見出し画像

情報セキュリティ-個人対策編

これまでの記事では、情報セキュリティ対策の法律や、組織として整えるべき体制、文書の話をしました。しかし、結局のところ、最も重要なことは各個人が高いセキュリティ対策の意識を持ち、規則を守り、自身や周りの人の情報資産を脅威から遠ざけることです。本投稿では、個人が実施すべきセキュリティ対策を紹介します。

パスワード
セキュリティ対策として最初に思い浮かぶものはパスワードでしょう。昨今のwebサービスやSNSでは、アカウントを作ってサービスの提供を受けるものがほとんどだと思います。個人で管理するアカウントは数百になることもあるでしょう。このパスワード、どの様に設定していますか?
まさか、全てのwebサービスで生年月日をパスワードにしていることは無いですよね?生年月日、電話番号、辞書に掲載されている単語などは、容易に推測でき、ハッキングされるリスクが高いです。では、どの様なパスワードが安全でハッキングされにくいでしょうか?

IPA(情報処理推進機構)では以下の様に定義しています。

  • 10文字以上の文字で構成されている

  • 数字や、「@」、「%」、「"」などの記号も混ぜている

  • アルファベットに大文字と小文字の両方を入れている

  • サービスごとに違うパスワードを設定している

これらの条件を全て満たすパスワードを作ることは難しそうに見えますが、実はそれほど難しくありません。辞書に掲載されている単語をそのままパスワードとすることは避けるべきですが、それを組み合わせた場合はどうでしょう?
通勤時間が10分で、中央区の勝どき橋を渡っているならば、こんなパスワードはどうでしょう。

Kachidoki_bashI@chuokU>10min

上記の条件を満たしています。36文字の文字列ですが、覚えられそうですね。身近な複数の単語を記号や数字で連結することで、推測されにくいパスワードを容易につくることが可能です。
IPA(情報処理推進機構)のホームページでも推測されにくいパスワードの作成方法を紹介しています。

次にパスワードの定期的な変更についてですが、総務省では定期的なパスワード変更は不要と提言しています。これは2017年の米国国立標準技術研究所(NIST)のガイドラインに準拠したものです。
その理由は何でしょう?ノースカロライナ大学の実験によれば、定期的なパスワード変更を求められた被験者は、パスワード変更の度に推測されやすいパスワードを設定する傾向がある様です。定期的に変更が求められるため、その都度覚えやすい単語にすることは、その通りだと思います。こうすることで、結局パスワードをハッキングされるリスクが高まりセキュリティ対策になっていないことから、最近では定期的なパスワード変更は求めない傾向にあるようです。

スキャベンジング
スキャベンジングとは、個人や企業から廃棄されたゴミの中から情報資産を盗み出す手口です。顧客のネットワーク情報が記載された設計書や、経営方針が記載された提案書を印刷し、ゴミ箱に捨てていませんか?それがビルの清掃員に運ばれて誰かの目に止まるかもしれません。関係者や競業他社に伝わる可能性はゼロでは無いですね。これは望ましくありません。

機密情報が印刷された紙を破棄するときは、シュレッダーにかけるか、機密文書破棄ボックスにまとめておくなどが必要です。シュレッダーで裁断した紙や、機密文書破棄ボックスは一般ゴミとして廃棄するのでは無く、業者に回収してもらって、破棄証明書等をもらうことが望ましいです。それと、シュレッダーや機密文書破棄ボックスは人の目に触れやすいところに設置する方がよいです。悪意のある人は、シュレッダーで裁断された紙や、破棄ボックスの中を漁ったりします。これらの行為を抑止するために、「誰かが見ている」状態を作ることが大切です。

紙の情報資産はもちろんですが、HDDやDVD等のハード機器を廃棄するときもスキャベンジング被害に注意すべきです。PCやサーバを破棄するときは、そのデータを消去してから破棄することは当然ですが、このデータはどの様に破棄すべきでしょうか?ディスクをフォーマットすれば、データは全て消えるでしょうか?残念ながらフォーマットしたディスクを復元する方法があり、完全にデータを消すことはできません。データを完全に消すには、全ての領域にゼロなど意味のない文字を書き込むなどのソフトを利用する方法があります。または、この作業を専門の業者に依頼することも可能です。フォーマットだけ実施したHDDが回り回って、どこかで情報資産が盗みとられることの無いよう注意が必要です。

ピギーバック
ピギーバックという言葉をご存じでしょうか?会社オフィスやマンションなど、そこへの入室が許可された人だけがカードや鍵で開錠できるようなところで、許可のある人の後に続いて許可の無い人が入室してしまうことです。会社オフィスで親切心で、開錠して他の人を招き入れたなんてことありませんか?その人は本当に許可された人でしょうか?許可された人で無いならば、招き入れてはいけません。悪意のある人かもしれません。情報セキュリティの機密性(Confidentiality)では、許可された人のみが、その区域に立ち入ることができます。
「入室カードをデスクに置いたまま、お手洗いへ行きました。すいませんが、開錠してくれませんか?」こんな場面に遭遇したことありませんか?その人は知っている人ですか?本当に入室が許可された人ですか?厳密には、会社のセキュリティルールに則り、セキュリティ担当者や警備員が身元を確認して開錠すべきです。見ず知らずの人が社内で何かやっている、何か持ち出しているなんてことになったら後の祭りです。
ピギーバックやってしまいそうですが、注意が必要です。

この様に情報資産の漏洩の多くは個人の少しの注意で防ぐことができます。日々の小さな振る舞いを見直して、自身や会社、身の周りの人の情報資産を守りたいです。