セキュリティ投資は無駄金? 競争優位に変える身近な方法:会社に潜む情報セキュリティの落とし穴(2/2 ページ)
「仕方がないからやる」というセキュリティ投資への意識を改めてはいかがだろうか。多額の資金をかけずにセキュリティを競争優位性へと変えていく第一歩を紹介しよう。
競争優位性に変える第一歩
セキュリティ投資を競争優位性に変える取り組みでは、実は奇抜なアイデアや多額の費用が必要になるわけではなく、「セキュリティに王道なし」を言われるように地道な努力から始まります。まず、土台となる部分のセキュリティを固め、その上で競争優位性につながるさまざまなアイデアが生きてくるでしょう。
1.会社で認められているアプリケーション以外は禁止する
数年前ですが、社内から「業務ソフトウェアが急に動かなくなった」と報告があり、機器担当者が調べても分からないことがありました。わたしが現場で調べたところ、そのPCを使用する30代の女性が雑誌に付属していたCD-ROMからアイドルのスクリーンセーバーをインストールして利用していたのです。機器担当者も見逃していたのですが、スクリーンセーバーは業務ソフトウェアが使用するDLLの一つを変更していたのです。さまざまなアプリケーションが共通で使うプログラムが勝手に変更されて、挙動が不安定になったのですが、その女性は「まさかスクリーンセーバーくらいでこうなるとは思わなかった」と話していました。どんな些細な例外も認めるべきではないとい思います。
2.OSやウイルス対策ソフトは最新版に
セキュリティ対策ソフトウェアは、常に最新の状態にしなければ対抗できない脅威が増えています。最近では最新の状態にしておいもシステムに不正侵入されるケースも出現していますが、その可能性を最小限にするという点では必須です。
3.無断でインターネット接続をさせない
実際あったケースですが、企業内のLANに接続されたPCを勝手にインターネットへ直接接続させてしまった新入社員がいました。この新入社員は、こうすればファイアウォールの意味が無くなり、ネットワークが無防備になるということまでを想像できなかったようでした。
4.私物PCをLANに接続させない
最近ではさすがにこのようなケースが減りつつあるようですが、いまだに一部の官公庁や中小企業では行われているようです。私物PCを利用すれば、本人が意図しないマルウェアなどによる不正なアクセスなどが行われる恐れがあります。会社で管理できないものをLANに接続することは、「常識を逸脱した行為」に等しいものといえるでしょう。
5.モバイル機器のセキュリティに注意
最近では社外での業務などにモバイル端末を活用するケースが増えています。モバイル機器の使用をどこまで認め、安全に業務で使うためにはどうすべきかを考えるべきでしょう。安全に使うためにはそれなりの対策が必要になり、最低限としてウイルス感染や端末の盗難、置き忘れなどによる情報流出への防衛策を考えなくてはなりません。まずは、許された予算内で「どこまで実施するか」「何を守るか」を決め、完全防御ができなくても99.9%の防御を比較的安価な投資で実現できるかもしれません。
6.USBメモリや周辺機器の管理
外付けHDDやUSBメモリなどが業務に使われるシーンが増えています、特にUSBメモリの安全な使用方法については前回紹介しました。USBメモリ以外にも同様に管理が必要となりますが、その基本的な方法は以下の4つになります。
- 禁止(運用で禁止するのではなく、技術的に実行できなくする)
- 抑制+制御(なるべく使用させない。止むを得ない場合は許可制にし、技術的に制御する)
- 制御(アクセス制御や特定フォルダへのコピー禁止、閲覧禁止など)
- 監視(監視カメラやログ採取など。最低でも「誰が行った」のかが分かる方法)
ここで挙げた6つの基本的な方法あくまで一例ですが、このような基本的な対策が適切に行われていなければ、競争優位性を高めるセキュリティ環境は望めません。足元を見ずに理想だけを追求するのは、豆腐の上に高級別荘を作るようなもので、まずはその地盤である土地を固めないと家が建たないのと同じことです。
セキュリティに対する投資を「ライバルより一歩先に出るための戦略的な活動」として、自社の飛躍につなげるために積極的な意識を持ってみてはいかがでしょうか。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- あなたの会社は大丈夫? USBメモリの使い方を考える
データ漏えいやウイルス感染などUSBメモリにまつわる脅威が増加中だ。安価で便利なUSBメモリを安全に使っていくための方法を考察する。 - のぞき見だけで不正アクセス、内部犯罪はローテク見本市
企業内からの情報漏えい事件では社内の人間が関与するケースが少なくない。彼らは周囲の人間が驚くほど簡単な手段で情報の持ち出しを試みている。 - 「社内の人間は安全だ」という神話
セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。 - Winy利用の果て――家族崩壊した銀行マンの悲劇
ファイル交換ソフトを使った情報漏えい事件が後を絶たない。公私を問わず不用意に使用することが会社や組織だけでなく、家族や本人の人生にさえも暗い影を落としてしまうことがある。 - 振り込み用紙は“甘い蜜”――コンビニでの個人情報は安心か
日常生活の中ではさまざまなシーンで、個人情報を提供したり、提供を受けたりしている。今回はITから少し離れて、生活に身近な場所での個人情報の取り扱いを考えてみよう。 - USBメモリで広がるウイルスの脅威――感染からPCを守る方法
USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。 - SSLを過信していませんか――ネットバンキングに潜む誤解とは
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.