今回の記事では,前回に引き続いて,ユーザーが守るべき「セキュリティ10カ条」を解説する。今回は,「不要なメール送信の禁止」「適切なアクセス権限の設定」「ノートPCの盗難防止」「使用後にはシャット・ダウン」「セキュリティ教育の受講」――の5項目について解説する。
6. 不要なメール送信の禁止
前回の記事で解説したWebと同じように,メールも業務を遂行する上で欠かせないビジネス・ツールの一つとなっている。便利な半面,Webと同様に情報漏えいなどの危険性がある。その危険性を認識した上で使用する必要がある。
・私用メールは送信しない
私用メールが禁止されている企業/組織では,当然私用メールを控えるべきだ。明示的に禁止されていない企業においても,極力控えるべきだろう。企業は業務を遂行するための手段として,メールを送受信できる環境を従業員に提供している。企業が従業員のメールを監視することは,プライバシの侵害に当たらないという判例も出ている(関連記事)。企業/組織から貸与されたマシンやアカウントから,個人的なメールを送信すべきではない。
私用メールは,業務効率を下げるだけではなく,情報漏えいの危険性もある。私用メールを頻繁に送信している環境では,メール・ソフトに社外の友人知人のアドレスが登録されていることだろう。業務上のメールを取引先のAさんに送るつもりが,名字が同じ“A”である知人へ送信してしまう可能性がある。
一度送信されたメールは,その後どのように取り扱われるのか分からない。しかも,メールの送信元は会社から貸与されたアカウントである。メールの取り扱われ方によっては,誤って送信したユーザーだけではなく,会社全体の信用問題に発展する可能性が十分にある。
・送信前にメールを確認
業務でのみ利用していても,情報漏えいの危険性はある。例えば,C社のAさんに送るつもりが,D社のAさんに送ってしまうような誤送信による情報漏えいである。この「あて先アドレスの間違い」による誤送信は多い。これを避けるために,送信前には必ずアドレスを確認するようにしたい。メール・ソフトによっては,確認のために送信アドレスを表示する設定があるので,活用したい。
併せて,送信先アドレスだけではなく本文も送信前にチェックしよう。特に,必要以上に感情的な文章になっていないかどうかをチェックしたい。本人にはそのつもりがなくても,抗議や主張を含むメールの場合には,必要以上に“強い”文章になっていることが少なくない。一度,受信者のつもりで読み返して,「誤解を与える表現はないか」「感情的な表現はないか」――などをチェックしたほうがよい。
メールは一度送信してしまうと,ほとんどの場合取り返しがつかない。情報漏えいやトラブルを回避するために,送信ボタンをクリックする前に深呼吸をするぐらいの慎重さがほしい。深呼吸して落ち着いてから,メールの送信先アドレスや本文を改めてチェックしたい。
7. 適切なアクセス権限の設定
社内ネットワークでは,多くのマシン同士でファイル共有を実施していることと思う。その際,利便性を重視して,パスワードを設定することなく,しかもフル・アクセス(読み込みだけではなく,書き込みや実行を含めたすべてのアクセス)を許しているケースが少なくないようだ。便利ではあるが危険である。共有するファイルやフォルダ(ディレクトリ)には,適切なアクセス権限を設定しておくべきだ。
特に,あるプロジェクトに関する情報など,そのメンバー同士だけで共有すれば十分な情報には,メンバー以外はアクセスできないようにしておくべきだ。メンバー以外にはその情報の価値が分からない。そのため悪意がなくても,その情報を安易に取り扱う恐れがある。
ウイルス対策としてもアクセス権限の設定は重要だ。ファイル共有を利用して感染を広げるウイルス(ワーム)が多数出現しているからだ(関連記事)。いくらセキュリティ・ホールをふさいでおいても,アクセス権限の設定がずさんだとウイルスの侵入を許すことになる。
アクセス・コントロールの実施方法としては,OSに実装されている標準機能を利用する。最近ではアクセス権限をきめ細かく設定できる製品も市場に出ているので,セキュリティを重視する企業/組織では,それらを利用する方法もある。製品によっては,ファイルやフォルダにアクセス権限を設定するだけではなく,「設定した日時以降はアクセスできないようにする」「一定の回数ファイルを開くと,以降はアクセスできなくなる」――といった設定も可能である。
8.ノートPCの盗難防止
最近では,業務で使用するノートPCやPDA などを社外に持ち出すケースが増えている。ユーザーとしては,これらを電車やタクシーに置き忘れたり,盗まれたりしないように十分注意しなければならない。営業回りをしている自動車の車内においたノートPCが,自動車ごと盗まれた例もある。重要な情報が保存されているノートPCは,肌身離さず持ち歩く必要がある。
ノートPCを持ち歩いているときには飲酒も避けたい。酔うと注意力が低下するので,置き忘れる可能性が高まる。
盗難に備え,PCの内蔵ディスクを暗号化したり,USB トークンなどによるユーザー認証を利用したりすることも考慮したい。ただ,これらを利用していても,置き忘れや盗難には十分注意する。
9.使用後にはシャット・ダウン
ノートPCに限らず,社内で利用しているデスクトップPCにおいても,長時間利用しないときには,必ずシャット・ダウンするようにしよう。レジューム状態やログオンしたままの状態にしておくと,ノートPCを盗まれた場合や,社内に泥棒などが侵入した場合には,そのPCであらゆる操作を許すことになる。
また,短時間であっても勝手な操作を許さないように,一定時間キー入力がない場合には,画面をロックするようにしておきたい。スクリーン・セーバーの設定でパスワードを設定すれば,画面をロックできる。
社外でノートPCを使う場合と同様に,たとえ社内であっても,物理的なセキュリティにも気をつけよう。持ち出すことが容易なノートPCなどは,帰宅時には鍵がかかる引出しやロッカーにしまうようにする。ワイヤーや鍵で机に固定する方法もある。最近では,社内に置いたデスクトップPCが盗難に遭った例があるという。十分に注意したい。
10. セキュリティ教育の受講
現在では,多くの企業/組織で一般ユーザー向けのセキュリティ教育を実施している。識者を招いての講演形式の場合もあるだろうし,WBT (Web Based Training) 形式の場合もあるだろう。いずれにしてもユーザーとしては,積極的に「学ぶ」意識を持って受講するようにしたい。
業務が忙しいときには,直接業務に関係がないセキュリティ教育などはうっとおしいと思うだろう。無理やり口実を作って講演を欠席したり,内容を読まずにWBTのページをクリックしたりするのも無理はない。
しかし,今や通常の業務をこなす上でも,セキュリティを避けて通ることはできないのだ。業務の一環として臨まなくてはいけないのである。業務に不可欠な知識の一つなのである。
前回および今回解説したような内容は,一般的なセキュリティ教育で語られる内容である。セキュリティ教育を実施している企業において,前回および今回解説したような内容に関するセキュリティ事故を起こした際に「聞いていない」というのは通用しない。
また,セキュリティに関する情報は日々新しくなっている。教育で習った内容はあくまでもその時点での情報である。絶えず新しい情報を入手するようにしたい。「今週のSecurity Check [一般編]」でも,その一助となるような情報を今後も提供する予定なので,活用していただければ幸いである。
井上 秀 (INOUE Hiizu)
NECソフト株式会社 サーバソリューション事業部
LinuxソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
