社内でセキュリティ管理を行う「システムアドミニストレータ」が行う仕事は、大きく分けて2つあります。1つが、【システムおよびソフトウェアのセキュリティに関する業務】です。例えばセキュリティソフトの導入等がこれにあたります。もう1つが、社内のスタッフを始めとしたユーザに対する【セキュリティの啓蒙活動】です。セキュリティポリシーの教育や、ソフトウェア等の使用方法についてガイドラインを設定するなど、人によって異なるセキュリティに対する意識を統一することで、会社全体のセキュリティを高めるよう努める必要があります。
【システムやソフトウェアのセキュリティに関する業務】は、管理のしやすいコンソールと高い安全性を持つ、導入しやすいセキュリティソフトであれば問題なく行うことができるでしょう。導入の先にある「それぞれのコンピュータ等の機器に対しての設定」は2つめの業務、【セキュリティの啓蒙活動】に大きく関わってきます。個人が利用するコンピュータにインストールされるものなので、特に一括管理のできない個人向けのセキュリティソフトを利用しているのであれば、「どこまでをユーザに許可し、どこまでを制御するのか」という基準を明確にしなければなりません。
もちろんセキュリティソフトだけに限ったことではありません。いかなるソフトウェアにおいても、ユーザIDとパスワードの管理や、ログイン制御等、ルールを定めなければならないのです。
そのために必要なのが、セキュリティポリシーの策定です。例えば「このようなWebサイトは閲覧してはいけない」「このようなソフトウェアは使ってはいけない」「フリーソフトウェアを勝手に利用してはいけない」等、セキュリティ上問題になりそうな行動の制限を明文化することによって、社内のセキュリティを万全の体制に近づけることができます。
セキュリティポリシーが策定され、スタッフに周知されているにも関わらず、セキュリティ上の問題が発生してしまったのであれば、セキュリティにおいて「脆弱性がある」ということになります。脆弱性をしっかりと把握し潰していくことも、システム担当者の責務となります。ここでは、そのために必要な「脆弱性診断」について解説していきます。
目次
1.脆弱性とはそもそも何か
2.やってみよう!社内の脆弱性診断
3.ITリテラシーの低いスタッフへの対応
4.最後に
脆弱性とはそもそも何か
デジタル的な脆弱性、アナログ的な脆弱性
一口に脆弱性と言っても、その内容は様々です。多くの人が、ハッカーたちが利用しているようなネットワーク上のものを思い浮かべることと思います。しかしそのような「デジタル的な脆弱性」だけでなく、ネットワークどころかコンピュータさえも介さないような「アナログ的な脆弱性」にも目を向けなければなりません。むしろ、社内における脆弱性診断ではアナログ的な脆弱性の方が重要とさえ言えます。
例えば、会社に来た外部の人間との応対場所についてです。訪問者が通る際、スタッフが作業する場所を通過していませんか?もし通過するならば、仕事の内容や個人情報を見られないように配慮できていますか?「見られてもちょっとだけだから大丈夫」という意識が働くかもしれませんが、その「ちょっと」が重大な情報漏洩につながる可能性もゼロではありません。スタッフの執務場所と、訪問者との応対場所はきちんとゾーニングを行うべきです。
もしゾーニングをクリアできていないのであれば、それは脆弱性と言えるでしょう。アナログ的な脆弱性は自分たちの力で解決することができます。まずはアナログ的な脆弱性の把握から始めてみてください。
社内でもできる脆弱性診断、専門家に頼るべき脆弱性診断
脆弱性診断は、社内でできるものと専門家に頼るべきものをきちんと切り分けることが重要です。例えばサーバに対する脆弱性診断や、コンピュータに対する脆弱性診断など、高度な専門的知識が必要なものは専門家に依頼するべきでしょう。自分が専門家であるという自負があるのであれば行ってもいいかもしれませんが、やり方を調べながら行うといった方法はお勧めしません。多少の知識を持っているだけでは太刀打ちできないことが多いためです。
では社内でできる脆弱性診断とは何かと言うと、「社内のスタッフが日常的にセキュリティポリシーに則った運用を滞りなく行えているかどうか」の診断です。セキュリティポリシーの各項が問題なく遂行できているかどうかをYES/NOテストで判定するだけで構いません。ただ、この際に「NO」が多くついたからといって、システム担当者やセキュリティポリシーに違反していたスタッフを責めるようなことをしてはいけません。あくまで機械的に行い、「NO」が多ければ業務やセキュリティポリシーに問題がないかどうか確認する、もしくはスタッフのITリテラシーを教育するなどの対策を講じるよう動きましょう。
