日本年金機構が125万件の年金情報を情報流出をしてしまったことが話題になってます。
Twitterとか2chとかをみてると、結構手放しで言いたい放題に批判してる人たちは多いのだけど、今回のような「特定組織を標的にした攻撃」による流出のリスクは、民官にかかわらず存在するんですよね。 実はあまり対岸の火事じゃないと思うんです。
むしろ「俺は大丈夫だから」とか思ってそうな人ほど危ない場合もあるんじゃないだろうか…。
そんなわけで、一般社員のレベルで自分があらぬ疑いをかけられないように(また、情報流出の張本人にならないように!)やっておくべき対策を考えてみましたよ。
会社全体としてのセキュリティはシステム部門がやってくれるはず(というか、やるべき)なので、ここでは会社全体でどうするべきかというよりも「自分を悪者にしないために何をやっておくべきか」という部分に主眼を置いておきます。
一応、僕自身は過去に情報システム部門でインフラやらセキュリティ周りを見ていたこともあった(雑用ともいう)ので、ここで語ってる内容についてはぼちぼち信頼してもらってよろしいかと。
目次
1.自分のPC上に業務データは保存しない
個人単位でできるとりあえずの防衛策は、自分のPC上に漏れたらマズいデータは置かないことです。
今回の日本年金機構の情報流出も、堅牢な業務サーバからではなく外部につながる可能性のあった個人業務PC上に業務データを移していたことが原因のひとつということを報道されてますよね。
年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」 (1/2) - ITmedia ニュース
インターネットやメールにつながるPCである限り、情報流出の可能性は存在するので、それならば自分のPC上には危ない業務データは極力、保存しないようにすることを考えましょう。
常にファイルサーバ上にのみデータを置いておいて、そのうえでデータを編集・作業するようにしておけば、自分のPCにデータを持ってくる必要はほとんどなくなります。
要するに自分ひとりのPC上にだけデータを置いておかないようにしておくのが、最低限できる対策のひとつです。
サーバ上の個人フォルダを使う
ファイルサーバ上に個人フォルダがあるならば、これも有意義に使いましょう。
ローカルに保存しておくよりも、サーバ上の方がセキュリティレベルとしては高い位置にあるはずなので、自席のPC上に置いておくよりは安全といえます。
万一、ファイルサーバ上のデータが流出した場合は、もはや個人単位というよりもシステム部署全体の問題なので、一般社員の責任範囲からは離れます。 自分が責任を負わないようにするためにも、なるべくはサーバ上の領域に業務データは保存しておくのが良いんじゃないでしょうか。
2.デスクトップ上は整理整頓しておく
結局、問題がが起きたらどのデータがどこにあったのか…などを含めて沢山確認されることになるわけなので、やはり情報がどこに置かれていたかわからなくなるようなゴチャゴチャしたデスクトップは避けておくべきです。
データ紛失を含めた流出などのような問題はだいたいの場合「データがどこに行ったのかわからない」「管理やルールがどうなっているのかわからない」という状態が放置されて起きることが多いからです。
整理整頓しておけば流出を防げるわけではないのだけど、最低限自分の中だけでも情報が管理しやすいよう、PC内のファイルやフォルダ管理はシンプルにとどめておくべきなのです。
例えばこんな感じでデスクトップ上に「業務データ」みたいな名前のフォルダをひとつ作っておいて、業務データは必ずこのフォルダの中にだけ入れることを、自分のローカルルールとして決めておくなど。
個人的に必要なファイル、例えば勤務時間のメモとか、そういったデータはデスクトップ上に「個人データ」といったフォルダを作成しておけば、用途が一目瞭然です。
デスクトップ上のゴチャゴチャを防ぐシンプルな2つの方法 | Tipstour
3.業務データは自宅に持ち帰らない
さかんに忠告されていることだと思うのだけど、これは絶対に守らないといけない、当たり前のことです。
最近は標的型攻撃も多くなったけど、一昔前の情報流出の花形は「ウィルスに感染した自宅PCに持ち帰った業務データが流出」というパターンでした。
情報セキュリティの担当からしても、自宅のPCのセキュリティまで完全に保証させることは不可能に近いので、もうそもそも業務データは持ち帰るなというお達しを出しているところがほとんどだと思います。
ただ禁止するだけなのではなく、外部でも仕事ができるように仮想デスクトップや、暗号化されたモバイルPCなどを解放している会社もあるので、そういった仕組みがあるのであれば必ず利用しておきましょう。
禁止するだけ禁止して、ロクな救済策も講じない会社は僕はもう知らんよ!
