サイバー攻撃(その6)情報漏えい
機密情報や個人情報などの重要な情報が不正に外部に流出しないように、情報漏えい対策が必要です。昨今はノートPCやスマートフォンといった情報端末のHDDなどに様々な情報が保管されているために、情報端末の物理的盗難や紛失または重要な情報ののぞき見が発生した場合は、情報漏えいのリスクが高まります。
そのような盗難・紛失やのぞき見(ショルダーハック)への物理的情報漏えい対策として、次のような対策があります。
- のぞき見防止フィルム:正面以外からは画面を見えにくくする保護フィルム
- クリアスクリーン:スクリーン画面上にフォルダやショートカットなどの設定をしなかったり、認証機能付きスクリーンセーバーを使う
- セキュリティワイヤ:物理的なカギで情報端末を机などに固定する
- クリアデスク:離席時は書類や情報端末を施錠した場所に保管する
- シンクライアント:情報端末側でデータを保存しない
- モバイル端末管理:端末の設定やアプリケーションを一元管理して、リモートによるデータ消去などができるようにする
情報の廃棄時には、記録媒体(HDDなど)の情報をデータ消去用ソフトなどですべて上書きしたり、書類などの紙媒体などもシュレッダーで断裁して再読不可能にしたりする必要があります。そのうえで、適切な産業廃棄物処理業者に廃棄処理を委託して、マニフェスト(廃棄物管理票)を発行してもらいます。
また、アクセス権限を持った人間が機密情報や個人情報を不正に持ち出したり、盗み出したりする内部不正について、次のような対策も必要です。
- 牽制:不正行為を思いとどまらせる。別担当による相互牽制など。
- 監視:状態を監視する。アクセスログの履歴管理や入退管理、監視カメラによるモニタリングなど。
マイノート(これまでの私の体験・見聞から一言)
情報漏えいを防ぐには、技術的なセキュリティ対策だけでは十分ではありません。特に物理的なセキュリティ対策が必要となってきます。
ノートPCやスマートフォンなどは持ち運びすることが多く、それらが紛失するリスクは結構な確率で発生しますし、特にデータを保存した外付けHDDやUSBメモリなどの記憶媒体は紛失をする可能性は高いです。したがって、そのような情報端末には機密情報や個人情報などのデータを保存しないことが基本です。しかしながら、それらのリスクに対する認識が低かったりすると、外付けHDDやUSBメモリはデータの持ち運びに大変便利なので、つい重要なデータを保存してしまいます。
私自身も情報端末や記憶媒体の紛失の報告を受け、都度対応をした経験がありますが、様々なリスクを検討して判断しなければならないので、大変難しいですね。