やってみよう!社内の脆弱性診断
社内でできる脆弱性診断は、要するにセキュリティポリシーに基づいた運用ができているか否か、ということです。大きく切り分けると、以下の4種類に分けられます。
1.ユーザIDとパスワードの管理
2.個人使用のコンピュータの管理
3.情報機器の持ち出し
4.情報機器の接続
これからそれぞれを細かく解説していきます。
ユーザIDとパスワードの管理
社内でのセキュリティ対策を考える上で、個人のユーザIDとパスワードの管理は最も重要であると言っても過言ではありません。ひとたびパスワードが流出してしまえば、甚大な被害が出る可能性もあります。ユーザIDとパスワードの管理がしっかりと管理できているかどうか、それは最もベースとなるセキュリティの判断基準と言えるでしょう。
とある企業では、課長席に課長本人が利用しているユーザIDとパスワードが付箋で貼ってあった、ということもあったようです。いくら社内とはいえ、他人の目に触れる環境に大切なユーザIDとパスワードを置いてしまってはセキュリティも何もあったものではありません。
同様に、パスワードの設定も重要です。例えば誕生日と名前だけでできていたり、あるいは数字だけで構成されていたりするパスワードを利用している人がいるのであれば要注意。その程度のパスワードであれば、すぐに解読されてしまう可能性が高いです。
ユーザIDとパスワードは誰でも一種類は持っているであろう、基本的なものと言えます。だからこそセキュリティポリシーでしっかりと基準を明確に定めておくことが重要です。セキュリティポリシーの中にユーザIDとパスワードの管理、およびパスワードの設定について明文化していますか?そしてスタッフ全員がそのポリシーに基づいた管理・設定を行っていますか?もし一人でも違反している人がいるのであれば、大きな問題点であると考えてもらっていいでしょう。
個人使用のコンピュータの管理
個人に与えられているコンピュータの運用ルールです。例えばセキュリティソフトのアップデートを定期的に行っているか。ネットワークにつながる際はどのような設定になっているか。導入しているソフトウェアは何か、またソフトウェアの管理が万全にできているか。不用意に勝手なソフトウェアをインストールしていないか。挙げていけばキリがありませんが、このような単純な部分は、YES/NO形式でテストしましょう。
テストを行うにあたり、NOが多くても悲観する必要はありません。むしろ、NOが1つもない結果は存在し得ず、テスト自体がおかしいのではないかと疑ってみた方がいいでしょう。もちろん万全なセキュリティ体制を敷いているからこそ全てクリアしている可能性もありますが、それは相当充実した体制を持ってして始めて存在するものです。
ブラウザひとつあれば様々な処理ができてしまう昨今、例えばファイルをアップロードする際にも、オンラインストレージなどを利用すればソフトウェアを利用する必要はありません。そういった「ソフトウェア外のもの」にまで目を向ければ、自ずとNOが増えてくることと思います。しっかりと細かいところまで基準に入れるべきでしょう。
情報機器の持ち出し
情報機器、ノートPCやモバイル端末などの持ち出しについてルールが定められていますか?そのルールは持っていく際の管理だけではありません。持ち出した先でどのように利用するか、そして利用状況や環境をセキュリティ担当者が把握できているかどうか、あるいは監視することが可能かどうかも非常に重要です。
例えば、新幹線の中でパソコンを開いているビジネスマンをよく見かけますが、新幹線のような公共の場所での作業はディスプレイに表示されている内容が周りの人の目に触れてしまう可能性があります。隣に座っている人だけではありません。窓の反射等によって席が離れた人の目に入ることだってあるのです。公共の場所での情報機器の運用はどうなっているのか、そもそも作業をしないようルールを作っているのか。そしてそのルールがしっかりと守られているか。それらも脆弱性診断の判断基準として盛り込むべきでしょう。
