かっこいいサイバー攻撃対策とかより先にやるべきセキュリティ対策:ハギーのデジタル道しるべ(2/2 ページ)
マスコミでもサイバー攻撃が取り上げられるようになり、その対策がブームになった。しかし職場にはサイバー攻撃に狙われるよりも残念な状況があちらこちらにある。まずは先にやってほしい対策のポイントを紹介したい。
6.ごみ箱の中にA4コピー用紙などが捨ててある
情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング(ごみ箱検査)を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がない。
7.紙などの物理管理や情報管理が論理的かつ整然と実施されてない
情報漏えいで最も多いのが「紙」となる。情報の重要度に応じた紙への表記(社外秘、重要、コピー禁止など)や廃棄手順、管理方法について、せめて区分(ABCなど3段階以上)を設けて実施するべきだろう。
8.複合機にファックスや印刷物が放置されている
プリンタやコピー機の周りにある紙文書は、最低1時間に1回は担当者が回収しないと、出力した人間が不在なら何日にもわたって放置される。それを従業員の善意(だれかがしてくれるといった期待)に委ねてはいけない。さらに、これらの機器は作業時のメモリデータを消去できる機種になっていなければならない。
9.ファックス送信時にあて先を確認していない
ファックスのあて先を間違うと情報流出になる。送信手順が明確になっており、きちんと運用されていないといけない。企業によっては、上司の確認と承認が必要で、しかも送信の事実やあて先についてログを記録にしている。そのログの検査も行われていることが望ましい。
10.離席する際、机上には計数情報、顧客情報、名刺が置きっぱなし
例え、1分で済む用事から席を離れる時でも、最低でも書類は裏返しにして、ノートPCの画面がロックされるようにすべきだろう。
以上は基本中の基本となる対策である。業種・業態によっては、その他に下記の施策も実施していただきたい。
- PCにワイヤーロックを付けて持ち出せないようにする
- システム上のデータの流れに基づいて子会社や関係会社とのやりとりに関するセキュリティ強化策を実装する
- 退社時における机の施錠と机上への書類放置禁止など徹底する
- 年に1回は従業員のパスワードをクラックして、あまりに脆弱な場合は従業員への注意やペナルティを含めた対応を行う
- 管理者権限を持つ従業員について、社内全体のシステムとシステム間や端末を含めた全てのログを一気通貫でチェックする(情報漏えいの早期発見が可能)
さらには、メールの添付ファイルをZip形式で暗号化し、パスワードを別のメールで送るようにしている企業は多いが、いまではその方法自体が脆弱過ぎるとして全面禁止にしているところもある(日本だけのガラパゴスルール)。
その理由は、一部の犯罪組織が「Zipファイル=機密情報=おいしい情報」と考え、Zipファイルが添付されたメールを集中的に狙っている。パスワード付きのメールを探したり、ツールでパスワードを解析したりしている。
以上の対策に自社固有の対応を追加していく。これらの対応が完了してからサイバー攻撃対策などの高度なセキュリティ対策を実現するのが望ましいが、もし時間がないなら、同時に改善・実装すべきだろう。
これらは、かっこいい高度な対応策に比べればローレベルかもしれないが、ぜひこの基本的な状況をチェックしていただきたい。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 「使えないシステムにカネ消えた……」 そんな状況を変えるには?
日本はIoTやビッグデータといった新しいモノが好きだ。そんな企業のトップからは、情報セキュリティの仕事にちょっと後悔を感じるほどの残念な声を聞く。だからこそ、新しいモノを失敗させない方法を提示してみたい。 - 年金機構事件から1年、日本が至急やるべき10の対策と心構え
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。 - 「あやしいメールを開くな」は無意味? 掛け声で終わらせない方法
米Verizonの分析では2015年に発生した900件以上のデータ侵害になりすましメールが使われた。「あやしいメールを開くな」とよく言われるが、同社は補完的な対応が不可欠だと指摘する。 - 第28回 「続けてパスワード送付」欧米でまったく使われないワケ
「解凍パスワードは別メールで送ります」ってことありますよね。実はこれ、日本のみのガラパゴスルールなのだそうです。欧米ではどんな考え方で、どのように対策しているのでしょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.