抜き打ちチェックをするだけでも啓蒙活動としての効果は大きいものです。中小企業でもピンポイントで時々チェックをすれば、万が一のトラブルでもその被害を小さくできるしょう。
これらの対策が有効に機能するには、その根底として従業員のモラルの向上が欠かせないのです。経営者には、根本的な解決方法として「職場改善」「モラルアップ運動」「啓蒙活動の強化」などにも気を配っていただきたいものです。
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.