第二回目の今回は、Part2の「従業員としての対策」について説明します。
Part2 従業員としての対策
6.電子メールの添付ファイルや本文中のURLリンクを介したウィルス感染に気をつけていますか
| ① | 不審な電子メールは安易に添付ファイルを開いたり、URLリンクにアクセスしない | 怪しいと思われるメールが届いた場合は、添付ファイルの開封やURLをクリックせず、管理者に相談したり、メールの送信元に確認してください。このようなメールによるウィルス感染は非常に多いです |
| ② | 不審な電子メールの情報を社内で共有する | 怪しいメールが届いた場合、他の従業員にも同じ内容のメールが届いている可能性は非常に高いです(攻撃者は同じドメインのメールアドレスに無作為にメールを送るため)。そのため、社内に注意喚起の案内をすることは非常に重要です |
| ③ | メールソフトに迷惑メール対策機能がある場合は有効にする | 最近は、無料のメーラー(GmailやYahooメールなど)もこのような迷惑メール対策をおこなっています。自社で使用しているメールソフトにどのような機能があるのか導入した業者に確認し、必要な機能を有効にしてください |
7.電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか
| ① | 電子メールやFAXを送る前に送信先を再確認する | メールやFAXの誤送信は非常に多いです。誤送信は重大な情報漏えい事故になります。個人情報が含まれる場合は経営に影響を及ぼす場合もあります。送信前には、宛先を確認することはもちろん、文面の内容が正しいか、さらには添付ファイルが正しいか確認する必要があります |
| ② | 複数の送信先アドレスを受信者に表示しない場合はBCCを使う | メールアドレスは個人情報の一つです。複数の人にメールを送る場合は、必ずBccにメールアドレスを設定するよう注意してください |
| ③ | メールソフトに宛先チェック、送信保留、取り消しなど誤送信防止機能がある場合は有効にする | このようなソフトの導入は必須ではありませんが、誤送信防止ソフトには、送信時に再度宛先や本文、添付ファイルを確認しないと送信できないような機能が備わっています。他に、送信時に一定時間送信を保留するような機能やその間にメールの送信が取り消せる機能が備わっているものがあります。会社で必要な機能を判断し導入してください。導入しない場合は、上記のような送信時の確認を徹底する必要があります |
8.重要情報は電子メール本文に書くのではなく添付するファイルに書いてパスワードなどで保護していますか
| ① | 重要情報は文書ファイルに書いて強固なパスワードで保護する、パスワードはあらかじめ決めておくか、携帯電話のショートメッセージサービス(SMS)などの別手段で知らせる | 重要情報をメールに書いて送ると、添付ファイルは暗号化されていても本文は暗号化されないため、誤送信により情報が漏えいしてしまいます。そのため重要情報はメール本文に書くのではなくWordファイルなどに書いて暗号化することが重要です。送り先とは予めパスワードを決めておくか、メール以外の方法でパスワードを通知することが必要です |
| ② | 組織間で重要情報の送受信を行う場合は、盗難やなりすましを防ぎ、改ざんの検知ができるS/MIMEなどの暗号技術を利用する ※Secure/Multipurpose Internet Mail Extensions 電子メールの盗聴及び改ざんを防止する技術 | S/MIMEなどの暗号化技術の利用のハードルが高い場合、送信先に電話などかけてメールを送信した旨や概要を連絡することでも構いません ※先に書いたように、Gmailやyahooメールでも一部機能が実装されているものがあります。一度、メールを導入してもらったベンダーに確認してください |
9.無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか
| ① | 強固な暗号化方式(WPA2またはWPA3)を選択する | 極力WPA3を選択しましょう |
| ② | パスワード(ネットワークセキュリティキー、パスフレーズ等)の初期設定が簡単なものである場合は、文字数を増やし、文字、数字、記号等を含め辞書にある英単語は使わず容易に推測されないようにする | 必要に応じて(簡易なパスワードの場合)複雑で文字数の多いパスワードに変更してください |
