＜ 基本に立ち返った情報漏洩対策 ＞

　情報漏洩のニュースが毎日のように報道されています。企業はセキュリティポリシーを策定し、従業員にそれを守らせることにより、情報漏洩を防ごうとしています。ただ、いくら立派な規則を作っても、社員が十分な意識をもってそれを守らなければ絵に描いた餅となってしまいます。このコラムでは、ごく当たり前ではありますが、情報漏洩をしないために、基本に立ち返って管理者や従業員として注意すべきことを解説します。

（１）企業の情報資産はなるべく持ち出さない
　情報資産は持ち出さなければ、情報漏洩の可能性は格段に下がります。NPO法人　日本ネットワークセキュリティ協会の「2007年度 情報セキュリティインシデントに関する調査報告」（http://www.jnsa.org/result/2007/pol/incident/index.html）によると、紛失や置忘れ、盗難などによる情報漏洩の件数は減少傾向にあるものの情報漏洩全体の1/3以上を占めています。また、ネットワーク経由での漏洩に関しては、情報資産を家庭のパソコンによって扱い、漏洩してしまったケースも多数あると考えられます。
　このように、社外に情報資産を持ち出すことにより、漏洩のリスクは非常に大きくなります。管理者は持ち出しの許可は必要最小限とし、原則持ち出しを許可しないことが重要ですし、たとえ、管理者によって許可されたとしても情報資産は極力持ち出さないことを心がけるべきです。やむをえず情報資産を持ち出す場合は、万が一の紛失等に備えて、暗号化などの処置をしたうえで持ち出してください。
　また、持ち出した情報資産を扱うのは、企業所有の専用のノートパソコン等にすべきです。家庭やその他（例えば、ネットカフェ）のパソコンでは、予想外の設定がされていたり、ウイルスに感染している場合があるかもしれません。

　そのほかにやってしまいがちなのが、会社のメールを個人のアドレスに転送する行為です。これも情報漏洩の可能性がありますので、やってはいけない行為です。

（２）ハードディスクやメディアを安易に廃棄しない
　ハードディスク、CDやDVDは安易に廃棄すると、内容を読み出すことができます。ハードディスクの内容を読み出し不能な状態まで、完全に消去する市販のソフトウエアがありますし、そのような処理をしてくれる業者もあります。また、磁気によってハードディスクの内容を消去する装置もあります。そのような処理をした上で廃棄するようにしましょう。また、CDやDVD、フロッピーディスクについても専用の裁断機がありますので、紙の書類と同じように、裁断して読めない状態にしたうえで廃棄しましょう。

（３）企業内といえども情報資産を放置しない
　当たり前のことですが、たとえ会社の中であっても、情報資産はなるべく人の目につかないようにしなければなりません。昨今はセキュリティの強化がはかられ、だれでも執務スペースに入れない場合が多くなっていますが、100％出入りを防げない場合も多いと考えられます。したがって、以下の対策を行うことが必要です。

　・席を離れたり、帰宅するときは、ノートパソコン、重要書類や電子媒体、USBメモリなどをロッカーや袖机など鍵のかかるところに保管しましょう。また、席を離れるときはパソコンのパスワードロックを掛けることも重要です。

　・プリントアウトした書類はそのまま放置せずにすぐにとりにいきましょう。最近は従業員ごとにICカードを持たせて、それをプリンタに接続しているカードリーダーにかざさないとプリントアウトしない仕組みもあります。

　・回覧や伝言メモをだれでも読めるようなところにはおかないようにしましょう。メールやグループウエアを使用して電子的に回覧したり、伝言メモを残すことはセキュリティ対策として効果的です。紙でしかまわせない書類は原則裏返しにしておくのも当たり前ですが、重要なことです。

（４）パスワードの管理を徹底する
　パスワードを人の見えるところにメモすることもセキュリティ的にしてはいけないこととわかっていても、多数のIDがあった場合、行いがちな行為です。例えば、パスワード一括管理ソフトがありますので、そのようなツールを使って電子的に一括管理してしまうことも一つの方法です。このようなソフトには、セキュリティ強度の高いパスワードを生成する機能がついているものもありますので、そのような機能によりパスワードを生成することは、セキュリティを高める上で有効です。

（５）個人所有の機器を許可なく、企業に持ち込まない
　個人所有のパソコンやUSBメモリなどを企業のネットワークに接続することは厳禁です。一般的に家庭のネットワーク環境のほうが企業のネットワーク環境より情報セキュリティーレベルが低いからです。ここから、ウイルスやスパイウエアが会社のネットワークに広がってしまう可能性があります。また、個人がWebサイトからダウンロードしたり、素性の分からないプログラムを会社で使用することも厳禁です。これらにより、意図しない情報漏洩が発生してしまう可能性があります。また、個人の所有の機器を接続することにより、つい、情報資産を持ち出してしまうこともありがちなことです。

（６）企業所有のパソコンを勝手に他のネットワークに接続しない
　企業所有のパソコンを、規定された方法（例えば、会社に電話で接続してそこからインターネットに接続する）以外で、ネットワークに接続することはやめましょう。一般的に企業のネットワークの方が一般家庭のネットワークよりもセキュリティーレベルが高い場合が多いので、その会社のパソコンを、家庭などのネットワークに接続することは厳禁です。

　個人所有のものと企業所有のものを明確に分けることは非常に重要なことです。

（７）企業外での周りの状況に注意する
　意図的に情報をもらそうとしなくても、公共の交通機関や居酒屋などで会社の話をしたり、公衆の場所でパソコンを覗き込まれたり、電車の中で会社の書類を読んで覗き込まれたり、携帯電話で機密の情報を話したり、意外にこのようなことをしてしまっているのではないでしょうか。会社の外にでたら、だれが聞いているか、誰がみているかわからないので、十分注意しましょう。

（８）ソーシャルエンジニアリングに注意する
　コンピュータ技術ではなく、会話でだましたり、盗み見、盗み聞きなどから、機密情報を手に入れる方法をソーシャルエンジニアリングといいます。銀行に、「銀行員が銀行以外で名前や暗証番号を聞くことはありません。」などと注意喚起がしてありますが、これと同様にコンピュータについても通常パスワードなど本人しかしらない情報を本人から聞きだすことはありません。また、ごみをあさってパスワードなどを盗んだり、社員になりすまして機密情報を聞き出すなど手口はいろいろありますので、注意しなければなりません。

（９）情報漏洩を起こしてしまったら、即報告
　どんなに注意していても、情報漏洩を起こしてしまうことがあります。情報漏洩を起こしたことに気づいて、自分で何とかしようとしているうちに被害を大きくしてしまう場合があります。日ごろから、事故が起きた場合の連絡系統を明確にするとともに、情報漏洩に気づいたら、迷わずすぐに報告することが重要です。

　情報漏洩により、企業が大きなダメージを受けないよう日ごろからの企業による十分な啓蒙活動や教育とともに、社員一人ひとりの自覚が重要です。

　このコラムを読んだあなた、「そんなの当たり前だよ。」とか、「自分は大丈夫。」と思いましたか。でも、わかってはいるけど、ついやってしまうこともあります。再度気を引き締めてください。

□守谷元伸　（もりやもとのぶ）
　中小企業診断士　ITコーディネータ、システムアナリスト、情報セキュリティアドミニストレータ
　社団法人中小企業診断協会東京支部中央支会理事
　特定非営利活動法人　東京都中央区中小企業経営支援センター　理事（事務局）
　著書は「経費節減なんと1181の具体策」(共著)他