第4回 社内のセキュリティ状況を把握する(機器編):会社を強くする経営者のためのセキュリティ講座(2/2 ページ)
セキュリティのリスクは会社の事業にも大きな影響を与えます。経営者が知っておくべき対策のポイントを専門家・萩原栄幸氏が解説する連載。今回のテーマは「社内のセキュリティ状況を把握するポイント」です。
USBメモリの管理
2009年はUSBメモリなどで感染する「オートラン」ウイルスなどの騒ぎがありました。これによって、企業の対応がかなり進んでいると思われがちです。しかし、実態はそうではありません。一応は就業規則などで「私用のUSBメモリは禁止」などをうたっている企業でも、実際はほとんど規則が守られていないか、ないに等しい運用をされていました。
規則は設けたがその運用まで考えておらず、対策に費用を掛けることもできず、いつの間にか、対策以前の状態に戻ってしまうのです。「1年前にかなり大変な思いをしたが大丈夫だ」と今思っている企業は、危ない状況にあるかもしれません。
またUSBメモリ以外にも、SDカードやメモリースティックといったメディアがあります。そして、最近利用が増えているのがハンディタイプの外付けHDD(ハードディスク装置)です。今では汎用品でも1台で2テラバイトもの情報を記録できる製品が1万円ほどで購入できるほどなので要注意です。
対策の基本は、
- 接続できない環境にする、もしくは、接続してもコンピュータが認識できないようにしておく
- 業務用として許可されていない機器が接続されたことを認識する仕組みにする(管理者にすぐ警告する、接続者のPCの画面に大きく「不正接続の疑いあり!」というメッセージが表示されるようにしておく)
- 最低でもログの管理を徹底し、翌日には運用管理者がログの分析から事実確認ができるようにしておく
注意すべき点として意外に多いケースが、「当社ではきちんとログ採取をしている。しかも過去5年分保存しているので、何かあったらすぐに解析できるので安心だ」というものです。でも、これは「最悪」ともいえる状況です。なぜなら異常事態だと気がつかなければ、ログは単に「採取」するだけで誰も分析しないのであり、結局は何も分からないまま、5年が経過すれば、ログ情報は廃棄されるわけです。このような言葉を発するような担当者には注意すべきです。
一番難しい紙の管理
日本ネットワークセキュリティ協会(JNSA)の調査によると、情報漏えい事件で一番多い漏えい媒体が「紙」となっています。費用対効果を考慮すれば、紙媒体の厳重な管理を真っ先にすべきといえるでしょう。ただし、デジタル情報ではない「紙」は一度印刷やコピーをすると、その後の利用状況についてトレースしたり、運ばれた経路の分析をしたりすることはほとんどできません。多額のコストを掛けないとその管理が非常に難しいのです。
導入されている主な防止策は、次の通りです。
- コピー防止の特殊用紙の利用(印刷された情報をコピーしにくくする特殊な用紙)
- 印刷物に個人用の印をつけておき、万が一コピーが出回っても「誰」が関係したのかが分かるシステムの構築
- コピーや印刷を監視し、「誰が、いつ、どのファイルを、何部コピーした」のかが分かるシステムの構築
- 原則として紙の配布を禁止し、やむを得ず印刷をする際にはその許可を申請するような業務フローの導入
- シンクライアント端末の採用により、印刷やコピーを一切できないようにする体制の確立
- 入退室時にガードマンによる手荷物検査の徹底
実際には相当な苦労が伴い、大企業ですらこれらの対策を徹底できているところはほとんどありません。しかし、たまに抜き打ちチェックをするだけでも啓蒙活動としての効果は大きいものです。中小企業でもピンポイントで時々チェックをすれば、万が一のトラブルでもその被害を小さくできるしょう。
これらの対策が有効に機能するには、その根底として従業員のモラルの向上が欠かせないのです。経営者には、根本的な解決方法として「職場改善」「モラルアップ運動」「啓蒙活動の強化」などにも気を配っていただきたいものです。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- 第3回 ファイルを削除しても「消えない」データ
- 第2回 メールの適正利用をチェックできますか?
- 第1回 社内のコンピュータが加害者に――ウイルスやボットのリスク
- セキュリティ投資は無駄金? 競争優位に変える身近な方法
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.