情報セキュリティ対策はIT機器だけじゃない（366号）

前回（ブルースクリーン）、前々回（Tor）とかなり難しい目の話が続きました。

というわけで、今回はITからちょっと離れて、事務所内の情報セキュリティ対策についてお話したいと思います。

1. 情報セキュリティ対策はどこまで？

そもそもの話になりますが、情報セキュリティ対策は、自分たちの秘密情報を具合よく使い続けられるようにする対策を言います。

例えば、ランサムウェアにヤられるのは困りますし、サーバ故障で業務がすすめられないのも困ります。パソコンが盗まれたり、自社のWebページが改竄されるのもダメです。
以上は全てIT機器の問題ですが、これは情報の保管先としてパソコンやサーバが最もよく使われているからです。

ですが、情報セキュリティ対策＝IT機器対策ということではありません。

今回は、IT機器以外でも情報セキュリティ対策が必要となるシーンをいくつかピックアップしてお話をします。


2. 紙の情報セキュリティ対策も大変

これだけペーパーレスが叫ばれる現代でも、やはり紙はなくなる様子がありません。
それだけ便利な道具である証拠でしょう。

逆にその便利さ手軽さが事故となるケースがあります。

例えば、FAXの送付ミスという事故が昔からあります。
これなどはパソコンでのメール送付ミスと同じ構図です。
ただ、電話番号は数字だけですのでメールアドレス以上に気を付けなければいけない点がやっかいです。

他にも、事務所内での書類の取扱いの問題もあります。

コピー機やFAX装置のところに原紙を置いたまま数日放置していた、くらいの事故はよくあります。多くは社内資料でしょうから大した事故ではありません。
ですが、これが極秘の設計図面、それも新製品の設計用にお客様から「取扱注意」で預かっていた図面が行末不明となると大変です。

ましてや、その図面がホントに行末不明となると、かなりシャレになりません。
多くの場合は、社内の誰かが危ないと思って保管してくれているのでしょうが、事務所が基本出入り自由でコピー機近辺にも誰でも立ち寄れるとなると、ますます冗談で済まなくなってきます。

こう考えると、事務所内の情報セキュリティ対策というのは、単に紙はバインダに保管する、といったルールを決めておくだけで済まないことがわかります。

今回はそういったお話になります。


3. ゾーニングという考え方

上記のような事故が起きた時に「最悪でも社内にある（盗まれていない）」と言い切れれれば、かなり安心できます。

そのためにも、ゾーニングという概念はかなり有効です。
要は、場所によって誰が立ち入りできるかを決めることです。

ごくシンプルには「お客様ゾーン」と「セキュアゾーン（社内ゾーン）」の２つにパーティションなどを使って分ける考え方です。

お客様ゾーンは誰でも入れる場所で、例えば受付、応接室、ショウルームなどが含まれます。当然ながら、ここには社外秘の情報は置いてはいけません。

一方のセキュアゾーンは社員専用の場所で、社外秘の情報を開示しても良い場所です。
各メンバの机や書類キャビネット、コピー機、FAXなどはこのゾーンに置かなければなりません。

会社によっては、セキュアゾーンに入るには社員証などがないと入れないようにしていますが、単に部外者が入りにくいレイアウトにするだけでも十分にゾーニングの効果はあります。

上記のような設計図面の紛失でも、コピー機がセキュアゾーン側にあり、夜間の施錠に問題がなければ、盗まれた可能性はほぼないと言えます。

これってかなり安心できる話ですよね。


4. USBキーの紛失対策

次は（今回はIT機器から離れてと言いながら）多くの組織で管理担当者を悩ませているUSBメモリの話です。
USBメモリは便利なデバイスですが、何より小さすぎてすぐ紛失したりまぎれ込んだりします。

紛失防止を考えると、私物のUSBメモリは制限せざるを得ないと筆者は考えています。
私物だと紛失しても叱責を恐れて報告してもらえない可能性があるからです。

もちろん、何の工夫もしなければ社給品であっても同じことになりますから、管理作業は間違いなく必要になります。

数本程度のUSBメモリなら、キーボックス（会議室、鍵付きキャビネット、物置などの鍵を収められるアレ。よく壁際に貼り付けてある）に保管することを筆者はオススメします。
既にキーボックスがあり、そのキーボックス担当者が決まっていれば、USBメモリも同じように管理しましょう。

