今回は、第3回までで解説した「守るべき情報の重要性」と「持ち運び機器の種類」に応じてとるべき対策を、マニュアルの実践編を基に解説する。
情報価値に応じて現実的な対策を
マニュアルの実践編では具体例として、1)情報価値レベル1の情報を含むファイルが保存されたUSBメモリーを持ち運ぶ場合、2)情報価値レベル2の情報が保存されたスマートフォンを持ち運ぶ場合、3)情報価値レベル3の情報が保存されたノートPCを持ち運ぶ場合――3つのユースケースを解説している。以下ではそのうちの一つ、「ノートパソコンで情報を持ち運ぶユースケース」を説明する。
このケースでは、情報漏えいすると重大な悪影響を及ぼす可能性があり、企業としての信用棄損のみならず、場合によっては損害賠償等の実害が発生する可能性も否定できない情報をノートパソコンに入れて持ち運ぶことを想定している。
まずは前回の記事で説明した「情報価値レベル」と「ベースライン対策レベル」に基づいて、どのような対策水準を実施するかを検討する。
このケースの場合、情報価値は「漏えいさせた場合には、重大な悪影響をもたらす可能性がある」レベル3に相当すると考えられるため、もしノートパソコンを紛失・盗難した場合でも、その中の情報が漏えいしないようにできるだけ厳格な管理を行う必要がある。具体的には、盗難や紛失によってノートパソコンが第三者の手にわたっても、1)強固なパスワードの設定やロックアウト機能の有効化、バイオメトリクス認証の設定など対策を多重化して、ノートパソコンに不正にログインされることを困難にすることと、2)ハードディスクを別のパソコンに接続することで中身を見られても、暗号化により情報を見られない――といった対策をとることが必要である(図1)。
図1●ノートパソコンが第三者の手にわたっても情報が漏えいしない暗号化
[画像のクリックで拡大表示]