| ③ | モバイルルーターやスマートフォンのテザリング機能を使わないときにはオフにする | 機能をオフにしないと不正に利用されるリスクがあります |
| ④ | Wi-Fiルーター設定のための管理用パスワードを強固で推測されにくいものにする ①アクセスポイント(SSID)が正規のものであることを確認する(偽アクセスポイントに接続しないよう注意する) ②パスワードなしで接続可能、またはパスワードが公開されている場合は秘密情報や個人情報のやりとりはしない ③重要な情報をやり取りする場合は、HTTPS通信(TLS/SSL)に対応したWebサイトまたはVPN通信を利用する | Wi-Fiルータに不正にログインされると乗っ取られるリスクがあるので、管理用パスワードを複雑で長いパスワードに変更することが必要です |
10.インターネットを介したウィルス感染やSNSへの書き込みなどのトラブルへの対策をしています
| ① | インターネットを利用する際の注意・制限をルール化する ①ウェブサイトを閲覧するときには運営者の身分証明書であるサーバー証明書を確認する ②SNSに秘密情報や個人情報を記載しない | インターネット利用マニュアルなどを整備する必要があります ①Webサイト閲覧時は、可能であれば電子証明書のドメイン名を確認します。電子証明書の共通名 (CN)とURLのドメイン名の一致の確認、有効期限内かなど ②SNSへの有効な対策として、従業員に対して教育を繰り返し実施することや、懲罰規定を整備し周知する牽制が有効です |
| ② | Webフィルタリングやプロキシサーバーなど技術的対策を利用して、アクセスできるサイトを制限する | Webフィルタリングにより、アクセス可能なサイトに制限をかけることは可能ですが、これに応じた設備の投資が必要になるので、自社での必要性に応じて導入してください。ただし、自宅から直接インターネットに接続して操作されると対応のしようがありません。また、導入しなくても、上で書いたような組織的な対応により、ある程度の制限をかけることは可能です |
11.パソコンやサーバーのウィルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか
| ① | 重要情報のバックアップを定期的に行う | 毎日バックアップを取得するようにしてください。可能であれば複数の媒体(別のHDDへのコピーと外付けHDDへのコピーなど)に取得するようにしてください |
| ② | バックアップに使用する装置・媒体はアックアップ時のみパソコンと接続する | 例えば、上で書いた外付けHDDなどを常時サーバー等に接続していると、仮にサーバーがサイバー攻撃により暗号化されたら、外付けHDDも一緒に暗号化されるリスクが高いからです |
| ③ | バックアップに使用する装置・媒体は複数用意し、そのうち1つは遠隔地に保存する | 可能であればで構いませんが、サーバーが火災や震災で障害を受けた時、バックアップも一緒に置いてあると同じ被害を受け利用できなくなるため、遠隔地に保存することは望ましいです |
| ④ | 問題なくリストアができるか、バックアップ方式の妥当性を定期的に確認する | いくらバックアップがあってもリストアできないと使い物になりません。リストアの手順書を整備し、定期的に手順書に従ってリストアのテストを行い、間違っている箇所があれば修正しておくことが必要です |
12.紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか
| ① | 机の上をきれいにして、重要書類は鍵付き書庫に保存する | これはクリアデスクと言います。勤務時間中は構いませんが、帰宅時には重要書類を鍵付きのキャビネットなどで施錠保管するようにしてください。ノートPCも同様の扱いにすることが望まれます |
| ② | 自宅に秘密情報または個人情報を含む書類やUSBメモリ、CD/DVDなどの電子媒体を保管する場合は、鍵付き引き出しやケースに保管し、利用時以外は施錠する | 基本的に、自宅に重要な書類や機器類を持ち帰ることは望ましくありませんが、テレワークを含め、持帰って仕事をする場合はルールを定め、それに従って運用することが重要です。 テレワークに関する細かいルールはたくさんありますが、保管に関しては、施錠できる袖机などに施錠保管するようにしてください。家族と言えども社員ではありません。会社の情報は一切漏らさないように注意することが必要です |
