オンラインでの企業の安全対策は、コンピュータとネットワークの安全対策に従業員も関与するところから始まります。
情報セキュリティとは、常に構築と強化の段階を続けていくプロセスです。セキュリティは過程であって目的地ではありません。情報セキュリティのプロセスには多くの戦術と活動がありますが、いずれも大きく言うと予防、検出、対応の 3 つのフェーズに分類することができます。
情報セキュリティのプロセスの最終的な目標は、次にあげる情報の 3 つの属性を保護することです。
- 機密性 -情報は、閲覧の権限をもつユーザーのみが閲覧するようにします。情報に機密が求められるのは、組織が開発し所有している専有の情報だから、あるいは法的な責任において守秘義務のある顧客の個人情報かもしれないからです。
- 整合性 -情報は破損、劣化、改変されていてはなりません。不慮もしくは故意の変更から情報を隔離する措置をとる必要があります。
- 可用性 -情報は、権限をもつユーザーが必要とするときにいつでも利用できなければなりません。
攻撃があるとシステムはさまざまな形で侵害され、これらの属性のすべてではないにしても、いずれかに影響します。機密性に対する攻撃は、情報の不正な開示につながります。整合性に対する攻撃は、情報の破壊や減損につながり、可用性に対する攻撃は業務の中断やサービス拒否(DoS)を引き起こします。
情報セキュリティは、こうした属性を以下の手段で保護します。
- 機密性を保護する
- 整合性を確保する
- 可用性を管理する
組織がこうした属性を確実に保護するには、適切な計画が必要です。インシデントが発生する前に適切な計画があれば、攻撃のリスクは大幅に小さくなり、仮に攻撃が起こってしまった場合にも、タイムリーで効果的な検出と対応ができる可能性ははるかに高くなります。
重要なデータの保全と企業リソースの保護について、従業員が各自の役割と責任を理解していなければ、たとえ世界最高のセキュリティ技術があっても何の役にも立ちません。たとえば、セキュリティを推進する慣例とポリシーを実施すること、リスクを見極めて回避できるように従業員をトレーニングすることが必要です。
企業のセキュリティ戦術は、従業員がそれに関して適切なトレーニングを受けて初めて機能します。したがって、情報セキュリティ意識に関するトレーニングの重要性はけっして軽視できません。意識向上プログラムの目標は、セキュリティ上想定される脅威と、それを防ぐ対策について従業員をトレーニングすることだけにはとどまりません。セキュリティの重要性に重きを置き、セキュリティ上の脅威から身を守るうえでユーザー自身もひとつの保護層として機能するという考え方に賛同してもらえるように、いわば企業文化を変革することが、もっと大きい目標です。
従業員からの賛同を得られたら、業務の保護に必要な情報を従業員に提供するよう図るという段階に移ります。有効なセキュリティ意識向上プログラムでは、具体的な脅威の種類についての教育が必要です。以下のような脅威がありますが、これに限るものではありません。
- マルウェア
- トロイの木馬
- ウイルス
- ソーシャルエンジニアリング
- フィッシング
トレーニングで考えるうえでもうひとつ重要なのが、パスワード作成の大切さとセキュリティの問題です。小さいことのように思えますが、甘く見てはいけません。信じられないかもしれませんが、上級のハッカーの手にかかれば特に、パスワード解析は驚くほど簡単だからです。ユーザーが毎日繰り返すこの「小さな」手順が、企業の重要な情報を保護するうえで、大きい違いになることがあります。
従業員に伝えること
- コンピュータをクリーンな状態に保つ: 従業員が各自のコンピュータでインストールあるいは常用してよい範囲を明確にルール化する。従業員がルールを理解し順守する指導も必要です。素性のわからない外部のプログラムは、ネットワークでセキュリティ上の脆弱性を悪用する恐れがあります。
- パスワードに関するベストプラクティスを守る: 大文字小文字の英字、数字、記号を組み合わせて、長く強力なパスワードを決める。そのうえで、定期的に変更し、秘密にしておくことが、データを保護するために従業員がとれる確実に有効な手順です。
- 疑わしきは、捨てる: 電子メール、ツイート、投稿、オンライン広告、メッセージ、添付ファイルなど、たとえ送信元がわかっていても、そこにある疑わしいリンクは開かないよう従業員に徹底する。企業が用意しているスパムフィルタと、フィルタを利用して有害な一斉メールを防ぐ方法についても指導します。
- 作業をバックアップする: 従業員のコンピュータが自動バックアップに設定されていても、手動バックアップが必要でも、作業内容を保護するうえでの役割について周知させる。
- 警戒を怠らず、情報を共有する: 従業員には、常に警戒を怠らず、コンピュータで何か異常に気付いた場合には連絡するよう奨励する。
情報セキュリティ意識向上プログラム
良好な情報セキュリティ意識向上プログラムでは、情報セキュリティの重要性を強調し、情報セキュリティに関するポリシーと手続きを、シンプルだが有効な形で導入することによって、従業員がそのポリシーを理解し、手続きを自覚できるようにします。
情報セキュリティに関するポリシーと手続きを従業員に伝える際の手法を以下にあげておきます。
1. 情報の機密区分、取り扱い、処分