当然のことではありますが、例えば車を利用しているスタッフであれば車内にコンピュータを放置しない、電車での移動するスタッフはコンピュータの入ったカバンを網棚に置かない、トイレを出るときにはコンピュータの入ったカバンやスマートフォンなど置き忘れがないかを確認するなど、コンピュータ持ち出し時の危機管理意識を持っているかどうかを確認することも重要です。特に、危機管理意識が脆弱となる飲み会などのアルコールが入る場にコンピュータを持ち込まないよう教育することは非常に重要です。
情報機器の接続
最後は、情報機器の接続についてのルールがしっかりと守られているかのチェックです。例えばUSBメモリなどの記録媒体や、スマートフォンなどの機器を許可なくコンピュータに接続しているスタッフはいませんか?もし情報機器の接続について明確なルールを設定していないのであれば、セキュリティポリシーに明文化する必要があります。
また、もしシステム担当者が把握していない情報機器の接続を許す体制になっているのであれば、その体制も改める必要があるでしょう。なぜなら、USBメモリやモバイル端末は情報流出のハブになりえるからです。スタッフが故意にコンピュータ内のデータのコピーを行わなかったとしても、スマートフォンなどのモバイル端末はコンピュータに繋いだ際に強制的にソフトウェアのインストールをさせたり、モバイル端末のミラーリングを指示したり、使用者が意図しない動作をする可能性があります。場合によっては、勝手にデータがコピーされてしまっているかもしれません。以前はそのような動作をしなかったとしても、OSのアップデート等により設定が変わっている可能性もあるのです。
加えて、近年はモバイル端末もマルウェアの脅威にさらされています。モバイル端末経由でコンピュータウイルスに感染する可能性を排除するためにも、情報機器の接続に関するルールは明確に定め、スタッフにも守るよう徹底するべきでしょう。例えば充電目的で個人のスマートフォンをUSBポートで接続することを許すようなことはあってはなりません。
ITリテラシーの低いスタッフへの対応
システム担当者の重要な業務の一つが、ITリテラシーの教育です。もし脆弱性診断を行った上で、ITリテラシーが低いスタッフがいたのであれば、セキュリティポリシーを遵守してくれるよう教育する必要が出てきます。しかし単純に「会社のために守れ」と言ったのでは、効果は薄いと言えるでしょう。なぜなら、スタッフも好んでセキュリティポリシーに違反した業務を行っているわけではないからです。
セキュリティポリシーに違反した業務を、違反していると知りつつ行っている場合、理由は一体なぜでしょうか。その内容をまずはしっかりヒアリングすることが先決です。例えば「この作業が面倒だったから、簡単に行えるソフトウェアを使用した」など、ITリテラシーの低さだけでなく社内の運用体制にも問題がある可能性があります。セキュリティの部分だけでなく、業務の問題点にもメスを入れるチャンスになるでしょう。
もし、セキュリティポリシーに背いていることを理解していなかった場合は、思想的なセキュリティの知識を身につけてもらう必要があります。特にITリテラシーが低いスタッフには、「個人に対して責任が発生する可能性があるからセキュリティポリシーを守ってほしい」という教習だけでは、通じないかもしれません。その作業によって「どれくらいの被害が生じる可能性があるのか」「会社がどのぐらいの損害を受ける可能性があるのか」を教えると同時に、「被害が生じた際には会社はあなたを守れないかもしれないから、未然に防ぐことであなたを守る」ために設けたルールである、ということを説明するとよいでしょう。会社を損害から守るためにスタッフ自身が負わなければいけない責任と、社員を守らなければならない会社の責任を考えてもらうことで、ITリテラシーの向上を図ることができます。
最後に
社内でできる脆弱性診断と、診断後の対応について解説いたしました。脆弱性診断と聞くと、社外に発表しているアプリケーションやシステムに対するものを考えてしまいがちです。しかし情報セキュリティにおいての脆弱性診断は、社内での情報管理やスタッフのITリテラシー向上等、基本的な部分こそ重要です。そしてある程度社内の脆弱性をクリアしていくのと同時に、社外へ向けたサービスの脆弱性診断に目を向けていきましょう。その際は、できるだけ専門家に依頼することをお勧めします。
策定されたセキュリティポリシーをYES/NOで回答できるような質問文にすることからで構いません。社内でできる脆弱性診断を、ぜひやってみてください。