ここから本文です

かっこいいサイバー攻撃対策とかより先にやるべきセキュリティ対策

ITmedia エンタープライズ 8月5日(金)13時22分配信

 筆者は、金融機関を主体に一般企業のコンサルタントを主な仕事にしている。最近ではサイバー攻撃対策、標的型メール対策、内部犯罪防止策、FinTech対応、マイナンバー対策、IoTへの対応、CSIRT構築支援など、10年前に比べるとかなり高度な対応策に関する相談や作業が多い。

【画像:「誓約書」の整備、運用もとても大切だ】

 新規に対応する企業の場合、筆者は先方が求める対応策について、例えば、サイバー攻撃対策などのサポートなら、それを実施する前に現状を調査してレポートを作成する。すると残念なことに、高度な対応策を始めるより前にもっと足元を固めるべき対応策が多々見つかる。

 高度な対応策に取り組む企業はマスコミ受けも良いのかもしれない。マスコミに取り上げられる「かっこいい」レベルの対応策における作業は、第三者には素敵に映るが、そこが情報セキュリティを意識していない職場であるなら、実態は「かっこいい」どころか、「ないよりはまし」のレベルだ。もっと基本的なところに着眼にすべきだと思う。

 その内容は企業によって異なるが、今回はそれら中からこの1、2年の間に筆者が実際に見かけた問題点と対策のポイントをお伝えしたい。見落としがちなものばかりだが、読者の企業で足固めのヒントになれば幸いである。

1.退職者のIDやアカウントなどが1週間経ってもそのまま使用できる

 遅くとも半日以内に使用できないようにするのが望ましい。

2.入社時に情報セキュリティ上から納得できる誓約書などが整備されていない

 新卒や中途で入社する人も納得できる誓約書などが親会社、子会社ともにそろっており、厳重に運用管理することが望ましい。

3.社内の一角にあるサーバルームで入退出管理がされていない

 当然ながらサーバルームや重要な部屋へ入る時は携帯電話、携帯端末、スマートフォン、携帯音楽プレーヤー、デジカメなどについて持ち込みを禁止し、出入口に監視カメラを設置し、社員証などによる入退出管理ではログをきちんとチェックしているなどの管理を実施する。

4.CDやDVD、ブルーレイ、iPhoneなど入出力機器が自由に使える

 USB接続型機器の使用を制限することは、いまや当たり前である。就業規則などのルールだけでは、何もしていないのと同じ。システム的にきちんとガードしていることが望ましい。

5.実行ファイル(exeファイルなど)をどうしてもメール送付などする場合に、例外措置や対応が新人にまできちんと理解されていない

 例外を認めないのがベターだが、業種・業態によっては先方(取引先)の依頼で認めざるを得ない場合がある。その場合の対応を個人裁量にしてはいけない。

6.ごみ箱の中にA4コピー用紙などが捨ててある

 情報セキュリティ意識の高い企業では、シュレッダー以外のコピー用紙の廃棄を認めていない。しかもトラッシング(ごみ箱検査)を不定期に行ってチェックをしている。規則だけ決めて検査をしないのではほとんど意味がない。

7.紙などの物理管理や情報管理が論理的かつ整然と実施されてない

 情報漏えいで最も多いのが「紙」となる。情報の重要度に応じた紙への表記(社外秘、重要、コピー禁止など)や廃棄手順、管理方法について、せめて区分(ABCなど3段階以上)を設けて実施するべきだろう。

8.複合機にファックスや印刷物が放置されている

 プリンタやコピー機の周りにある紙文書は、最低1時間に1回は担当者が回収しないと、出力した人間が不在なら何日にもわたって放置される。それを従業員の善意(だれかがしてくれるといった期待)に委ねてはいけない。さらに、これらの機器は作業時のメモリデータを消去できる機種になっていなければならない。

9.ファックス送信時にあて先を確認していない

 ファックスのあて先を間違うと情報流出になる。送信手順が明確になっており、きちんと運用されていないといけない。企業によっては、上司の確認と承認が必要で、しかも送信の事実やあて先についてログを記録にしている。そのログの検査も行われていることが望ましい。

10.離席する際、机上には計数情報、顧客情報、名刺が置きっぱなし

 例え、1分で済む用事から席を離れる時でも、最低でも書類は裏返しにして、ノートPCの画面がロックされるようにすべきだろう。

 以上は基本中の基本となる対策である。業種・業態によっては、その他に下記の施策も実施していただきたい。

・PCにワイヤーロックを付けて持ち出せないようにする
・システム上のデータの流れに基づいて子会社や関係会社とのやりとりに関するセキュリティ強化策を実装する
・退社時における机の施錠と机上への書類放置禁止など徹底する
・年に1回は従業員のパスワードをクラックして、あまりに脆弱な場合は従業員への注意やペナルティを含めた対応を行う
・管理者権限を持つ従業員について、社内全体のシステムとシステム間や端末を含めた全てのログを一気通貫でチェックする(情報漏えいの早期発見が可能)

 さらには、メールの添付ファイルをZip形式で暗号化し、パスワードを別のメールで送るようにしている企業は多いが、いまではその方法自体が脆弱過ぎるとして全面禁止にしているところもある(日本だけのガラパゴスルール)。

 その理由は、一部の犯罪組織が「Zipファイル=機密情報=おいしい情報」と考え、Zipファイルが添付されたメールを集中的に狙っている。パスワード付きのメールを探したり、ツールでパスワードを解析したりしている。

 以上の対策に自社固有の対応を追加していく。これらの対応が完了してからサイバー攻撃対策などの高度なセキュリティ対策を実現するのが望ましいが、もし時間がないなら、同時に改善・実装すべきだろう。

 これらは、かっこいい高度な対応策に比べればローレベルかもしれないが、ぜひこの基本的な状況をチェックしていただきたい。

最終更新:8月5日(金)13時22分

ITmedia エンタープライズ