CSIRTの設置よりも、やるべきことがありませんか?:ハギーのデジタル道しるべ(2/2 ページ)
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。
1.離席する際、机上には計数情報、顧客情報を含む「紙」や名刺が置きっぱなし
たとえ1分で済む用事で席を離れる時でも、最低でも書類は裏返しにし、ペーパーウェイト等で飛ばない様にしておく。ノートPCの画面なら、ディスプレイを閉じる、スクリーンセーバーロックをかけるなどの基本的なルールが定められ、順守されていること。
2.FAX送信時に宛て先を確認していない
FAXの宛て先を間違えると情報流出になる。送信手順が明確になっており、きちんと運用されていなくてはならない。企業によっては、上司の確認と承認が必要で、しかも送信の事実や宛て先についてログを残している。そのログの検査も定期的に行われていること。
3.入社時などに提出してもらう、情報セキュリティについての誓約書が整備されていない
新卒や中途で入社する人に対して、納得してもらう形の誓約書などが親会社、子会社ともにそろっており、厳重に運用管理することが望ましい。これは退職者向けの誓約書にも同様の事が言える。特に退職後に不正などが発覚した場合には、退職金の振込み(通常は退職月の1〜2カ月後に振込む)を停止にできるなどの記載をしておく必要がある。退職後は、法的にはすでに従業員ではないので、そうしないと「盗人に追い銭」になりかねない。在職時に知り得た内部情報を外部に公開する権利についても取り決めておく必要があるなど、注意点は多い。
4.退職者のIDやアカウントなどが1週間経ってもそのまま使用できる
遅くとも退職予定日の翌日午前中には使用できないようにするのが望ましい。
5.CDやDVD、Blu-ray Disk、iPhone、タブレットなど入出力機器が自由に使える
社内全域にするか、サーバルームなど場所ごとに設定するかは企業に寄るのだが、少なくともUSB接続型機器の使用を制限することは、いまや当たり前である。就業規則などのルールで定めているだけでは、何もしていないのと同じ。システム的にきちんとガードしていることが望ましい。重要エリアの場合、入口でスマホやデジカメなどを収納ボックスに強制的に入れてから、もしくは警備員のチェックを受けてからでないと通過できないのが通常なのだが、ノーチェックの企業もまだ多い。業種、業態により運用の形態は変わってくるだろうが、セキュリティの観点で第三者の評価を受けておくことをお勧めする。
6.ごみ箱の中に配布済資料やA4コピー用紙などが捨ててある
情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング(ごみ箱検査)を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がないからである。たとえコピーに失敗した紙でもダメ。人間が判断するというアクションは避けるべきである(なぜなら人間はミスをするからである)。よって、何も書いていないA4用紙でもアウト。絶対にシュレッダーにする。JNSAの調査でも「紙」で情報が漏洩したケースが最も多い。ここの管理がしっかりしているかで、企業の本質が判る。例え過去30年紙漏洩はないといってもダメ。たまたま表面化する漏洩がなかっただけだからである。
以上で挙げたものの中には、業種や業態によっては極めて困難なケースもあるし、企業カルチャーの違いもあるので、すべての企業で同様の対応をしなくてはいけないというわけではない。ただし、1つでもこの中の事案に当てはまるものがあるなら、そこから情報漏洩対策を検討するべきだろう。現実と机上の理想論とのギャップを知り、その差を少しでも少なくするという「努力」があれば良い場合が多いのもまた事実なのである。
皆さんの会社の情報セキュリティはいかがだろうか? CSIRTはとても重要な組織だが、設置すればいいというものでもない。そこに至る前の基本はできているのか、という点はしっかり検証する必要があるのではないだろうか。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 萩原栄幸氏の連載一覧
- セキュリティができる会社とできない会社に分かれる理由
2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。 - ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編
2016年も情報セキュリティの世界ではさまざまな出来事があり、目まぐるしい変化が続いた。2016年の動向を振り返りながら、セキュリティにつながるポイントを挙げてみたい。 - 情報セキュリティの基本も揺るがした問題――2016年の総括・後編
2016年の情報セキュリティを振り返りたいが、それ以前に「情報セキュリティ」の「情報」そのものが脅かされる状況だ。この出来事に筆者なりの考えを述べたい。 - AIとシンギュラリティが情報セキュリティに何をもたらすか
ITの世界でAIやAIがもたらす「シンギュラリティ」が話題だ。世界が激変するかもしれないこの兆候を現在の人間はどう受け止めるべきだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.