教科書的な対応が第一歩
はい、では改めて、各組織にて現実的にどういった対策をしていけばいいかについてご説明しましょう。
教科書的に言えば、まず情報資産の洗い出しをして、その重み付けを行います。たとえば、ISMSなどの認証ことISO 27001などを受けている企業であれば、必ずやっているはずです。
そうでなくてもやっている企業は多いとは思いますが、それは当然行うとしても、もうちょっとメリハリをつけた対策「これは自分たちにとって特に守るべき情報である」というのはある程度わかると思われます。そのため、何十行とか何百行もあるような情報資産台帳を作るとはまた別に、特に重要な情報(おそらく数種類、大きな企業であればさらに増えると思います)を重点的に守るということをまずは取り組むと良いでしょう。
最近はその重要情報が紙で存在するというのはまずなく、ITと言いますか、データベースという形になっていると思います。そしてそのデータベースにアクセスできる人は誰であるのか。ここで前回の記事でも申し上げている、「最小権限の原則」ということが出てくるわけですね。教科書的な内容ではあるのですが、これはぜひやりましょう。「教科書的ではあるけど難しいよね」ではなく、これは必ずやっていただかないといけないものであります。
また「一人1IDの原則」というのも、「運用が大変だ」ということでやってないところも多いとは思いますが、これも非常に重要です。
なぜこれが重要か。運用においては同じ権限ですので、その権限管理という点であれば共通IDとパスワードでも問題ありません。しかし、内部不正による大規模情報流出のような事件があった際は、「誰がやったのか」という点を追跡するときに特定が非常に難しくなってしまいます。ですから「一人1IDの原則」というのは大変であっても、是非やるべきであるということになります。
また、内部犯による情報流出でさらに考えなくてはならないのが持ち出し経路です。これは実のところ、すべてを網羅するというのは非常に難しいです。まあ、できる範囲ではもちろんやっておくということで、可能であれば 媒体経由での持ち出し、USB メモリーなどそういったものはシステム的に禁止をしておくということが望ましいですね。
またこれも可能であれば、その重要情報、個人情報を扱うパソコンを区別して、そのパソコンからは自由にインターネットにはつなげられないようにしておくといった対策が考えられます。業務の性質によって、そうした対策をするかどうかを決める。そしてやるのであれば、徹底してやるということが必要になります。ただ、この辺は割と一般的な対策ではあります。
