情報セキュリティについて、あるセキュリティ企業が提案する「企業が抱くべき新年の抱負」は次の5ヶ条からなる。
1. IT資産を保護する!
警察機関および民間の調査会社によると、毎年60万台から150万だのラップトップコンピュータが盗難事故に遭ってるんだって。しかも、そのうちの97%は戻ってこない。営業さん達(まぁ、営業に限らないけど)は、普段ラップトップを持ち歩いている人も多いはず。で、そのラップトップには、顧客情報とか機密情報とかが格納されているはず。盗難に気をつけるのはもちろんだけど、万が一盗まれた、または紛失した場合に、中身のデータまで流出しないようにせめて必要最低限のセキュリティ対策は講じるべきだよね。
2. 文書の破棄に関する正式な手順を作成・実施する!
「ダムスター・ダイビング」という言葉をご存知だろうか? 要は、ゴミ箱を漁って、大事な情報を盗み取る行為のこと。企業のゴミ箱は宝の山とまで言われているからね。適切に破棄しないと、簡単に情報が盗まれてしまう。重要な情報が記載された紙をむやみにゴミ箱に捨ててない? きちんとシュレッダーで細断してる? 文書に限らず、メディアも適切に破棄してる? ちょっとした油断も情報漏えいに繋がるんです。情報の取り扱いは常に慎重に行いましょう。
3. モバイル機器の取り扱いに関するポリシーを徹底する!
その利便性から、業務でモバイル機器を使用する人が増えている。その一方で、それらモバイル機器の管理には、まだまだ問題がある。従業員が使用しているモバイル機器に、どんな情報が格納されているかを確実に把握している企業なんてない、もしくはあっても非常に稀だろう。また、モバイル機器の使用について、従業員は正しい教育を受けているのだろうか? 格納して良い情報と悪い情報をきちんと判断できる?機密情報は極力格納しないのが原則。格納しているなら、ちゃんとセキュリティ対策(例えばパスワード保護など)をしてる? PDAなんて、ラップトップより簡単に盗まれちゃうよ。
4. データは常に整理する習慣をつける!
データ管理に関する調査を行った結果、回答した64%の企業がコンピュータ内にあるデータの棚卸し、つまり整理整頓をしたことがないという。さらに、そのうちの30%は、例えデータが盗まれたとしても、それを確認することが出来ないことを認めた。そりゃそうだ。もともと何のデータがあるのかさえ分からないんだから、何が盗まれたのかなんて分かるはずがない。でも、これじゃ困るよね。例えば、データベースが攻撃され、情報が盗まれた、または反対に余計な情報を追加された、なんて事件が発生したとする。セキュリティ侵害が発覚した企業は、慌てて原因究明と現状の把握に取り掛かる。が、蓋を開けたら、山ほどのデータが整理もされていない状態で存在しているもんだから、どこから手を付ければよいのかが分からない。コンピュータ内のデータは、少なくとも四半期に1度は見直そう。
5. EOL (End-of-Life) システムは使用せず、適切に廃棄する!
あなたの会社には、古くなって使用しなくなったコンピュータなどが無造作に置かれ、「電子機器の墓場」と化している部屋はない?普段は忘れられているそれらコンピュータにだって、重要な情報が入っている場合がある。もう使用しない、または廃棄予定のシステムは、サニタイジング(データの無害化)やハードドライブを破壊する必要がある。でないと、もし顧客情報や機密情報が格納されている場合、それらが流出する恐れがある。
情報漏洩対策は、もちろんコレだけではない。だけど、最初から高すぎる目標を掲げて、どれも達成しないのでは意味がないから、まず始めは出来ることから始めよう。セキュリティを意識するだけでも、きっと何かが変わるはず!!