かっこいいサイバー攻撃対策とかより先にやるべきセキュリティ対策：ハギーのデジタル道しるべ（1/2 ページ）

マスコミでもサイバー攻撃が取り上げられるようになり、その対策がブームになった。しかし職場にはサイバー攻撃に狙われるよりも残念な状況があちらこちらにある。まずは先にやってほしい対策のポイントを紹介したい。

[萩原栄幸，ITmedia]

　筆者は、金融機関を主体に一般企業のコンサルタントを主な仕事にしている。最近ではサイバー攻撃対策、標的型メール対策、内部犯罪防止策、FinTech対応、マイナンバー対策、IoTへの対応、CSIRT構築支援など、10年前に比べるとかなり高度な対応策に関する相談や作業が多い。

　新規に対応する企業の場合、筆者は先方が求める対応策について、例えば、サイバー攻撃対策などのサポートなら、それを実施する前に現状を調査してレポートを作成する。すると残念なことに、高度な対応策を始めるより前にもっと足元を固めるべき対応策が多々見つかる。

　高度な対応策に取り組む企業はマスコミ受けも良いのかもしれない。マスコミに取り上げられる「かっこいい」レベルの対応策における作業は、第三者には素敵に映るが、そこが情報セキュリティを意識していない職場であるなら、実態は「かっこいい」どころか、「ないよりはまし」のレベルだ。もっと基本的なところに着眼にすべきだと思う。

　その内容は企業によって異なるが、今回はそれら中からこの1、2年の間に筆者が実際に見かけた問題点と対策のポイントをお伝えしたい。見落としがちなものばかりだが、読者の企業で足固めのヒントになれば幸いである。

---

1.退職者のIDやアカウントなどが1週間経ってもそのまま使用できる

　遅くとも半日以内に使用できないようにするのが望ましい。

2.入社時に情報セキュリティ上から納得できる誓約書などが整備されていない

　新卒や中途で入社する人も納得できる誓約書などが親会社、子会社ともにそろっており、厳重に運用管理することが望ましい。

3.社内の一角にあるサーバルームで入退出管理がされていない

　当然ながらサーバルームや重要な部屋へ入る時は携帯電話、携帯端末、スマートフォン、携帯音楽プレーヤー、デジカメなどについて持ち込みを禁止し、出入口に監視カメラを設置し、社員証などによる入退出管理ではログをきちんとチェックしているなどの管理を実施する。

4.CDやDVD、ブルーレイ、iPhoneなど入出力機器が自由に使える

　USB接続型機器の使用を制限することは、いまや当たり前である。就業規則などのルールだけでは、何もしていないのと同じ。システム的にきちんとガードしていることが望ましい。

5.実行ファイル（exeファイルなど）をどうしてもメール送付などする場合に、例外措置や対応が新人にまできちんと理解されていない

　例外を認めないのがベターだが、業種・業態によっては先方（取引先）の依頼で認めざるを得ない場合がある。その場合の対応を個人裁量にしてはいけない。

「誓約書」の整備、運用もとても大切です