————————————————————
■□■ 平林良人の『つなげるツボ』Vol.276 ■□■
― つなげるツボ動画版はじめました ―
*** 内部診断と内部監査19 ***
————————————————————
情報セキュリティについて内部診断の話をしていますが、
「ドコモ口座詐欺」のニュースが先週駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手
したかについていろいろ推測が行われています。その推測の
一つに先週お話ししたパスワードクラッカー※があります。
前回に引き続き情報セキュリティプロセスの内部診断に
ついてお話しします。
※ 「パスワードクラッカー」は機械的にパスワードを推測
する機能を持ったツールです(詳しくは275号)。
■□■ テレワーク―在宅勤務■□■
テレワークは、ネットワークを通じて企業内サーバ(又は
クラウド)から必要データを在宅勤務職員が呼び出し、クラ
イアント端末(最低限の機能に絞られている)で作業を行う
という業務形態です。
新型コロナウイルスの蔓延により、テレワークが推奨されて
いますので、サーバの重要性が高まっています。テレワーク
のような業務形態は、職員の端末には重要な情報は保存され
ない、ソフトウェアのメンテナンスは情報管理担当者により
一元的に行われる、という点から情報セキュリティ対策とし
て有効なものと言えます。ただ、外部に持ち出した端末の
盗難や紛失への備えは大切ですし、ファイルの保護を行うこと、
ファイルが失われた場合に備え、重要情報のバックアップは
随時行うことが必須です。
■□■ 社内サーバの診断ポイント ■□■
組織によってはクラウドサービスを使わずに、組織内に所有
のサーバで業務推進しているところも多くあります。特に
企業競争力に直接関係するような、重要機密情報は社内
サーバに蓄積している組織が多いようです。
その場合、社内サーバの情報セキュリティ対策は、今まで述
べてきた要点と比べて、なお重要度の高いものと言えます。
その社内サーバの情報セキュリティ対策のポイントは次の
ようなものです。
1.サーバは、使用後に常にログアウトしておくように
ルールを徹底する。
2.停電対策として、サーバには無停電電源装置UPSを
設置する。電気を供給できる時間はバッテリによって
異なり、数分から数十分程度であるが、無停電電源装置
の設定によって一定時間電気の供給が停止した場合には、
サーバを自動的にシャットダウンすることができる。
3.サーバに障害が発生したときのために、定期的にバック
アップをとっておくことが大切。社内の基幹サーバなど
のように、サーバの停止が業務に大きな影響を与える
場合には、あらかじめ同じソフトウェアをインストール
した交換用のサーバを用意しておくこともよい。
4.容易に推測されにくいログインパスワードを設定して、
他人には利用できないようにする。
5.ハードディスクを暗号化して利用する。
■□■ スマートフォンの診断ポイント ■□■
スマートフォンを業務で利用する機会も増えています。
スマートフォンは携帯電話と比較すると、紛失・盗難の場合
の影響が格段に大きくなります。常に持ち歩く、どこかに
置いたまま放置しないなど、紛失・盗難のリスクを最小限に
する対策が必要です。また、スマートフォンでは、紛失した
場合に備え、GPS機能を使ってスマートフォンの位置を
検索する、遠隔操作で端末のロックや内部データの消去など
を行うことのできる技術が、セキュリティ対策ソフトや、
企業向けの携帯情報端末管理システムなどにより提供されて
います。