CSIRTの設置よりも、やるべきことがありませんか？：ハギーのデジタル道しるべ（2/2 ページ）

[萩原栄幸，ITmedia]

1．離席する際、机上には計数情報、顧客情報を含む「紙」や名刺が置きっぱなし

　たとえ1分で済む用事で席を離れる時でも、最低でも書類は裏返しにし、ペーパーウェイト等で飛ばない様にしておく。ノートPCの画面なら、ディスプレイを閉じる、スクリーンセーバーロックをかけるなどの基本的なルールが定められ、順守されていること。

2．FAX送信時に宛て先を確認していない

　FAXの宛て先を間違えると情報流出になる。送信手順が明確になっており、きちんと運用されていなくてはならない。企業によっては、上司の確認と承認が必要で、しかも送信の事実や宛て先についてログを残している。そのログの検査も定期的に行われていること。

3．入社時などに提出してもらう、情報セキュリティについての誓約書が整備されていない

　新卒や中途で入社する人に対して、納得してもらう形の誓約書などが親会社、子会社ともにそろっており、厳重に運用管理することが望ましい。これは退職者向けの誓約書にも同様の事が言える。特に退職後に不正などが発覚した場合には、退職金の振込み（通常は退職月の1〜2カ月後に振込む）を停止にできるなどの記載をしておく必要がある。退職後は、法的にはすでに従業員ではないので、そうしないと「盗人に追い銭」になりかねない。在職時に知り得た内部情報を外部に公開する権利についても取り決めておく必要があるなど、注意点は多い。

4．退職者のIDやアカウントなどが1週間経ってもそのまま使用できる

　遅くとも退職予定日の翌日午前中には使用できないようにするのが望ましい。

5．CDやDVD、Blu-ray Disk、iPhone、タブレットなど入出力機器が自由に使える

　社内全域にするか、サーバルームなど場所ごとに設定するかは企業に寄るのだが、少なくともUSB接続型機器の使用を制限することは、いまや当たり前である。就業規則などのルールで定めているだけでは、何もしていないのと同じ。システム的にきちんとガードしていることが望ましい。重要エリアの場合、入口でスマホやデジカメなどを収納ボックスに強制的に入れてから、もしくは警備員のチェックを受けてからでないと通過できないのが通常なのだが、ノーチェックの企業もまだ多い。業種、業態により運用の形態は変わってくるだろうが、セキュリティの観点で第三者の評価を受けておくことをお勧めする。

6．ごみ箱の中に配布済資料やA4コピー用紙などが捨ててある

　情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング（ごみ箱検査）を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がないからである。たとえコピーに失敗した紙でもダメ。人間が判断するというアクションは避けるべきである（なぜなら人間はミスをするからである）。よって、何も書いていないA4用紙でもアウト。絶対にシュレッダーにする。JNSAの調査でも「紙」で情報が漏洩したケースが最も多い。ここの管理がしっかりしているかで、企業の本質が判る。例え過去30年紙漏洩はないといってもダメ。たまたま表面化する漏洩がなかっただけだからである。

紙の書類が山積みになっていたりしないだろうか

　以上で挙げたものの中には、業種や業態によっては極めて困難なケースもあるし、企業カルチャーの違いもあるので、すべての企業で同様の対応をしなくてはいけないというわけではない。ただし、１つでもこの中の事案に当てはまるものがあるなら、そこから情報漏洩対策を検討するべきだろう。現実と机上の理想論とのギャップを知り、その差を少しでも少なくするという「努力」があれば良い場合が多いのもまた事実なのである。

　皆さんの会社の情報セキュリティはいかがだろうか？　CSIRTはとても重要な組織だが、設置すればいいというものでもない。そこに至る前の基本はできているのか、という点はしっかり検証する必要があるのではないだろうか。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。