インターネットが普及し益々便利な世の中になりました。ネットによる便利さだけが注目されがちですが、情報漏洩というデメリットの部分にも十分な配慮をする必要があります。情報漏洩による致命的な事故が起こる前にセキュリティ対策をいま一度見直しましょう。
情報漏洩の問題は常に便利と隣り合わせ
インターネットによる個人情報漏洩は後を絶ちません。大手企業だけでなく最先端のIT企業でさえも、情報漏えい問題に晒されることは決して珍しくありません。これはどんな組織であっても起こり得ることで、「うちは小さな会社だから」と他人事では済ませられなくなってきているのが現状です。
万全なセキュリティ対策をしないことは、自宅に鍵をかけずに外出するのと同じく危険なことです。確かに家に鍵をかけていなくても空き巣は入らないかもしれませんが、対策しておくに越したことはありません。今回は情報漏洩させないための有効な対策をいくつか紹介します。是非とも参考にしてみてください。
1.全てのパソコンにセキュリティ対策ソフトを導入する
近年、組織体制は多様化しています。組織を構成するスタッフは組織内部で勤務する正社員だけとは限りません。外部から派遣されている人、リモートワーク(在宅)形式で働いている人など、組織が管理する範囲は拡大されつつあります。このように、複雑な組織構成になってくるとどうしてもセキュリティ対策にはヌケ・モレが発生します。大きな組織が神経質で厳重な管理をしているのは、管理が行き届かないほどに関わっている人が多いためで、規則や仕組みで縛らないといけないからかもしれません。
実際多くの情報漏洩事件も、本社で勤務している人間ではなく、すでに退職した人間、派遣されてきた人間に問題があることは珍しくありません。つまり、自社組織の社員だけのパソコンにセキュリティ対策を施していれば良いというわけではないということです。極端なことをいえば、会社の業務に関わる全ての人のパソコンにセキュリティ対策ソフトが導入されているか確認する必要があるといえます。
2.パスワードを頻繁に変更しない
パスワードを定期的に変更することは有効なセキュリティ対策の一つです。しかし、短期間で何度も変更するのはセキュリティ上好ましくありません。以下の引用文がこのことを端的に言い得ています。
パスワード変更においては、パスワードを入力する様子を見せる状況が発生します。
これは認証プロセスの秘匿を脅かします。さらに、パスワード更新履歴が蓄積されれば更新の傾向が推測できます。これが重要で、不正アクセスを試みるものが更新履歴を見ることで他のサイトのパスワードを推測できてしまうのです。
「パスワードルールの推測なんて難しいのでは?」というのは楽観です。ある程度履歴がたまれば、賢い人工知能であればそんなに難しくないでしょう。「パスワードはランダムだよ」という場合、ランダムパスワードを記録するデータベースがあった場合はそのデータベースを脅かせばパスワードの入手ができてしまいます。
引用:パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている
何度もパスワード変更することで、パスワード変更のパターンを推測できてしまうのです。現在の技術でも容易に読み取ることが可能で、Googleも高い頻度でパスワード変更をすることを推奨していません。セキュリティ対策をしているつもりでも、実はハッカーなどの不正侵入者にヒントを与えていたということは往々にしてあります。技術の進化とともにパスワードを抜き取る方法も巧妙になっているので、現行のセキュリティ対策が本当に今の技術にとって正しいのか定期的に確認するのが得策でしょう。
3.WEBメールやソーシャルサービスへのアクセスを遮断する
情報流出が起こる問題の一つとして、業務用のパソコンであっても簡単に情報発信できてしまう環境にあります。セキュリティソフトを導入していても、WEBメールやSNSなどのソーシャルサービスを経由してデータを移送することは可能だからです。
SNSやメールサービスといったサイトへのアクセスを遮断することで、意図的な情報持ち出しのリスクを圧倒的に減らすことができます。また、このアクセスへの遮断は自社のサーバーに対しても実行することも可能です。一定の条件を満たさないアクセスを全て遮断することで、外部からの不正侵入を防ぐこともできます。
4. パスワードは管理ツールと紙の両方で管理する
様々なサービスに登録する機会が増える中で、複数のパスワードを全て自分の頭にとどめておくのは非常に難しいことです。ただし、管理のためにパスワード管理ができるアプリやツールを利用することは控えた方が賢明でしょう。理由としては2つあります。1つはアプリにデータをスキミング(抜き取る)できるウィルスを仕込んでいる可能性があることです。スマートフォンを使用していると、アプリをインストールが常態化していますが、本来は危惧すべきものです。
