6.ごみ箱の中にA4コピー用紙などが捨ててある
情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング(ごみ箱検査)を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がない。
7.紙などの物理管理や情報管理が論理的かつ整然と実施されてない
情報漏えいで最も多いのが「紙」となる。情報の重要度に応じた紙への表記(社外秘、重要、コピー禁止など)や廃棄手順、管理方法について、せめて区分(ABCなど3段階以上)を設けて実施するべきだろう。
8.複合機にファックスや印刷物が放置されている
プリンタやコピー機の周りにある紙文書は、最低1時間に1回は担当者が回収しないと、出力した人間が不在なら何日にもわたって放置される。それを従業員の善意(だれかがしてくれるといった期待)に委ねてはいけない。さらに、これらの機器は作業時のメモリデータを消去できる機種になっていなければならない。
9.ファックス送信時にあて先を確認していない
ファックスのあて先を間違うと情報流出になる。送信手順が明確になっており、きちんと運用されていないといけない。企業によっては、上司の確認と承認が必要で、しかも送信の事実やあて先についてログを記録にしている。そのログの検査も行われていることが望ましい。
10.離席する際、机上には計数情報、顧客情報、名刺が置きっぱなし
例え、1分で済む用事から席を離れる時でも、最低でも書類は裏返しにして、ノートPCの画面がロックされるようにすべきだろう。
以上は基本中の基本となる対策である。業種・業態によっては、その他に下記の施策も実施していただきたい。
さらには、メールの添付ファイルをZip形式で暗号化し、パスワードを別のメールで送るようにしている企業は多いが、いまではその方法自体が脆弱過ぎるとして全面禁止にしているところもある(日本だけのガラパゴスルール)。
その理由は、一部の犯罪組織が「Zipファイル=機密情報=おいしい情報」と考え、Zipファイルが添付されたメールを集中的に狙っている。パスワード付きのメールを探したり、ツールでパスワードを解析したりしている。
以上の対策に自社固有の対応を追加していく。これらの対応が完了してからサイバー攻撃対策などの高度なセキュリティ対策を実現するのが望ましいが、もし時間がないなら、同時に改善・実装すべきだろう。
これらは、かっこいい高度な対応策に比べればローレベルかもしれないが、ぜひこの基本的な状況をチェックしていただきたい。
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.