セキュリティ意識を高める レベル1から着手せよ!

ヤマダ電機とコクヨが提案
段階別「情報漏えい対策」
セキュリティ意識を高める
レベル1から着手せよ!
●セキュリティ対策品の導入前に社員の意識改革が重要
●オフィスレイアウトを見直すだけでも十分な効果
●必ず実践したい紙、PC、記憶メディアの管理
今年に入って、有名企業や警察な
ど公共団体で使用しているPC、もし
企業・団体はいつ被害に遭うか分か
ュリティレベルを高めていけば、コ
らない。
スト負担で無理をすることなく、会
くは仕事を家に持ち帰った社員・職
社会的影響力の大きい大企業や公
員の個人用PCから機密情報が流出す
共団体のみならず、そうした組織と
る事件が相次いでいる。
取引する中小企業でも発注元のセキ
特にベーシックなレベル1が社内に
事件の多くは、ファイル交換ソフ
ュリティ体制に準じた仕組みが求め
浸透していなくては、どんなに高価
ト「ウイニー」が原因。ウイニーを
られる。今一度、セキュリティ対策
なセキュリティシステムを導入して
介して感染するウイルス「アンティ
を見直す必要がある。
も、その効力を最大限に発揮するこ
ニー」がユーザーの知らないうちに
PCの情報をインターネットで公開し
絶対に着手すべきレベル1
てしまうのだ。ウイニー以外でも、
一口にセキュリティ対策といって
社としてのセキュリティ体制が整う
ことになる。
とは難しい。そこでまずはレベル1の
徹底を図ることから始めたい。
レベル1で最も重要なことは、全社
PCおよび周辺機器の盗難・紛失、ネ
もその範囲は膨大だ。いきなり完璧
員のセキュリティ意識を高めること。
ットワークへの不正アクセスを原因
を求めることも決して不可能ではな
そのために必要なことは、セキュリ
とする情報漏えいが相変わらず多い。
いが、相当額の支出を覚悟する必要
ティに対する自社の考えを社内や社
最近でも、都内のオンラインゲーム
がある。かといって何も対策を講じ
外に知らしめるセキュリティ基準
会社のサーバーから6万5000人分の顧
ないままでは、これからの企業活動
(セキュリティポリシー)を設け、そ
客情報を記録していたハードディス
は難しい。そこで提案したいのが、
の意義を社員へ周知徹底させること。
クが盗まれる事件が起きている。
レベルに応じた段階的セキュリティ
それを怠るとあらゆるセキュリティ
対策である。
対策も、社員には煩わしい"規制"と
05年度から個人情報保護法が施行
され、従来なら不問に付されていた
図1はレベル1から5までの段階に応
ような情報漏えいも、内部告発や報
じたセキュリティ対策をまとめたも
前述したウイニー対策という観点
道などで明るみに出るようになった。
の。まずはレベル1のベーシックな取
なら、次のようなシナリオが考えら
確たるセキュリティ体制を持たない
り組みからスタートし、徐々にセキ
れる。経営トップが「機密情報の取
■図1)段階別セキュリティ対策
高
レベル5
(トップレベル)
○警備会社や専門業者等によるトータル警備
受け止められかねない。
り扱いには細心の注意を払って守る」
といった方針を示し、
「PCで使用す
るソフトは会社指定のものに限る」
レベル4
(システム)
コスト
レベル3
(組み合わせ)
○入退室管理等システムを用いたトータル保護
○複数のツールを使ったハードと情報の保護
「自宅PCで会社業務を行なわない」
などの基準を設ける。
もちろん、それだけでリスクは減
レベル2
(スタンドアロン)
レベル1
低
52
(ベーシック)
SHANIMU #16
○パソコン等ハード単体の保護
○社員の教育、意識改革 ○オフィスレイアウトの見直し
らない(人は間違いを犯すもの)
。各
基準に合わせた具体的な対策として、
専用ツールを使って各PCのソフト使
用状況を把握したり、外部の装置・
■表)情報漏えいタイプ別の主な対策用品
対策項目
想定される情報漏えい
有効な対策用品
「内部漏えい」への対策
・PCの入った鞄を電車に忘れて情報漏えい
・電車内で資料を作成中、機密を盗み見られた
・ミスコピーの裏面を使ったことによる情報流出
・顧客リストの出力紙を廃棄したため顧客情報が流出
鍵付きキャビネット
のぞき見防止フィルター
シュレッダー
etc.
