第5回 社内のセキュリティ状況を把握する(環境チェック編)会社を強くする経営者のためのセキュリティ講座(2/2 ページ)

» 2010年11月24日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

抜き打ちチェックをしてみたら……

 ある企業では役員室や人事部の了解を得て、特定の部署を対象に抜き打ちでのセキュリティチェックを行いました。その内容は次のようなものでした。

1 個人机の施錠(帰宅時は施錠しなければならないと規則で決められている)

2 書類棚や書庫の施錠

3 ゴミ箱のチェック(書類やコピー用紙はすべてシュレッダーにかけることが規則で義務付けられている)

 その結果は悲惨なものでした。机の施錠に関しては、約12%がしていませんでした。机の中には、当然ながら「機密情報」が山積みの人もいました。ゴミ箱のチェック(「トラッシング」と呼ばれる行為)に関しても、印刷に失敗した議事録やコピーに失敗した企画書など、さまざまな情報がそのままゴミ箱に捨てられていたのです。通常の書類も2〜3片に破られているだけで、簡単に復元できました。

 この企業では、1年に1回は必ずセキュリティの啓蒙活動をしているとのことでしたが、従業員には会社の真意が伝わっていなかったようです。ここでも感じるのは、やはり「教育の大切さ」です。情報セキュリティ担当者やコンプライアンス担当者が自らその重要性を認識していなければ、社内教育を受講させても、従業員にその「精神」は伝わるはずがありません。経営層として、まず専門家を交えて担当者にセキュリティの重要性を再認識してもらいます。そして、担当者は一般の従業員に対する教育プランを計画していくことになります。

好ましい入退室管理

 重要なサーバルームや顧客情報にアクセスできる端末のある部屋への入退室管理は、指紋照合やICカードなどの手段で行っている企業が数多くあります。しかし電子機器の持ち込みを制限しても、せいぜい小さなケースに携帯電話やデジタルカメラなどを預けて、そのまま入室を許可しているケースが圧倒的に多いのです。ガードマンによる荷物の持ち込み/持ち出しのチェック実施しているところは、ほとんどありません。

 ここまでの対策は費用が高く、ある程度の設備も必要になります。費用対効果の点で決めるべきでしょう。費用がさほど掛からないケースでは、抜き打ちによる荷物検査を行い、その時点で発覚した事象を公開します。どのような行為がいけないものであり、そうした行為がもたらす損失(始末書や賞与の減額、降格など)を従業員に認識してもらいます。この場合は、事前に宣約書などの形で従業員に署名と捺印をしてもらうなどの法的な準備も必要になります。

 顧客の場合は、あくまで「任意」ということで協力を得るしかありません。入退室口の近くに監視カメラを設置することが多いのですが、監視カメラが存在するということだけで、犯罪の抑止効果が期待されます。「ダミー」の監視カメラを設置している企業も、この抑止効果を期待して設置しているのです。

 入退室の管理では、電子機器の持ち込みを防いだり、抑制効果の高い監視カメラを設置したりするなど、複数の防止措置を組み合わせることが、効果的であり、かつ安価な方法でしょう。その組み合わせを企業の風土に合わせて、模索するのが一番良い方法だと考えています。

 企業の存続にかかわるような場所のセキュリティ対策について、経営者の視点から専門家とその方法を検討してはいかがでしょうか。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


過去の連載記事一覧はこちらから


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