年末年始で大至急チェックしたいセキュリティ対策：萩原栄幸が斬る！ IT時事刻々（1/2 ページ）

情報セキュリティおよび事業継続の専門家として伝えたいシリーズの3回目。今回は年末年始にチェックしていただきたいセキュリティ対策を取り上げる。

[萩原栄幸，ITmedia]

　これまでサイバー攻撃やBCP（事業継続計画）など、今が旬の話題について解説をしてきた。今回はもう少し基本に戻って、身近なセキュリティの問題について解説したい。

最も身近な問題

　本稿の基にした資料は、昨年に某東証一部上場企業の依頼でセキュリティのさまざまな問題点を指摘した際に用いたものである。IT企業などの読者からすると驚くほど“基本的”な事象ばかりだと思われるかもしれない。しかし、東証一部企業の中には基本的なセキュリティ対策ができていないところがある。ましてや、中小企業の現場では専門家の目でチェックすると、一昔前の状況のような無頓着な企業がまだまだ多い（だからこそ筆者のような役割が存在しているのだが）。

　以下のチェック項目は、情報セキュリティの基本を踏まえ、大半の企業で使えるように考慮したものであるが、筆者のオリジナルのものなので多少の偏りがあるかもしれない点はご留意いただきたい。

基本のセキュリティチェック・13項目

1.FAX、プリンタ、コピー機に印刷物が放置されていないか？

　従業員が出力した印刷物やコピーした用紙、そして、最も放置されがちなのがFAX送信した文書だ。いずれも情報漏えいの温床になっているもの。そばを通った際に必ず放置されていないかチェックする習慣を身に付け、相手が分かればその時点で文書を持参し、注意を促してほしい。FAXの場合、相手先が明示されている場合が非常に多く、すぐに相手に届ける。

2.FAXの誤送信防止対策はしているか？

　FAXのあて先を間違ったことによって、大きな情報漏えい事故が起きている。マスコミに謝罪記者会見をする羽目に陥った企業も少なくない。万が一職場で防止策が取られていないなら、少なくとも従業員がそうした事件に巻き込まれないように注意するしかない。テンキーで入力する時に必ず指さし確認を行う、職場の同僚に確認を依頼する、そもそもテンキーを使わずにできるだけ事前登録した短縮番号を利用するなど、ミスを低減する方法を考える。

3.机の引き出しや個人の書類入れなどは帰宅時に必ず施錠しているか？

　会社の規則で施錠を義務化していない会社でも、自分の情報は自分で守ること（一部の業種では逆に帰宅時に施錠してはいけないところもあるがそこは例外）。情報管理の基本中の基本だが、守られていないことが多い。抜き打ち検査をすると、企業によっては1割以上の従業員が、規則で施錠することを義務としているにもかかわらず、守られていないところがある。

4.離席する場合は規則通りにしているか？　規則がない場合に、最低限身を守る術ができているか？

　もし規則がない場合、「机上に紙は出したままにしない」「PCはノート型なら最低でも本体を閉じる」「緊急時は30秒で戻るにしてもせめて書類は裏返しにする」という社会人としてのマナー、というよりはセキュリティを意識した身を守る行動をしてほしい。

5.コピーミス、不要になった「紙」は、内容に関係なく全てシュレッダーで破棄しているか？

　資源の再利用といった理由で、中高年の一部の人はメモ用紙などに再利用している。しかしセキュリティの観点では、それは「禁止」に当たる。企業によっては、例え両面に何も印刷していない場合でもシュレッダーで破棄することを義務化している。また企業の中には、「内容を判断して、漏えいしても構わないものなら紙の再利用を認める」という規則を設けているところがある。こうした企業では、実際に情報漏えいが多発している。人間はミスするものという前提に立つと、こうした規則は設けるべきではないものといえる。

6.メールの添付ファイルに「パスワード付ZIPファイルを利用する」という行為は絶対に避ける。別の手段を検討すべし！

　パスワード付ZIPファイルを、今でも安全なファイル添付の方法として利用している企業がある。極めて危険であり、他の方法にしていただきたい。パスワード付ZIPファイル自体が脆弱であり、フリーソフトで簡単に解読できてしまう。あるハッカー集団がパスワード付ZIPファイルのメールだけを狙っていたということもあったと聞く。なぜなら、簡単にパスワードを解読でき、そこには彼らにとって“おいしい”情報がある可能性が高いからだった。