情報セキュリティのブログ記事

　前回は作成したパスワードをどうやって管理していくか３つの対策例をあげてお話をしました。今回は継続的な管理といった視点でお話をします。
 

　前回はパスワード管理の中で作成方法についてお話をしました。作り方だけでなく、定期的に作り替えることによって、パスワードそのものの安全性を高める話をしました。今回は作ったパスワードの管理についてです。
 

　ソニーの個人情報流出が１億件に及ぶ可能性があるとの話が出ています。ネット社会において、個人情報を登録することでサービスを受けることが一般化している中、これだけ大規模な流出はソニー側にも問題はあるかもしれませんが、不正侵入の恐ろしさを痛感する出来事だと思います。

　原因は脆弱性への未対応だとことらしいですが、大企業ならともかく一般企業ではなかなか難しいです。私自身も１０年程前ですが自分が管理していたシステムに侵入を許したことがある苦い経験を持っているため、管理の難しさを実感しています。とはいえ、関係者の少しずつの努力で被害を最小限に食い止められると思います。そのもっとも代表がパスワード管理です。今日はパスワード管理の中の作成方法に関してお話します。

　最近はセキュリティソフトをインストールしていないパソコンはほとんど見られなくなりましたが、意味がよく分かっていない方は少なくないようです。よく聞かれることですが、「セキュリティソフト＝ウィルス対策ソフト」ではありません。確かにウィルス対策が一番重要視される機能ではありますが、その他の機能も重要度がましてきています。今回は統合セキュリティソフトの主な５つの機能についてお話します。

　みなさんのところに迷惑メールはどれくらい届きますか。週に２，３通という方もあれば、日５０通以上という方もいらっしゃるでしょう。どちらにしても、作業効率を下げる困り者であることには変わりません。今回は、この迷惑メール対策についてお話します。

　迷惑メールにもいくつかの種類があります。

 

　今回は、インターネットやパソコンを使わない不正行為についてお話します。前回までは、ファイル共有ソフトやインターネットから来るウィルスの話でした。当然、それらはパソコン上での話であり、パソコン内やネットワークのセキュリティで防げるものです。しかし、これからお話しすることはそれではカバーできません。

　ソーシャルエンジニアリングという言葉をご存知でしょうか。これは、直訳すると「社会工学」ですが、実際の意味は、ネットワーク管理者や利用者のシステム情報（主にパスワード）を話術（主に電話）や覗き見によって入手する手法です。人間の持つ心理的な隙を突いて情報を入手するのです。「オレオレ詐欺」もソーシャルエンジニアリングのひとつといってよいでしょう。

　

　前々回に続き、情報セキュリティの話です。今回は、最近特に話題のファイル共有ソフトやスパイウェアを含めたマルウェアについての説明です。

　Ｗｉｎｎｙ（ウィニー）というファイル共有ソフトをご存知でしょうか。新聞やテレビで何度も名前が出ていますが、実際はどのようなものかご存じない方も多いでしょう。
　

　情報セキュリティの現場編の２回目です。前回はウィルス対策についてでした。今回は情報流出対策の説明をしたいと思います。

　個人情報保護法の施行以降、発注者・近隣住民・関連業者さんにいたるまで、情報流出に対する意識と関心の高まりはとどまるところを知りません。法律上は、５千名以上の顧客情報を有するものに対してとありますが、数十名でも個人情報を管理する以上、情報流出対策を施す必要があります。たとえ数名でも賠償責任が生じるからです。

　現場での個人情報は、氏名・住所の基本情報はもちろんのこと、学歴等のセンシティブ情報、さらに状況によっては医療情報などハイセンシティブ情報（高圧業務の関連等で）まであります。また、個人情報以外にも、オープン前のビル内図面や工場の機械配置等、企業の最高機密情報もあります。これらは業務を行ううえで必要不可欠な情報ですが、同時に流出防止を徹底しなければならない情報でもあります。

　このように、現場には一般企業以上に重要情報があるにもかかわらず、管理体制はきちんとできていない場合が多いものです。しかし、現場管理以外にこれらに気を使うのは大変です。そこで、できるだけ最小限の労力で管理できるよう押さえておくべきポイントをお話します。

　まずは、施錠や机の片付け等、身辺の対策です。机上の資料は、現場に行く等少し長く不在になるときは、必ず引き出しに入れるようにしましょう。そのためには、ひとつの引き出しを一時保管用にまるまる空けておくようにします。こうすればすぐにしまうことができますし、元に戻すのも楽です。「引き出しひとつあけるなんて難しいよ」という方もいらっしゃるでしょうが、その場合は増設してでも空き引き出しを用意するようお勧めします。
　また、関係者に鍵を渡して施錠を習慣づけるようにしましょう。現場事務所全体を施錠するのが理想ですが、最低でも机の施錠をしましょう。私の経験ではこの対策が一番わかりやすく効果が大きいです。施錠によって「この現場は情報管理をきちんとやるんだ」といった意識向上も図れます。事務所がきれいに見えるというおまけ効果もあります。机が片付いていて、施錠がしてあるということは、机やその他の場所に資料が逸散していないということです。これが進むと、ファイリングや棚管理など一歩上の情報管理を行えるようになります。

　次にパソコン管理です。ウィルス対策以外で行っていただきたいのが、不正侵入防止です。スパイウェアを筆頭に、インターネット上には様々な情報漏えい
のわながあります。もっとも手軽な対策は、ファイアウォールソフトの導入です。昔と違ってウィルスソフトとセットで販売されていることが多いので、知らないうちに導入している場合もあるかと思います。意識的にウィルスソフトだけ導入されている方もおありかもしれませんが、情報流出はウィルス対策では防げません。パソコンの性能は多少犠牲になりますが、ぜひ導入してください。
　このほかにも覗き見防止対策として、離席時にパスワード付スクリーンセーバーを起動させたり、盗難対策として週末は必ずノートパソコンを施錠のできるところにしまうよう習慣付けましょう。「見せない、見させない」が情報流出防止の基本スタイルです。

　最後に紙の管理です。電子データのほうが加工しやすく持ち運びやすいため、ついついそちらに目が行きがちですが、紙のほうがよほど危ないのです。最近は経費削減対策の一環で、失敗した印刷紙の裏紙をメモやためし印刷に使うところが増えてきていますが、金や人の情報がはいったものはどこで見られるかわかりません。もったいなくても不要になったら必ずシュレッダーにかけます。また、必要となる可能性は低いが取っておきたい資料などは、スキャナーでとりこんで電子化し、紙は破棄しましょう。めったに使わないカタログ類や期限の過ぎた安全大会の資料などは、場所をとるだけで無駄です。情報としては価値は低いでしょうが、適切な管理（できるだけ処分）をして大事な情報を埋もれさせないようにすることが大切です。

　今回お話した対策はそんなに難しい内容でなく、明日からでも実行できるようなものを選びました。簡単ですが、効果はあります。まずは自分の身の回りから始めて現場全体に広めていき、最後に会社全体へとステップアップしていくのがいいと思います。

　今回から何回かにわたり、情報セキュリティのお話をしていきます。情報セキュリティといっても幅広いので、「現場編」として一般ユーザーに関係することを中心に説明します。

　今回は、情報セキュリティの代表選手ともいわれるウィルス対策についてです。ウィルスといっても、そのパターンによって３つに分かれます。