3月・4月はセキュリティインシデントにご用心
こんにちは、株式会社ビズパ プロダクト開発チームの山口です。
SNS上でも卒業や進級・進学、内定などの報告を多く見かける出会いと別れの季節がやってきました。この時期情シスのかたはてんやわんやしてるのではないでしょうか?
こういった時期はセキュリティインシデントが発生するリスクが高まります。今回はこういった時期的要因とセキュリティリスクについて着目していきたいと思います。
早速ですが考えられる時期的要因をあげてみましょう。
3月:人事異動、卒業、決算期
4月:入社、入学
1月、4月、7月、8月、12月:長期休暇・休業
いくつか上げてみましたが大きなポイントは変化と隙にあります。外部からの攻撃であろうと内部での事故であろうと元をたどるとこれに尽きるかと思います。
具体的に見ていきましょう。
1. 人事異動・入社に伴うセキュリティリスク
情報漏洩
退職者による情報持ち出し
部署異動に伴うアクセス権限の不適切な管理
新入社員への情報セキュリティ教育不足
不正アクセス
退職者による不正ログイン
新入社員のアカウント情報の管理不足
パスワードの使い回し
システム障害
システム権限の移譲に伴う設定ミス
新規システム導入に伴うセキュリティ対策不足
新入社員による操作ミス
2. リスクへの対策
情報セキュリティ教育
退職者・異動者・新入社員それぞれに合わせた情報セキュリティ教育を実施する。
情報セキュリティに関する基本的な知識や、具体的な行動指針を教育する。
教育内容の理解度を確認するためのテストを実施する。
アクセス権限の管理
退職者・異動者のアクセス権限を速やかに削除または変更する。
新入社員には、業務に必要なアクセス権限のみ付与する。
アクセス権限の定期的なレビューを実施する。
パスワード管理
強力なパスワードポリシーを策定し、徹底する。
パスワード管理ツールを導入する。
多要素認証を導入する。
システムセキュリティ対策
システムの脆弱性を定期的に診断し、修正パッチを適用する。
ファイアウォールや侵入検知システムなどのセキュリティ対策機器を導入する。
システムログを定期的に監査する。
インシデント対応
インシデント発生時の対応手順を策定し、定期的に訓練を実施する。
インシデント発生時に速やかに原因を調査し、被害を最小限に抑える。
3. ポイント
ここまで各種リスクや対策についてあげてきましたが、実際に私が経験した事例をいくつか挙げてみます。
権限設定の付け間違い
これはどこの会社、現場でも割と見かけます。申請内容のミスや登録時のオペミスなど所謂凡ミスで起こってしまいがちです。起こりやすい割にリスク度合いは高めと言えます。例えば一般社員に人事・総務権限を付けてしまうと、場合によっては給与や個人情報まで見れてしまうかもしれません。これらを回避する方法はシステム化可能な部分はできる限りシステム化し属人化を排除、人による部分はチェック体制を強化すると良いでしょう。
一例ですが以前常駐していた会社は内外の人の出入りが多くユーザー管理業務が多忙でしたが内製の稟議システムと周辺システムを連携させてミスを減らせるよう工夫されてました。
大まかには、
稟議申請→サポートデスクへ自動依頼(兼作業シート)・内容によっては作業一部自動化(ユーザー登録やAD連携など)→管理会計連携、請求システム連携
といったようにキッティングなど最低限のオペレータ操作以外はできる限り自動化していました。しかもフロー時に承認が必要なため人のチェックが半強制で入る点もミスの低減になっており内製ながらとても良くできていました。
納品用HDの紛失
こちらは私が社会人一年目のときにあった出来事です。当時はWebシステムへの移行が主流になりつつありましたが、まだまだクライアントサーバシステム(クラサバ)が多くを占めている時期でした。
そのため納品方法もHDやUSBメモリ、CD-Rなどに保存し客先へ直接出向きセットアップまで行っていました。自分がいた会社では納品は営業が行っていたのですがある営業さんが納品に向かう途中でHDを紛失してしまい減給処分となりました。
今はWebシステムが主流になったりデータ転送やストレージサービスも充実しているため昔より直接社外にデータを持ち出す機会は減っています。とはいえ0になってはいないですし、リモートやノマドによってPCの持ち出しは一般的になっています。
万が一に備え、ロックや暗号化、位置情報による追跡など紛失しても流出しないよう対策を心がけましょう。他にも遠隔ロックや遠隔データ消去などもあるためこういったものを利用するのも手です。
社員が行方不明・貸与PCの売却
これはかなり特殊なケースです(嘘のようなホントの話)。あまり詳細は書けないですが大まかな内容としては、ある社員が無断欠勤になり電話するも繋がらず。数日して電話にて急な退職願いの連絡。営業が直接会いに行ったところ借りてはいけないところからお金を借りてしまい借金で首が回らず仕事含め生活がままならなくなってしまったとのこと。その際資金繰りのため貸与PCも売ってしまったそう。その後詳細はわからないですが賠償請求はしたそうです。
この話、内容のインパクトに引きづられがちですが大事な点は、だれしも状況やその時々のタイミングで思いがけない行動をしてしまうということです。
個人情報を盗んで売る人も犯罪を行ってる認識は希薄でちょっとしたお小遣い稼ぎ感覚でやってしまう人が多いです。
こういったケースは事前に防ぐことが難しいこともあるので契約等をしっかりと結んでおくインシデント発生時の迅速かつ適切な対応を行うなど発生時の影響が最小限になるよう対処しましょう。
4. ポイント
ここまで具体例を挙げましたがいくつかポイントがあります。
可能な限りリソースコントロールすること
冒頭でも書きましたがセキュリティリスクは隙から生じます。そのためユーザーやハード・ソフトといったものは可能な限り一元管理することが想定外のリスクを排除することにつながります。
注意点としてリソース管理自体は非生産的な割に対応コストがかかってしまいがちです。そうならないためにも管理ツールやマニュアル化などで適切に対応していくことが肝要です。
システムだけでもダメ・人だけでもダメ
セキュリティ対策の理想を言えば100%システマチックにしたいところです。ですがそういうわけにも行きません。大切なのは適切に切り分けを行うことです。
例えばActive Direcotryのようなディレクトリーサービスを利用すること各種機器やアプリケーションの認証・権限管理を一元管理できるため特定のサービスの設定、削除漏れを防ぎやすくなります。これはシステムの領域です。ただし登録作業や管理業務自体は人が行うものです。当然漏れやミスは起こり得るので更に業務分析を行いながら適切な管理構成・運用フローを構築していかなければなりません。
セキュリティ対策はナマモノ
ここまで前述もしましたが、セキュリティ対策は一度設定すれば終わりというわけではありません。サービスやハード・ソフトの変化、人や組織の変遷、資金状況等あらゆる変化に伴い最適な対応は変わります。
それらに併せて適宜見直しを行い最適な対応を行っていかなればなりません。
これらを行わないと最悪成果は出ないのにコストだけがかさんでしまうことになってしまいます。
5. まとめ
何度か書きましたがセキュリティ対策自体はコストは掛かっても売上には繋がりません。また企業や個々人のリテラシー、社内の政治的判断によって遅々として導入が進まないこともままあります。まずは社内講習などで社員全体が正しくセキュリティリスクを学ぶことが大切です。
▼採用HP
▼ご応募はこちらから!(カジュアル面談エントリーも)
▼もっとビズパのことを知りたい方はこちらへ!