13.重要情報が記載された書類や電子媒体を持ち出すときは、盗難や紛失の対策をしていますか
| ① | 重要情報の持ち出しは許可制にして記録する | 重要情報を持ち出す際のルールを設定し、それに従って運用してください。特に、持出時には持出申請、持帰った時には持帰りの確認、さらに定期的に棚卸を行い、特にノートPCやスマホ、USBメモリがあるか確認が必要です |
| ② | ノートパソコン・スマートフォン・USBメモリなどはパスワードロックをかける | 言うまでもありませんが、このような機器を利用する際には複雑なパスワードを設定するようにしてください |
| ③ | カフェやホテル、駅など公共の場所でテレワークを行うときにはパソコンや書類を放置しない | これも当然ですが、そもそも、公共の場でテレワークを行って良いかというルールの設定も必要です。外出が多く、どうしても公共の場で仕事をせざるを得ない場合は、情報漏えい対策のルールを設定し、それに則る必要があります。ノートPCや書類を放置しないことは言うまでもありません |
14.離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか
| ① | 離席時にパソコンにスクリーンロックをかける | これはクリアスクリーンと言います。離席時に、他の人にPCを覗かれ、情報漏えいを防ぐため、画面をスクリーンセーバや画面ロック(Windowsボタン+L)により非表示にする必要があります |
| ② | 退社時にパソコンをシャットダウンする | 時々、帰宅時にPCやノートPCをシャットダウンせずにスリープ状態のまま帰宅する人がいますが、セキュリティ上非常に危険です。通常は複数のパスワード等でログインするところ、スリープを解除する一つのパスワードでログインできてしまうこと、また多くの場合はWindows Updateはシャットダウンする際に実行されるため、シャットダウンしない限りWindowsに脆弱性が残ったままになります |
| ③ | 不特定多数の人がいる場所ではパソコンにのぞき見防止フィルタを取り付ける | 特に社外で作業する場合がある時には、ショルダーハッキング防止のため、覗き見防止フィルタの利用は効果的です |
15.関係者以外の事務所への立入を制限していますか
| ① | 見知らぬ人は事務所に入れない | ショルダーハッキングによる情報漏えいや、書類、機器の盗難を防止するためです。社外の人が入れる区画を決め、そこより中に入る場合は社員がアテンドすると良いでしょう。 最近のショルダーハッキングは、例えば事務員の後ろを通る際に、スマホで画面の写真を撮るような手法が多いようです |
| ② | 受付カウンターを設置する | 受付カウンターでは、社外の人の受付を行い、社内への入場を制限します。会社名、氏名、役職、訪問先などを記入してもらうと良いでしょう。ただし、記入された訪問用紙には個人情報が記載されているので厳重に管理する必要があります。また、宅急便や郵便は受付カウンターで受け取るようにしましょう |
| ③ | 出入口や重要な情報の保管場所に監視カメラを設置する | 必要な箇所には監視目的で監視カメラを設置することは有効です。ただし、監視カメラで注意が必要なのは、人の顔を撮影しているため個人情報を取得していることなります。そのため、「監視カメラ稼働中」などの掲示があるとよいでしょう。また、監視カメラのクロック、LANにつながっているのであればファームウェアの更新、さらには撮った画像の管理(個人情報なので)に注意が必要です |
16.退社時にノートパソコンや備品を施錠保護するなど盗難防止対策をしていますか
| ① | 退社時に机の上のノートパソコンやタブレット端末、備品(CD、USBメモリ、外付けHDDなど)を引き出しにしまう | 毎日、退社時にはノートPCやタブレット、他の機器などを施錠できるキャビネットにしまい、施錠保管する必要があります |
| ② | パソコンやタブレットをシンクライアント端末化する ※端末にデータを保存しない仕組み | シンクライアントとは、PC上にデータを保管しないで利用するPCになります。シンクライアントは会社に置いてある自分のデスクトップPCにリモートで接続するタイプのものや、仮想PCに接続するものなどいろいろありますが、使い勝手は通常のPC利用と何ら変わりません。PCにデータが保管されないためシンクライアントPCを紛失しても直接の情報漏えいはありません。ただし、シンクライアントPCへのログインIDやパスワードが解明されれば、そこからログインされて情報が漏えいすることは言うまでもありません |