「情報管理不備」への対策
・社員個々が個人情報を管理していたことによる漏えい
・重要な機密情報が誰でもアクセスできる環境にあった
・管理者不明の共有情報の流出
・内部スタッフが名簿業者に顧客データを売却
パスワードロック機能付き
CD-R
USB認証キー
etc.
・不法侵入者による建物の破壊行為、盗難被害
・ハッカーによる不正アクセス
・取り忘れたプリンター出力紙を部外者に見られた
ワイヤロック
盗難防止PCカード
入退室管理システム
監視カメラシステム etc.
メディアにデータを書き込めなくす
ることも大切である。
オフィスレイアウトを再確認
レベル1ではオフィスレイアウトの
見直しも重要だ。ここでポイントと
「外部進入」への対策
なるのは「外部との区分」である。
具体的には「受付機能」
「情報機器の
く、対策すべき3つの観点から分けた
設置場所」
「会議室の位置」など。
ものが表だ。情報漏えいのタイプは
■図2)情報漏えいの流出経路
そ
の
他
6
%
まず受付であるが、外部の人間が
①内部漏えい、②情報管理不備、③
オフィスへ簡単に入れるようなって
外部からの侵入、などの3つが代表的
はいないだろうか。本来は受付に担
であり、それぞれに応じた対策用品
Eメール経由 6%
当者を置くことが望ましいが、カウ
が販売されている。
6%
Web Net 経由
不
明
4
%
ネットワーク 12%
紙媒体経由
40%
8%
FD等可搬記録媒体
ンターやパーテーションなどで仕切
まず、①の内部漏えい対策である
るだけでも違ってくる。受付近くの
が、ここでは第一にパソコンなどの
人間が来客者へ対応するなどのルー
ハードをしっかりと管理することが
ルを決めておくことも必要だろう。
重要だ。例えば会社のパソコンは社
ウィンドウズ XPのプロフェッショ
情報機器については、コピー、プ
外に持ち出さず、退社時には鍵のか
ナル版ならファイル・フォルダー単
リンター、FAXなどを来客者の動線
かるキャビネットなどにしまって管
位を暗号化する機能を標準で備えて
からはずれた場所に設置することが
理することなど。
おり、指定フォルダーにファイルを
PC本体
18%
(
「コクヨ セキュリティ用品カタログ」を参考に作成)
望ましい。こうした機器から取り忘
また、部外者に画面情報を見られ
入れるだけで自動的に暗号化。後は
れた書類を、外部の人間が簡単に持
ないためには、のぞき見防止フィル
通常の「開く」で復元可能である。
ち出せるような位置に置くことは避
ターの装着が効果的だ。のぞき見防
情報漏えいの対策用品を使用する
けた方が賢明である。
止フィルターは、ノートPCを社外で
ことでもかなりの効果が得られる。
使用する場合にも必需品といえるだ
例えばUSB認証キーは、パソコン
会議室も同様で、関係者以外にも
内容が筒抜けになる状態は避けたい。
ろう。
を使用する際はUSBポートに差し込
スペースの問題もあり、そう簡単に
さらは、出力した紙の管理にも気
み、これを抜き取るとロックがかか
会議室を移動できない場合もあるだ
を配りたい。特に不要になった紙書
ってパソコンを操作不能にする。キ
ろう。例え移動できなくても、四方
類から内部に情報が漏れるケースも
ーを持っている人間だけがそのパソ
を天井まで仕切るだけでも効果は大
想定されるため、不要な書類はシュ
コンを使えるわけだ。
きい。会議室は可能な限り外部と遮
レッダーで迅速に処理することも必
断できる状態にすべきだろう。
要である。
このようにレベル1は、トップの考
②の情報管理不備対策であるが、
え方だけで、すぐにでも実行可能な
これは個々の情報の管理者を明確に
対策ばかりだ。しかも、レベル2以降
し、その情報にアクセスできる人間
の効果を最大限に発揮するための基
を限定する体制作りが必要だろう。
本的な準備段階でもある。
ネットワーク自体をそうした形に構
対策すべき3つの観点
築することが望ましい。
また、パスワードロック機能付き
CD-Rは、データを保存する際にパス
ワードを設定し、第三者による読み
出しを防ぐことができる。
PC盗難対策は不可欠
③の外部進入対策については、悪
意のない来客者への対応と、悪意を
また、PC単体であっても、盗難や
