セキュリティの基本(アナログ編)

IT技術の進化。ネット社会の拡大。
ECの急増で多くの企業や店舗や個人情報を収集するように。

社内にセキュリティに詳しい人材がいても、社内環境が整っていなかったり、社員のセキュリティ意識が低かったり、様々な事由で機密情報や個人情報などが流出してしまうケースがあります。

「情報漏洩」と聞くと「ネットから漏れる」と思われる方も多いようですが、いまだに実社会のアナログ要因で起きているということも忘れてはいけません。

ITが仕事や生活に欠かせなくなった現在のセキュリティ対策は、
IT(デジタル)と実生活(人や設備:アナログ)の両面を考える必要があります。

では具体的にどのような対策をすればいいのか?

まずは「低コスト」でも実施(見直し)できるアナログ対策からはじめましょう!

アナログ面のセキュリティ

自分を守るように情報も守りまりましょう

【入退室】

●安易に出入りさせない。
●勝手に持ち込まさせない・持ち出させない。

多くの人が出入りする企業では入退室の管理を行っているケースが増えています。
さらに、社員に対しても所持品を預かったりチェックしたりする企業もあります。
しかし、そのような環境を整えるには設備・人件費などがかかるため、対策をとらず(とれず?)、未だに部外者が勝手に出入りできる会社も存在します。

(セキュリティ環境が整っている企業でも情報を漏洩の事件は起きています)

最低でも・・・

「応接係を決めておく」(訪問者を目視する)
「訪問者を部外で応対する」(会議室やロビーなどで)
「重要情報はさらに入退室認証できる(鍵のかかる)部屋に保管」
「記録する」(訪問者・利用者の入退室時間など)

などの対策を習慣にしましょう。

 

【紛失防止対策】

●大切さを意識させる。
●紛失しても簡単に見られないように。

いくらIT技術が進化しても、どんなに社員教育をしても
「人はミスをする」(ヒューマンエラーは無くならない)
ということを考慮して、被害拡大の防止策も行いましょう。

特に紛失しやすい端末や記憶媒体(USBメモリ)などは
持ち出し・返却日時などを「記録する」ことで
「大切な物を持ち出しているという」ことを意識させましょう。

さらに、紛失時や離席中の不正使用を防止するため

「起動時のログイン認証」
「スクリーンセーバーなどのパスワード認証」
「記憶媒体のセキュリティソフトを使用」

などの対策もしておきましょう。

持ち出し記録をつけたり、パスワード認証をさせたりすると
「面倒だ」という不満もでてきます。

最初は面倒でも習慣にすれば苦にならない。
面倒だからといってやらなければ「大きなリスク」がある
ということ意識させ、セキュリティを習慣にするプロセス作りが重要です。

また、人的ミスの多くは「慣れ」が生じたときに起こります。
定期的な監査や見直しを行ったり、講習会(再認識の場など)も設けましょう。

 

【盗難防止対策】

●大切な物には鍵をかける

いくら建物や部屋に鍵をかけても泥棒に入られる危険性はあります。

特に持ち運びが容易なノートパソコンやタブレット端末などは盗まれやすいので、

「ワイヤーロックをかける」
「営業時間外は鍵ついた棚などへ保管

といった盗難防止対策も考えましょう。

ノートパソコンやタブレット端末にワイヤーロックをすると、持ち運べる利便性が半減するので、社外へ持ち出す物に関しては、

前述の認証「重要なデータを入れておかない」

などの対策をしましょう。

 

【人の管理】

●友人でも信用しすぎると痛い目に。

私は昔、遊びにきた友人に勝手に家の物を持って行かれたことがあります。
(そんな人間は友人といえないかもしれませんが・・・)
盗聴器を仕掛けたりストーカー行為などをおこなう犯人の大半が顔見知りだという話です。

企業では、退職者が在籍中に使っていたID・パスワードでサーバーへアクセスして情報を盗んだり、嫌がらせで破壊したりするといったケースもあります。
委託していた業者が個人情報を盗み出し、大きなニュースになった事件も皆さんの記憶にないでしょうか?

ソーシャル・エンジニアリング(ソーシャルワーク)などの詐欺行為もなくなりません。(むしろ増えている)

寂しいお話ですが・・・
大半の人間は、欲求や関係のもつれなどで敵対者に変わる危険があるのです。

そういった対策としては、

「ID・パスワードを教えない」(友人や同僚などでも)
「退職者のID・パスワード削除を徹底」
「立ち会い」「二人以上での作業」
※重要情報の保管場所では社員でもひとりで作業させない

などが上げられます。

企業によっては、社員だけでなく打合せ来客者などにも、

「ノートパソコンの持込禁止」
「スマホ・USBメモリなどの受付預かり」

を実施しているところもあります。

 

これで100%というわけではありません。
社員教育と合わせて、社内規定やプロセスも定期的に見直して改善していきましょう。

 

セキュリティの基本(デジタル編)へつづく

コメントはお気軽にどうぞ!

ここがBEFORE

CAPTCHA


上記の内容で問題なければ、下記「コメントを送信する」ボタンを押してください。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)