配属されたら、知っておきたい情報セキュリティ(1)

呉井嬢次(Johji Kurei) 2007-05-15 11:15:00

 新入社員(または中途社員)が配属されたら、勤務先からPCや携帯電話が貸与されると思う。そこで情報セキュリティの観点から注意しておきたい点について説明していこうと思う。

パスワードのルールを守ること

 最近では、指紋(静脈)認証、認証機能搭載USBが浸透しているが、9割以上の企業でパスワードによる利用者識別を行っている。パスワードの運用ルールも企業によって異なるが、共通しているのは「他人に教えないこと」、「身近なメモに書いてPCの付近に置かないこと」だ。最近では、貸与されるPCの性能より、プライベートで所有するPCの方がCPUが高速で、搭載メモリ容量も多く、OSや一般のアプリケーションも最新だったりする。貸与されたPCを見て、幻滅するかもしれないが、これから仕事を通して蓄積される情報次第で、PC本体以上(何倍、何十倍)の価値が出てくる。

 その時に、PCから大切な情報を守るのは、パスワードであり、大切に管理する必要がある。

企業の設けたパスワードの運用ルール

 ある企業では、社員にパスワードを変更させないルールで運用している。その逆に異なるパスワードを3つ入力しないと使えず、30日毎に変更を要求する企業もある。企業が検討した上で決めたパスワードの運用ルールなのだから守らないといけない。携帯電話のパスワード設定についても同様だ。

 もしパスワードが他人に知られていると、PC内部の情報が社外に漏えいする危険性が高まる。そんな事態が起きると、自分のボーナスが減るだけではない。同じ職場の社員にも迷惑がかかる。実際にこんなケースが多発している。

・PCを紛失した弁護士事務所では、ホームページでその事実を公表し、一時的にビジネス機会を失った。

・ある大手会計事務所では、管理職と役員がPCを続けて紛失し、監督省庁に報告することになった。
 その会計事務所が出資しているリスク・アドバイザリー会社では、J-SOX対応、事業継続などの事業を展開していたが、サービスの信頼性に支障をきたした。

・あるSIベンダーでは、顧客情報の入ったPCを紛失
 PCに格納されている全ての顧客企業に部長が訪問して謝罪することになった。米国国防総省が採用している暗号化ソフトをPCに搭載しているので、第三者への漏えいはない説明を行った。しかし、紛失したPCが戻らない以上、そのPCに暗号化ソフトが入っていたことを証明できないし、暗号化ソフトであってもパスワードを破る手法はあり、顧客の説得にはつながらなかった。

会社で使用するパスワードは社外で使うな

 企業の情報セキュリティ文書を作る仕事も手がけているが、最近気になるのは、システム部門やコンサルタントが作成したパスワード管理規定には、会社で使用するパスワードを、社外で使用することを禁じた条項がないことだ。わかりやすいく言えば、会社で使用しているパスワードを、プライベートな自宅のプロバイダで使用するパスワードと兼用してるといえば分るだろう。覚えきれないという言い訳は、事故が起きてからでは遅い。

 特に最近普及しているWeb2.0、API関係では、ブラウザを使ってオフィス文書を作成し、保存できる。そのようなサービスを提供している通信事業者、サービス提供会社、そこで作成、保存したファイルに付けられたパスワードは、企業内部で使用しているパスワードが使用される危険性がある。企業は社外で使用されたパスワードをチェックする枠組みがなく、万が一、社外からパスワード情報が盗み見られた場合、不正アクセスの手がかりを与えてしまう。

 このようなWeb2.0系の脆弱性を発見するテスト技法をしていると、パスワードの穴を見つけてしまう。組織として社内規定の不備は、組織の責任(経営者の責任)となる。では新入社員は何をすべきか。最低限やるべきことは、組織で定められたパスワードの運用ルールを守ることなのだ。そして、プライベートで使用するPCや携帯電話のパスワードと同じにしないこと、これに尽きる。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?