持った侵入者対策の2点が重要だ。悪
レベル2∼4はいずれもセキュリテ
紛失による情報漏えいを防ぐために
意のない来客者には、そのことが誰
ィ対策機器等の購入が必要になる。
は、データ暗号化が効果的だ。特に
にでも分かるよう、社内ではネック
必要になるコストの違いで3つの段階
外に持ち出すノートPCの場合、デー
ストラップの装着をお願いすること
に分けている。これをコストではな
タを暗号化しておくことを勧める。
が必要だろう。そして来客者のため
53
の動線を明確化し、その付近には情
を強制的にシャットダウン。再アク
報機器を設置しないなど、レベル1で
セスを拒否する。
もかなりの効果を期待できるだろう。
前ページ図2のように、情報漏えい
より大がかりな対策としては入退
流出経路割合では、紙媒体経由が
一方、悪意の侵入者対策について
室管理システムや監視カメラシステ
46%を占め、次いでパソコン経由
は、ワイヤロックや盗難防止PCカー
ムなどの導入があり、さらには警備
(20%)、FD等可搬記録媒体経由
ドなどを使い、パソコン等の物理的
会社と契約するなどのレベル5もあ
(9%)と、全体の75%が物理的な要
な持ち出し対策を講じることから始
る。いずれも大きな効果を得られる
因である。つまり、紙、パソコン、
めたい。盗難防止PCカードは不正な
が、それなりのコストが伴うことも
可搬記録媒体の3つをきちんと管理す
持ち出しの振動を関知すると、大音
確かだ。その段階まで一気に進まな
るだけで、セキュリティ対策レベル
量の防犯アラームが鳴り、パソコン
くとも、ここで紹介した対策だけで
は大きくアップする。
の対策を講じる。
コ ク ヨ の セ キ ュ リ テ ィ 対 策 用 品
情報漏えい対策 次の一手は
オフィス用品の見直し
OAフィルター
FILSAFER KEY
EVF-ELPR12他各種
EAM-UK500
メーカー希望価格 ¥8,925(税込)∼
メーカー希望価格 ¥26,250(税込)
パソコンの左右からののぞき見を防止。ノートパソコンや液晶モ
ニターの画面に貼り付けるだけで、正面からは画像がクッキリ見え、
斜めから見ると真っ暗に。貼ってはがせる再はくりシール付きなの
で着脱も簡単。12.1型用から17型用まで4サイズ、スタンダード
タイプとエコノミータイプが用意されている。
斜めから見ると画面は真っ暗
正面から見るとクッキリ
54
SHANIMU #16
USB認証キー
(のぞき見防止タイプ)
USBポートから認証キーを抜き去ると画面がスクリーンセーバ
ーに切り替わり、マウスやキーボードなどの操作をロックできるUSB
認証キー。パソコン内に保存してある、あらゆる種類のファイルの
暗号化も可能で、第三者によるパソコン内の情報の改ざんや盗難を
防ぐことができる。また、外部メディアへのアクセス禁止機能やパ
スワードメモリー機能も搭載。
パスワードロック機能付きCD-R
FILSAFER CD-R
南京錠タイプの
パソコンロックキット
盗難防止PCカード
FILSAFER PC-CARD
EAS-SCDR1N
EAS-L3他各種
EAM-PC500
メーカー希望価格 ¥1,344(税込)
メーカー希望価格 ¥3,129(税込)
メーカー希望価格 ¥24,150
パスワードを設定して第三者の無断読み
出しを防止。データを暗号化して読み書き
するためのソフトを内蔵しており、別のアプ
リケーションを必要とせずにデータの読み
書きができる。CD-Rの複製も不可能でデ
ータの拡散を防止。記憶容量は500MB∼
1GB(圧縮により変化)
。
デスク脚などに取り付けてパソコンの持
ち出しをしっかりとガード。また、新幹線な
どの車中でパソコンを使う際にも盗難を防
止するため、簡単に持ち運べる軽量・簡易
タイプ。
監視モードに設定したPCを持ち出そうと
すると、盗難防止PCカードに内蔵のモーシ
ョンセンサーが振動を関知し、警告音を発
生。さらに設定した境界値を超える動きを
関知すると、大音量防犯アラームが鳴り、
PCを強制シャットダウン。再アクセスを拒
否する
(パスワードで解除可能)
。仮想ドラ
イブを作成し、ファイルやフォルダーを暗号
化して保存することも可能。
55