情報セキュリティリスク


パスワード管理の意識は高まっているが

 情報セキュリティの被害の発端はログイン情報(ID、パスワード)が外部に漏れてPCへの侵入を許してしまったということが多いため、セキュリティ意識が低い社員でもパスワードには気をつけているように思える。
なお、推奨されるパスワードは8桁以上で大文字・小文字・数字を混在した意味を持たない文字列が良いとされている。また、3ヶ月に一度パスワードを過去に使用していない変えるものとされている。
上記のレベルでパスワード設定がなされているのかというと多少疑問が残るが、システム担当者からの依頼で自分が使用するPCのパスワード設定を行う社員が多い。しかし、同じレベルで会社が保有する全ての情報機器やウェブサービスのパスワードの管理を行っているのだろうか。どうも社員がいつも使用するPCだけに限定した管理であるように思われます。会社の重要資産を守るためには、重要情報が保存されている全ての情報機器、サービスについて網羅的なパスワード管理を行う必要があります。

攻撃者は様々な方法で侵入を試みる

大抵会社の重要な情報は会社内部のサーバに保存されていることが多いため、侵入者は社内サーバへのアクセスを試みようとします。直接サーバに侵入できなければ、サーバにアクセスできる社員PCへの侵入を試みることが多いです。
侵入方法は多岐に及びますが、例えば安易なパスワード設定(IDと同じ、意味のある言葉(blue,apple等)、文字数が短い)をしていると簡単に侵入を許すと思ってください。適切なネットワーク環境を構築していたとしてもパスワード設定に問題があると侵入を許す事があるので、一人ひとりの情報セキュリティへの意識を高めることが重要です。

様々な方法で侵入を試みる

所有者や管理者が明確でない機器は危ない

 いつも使っているPCについては管理が行き届いていたとしても共用PCや持ち出しPC等ではどうだろうか。使用するユーザー毎にアカウント設定しているだろうか。同じIDで全員がログインしていないだろうか。共通使用するPCについてはパスワード管理以外にもパッチ適用やウイルスセキュリティソフト設定等、セキュリティ不備が起こりやすい。責任者が明確でない事が根底の原因として挙げられる。

特に気をつけたい機器

  • 共用デスクトップ、ノートPC
  • 持ち出しPC
  • タブレット端末
  • 管理者が明確に決まっていない社内サーバ

扱いが難しく落とし穴になりそうな機器

基本的には私用〇〇の業務利用は禁止すべきだが、実質的に許可している場合は特に注意が必要。会社も本人も意識が低く情報漏えいの原因となる。

  • 私用スマホ
  • 私用PC
  • 私用タブレット

私用スマホは危ない

ウェブサービスにも注意が必要

PCやサーバへのログイン情報と同様、ウェブサービスにも注意が必要である。最近ではSNSやデータ共有サービス等のウェブサービス上に会社の重要情報を保存しているケースも多いからだ。複数のサイトに同じIDやパスワードを設定していると一箇所の情報が漏れることで複数のサイトへの侵入を許してしまう事があるので注意したい。
一時的にデータを保管するつもりであるならば用が終わったらすぐに消す運用を徹底する必要がある。また、チャット機能での添付資料は特に消し忘れが多いので注意が必要である。

コンタクト情報

Topics

Top