【解説】
企業を危うくするセキュリティ［NG］集

ささいなミスも命取りに――10の「やってはいけないこと」

（2008年06月11日）

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG（No Good）」としてまとめ、代表的な解決策とともに紹介する。

Matt Hines
InfoWorld米国版

NG1：ささいな技術的慣行が情報漏洩のきっかけに

　一部のセキュリティ問題は、ささいな技術的慣行によって発生する。そのため、ふだんから注意を十分に払えば、問題を回避することもさほど難しくはない。にもかかわらず、そうした慣行の多くは依然として“放置”されたままだ。

画面1：オートフィル機能はMicrosoft Office製品にも採用されている。これは、同機能を使ってExcelのシートに日付を自動入力したところ

　例えば、「Microsoft Outlook」のオートフィル機能（画面1）はその1つだ。「あて先に“Eric Friendly”と入力したつもりだったのに、オートフィル機能が働き、“Eric Foe”あてにメールを送ってしまう。こうした経験はだれにでもあるだろう。もしメールに機密情報が含まれていれば、その時点でアウトなのは言うまでもない」と、米国Symantecのマーケティング／製品担当上級役員、スティーブ・ロープ（Steve Roop）氏は語る。

　多くのユーザーがオートフィル機能をオフにすれば、不注意によるデータ流出事故をかなり減らすことができるとRoop氏。同氏によると、情報漏洩の90％はメール送信時の不注意、すなわちオートフィルや暗号処理の失敗、利用ポリシーの理解不足などに起因する。したがって、オートフィルなどの機能を単にオフにするだけでも、多くのセキュリティ・インシデントを回避できるという。

NG2：情報入力を促すサイトに何ら疑問を持たない従業員

　パスワードや個人情報の漏洩は、企業のITシステムやネットワークへの攻撃を呼び、甚大な被害とともにその企業の名声を失墜させる。しかも、このような情報漏洩は、大抵は外部の人間ではなく社内のユーザーに責任がある。

　社内ユーザーの不注意に起因する漏洩事件が増えるにつれ、従業員向けにフィッシングやスパイウェア、偽サイトなどの仕組みを解説する社内教育が多くの企業で行われるようになった。しかし、それでも多くの従業員は、個人情報の入力を促されたらそれに安易に応じてしまうと、米国McAfeeのセキュリティ・リサーチ担当コミュニケーション・マネジャー、デイブ・マーカス（Dave Marcus）氏は指摘する。

　「人々は個人情報収集サイトの正当性に何ら疑いを持たない。そうした判断は、Webの世界では根本的に間違っているにもかかわらずだ」とMarcus氏。オンライン上で個人情報を詐取する最も簡単な方法は、本人に直接聞くことなのだ。

NG3：ビジネス・パートナーを信頼しきってしまう

　SymantecのRoop氏は、オートフィル機能をオフにするのと同じくらい簡単な漏洩対策として、メッセージの暗号化を挙げる。ふだんから信頼しているビジネス・パートナーやアウトソーシング業者にさえ、暗号化されていない電子メールを送るのは危険だと同氏は考えているのだ。

　Roop氏は、従業員がパートナーあてのメールに注意を払わないのは彼らの勝手な思い込みだと指摘する。

　「人材アウトソーシング会社の担当者が、機密データを含むExcelの表計算シートをどこかへ転送するはずはない、あるいはセキュリティ対策が施されていないノートPCに機密データを保存するはずがないと、彼ら（従業員）はふだんから思い込んでいる。そのため、メール・ベースで機密データをサードパーティと共有しているような企業は、こうした従業員の思い込みに十分注意しなければならない」（Roop氏）

NG4：セキュリティ・フィルタをバイパスするWebアプリが情報漏洩の“窓口”に

　企業のネットワークでWebメールをやり取りしたり、ファイル共有サービスを利用したりすることは、セキュリティ上きわめて危険な行為である。こうしたWebベースのアプリケーション（特にWebメール）は、企業のセキュリティ・フィルタをバイパスすることが多いからだ。その結果、外部からのウイルス／ワーム侵入を許し、組織全体に被害が及ぶ危険性が高まる。

　また、会社所有のノートPCを仕事のために自宅に持ち帰るといった行為も、セキュリティ・リスクを増大させる。そのノートPCで自宅から外部サイトにアクセスすれば、ウイルスに感染する可能性が社内アクセスに比べて格段に高まるのだ。そもそも、重要なデータを会社から持ち出せば、なくしたり盗まれたりするリスクも生じる。

　このようなリスクは、ほとんどはセキュリティ・ポリシーとシステム管理アプリケーションを利用すれば低減可能だ。例えば、仕事用のコンピュータにWebアプリケーションをインストールしない、リムーバブル・メディアにデータをコピーしない、VPN（Virtual Private Network）や暗号化チャネル上で安全なメール・クライアントを利用する、といったポリシーを従業員に徹底させるのである。

｜1｜2｜3｜4｜ > 次のページへ