4.USBメモリの中身は定期的にまっさらに
データを持ち運ぶ際に使うUSBメモリや、外付けHDD、SDカードなども要注意です。 基本的には、そういった可搬媒体の中身は定期的にデータを全て削除するようにしておくことが良いでしょう。
USBメモリにデータが残っている場合のリスクは、紛失時に現れます。 やっぱり小さいアイテムということは、注意していても紛失することはどうしてもあります。 (過去にも、割としっかりしている人でも紛失しかけたこともありました。)
USBメモリのような可搬媒体をうっかり紛失した場合は、流出などの大事に至らなかったとしても、始末書沙汰になる場合もあるので、なるべく格納するファイルは少なくしておくことを気を付けておく方がよいです。
(…まあ、実際はファイルの削除だけだと復元される可能性もあるのだけど、一般社員が出来るレベルとしては、ファイル削除を心がける、ぐらいでいいのかなと。)
5.添付ファイルをアイコンだけで判断しない
ここ最近は、組織を狙い撃ちにした業務上のメールに扮した攻撃が多くなっているみたいです。 例の日本年金機構の件も、業務に関連しそうなタイトルのメールに添付ウィルスを仕込んできたというものでしたね。
気を付けておかないといけないのは、添付ファイルの名前とアイコンだけで「Word/Excel/PDFだな、よし」とファイルを開いてしまい、偽装されたexeファイルを実行してしまうという事態です。
アイコンがExcelファイルだったとしても拡張子が.exeになってる場合があるかもしれない…ということを頭に入れておいて、開く前にちゃんとチェックする必要があります。 こんな感じで明らかにアイコンが違っていればよくわかるのだけど、実際にはアイコンを偽装して攻撃してくることがほとんどだと思うので。
とりあえず、添付ファイルが来たらファイル名をチェックしてみるという癖はつけておいた方が良いですね。
拡張子をすべて表示する方法
Windowsでは、ファイルの拡張子を表示しない設定になっている場合がけっこうあります。 この場合、非常に紛らわしいことになるので拡張子は常に全表示にしておくことをオススメします。
Windows7でファイルの拡張子を表示する方法 | Tipstour
6.パスワードはデータで保存せずに、紙にしておく
まあこれは苦肉の策ではあるのだけど、無防備な状態でデータにしてパスワードを保存しておくぐらいなら、紙に印刷して手元に置いておく方がまだマシである…と思います。
紙の場合ならば、ネットワークを通じて流出するようなことにはなりませんからね。 ただ、そのパスワードの冊子を手帳に入れて外部に持ち運んだら無意味です。 社内だけで置いておくレベルにとどめておいた方がよろしいかと。
ただこういったパスワードの管理方法は、あまり推奨できる話じゃないのですけどね。
理想を言うとデータにも、紙にも保存せずに管理しろということなるわけだけど、すべてのパスワードを記憶することなんて不可能に近いので、何かしらの方法で管理をしないといけない。 最悪の場合と便利さを天秤にかけて、管理方法を選ぶ必要がありますね。
パスワード管理は難しい話題です。 会社員としてではない個人パスワードの管理だったら、下記の方法がベストだと思うのだけど。
アカウント・パスワード情報はEvernoteで統一管理するのが暫定ベスト | Tipstour
7.情報流出した場合のルールを確認しておく
万一情報を流出させてしまった場合、初動の対応が重要視されます。 例の日本年金機構の件もそうだけど、発見されてから数日間、どこにも通報・通知せずに手をこまねいていたことが更なる流出に繋がったという指摘もあります。
なので、こういった状況に陥ったらまず個人単位として何をするべきなのか。 その初動のルールを確認しておくことも重要な対策のひとつだと思います。
まあ、実際のところこういうルールを周知するのは情報セキュリティ担当の仕事なので、基本的にはそういった案内を待てばいいと思うのだけど。
ただ、このご時世でも何もそういったセキュリティ的な動きが全社的になさそうであれば、自分から確認しておくことも、大事です。
まとめ
- 自分のPC上に業務データは保存しない
- デスクトップ上は整理整頓しておく
- 業務データは自宅に持ち帰らない
- USBメモリの中身は定期的にまっさらに
- 添付ファイルをアイコンだけで判断しない
- パスワードはデータで保存せずに、紙にしておく
- 情報流出した場合のルールを確認しておく
まとめるとこんな感じです。 結局個人単位でできる一番簡単なことは、不用意に業務データを持たない、残さないということに尽きるんじゃないでしょうか。 毎回必要に応じてファイルを入手したり削除したりするのは面倒臭いかもしれないけど、身を守るためだと思ってあきらめましょう。
抜本的な対策はセキュリティ担当に任せればよいとしても、個人単位で最低でも自分自身が悪者にならないように対策しておくこともやっぱり重要です。
まあ、自分の身だけでも守れれば、いいと思うんです。
セキュリティの関連記事
ついに社内でEvernoteが利用禁止になったので、ローカルで出来る情報管理をご紹介します | Tipstour
あなたのChromeは大丈夫? マルウェア等が仕込まれた危険なアドオンをまとめたリストが公開されてます。 要チェック。 | Tipstour
Windowsでお金をかけずにセキュリティを高めたいならこの2つのフリーソフトを入れればいいと思うよ | Tipstour
今、このパスワードがヤバい! 米国セキュリティ会社の公開する「もっともよく使われている危ないパスワードフレーズ」Best100 | Tipstour