USBメモリの所在管理はキーボックス＋管理台帳（もしくはキーボックス担当者の頭の中）で十分ですが、行末不明になった時の対策は必要です。

この対策には、スマートキーがオススメです。
これは、一辺が数センチの小さなデバイスで、キーホルダーに付けられます。

いざ、キーホルダー自体が行末不明になると、スマホなどでそのスマートキーを探すことができます。
近くにあれば音を出すことができますし、近くになければ最後の所在確認場所を地図で教えてくれます。

筆者が使っているのはTILEという製品ですが、既に多数の製品が登場しているようです。

キーボックス＋スマートキーのコンボは、社給USBメモリの管理という意味では非常に使い勝手の良い組み合わせだと思います。


5. ネットワークカメラ

最後は（これまたIT機器ですが）「灯台元暗し」ならぬネットワークカメラのお話です。
ここで取り上げたのはネットワークカメラのソフトウェア更新（アップデート）がどうもあまり行われていないようだからです。

個人でも一人暮らしの方がペットの状態を見るためにネットワークカメラを設置する方はたくさんおられます。もちろん、事務所の防犯のためにカメラを設置している事業所もたくさんあります。

ですが、ネットワークカメラに侵入されてしまうと深刻な被害を受けるのはご存知でしょうか？

ネットワークカメラは基本的にインターネットに接続されています。（でないとスマホから自宅のカメラ映像が見られるのはおかしいですよね）
ということは、攻撃を仕掛ける側もネットワークカメラにアクセスできます。

つまり、ネットワークカメラはインターネットからの攻撃の脅威に常にさらされているのです。
ネットワークカメラの中身はちっちゃなコンピュータです。プログラムを送り込めばそれを実行できる仕組みです。では、悪意のある第三者が勝手にカメラ撮影できるプログラムを送り込んだらどうなるでしょうか？

もちろん、通常の方法ではそんなことは受け付けません。ですが、ネットワークカメラもコンピュータですから、Windowsと同様に脆弱性（プログラムのミスや考慮不足）が存在します。その脆弱性を突かれるとネットワークカメラのコントロール権を悪意の第三者に明け渡す可能性があります。こうやってコントロール権を奪われると個人宅ならプライバシーはゼロですし、組織なら秘密情報がダダ洩れということになります。

実際、ネットワークカメラへの侵入を得意とするマルウェアは既に存在しており、カメラでの盗撮も行われています。

これを避けるには、保有しているネットワークカメラの脆弱性情報を常に確認し、新バージョンが出れば更新するという作業が必要になります。
確かに最近は自動アップデートしてくれるカメラも多いようですが、ご自身のネットワークカメラのバージョン確認やアップデートは必ず実施しておいてください。

なお、組織でネットワークカメラを導入している場合は、素直に有償の防犯カメラサービスを利用されることを強くオススメします。彼らはプロですから、脆弱性を突かれるような失態は見せませんし、何よりも脆弱性攻撃による侵入を許すと深刻なダメージを被るからです。


6. まとめ

情報セキュリティ対策というと、IT機器の対策さえやっておけばいい、と思われがちです。
そう考えると「俺はパソコンなんか使わないから関係ない」「そんなのは情報システムの人の仕事で私は何もできない」となりがちです。

ですが、本来は情報セキュリティ対策は全員で取り組むべきテーマです。
「情報」のありかはIT機器に限りません。書類もそうですし、事務所内の付箋（ふせん）やメモも立派な情報です。
また、ネットワークカメラのように情報セキュリティ対策が必要とは思いもしないような情報機器も存在します。

今回は誰でも取り組める情報セキュリティ対策の一環として、事務所内の対策についてお話しました。

特にゾーニングについては、皆さんで議論して取り組めるテーマがたくさんあると思います。こういった見直しこそが、「全員参加の情報セキュリティ対策」になります。
ぜひ、皆さんでトライしてみてください。

今回は、事務所の情報セキュリティ対策についてお話しました。
次回もお楽しみに。