個人情報保護法の完全施行を控えて,多くの企業ではセキュリティ管理体制を構築し,実運用に入っているだろう。今回の記事では,企業におけるセキュリティ管理のポイントをいくつか紹介する。いずれも基本的なことだが,セキュリティ管理を実施する際には留意しておきたい。

(1)部署ごとの管理責任者が重要

 セキュリティ・マネジメント(セキュリティ管理)体制を整えた企業では,部署ごとに管理責任者を置いているだろう。まずは,この管理責任者のセキュリティ意識を高めること――個人情報保護に関する責任の重さを理解させること――が最優先事項となる。

 管理責任者の意識が低ければ,当然,従業員(エンド・ユーザー)を監督することはできない。そのような状況になれば,従業員の意識も低いままだ。従業員一人ひとりの意識を高めるためには,まずは管理責任者の意識を高めることが重要である。

(2)連絡体制の確認を

 万全の対策を施していても,事件/事故は起こりうる。そこで,情報漏えいといった緊急性が高い事件/事故が発生した場合の連絡体制を確認しておくことが重要だ。

 ただし,連絡体制を決めておくだけでは不十分。責任者まで迅速かつ確実に連絡するには,報告すべき事項や経路を従業員全員に周知徹底しておく必要がある。さらに,確認の意味でも,訓練しておくことをお勧めしたい。

 なお,事件/事故が発生した場合には,当事者には罰則を適用する必要が生じるかもしれない。その際には,「本当に適用する必要があるのか」「その罰則は適切なのか」――などを十分慎重に検討していただきたい。というのも,その場の感情や不明確な理由で過度の罰則を適用すると,企業/組織全体が“隠蔽体質”になる可能性があるからだ。

(3)従業員一人ひとりが注意する

 機密性が高い区域(データ・センターなど)では,入退室を厳密に実施しているだろうが,通常のオフィスやビルではそうもいかないだろう。多くの企業/組織では,社員章/名札を着用することで,入室を許可されている人物か,そうではない人物なのかを区別しているだろう。

 だが,この“システム”を活用できていない企業/組織は多い。名札を付けていない人物の入室を許してしまうケースは少なくないようだ。そのような事態を防ぐには,従業員一人ひとりの心がけが重要となる。名札を付けていない人物を見かけたら,従業員一人ひとりが「どちらへのご用件ですか」や「何かお困りですか」と声をかけるようにしたい。こうすることで,この“システム”は有効に機能するようになり,不審者を容易に排除できるようになる。

(4)個人認証でアクセス制御

 「その情報を業務上必要とする従業員だけにアクセスを許す」ということは,情報保護の基本である。だが,これができていない企業/組織は多い。そういった企業/組織では,利便性を優先させて,グループや部署などでID/パスワードなどを共有している場合がある。

 情報保護の基本は,個人ごとのアクセス制御,つまり,個人認証を確立することだ。ID/パスワードなどは,個人で管理することを徹底させる。あなたの企業/組織において,個人認証がきちんと守られているかどうか,改めて確認したい。

 個人認証を導入していない企業/組織では,早急に導入したい。「利便性が損なわれる」「めんどうくさい」といったユーザーの反発があった場合には,「今のままでは,何らかのミスや悪意が認められたときに,全員を疑わなくてはならなくなる」などと説明して,理解を得たい。

(5)暗号化に関する取り決めを

 情報漏えい対策として有効な手段の一つが暗号化である。重要な情報を搬送するような場合には,必ず暗号化するようにしたい。そうすれば,万が一紛失や盗難にあっても,情報が漏れる可能性を小さくできる。

 そのためには,事前に暗号化に関する取り決めをしておくことが重要である。当然,その取り決めについては,関係者全員の合意を得ておく。まずは,暗号化と復号を誰の責任で実施するのかを明らかにしておく。加えて,暗号強度についても決めておく。

 なお,暗号の強度に関して言えば,いくら強固な暗号アルゴリズムを使っても,設定したパスフレーズが推測可能だと,暗号は容易に破られるので注意が必要だ。数字だけのパスフレーズでは,桁数が多くても驚くほど短時間で破られてしまう。英大文字,英小文字,数字,記号を組み合わせた長いパスフレーズを設定する必要がある。パスフレーズを設定するルールについても,事前に決めておいたほうがよいだろう。

(6)パソコンは肌身離さず

 最近は,空き巣狙いや車上荒らしの被害にあって,パソコンを持ち去られる事故が多数発生している。個人情報のような機密情報を収めたパソコンは,肌身離さず持ち歩くよう周知徹底しておこう。特に,車外から見えるところにパソコンを置いておくのは「盗ってください」といっているようなものだ。パソコンを持ち歩く従業員には,十分注意しておく必要がある。

 もちろん,(5)で述べたように,万一に備えて,データ(できればHDD全体)を暗号化しておくことも重要だ。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 コンサルティング事業部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。