あらゆる情報は、機密度と対象者に応じてラベルを付けます。情報のラベルは「Secret(極秘)」「Confidential(機密)」「Internal Use Only(社内限定)」「Public(一般)」などとし、「Secret」または「Confidential」のラベルが付いた文書は、就業時間の最後に鍵をかけて保管してください。「Secret」または「Confidential」扱いの電子情報は、暗号化するかパスワードで保護します。情報が不要になったら、文書はシュレッダーで処分し、ファイルは電子的に完全消去してください。
2. システムアクセス
ユーザー ID とパスワードの共有を禁止し、従業員にはユーザーアカウントとパスワードを守る責任を自覚させます。また従業員には、安全なパスワードを選択する方法について、パスワードに関する実用的なヒントも示してください。
3. ウイルス
すべてのコンピュータにウイルス対策ソフトウェアをインストールします。そのうえで、各自が定期的にコンピュータをスキャンするのは従業員の責任です。ソフトウェアと受信したファイルをすべてスキャンし、新しいデータファイルとソフトウェアは、開いたり実行したりする前にスキャンするよう従業員に助言します。従業員には、スキャン実行の重要性を徹底し、ウイルスがハードディスクをクラッシュさせ、オフィスのネットワークを停止に追い込む経緯を説明します。
4. バックアップ
各自が使っているコンピュータのバックアップを少なくとも週に 1 回は、それぞれの責任で作成するよう助言します。
5. ソフトウェアライセンス
ソフトウェアの不正コピーは法律違反であることを伝え、正規のライセンスがないソフトウェアは絶対にインストールしないよう従業員に助言します。
6. インターネットの利用
インターネットの利用は監視されていることを従業員に伝えます。ハッカーサイト、アダルトサイト、ギャンブルサイトなどの不適切な Web サイトにはアクセスしないように指示してください。ソフトウェアもハッカーツールも、ダウンロードは禁止です。
7. 電子メールの使用
従業員は、以下の理由で電子メールシステムを使ってはなりません。
- チェーンメール
- 会社の後援しないチャリティーの勧誘
- 政治活動
- 宗教活動、いやがらせ
- それ以外でも、業務に関係のないあらゆる用途
メールの私的な利用は、妥当な範囲で許可します。
8. ノート PC の物理的なセキュリティ
ノート PC はすべて、就業時間が終わったらキャビネットやドッキングステーションに保管し、チェーン錠をかけます。
9. 社内ネットワークの保護
ネットワークに不正アクセスされないように、ワークステーションはすべて、スクリーンセーバーをパスワードで保護します。Windows 7 を使っている場合には、ワークステーションをロックしてください。従業員がインターネットからスクリーンセーバーをダウンロードしないように、スクリーンセーバーは Windows 7 付属のデフォルトに制限することもできます。
10. 第三者への情報提供
機密情報は第三者に提供しないでください。知る必然性があれば例外ですが、その場合でも秘密保持契約を交わしてからにします。企業の情報を守ることは、従業員全員の責任です。
トレーニング用資料についても企業ポリシーの確認は必要で、従業員のなかに疑わしい、もしくは悪質な行為があった場合の結果を詳しく記載します。便宜上、各種のセキュリティポリシーに関する情報を以下にまとめてみました。
- 利用規定
- ソーシャルメディア
- Bring Your Own Device(個人所有デバイスの持ち込み)
- セキュリティインシデント管理
推奨事項と禁止事項
新しく入社した従業員には、「推奨事項と禁止事項」のチェックリストを渡します。まだ実際のセキュリティトレーニングを受けていない段階かもしれないので、このチェックリストは、すべきことと、してはいけないこととを新しい従業員に伝えるには簡単で有効な手段です。このチェックリストに載せる情報を以下にまとめました。
禁止事項
- パスワードは、たとえば従業員間であっても他人と共有しない。
- パスワードを紙、ホワイトボード、付箋紙などに書いておかない。
- 「Aug2001」のような覚えやすい言葉をパスワードとして使わない。
- 個人情報や、言語にかかわらず回文になる(前からでも後ろからでもスペルが変わらない)語は使わない。
- 不適切な Web サイト(アダルトサイトやハッカー用 Web サイトなど)にアクセスしない。
- 非合法の、またはライセンスのないソフトウェアをインターネットからダウンロードしない。
- ライセンスのないソフトウェアをコンピュータにインストールしない。
推奨事項
- パスワードは、各システムで定期的に変更する。
- パスワードには、英字、数字、記号を組み合わせて使う。
- 6 文字以上の難しいパスワードを使う
- [スクリーン セーバー パスワードの設定]を有効にするか、ワークステーションをロックする。
- コンピュータで定期的にウイルススキャンを実行し、ディスク類もコンピュータで使用する前にスキャンする。
- デスクトップサポートから定期アップデートに関するメールを受け取ったときは、ウイルス対策ソフトウェアのパッチが更新されていないかどうかチェックする。
- 少なくとも週に 1 回はデータをバックアップする。バックアップは各ユーザーの責任。
- 機密文書、ファイル、ディスク類は就業時間の最後にすべて厳重に保管する。
従業員のトレーニング
従業員のトレーニングは、セキュリティに不可欠の要素です。顧客や同僚の情報を保護することの意味と、保護するうえでの各自の役割を従業員は理解する必要があります。また、その他のリスクと、オンラインでの適切な判断についても基本的な知識が必要です。
なかでも、インターネットの安全性に関して職場で従業員が従うべきポリシーと慣例については必ず知っておかねばなりません。
【参考訳】