年末年始で大至急チェックしたいセキュリティ対策:萩原栄幸が斬る! IT時事刻々(2/2 ページ)
7.USB機器の利用制限や「オートラン」機能悪用への対応は済んでいるか?
情報処理推進機構の調査によれば、ここ数年に一番多くのマルウェア被害が発生している原因がUSB機器であった。この対策について、多くの企業が実施済みといわれるが、中小企業の多くがまだ無防備の状況にある。年末年始に時間に余裕があるタイミングで、ぜひ付き合いのあるIT企業と対策を検討し、少ない費用で実現できるところから確実に対策を講じてほしい。一部上場企業でも対策をしていなかったケースもある。
8.鍵が壊れたままの書棚をそのまま利用してはいないだろうか?
もし利用しているなら、盗まれても問題ないような「ちらし」「パンフ」などの一時保管に限定しておくべきだろう。だが、そのまま使っている組織を時々見かける。問題が起きれば、その組織の管理者の責任問題になるのが現実である。ぜひ年末の点検で壊れた鍵を発見したら修理することをお勧めする。
9.辞めた人物の情報搾取を最低限にする規則や法整備をしているか?
退職した人物はある意味で一番怖い存在だ。米国の調査では会社を辞めた人物の59%が情報の持ち出しに関与していたともいわれる。辞める場合の情報に関する誓約書や、内部で知り得た情報を公開してはいけないとか、退職後でも不正が発覚した場合には退職金を返還する権利を企業が保持するなど、さまざまな規則がある。だがこうした取り決めをルーズにしていて、後になって後悔した経営者が多数いる。顧問弁護士とも相談し、自社に適した規則を策定することが最低限の“保険”となるだろう。
また社内ルールが昔のままであれば見直すべきだ。筆者がある企業で抜き打ち検査をしたところ、退職者のIDが2カ月後でも有効だった例がある。厳しく管理している企業では退職の翌日の午前0時に権限を無効にするプロシージャーを組み込んでいる。
複数のシステムで個別に使われていた退職者のIDやパスワードなどの無効化、メールアドレスの強制転送処理などを手順として整備していない企業も散見される。特に入退室カードや指紋認証などを含めた一連の作業として、退職者の権限管理に抜けがないようにしておく。名刺も会社の資産である。退職者の名刺と、退職者が今までの業務で取得した関係者の名刺を回収する。名簿ファイルなどにも注意が必要だ。
10.重要な場所(サーバールーム、役員室など)でのデジカメ、携帯電話、スマートフォン、メディアプレーヤーなどの持ち込み制限を厳格に運用しているか?
これについても、以前に決めた運用方法を適切に行わず、年々“楽な”方へと運用が緩んでいく場合がある。実際にそうなっていた企業があった。もし規則が今の環境に耐えられないなら方法を検討し、セキュリティを確保しつつ運用できる新規則に変更しないといけない。もし規則すらないのであれば、年明けにもすぐに検討を行って新年度から運用する体制を整えるべきである。
11.外部に送信するメールは、CCに上司のアドレスを付加するなどの体制が整っているか?
これはまだまだ実施されていない企業が多いようだ。情報漏えいや内部不正の防御策としては効果が大きいものである。ただし、運用規則だけでは“抜け”が出てきてしまうので、なるべくシステムで防ぐ仕組みを構築していただきたい。多少の費用が伴うため、一時的な対策としては、メールサーバの閲覧権限を与え、抜き打ち検査で規則が守られているかをチェックする体制を構築するという方法もある。
12.実行ファイルなどをどうしてもメール添付する場合の例外規定が整備し、全従業員が認識しているか?
例外はどうしてもある。その場合に、手順が現場の人に大きな負担を強いることになっていると実効性に危険が伴う。また周知徹底しないと、規則を知らない従業員が別の方法でメールを送付してしまいかねないので、教育が重要となる。
13.会社のPCの持ち出しや私物PCの使用禁止が徹底されているか?
最近は会社でのスマートフォンの利用が増加しているが、スマートフォンが個人所有という、10年以上も昔のPCの利用状況を思い起こさせるのが今の実態だ。いわゆる「BYOD(Bring Your Own Device)」であるかもしれない。(恐縮だが)こういう場合には、日本スマートフォンセキュリティフォーラムが12月に公開した「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン」(PDFファイル)などを参考に、企業の規則を策定すると良いだろう。
情報セキュリティとは、高度な技術や高価なシステムで守られるだけではない。お金をかけず、基本に忠実な企業のセキュリティ対策は素晴らしい強度を実現する。基本を守らないで、どうやって企業を守れるのか――筆者はさまざまなところでこのように訴えている。脅威は一番に脆弱なところから侵入してくる。そして、それは大抵の場合は「人間」なのだ。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。