17.事務所が無人になる時の施錠忘れ対策を実施していますか
| ① | 鍵の管理を徹底する | 鍵は所定の場所に、何の鍵かわかるようにしておくと良いでしょう。空き缶に乱雑に入れて管理しているという会社もありますが、このような場合は鍵が無くなっても、次に使う時が来るまで紛失に気付きません。そのため、個々の鍵をかけるキーボックスなどの場所を決め、そこの位置に所定の鍵をかけておくことが必要です |
| ② | 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残す | 最終退出者は、退出時間を記録に残すことが必要です。これにより、責任もって戸締りをしたという証にもなり、事件、事故が発生した時の拠り所にもなります |
| ③ | スマートロックを取り付ける ※遠隔施錠やウェブ上で入退室記録を確認できる設備 | スマホにより施錠や解錠できるスマートロック機能を活用することも良いでしょう。さらに、人感センサーを取り付けている会社もありますが、費用がかかること、誤作動や誤検知もあるので、利用する際は会社で十分な検討が必要です |
18.重要情報が記載された書類や重要なデータが保存された媒体を破壊する時は、復元できないようにしていますか
| ① | 書類は細断する、電子データは消去ソフトを利用する | 情報を破棄するときは、紙媒体はシュレッダーで破砕もしくは専用業者に溶解してもらう、電子データは専用ソフトを利用して解読できないようにする必要があります。溶解した場合は、業者から溶解証明書を入手し保管してください |
| ② | 電子媒体を物理的に壊してから処分する | PCやUSBメモリ、外付けHDD、CD-ROMなどを廃棄する場合は、物理的に破壊して処分することが望ましいです。PCの廃棄時は専門の業者にひき渡して処分する方法もありますが、その場合は必ず処分した証明書を入手し保管してください |
| ③ | 専門サービスに書類の溶解、電子データの消去処分を委託して証明書を取得する | 上記参照 |
19.従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか
| ① | 採用の際に守秘義務について説明する | 新人を採用した時は、雇用契約書に記載してある守秘義務について説明する必要があります |
| ② | 守秘に関する覚書を交わす | 勤務中及び退職後も、会社で知り得た情報を一切口外しないことの覚書/秘密保持誓約書などを取り交わす必要があります |
| ③ | 秘密として管理している情報を明確に示す | 会社として何が機密情報に該当するのか明確にし、その取扱いについて説明する必要があります |
| ④ | テレワークで秘密情報を取り扱う場合には、周囲の環境に十分注意するよう説明する | テレワークでの作業は会社での作業と異なり、いろいろなリスクがあるため機密情報を取り扱う時はどういうことに注意すれば良いか会社として整備し、それに従って運用してもらう必要があります |
20.従業員にセキュリティに関する教育や注意喚起を行っていますか
| ① | 情報管理の大切さや関連する法令などを説明する | 情報が漏えいすることにより会社へのインパクトや、情報を管理することに関連した法令(特に個人情報保護法や不正競争防止法など)、さらには会社の懲罰規定などを説明すると良いでしょう |
| ② | 定期的な研修の機会を設ける | 情報セキュリティの維持に最も大切なことの一つは従業員への情報セキュリティ教育です。なぜなら、情報セキュリティのルールに従って行動する多くが従業員だからです。従業員に対し定期的(年に1回以上)に、情報セキュリティのルールを周知し、何をしないといけないのか、逆に何をしてはいけないのか明確に説明し、理解度を確認することが重要です。教育のしっ放しでは不十分です。理解度の低い従業員に対しては理解するまで繰り返して教育を行う必要があります |
| ③ | テレワーク時のセキュリティ対策について研修の機会を設ける | テレワークは情報漏えいのリスクが高いので、具体的な情報セキュリティ対策について教育する必要があります |