最大のセキュリティ・ホールは従業員のデスク周辺
CSO編集部を抜き打ちチェック、露呈した危機管理のお粗末さオフィスの入り口に監視カメラを設置して人の出入りをチェックしたり、堅牢なファイアウォールで社内システムを守ったりしている企業は多い。しかし、従業員のデスクまでチェックしている企業は少ないのではないだろうか。実は、デスクなどオフィス内の作業スペースには、機密情報だけではなく、悪用されれば危険な情報が無造作に置かれていることが(多々)ある。本稿では、CSO編集部のオフィスを例に、「セキュリティ上やってはならない行為」を紹介する。
まずは上の写真を見てほしい。これは典型的な社員のデスク周りである(多少はだらしないかもしれないが…)。写真の中にはセキュリティ上、やってはならない行為が20もある。さて、アナタはいくつ見つけられるだろうか(解答はCSOのWebサイトに掲載)。
実は、同テストはCSO編集部員を対象に、機密情報の保持にどれだけ注意しているかを調べるために行ったものである。その結果、セキュリティ専門雑誌のスタッフであるにもかかわらず、一部のスタッフは情報セキュリティに対して無頓着であることが判明した。
以下の6点は、勤務時間後のCSO編集部内をチェックし、発見した“セキュリティ上やってはならない行為”の数々である。CSO編集部を反面教師に、今一度、自分のオフィスも点検してほしい。
その1 付箋にパスワードを書いて貼付する
今回の調査で見つかった最大の問題点と言えるだろう。CSO編集部では、複数のスタッフがパスワードや個人のID番号などを書き込んだ付箋を、コンピュータのモニタに貼り付けていた。
「パスワードをすべて把握することは難しい」という言い訳はよくわかる。しかし、それらの情報を紙に書き、誰でも見られるような場所に放置するのは、絶対にしてはならない。
勤務時間後、社外のさまざまな人間がオフィスに立ち入る可能性は十分に考えられる。付箋に書かれているパスワードを利用し、アカウントを不正利用しようとする人間が現れないとは言い切れない。
その2 機密情報をホワイト・ボードに書き込む
スタッフがブレイン・ストーミングを行い、そのアイデアをホワイト・ボードに書くことは多い。実際、CSO編集部でも複数のホワイト・ボードが使われているが、今回の調査では、顧客の名前や課金情報が書かれたまま放置されているホワイト・ボードが1台見つかった。
この情報は、CSOの競合媒体にとって極めて有益な情報となり得るもので、会議終了後にはホワイト・ボードを目立たない場所に移動させ、数時間後には消しておくべきだった。ホワイト・ボードへの書き込みは、定期的にすべて消去する必要がある。
- 1
- 2
