現在,企業や組織からの情報漏洩が大きな問題となっている。その原因の多くが人的なものなので,たとえ高価な対策製品を導入しても100%防ぐことは難しい。セキュリティ管理者の多くは対策に苦労されていることだろう。一方で,工夫次第で,多額の費用をかけずに効果を上げられる対策がいくつか考えられる。そこで今回の記事では,そのような対策方法をいくつかまとめてみた。
セキュリティ対策に万能薬は存在しない。今回紹介する対策についても,効果が上がらない場合は当然ある。しかしながら,企業/組織のセキュリティ・レベルの向上のヒントとして,少しでも役立てていただければ幸いである。
セキュリティ事件/事故を“活用”する
セキュリティ管理者の悩みとしてよく聞かれるが,セキュリティに関する一般ユーザーの意識の低さである。教育プログラムなどを実施しても,他人事だと思われて,真剣に取り組んでもらうことが難しいという。
そのような企業/組織で試していただきたいのは,「セキュリティ事件/事故に関する報道」の“活用”である。情報セキュリティに関連した事件/事故が報道された際に,その報道に合わせてセキュリティに関する重要性を呼びかけるのである。
事件/事故を引き起こした業務と同じような業務を自社で行っている場合には,その関連部署に対する点検を抜き打ち的に実施して,その結果を公表するのも効果がある。例えば,「外部に公開しているWebサーバーから顧客情報を盗まれた」という報道があれば,それに合わせて,自社のWebサーバー・システムのセキュリティや,担当部署の業務フローを調査する。
こうすることで,一般ユーザーにも「セキュリティ事件/事故は決して他人事ではない」という意識を持たせることができるだろう。もちろん,他の教育プログラム同様,一度実施したからといってすぐに効果が出るものではない。継続的に実施する必要がある。
具体例でパスワードの重要性を示す
パスワードの重要性も一般ユーザーには理解してもらえないことの一つ。多くのユーザーにとって,パスワードは情報を守るための“鍵”ではなく,パソコンを使うための“おまじない”になっているのが現状のようだ。このため,容易に他人に教えたり,複数ユーザーで共用したりしてしまう。
そのような状況を改善するには,自分のID/パスワードを悪意を持って使われると,どのような情報を参照されてしまうのかを具体的に示すとよい。例えば,イントラネットで給与や保険にかかわる情報を参照できる企業では,参照できる情報をダミーのデータを使って列挙するとよいだろう。
パスワード自体の重要性だけではなく,パスワードの管理方法(設定方法)の重要性なども,具体的に説明したほうがよい。
例えば,「他人に推測されないように,英数字や記号を混ぜた長いパスワードを設定しましょう」と説明するだけではなく,「少ない文字数の数字だけのパスワードは,どのくらい早く破られてしまうか」について,パスワード破りのソフトなどを使った実験結果などを示すと効果がある。
“声がけ”で物理的セキュリティを強化する
「ネットワーク・セキュリティをいくら強化しても,物理的なセキュリティが心配」という声もよく聞かれる。外部の人間にオフィス区域へ入られないようにするのは難しいという。
対策として,従業員に名札(社員証)の着用を義務付けている企業は多いが,それだけでは不十分。以前の記事にも書いたが,従業員一人ひとりが注意することで,名札の着用が対策として効果的になる。具体的には,オフィス区域で名札を付けていない人を見かけたら,「いらっしゃいませ」「どちらへのご用件ですか」「何かお困りですか」――といった声がけを徹底するようにする。
従業員一人ひとりが声がけを実践することで,不審者の侵入を未然に防げるとともに,名札着用の重要性を浸透されることができる。その結果,オフィスの物理的セキュリティを向上できる。
ただし,“声がけ”を有効に機能させるには,名札を着用していないにもかかわらず,声をかけられた際に「私を知らないとはけしからん」などと言い出す人がいないようにしておくことが重要である。そのためには,名札の着用は義務であることや,着用を忘れた場合には声をかけられることを周知徹底させておく必要がある。
重要データの画面表示を物理的に隠す
以前から利用している顧客管理システムなどにおいては,業務上必要としない個人情報まで画面表示してしまう場合があるだろう。そのようなシステムについては,すぐに改良を加えて,そのシステムを使う従業員(スタッフ)の権限に応じた情報だけを表示するように変更する必要がある。
とはいえ,システムのプログラムを書き換えて対応するまでには,ある程度時間がかかってしまう。そのような場合には,「物理的に見えなくさせる」ということを,緊急対応として考えてもよいだろう。具体的には,見せたくない情報が表示される位置のモニター画面上に,黒く塗ったフィルム等を貼り付けておく。“原始的な”方法ではあるが効果的だ。
データの価値を金額で示す
パソコンや記憶媒体の紛失や盗難による情報流出が相次いでいる。とはいえ,業務上これらを持ち歩かなければいけない部署がある場合には,一律に禁止するわけにはいかない。データの暗号化などを施すことはもちろん,「電子データを持ち歩くときには,肌身はなさず」という“基本”を周知徹底させる必要がある。
その場合には,単に「肌身はなさず」と呼びかけるだけではなく,持ち歩くデータの価格付けをして,従業員に知らせておくと効果がある。価格は概算でかまわない。例えば,「当社にとって,顧客データは1件あたり×万円の価値がある」と知らせておく。そうすれば,「このパソコン/USBメモリーには×件の情報が入っているから×千万円に相当する。とても車内に置いたまま離れるわけにはいかない」と考えるようになるだろう。
重要書類のキャビネットは見える場所に置く
電子データばかりではなく,紙に書かれたデータにも気を配る必要がある。例えば,機密文書などをとじたファイルを収めたキャビネットについて考える。業務時間外はキャビネットに施錠するとしても,業務時間内は頻繁にファイルを出し入れするために,鍵を開けたままにしておかざるをえないケースは少なくないだろう。
そのようなキャビネットについては,関係者が見える場所に設置しておくことが重要である。また,他の企業の従業員や来訪者がアクセスできる共用施設や通路の近くに置かないことも重要だ。
加えて,「キャビネットから持ち出されているものは何か」「持ち出しているのは誰か」をきちんと管理する。例えば,「ホワイトボードに担当者の一覧表を書き出し,書類を持ち出している人には,書類の種類(重要度)に対応した色のマグネットを貼っておく」といった方法が便利である。
東山 栄一 (HIGASHIYAMA Eiichi) 
NECソフト株式会社 営業本部・経営品質コンサルティンググループ
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
