新人必見! 知ってる人もあらためておさらい! 情報セキュリティについて知っておきたいこと(その1):ハギーのデジタル道しるべ(1/2 ページ)
企業や組織に所属し、情報を扱うというのは、個人で宿題やレポートなどを扱うのとは訳が違う。春を迎えたので、あらためて情報セキュリティについての認識を確認しておくべきだろう。
4月を迎え、新しい年度が始まった。新入社員を受け入れた企業では、彼ら/彼女らの新人教育も始まっていることだろう。そこで今回は、こうした“新人”さん、あるいはまだ1人前にはなっていない若者に向けて、情報セキュリティ上注意しなくてはいけないことを紹介することにしたい。
こうした基本的な内容は、過去に掲載したことがあるものも多いが、最近になって注意すべきものとして新たに加わったものもある。「もう知っている」という人も、復習として再度確認してほしい。
まずは基本的なものを5点挙げておこう。なお、「知っておきたいこと」はこの5つで終わりではなく、次回以降も紹介していく予定だ。「こういう要素も入れておいた方がいい」といったご意見があれば、編集部まで知らせていただけるとありがたい。
1.PCのファイルやフォルダーは基本的には消えていない
通常、PCなどの操作で画像や文書のファイルを消すには、メニューから「削除」を選べばいいと思っていないだろうか。個人的には、この20年間ほど、いろいろなところでこのことをお伝えしてきたこともあり、OS上でファイルを消す操作をしても、情報が跡形もなく消えるわけではない、ということを理解している人は増えてきたと思う。しかし、已然(いぜん)として「ゴミ箱を空にすれば削除ができる」と思っている人が一定の割合でいる。
しかし、これはとんでもない認識違いだ。ディスク自体を初期化したり、全面をフォーマットしたりしても、データは完全には消えないのである。
詳細な理屈は、専門セミナーなどで聴講してもらいたいが、簡単に言うならこういうことだ。WindowsなどのOSは、ファイルの存在を「管理簿情報」から得ている。よって、この管理簿情報に記録されている、画像ファイルや文書ファイルの名前と置き場所の情報を消してしまえば、OSからは実質的に見えなくなる。しかし実際には、その情報が物理的に記録されていた場所にはデータがそのまま残っており、別のファイルの書き込みや、OSなどの作業用として上書きされるまでは、元の状態のままになっているのだ。
macOSやUNIX、Linuxなどにおいても、構造は違うものの理屈は同じである。またデジカメに使われるSDメモリーカードや、USBメモリーなども同様と思っていい。データを完全に消去するには「完全消去用ソフト」を利用するのが最善である。ただし、一部の無料ソフトには粗悪なものもあるので、できればメジャーなソフトを購入することを勧める。
以前、ある女子学生が学園祭のために泊まり込みで準備をしていた際に、普段は自宅でしか使っていなかったノートPCを持参して作業をしていたところ、食事などで離席したタイミングで中身を復元され、さまざまなプライベート情報を盗まれた、という事件があった。削除したはずの、他人には見せられない本音の日記、アドレス帳、彼氏との思い出の写真などなど、ほぼすべてが盗まれていたという。
デジタル情報の扱いには、細心の注意が必要だ。消したつもりでも、残っているのだ。ちなみにSDメモリーカード内の画像は、通常はなにをしても(実質的には)消えていない。最近のデジタル一眼レフなど、一部の機種はきちんと「完全消去」を行うものが出てきており、購入の際に確認して、この機能があるものを選ぶ慎重な人もいる。
2.“ノマドワーク”は危険がいっぱい
仕事ができそうな感じの女性が、喫茶店でノートPCを広げて仕事をしているのを見て、「自分も同じようにかっこよく仕事がしたい!」と思う人もいるかもしれない。しかし、“格好だけ”マネをするならやめた方がいい。
こういう仕事のしかたをしている人を、ノマドワーカー(ノマド)などと呼ぶが、こうしたスタイルで仕事をするなら、セキュリティ対策をしっかりしないと、大きなリスクになる。
まず、そもそも自社でこういう作業形態(社外へのPC持ち出し、個人用PCでの業務など)、が認められているのかどうか、という問題がある。情報システム部門などに確認をしよう。多くの場合、許可されていてもほとんどが「VPNを利用する」などの条件があるはずだ。
そして絶対に注意しなくてはいけないのが、喫茶チェーン店などに用意されている公衆無線LAN(無料Wi-Fi)。仕様により異なるが、一部のサービスでは、通信の暗号化がログイン時だけで、後は暗号化されていないと明記しているものもある。暗号化していないと、(1)同じWi-Fiのエリア内に接続している他人から、PCの内容が丸見えの場合がある、(2)Webサイトのhttp(httpsではない)通信は盗聴される可能性がある、というリスクがある。仕事で使う社外秘の文書を、うっかり共有フォルダに作成していたら、回りの人に内容を見られてしまう可能性があるという事だ。外国から来た観光客が、目的地や宿泊所などを探すには、公衆無線LANはとても便利だが、ビジネスで活用する場合には、セキュリティを確保して利用するのが鉄則と心得てほしい。当然のことだが、セキュリティ対策ソフトは必ずインストールしておこう。
関連記事
- 萩原栄幸氏の連載一覧
- CSIRTの設置よりも、やるべきことがありませんか?
企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。 - セキュリティができる会社とできない会社に分かれる理由
2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。 - ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編
2016年も情報セキュリティの世界ではさまざまな出来事があり、目まぐるしい変化が続いた。2016年の動向を振り返りながら、セキュリティにつながるポイントを挙げてみたい。 - 情報セキュリティの基本も揺るがした問題――2016年の総括・後編
2016年の情報セキュリティを振り返りたいが、それ以前に「情報セキュリティ」の「情報」そのものが脅かされる状況だ。この出来事に筆者なりの考えを述べたい。 - AIとシンギュラリティが情報セキュリティに何をもたらすか
ITの世界でAIやAIがもたらす「シンギュラリティ」が話題だ。世界が激変するかもしれないこの兆候を現在の人間はどう受け止めるべきだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.