ソフトやツールの一部は悪意ある人によって作られているということを忘れてはいけません。ウィルスを仕込んで、パソコン上の中のデータを根こそぎ抜き取るなど巧妙な罠をしかけていることがあるのです。もし、利用をするのならば情報セキュリティが安全と認めたものだけ利用するなどむやみやたらにソフトやツールを利用するのが控えた方が良いでしょう。
そしてもう1つの理由は、誰かに盗み見される可能性です。別名、「ショルダーハック」と呼ばれています。キー操作や画面を盗み見て、機密情報を盗み出す手口のことを指します。このショルダーハックによる被害が後を絶ちません。
数パーセントの可能性をあげればキリがないですが、極力、重要な情報を保管しているページへのログイン情報は、紙媒体で記録することをおすすめします。もちろん紙媒体の場合は紛失の危険性があり、個々の管理能力に委ねられてしまうというデメリットがありますが、個人のデスクに必ず保管・施錠してから帰宅させる、定期的にメモのチェックを行うなどの対策をすれば、ある程度リスクを回避できて有効な手段になり得ると思います。
5. 社用パソコンでは公衆無線Wi-Fiの利用を控える
今では、多くのカフェやレンタルオフィスで公衆無線Wi-Fiの利用ができますが、業務用のパソコンで利用するのは危険です。無線Wi-Fiはセキュリティ面では決して堅牢でなく、容易にハッキングをすることが可能と言われています。
特にクラウドサービスなどを利用する、メール送受信をするといったサーバーを経由したデータはスキミングされる可能性が高いと言われています。営業など外出する機会が多い社員には、会社で保有するポケットWi-Fiなどの独自回線で通信させるのがベターです。
6. 脆弱性を伴うアップデートを常に最新にする
WindowsやMacにおいて、脆弱性をともなうアップデートが公式ホームページなどで公開されています。これは、Windowsだけでなく、アプリケーションでも同様です。例えばMicrosoft、Adobeなどでもセキュリティ強化におけるアップデートの推奨が実施されています。こういった情報を逐一確認して周知徹底することで被害を最小限に抑えることができます。
労働災害における経験則の一つ、ハインリッヒの法則
労働災害における経験則の一つであるハインリッヒの法則をご存知ですか。
1つの重大事故の背後には29の軽微な事故があり、その背景には300の異常が存在するというもの。法則名はこの法則を導き出したハーバート・ウィリアム・ハインリッヒに由来していて、彼がアメリカの損害保険会社にて技術・調査部の副部長をしていた1929年11月19日に出版された論文が法則の初出であるとされています。
参照:
ウィキペディア
彼は、ある工場で発生した労働災害5000件余を統計学的に調べ、計算し、以下のような法則を導いた。「災害」について現れた数値は「1:29:300」であった。
その内訳として、「重傷」以上の災害が1件あったら、その背後には、29件の「軽傷」を伴う災害が起こり、300件もの「ヒヤリ・ハット」した(危うく大惨事になる)傷害のない災害が起きていたことになる。
100%安全な管理方法はない、しかし常に対策をすべき
もちろん、これまでに書いた対策が全てではありません。あらゆる対策を行っても、そのセキュリティ対策の穴をついてウィルスが侵入してしまうかもしれません。
しかし、対策をしておけば被害を最小限にとどめることができます。そのために必要なことは極力不要なサービスに登録しない、安全性が不明なソフト・アプリはむやみにインストールしないなど徹底管理が必要です。
個人情報が電子化する時代、これまで築き上げた信用を失わないために、また今まで作り上げたサービス・商品を無駄にしないためにも、これまで以上に万全なセキュリティ対策を心がけていきましょう。
<ライタープロフィール>
担当ライター:ryusuke
大手広告代理店にて、顧客である百貨店や出版社のリスティング広告運用を担当。その後独立、広告代理店で培ったSEOやデータ分析の知見を活かし、個人メディアを運営する傍らフリーのWebライターとして活動中。執筆テーマは、グルメ関連やビジネス関連など、その他様々な分野のコラムや解説を得意とします。
公式ブログ
公式フェイスブック
販促レポートは、特集記事や販売促進コラム、オフィスでの問題解決など、皆さんのビジネスに少しでも役立つ情報をお届け。編集長の弊社代表と様々な分野で活躍する若手ライター陣によって、2008年より地道に運営されております。