#6:侵入者が筐体を開けることができないようにしておく
マシンの筐体を開けて中のハードディスクを盗まれないようする対策を、サーバとクライアントPCの双方に施しておくべきである。フルサイズのタワー型コンピュータを丸ごと建物から持ち去るよりも、ハードディスクをポケットに入れて持ち去る方がずっと簡単だ。多くのコンピュータには、鍵がないと筐体を開けることができないようにするための錠が付いている。
錠一式は、Innovative Security Products(鍵の例)などさまざまなショップにおいて非常に安価な価格で入手することができる。
#7:ポータブル機器を保護する
ノートPCやハンドヘルドコンピュータは特有の物理的なセキュリティリスクにさらされている。泥棒は、コンピュータをまるごと盗めば、ハードディスクに保存されているデータや、場合によってはネットワークにログオンするためのパスワードなどを容易に入手することができる。従業員が自席でノートPCを使用する場合には、離席時にそのPCを一緒に持っていくか、このようなケーブルロックを用いて常に机に固定しておくべきである。
ハンドヘルド端末の場合には、使用していた場所を離れる際に引き出しや金庫に入れて施錠するか、ポケットに入れて持ち運べばよい。また、動体検知アラームを用いることで、ポータブル機器が動かされた際に警報が鳴るようにすることもできる。
機密情報が保存されているポータブル機器については、ディスク全体の暗号化や生体認証用機器、盗まれたノートPCがインターネットに接続された場合に「持ち主に電話をかける」ソフトウェアなどを用いることで、物理的な対策を補完することができる。
#8:バックアップをまとめておく
重要なデータをバックアップしておくことは障害回復活動の重要な要素であるが、テープや光ディスクを始めとするこういったバックアップ用の外部記憶装置に保存されている情報は社外の何者かに盗まれ、利用されるおそれがあるということを忘れてはいけない。多くのIT管理者が、バックアップをサーバルーム内のサーバの横に置いている。これらは、少なくとも引き出しか金庫に入れて施錠しておくべきだ。理想を言えば、バックアップ一式は社外に保管し、その場所で安全に保管されていることが保証されるような対策をとっておくべきである。
自らの作業内容をフロッピーディスクやUSBメモリ、外部ハードディスクにバックアップする作業者もいるという事実を見過ごしてはいけない。このような行為が許されていたり、奨励されていたりする場合には、バックアップは常に施錠された場所に保管されるべきであるとするポリシーを定めておくようにするべきだ。
#9:ドライブを無効化する
会社の情報を従業員によってリムーバブルメディアにコピーされたくない場合には、フロッピードライブやUSBポート、その他外部ドライブに接続されている装置を無効化するか、取り外すことができる。ケーブルを外すだけでは、技術に詳しい作業者を思い留まらせることができないかもしれない。ポートを使用できなくするソフトウェアメカニズムも存在しているものの、ポートを永久に使用不可能にするために、接着剤などで埋めることまで行う企業もある。フロッピーディスクドライブ用セキュリティロックは、まだフロッピードライブのついているコンピュータに挿入することで、他のディスクを挿入できないようにできるものだ。
#10:プリンタを保護する
プリンタがセキュリティ上のリスクとなるとは考えていないかもしれないが、今日のプリンタの多くは、搭載されている内蔵メモリにドキュメントの内容を保存するようになっている。もしもハッカーがプリンタを盗み、そのメモリにアクセスした場合、直近に印刷されたドキュメントのコピーを入手できる可能性がある。プリンタは誰にも持ち去られないよう、重要な情報が保存されているサーバやワークステーションのように安全な場所に設置してボルトで留めておくべきである。
また、作業者が印刷するドキュメントの物理的なセキュリティも考慮べきである。特に、余分に印刷されたものや、印刷が不完全であったためにプリンタのところに置き去りにされたり、誰でも中身を回収できるゴミ箱にそのまま捨てられたりするものに注意する必要がある。機密情報が含まれていなくても、印刷された不要なドキュメントはすべてすぐにシュレッダーにかけるというポリシーを導入しておくことが望ましい。これによって、シュレッダーの使用をユーザーに習慣づけ、あるドキュメントをシュレッダーにかけるべきかどうかを決める責任から彼らを解放することができる。
まとめ
ネットワークセキュリティは物理層から始まるということを覚えておいてほしい。世界中のファイアウォールすべてをもってしても、あなたのネットワークやコンピュータに物理的なアクセスを行える侵入者を止めることはできない。それゆえに、ロックダウンだけではなく施錠も行うべきなのだ。