対象とする読者
・情シスが体験するトホホなセキュリティ話が聞きたい人。
・他社の情シスがセキュリティでどんな対策をしているか知りたい人。
・元々セキュリティガチガチのSIerにいたのでユーザー企業のセキュリティに卒倒しそう。
・外部からの攻撃には強いが、内部のリテラシーが一番のセキュリティホール。
・情報発信する、認識させる、根気強くリテラシー向上に取り組んでいます。
今回の「情シスのお仕事」はセキュリティ対策を取り上げます。
改めて「情シスのお仕事」で取り上げる弊社情シスの業務範囲を貼っておきます。
2.デジタルシフトマネジメント(業務改革)
3.デジタルマーケティング管理・保守(MA、Web等)
4.営業支援システム保守(SFA、CRM)
5.基幹業務システム保守(ERP、PJ管理等)
6.バックオフィスシステム保守(人事給与、財務会計等)
7.コミュニケーションシステム保守(ファイル転送、チャットツール等)
8.内部システム保守(AD、グループウェア)
9.情報セキュリティ(個人情報管理、資産管理、ウイルス対策、教育等)★今回はココ
10.ソフトウェア管理(ライセンス、バージョンアップ等)
11.ハードウェア管理(パソコン、サーバ、スマデバ、ネットワーク機器等)
12.ネットワーク管理(無線、拠点内LAN、拠点間VPN、インターネット)
13.その他インフラ(電話/FAX、プリンタ、プロジェクタ、デジカメ等)
14.上記1~13についての問合せ対応
15.経営に関する支援(トップダウンでの導入・改善施策の事務局・推進役)
16.まとめ
「法人が管理すべき情報セキュリティリスクと対策について」という記事で「やるべきこと」は書いているので、今回は「実際に起こっていること」と「実際にやっていること」を中心にお話をしていきたいと思います。
SIer在職時のセキュリティ
前職の職場はセキュリティガチガチのSIerでした。
社外持ち出しPCはシンクライアントのみで申請許認可制の上にビルの入出場ゲートで持ち出し機器を検知されて許可書をチェックされます。
シンクライアントからしか起動できないVPNクライアントを使って、VDIではなく自席のPCにリモート接続する仕組みだったため、固定IPが枯渇してDHCPで確保しているアドレス範囲を縮小するという珍事も発生しました(固定IPでないと接続先IPアドレスが変わって接続できないためこぞって固定IPを設定したため)。
紙資料は持ち出しはもちろん持ち帰り・破棄まで上司確認が必要でした。
可搬媒体は管理部門からDVD-Rの払い出し制で、PCのDVDドライブは全て書き込み不可のため外付けドライブも同時に貸与で使い終わったらすぐに返さなければいけません。媒体は持ち帰り後の破壊までチェックされます。
資産管理システムに登録されているUSBメモリ以外は認識されません。
途中から自社でオンラインストレージサービスを開始して、「リリース物はユーザーにオンラインストレージからダウンロードしてサーバに格納してもらう」「資料は電子ファイルをオンラインストレージで授受する。ユーザー打合せは電子ファイルで行うか、ユーザーに印刷してもらう」というルールになったので、可搬媒体は絶滅危惧種になりました。
ただストレージ容量は数GBと小さいし、社内なのにPJ単位で利用申請→費用請求されるし、現場のユーザーからは「作業増やしやがって面倒くさい」と愚痴られるしと、まだまだ黎明期で時代がついてきていなかった感はありました。
Webフィルタリングは日進月歩で次々に規制が入り、クラウドストレージやWebメールなんか論外、SNSはもってのほか、Yahoo!!すらページによって見えたり見えなかったりするという力の入れようでした。
PCや携帯や入館証の紛失が発生すると部門全員にインシデントメールが通知されました。
業種が業種だからといっても、セキュリティが優先されすぎて弊害も多々ありました。
そういう環境にいた人間がユーザー企業の情シスに転職して、休暇中の人の机の上にセキュリティワイヤーを付けていないノートPCが置いてあるのを見た時は結構ショックでした。
しかしそんなものは序の口でした。
現場で起こっているセキュリティインシデント
クラック・情報漏えい・ウイルス感染は無し
UTM、資産管理システム、ウイルス対策ソフトのおかげで、内部ネットワークへの侵入やウイルス(マルウェア、ランサムウェア)感染は発生していません。
「ただ単に感知できていないだけじゃない?」と思われるかもしれませんが、各防御システムのログ上にもこれらの情報は出てきていません。
レンタルサーバでメール運用していた頃はアカウント乗っ取りやメールからのウイルス感染などの事故もあったそうですが、GSuite移行後はそういったことは発生していません。
Googleアカウントは、通常使用していないデバイスからのログインや不審なアプリケーションからのアクセスに対して徹底的に通知を出してきます。
問題は外からの攻撃より、むしろ内側にあるのです。
「落とす、無くす、忘れる」は防ぎようがないのか?
子供じゃないんだから…と思うかもしれませんが、結構な頻度で起こるのが「紛失」です。
携帯電話を落とす、書類が入った紙袋を置き忘れる、配布した資料を無くす。
全て報告が上がってきて後日発見されて事なきを得ていますが、報告に上がってきていない潜在的なリスクはまだまだあると思います。
私物の利用を締め出したい、全て
「支給されてるマウスが使いづらい」「キーボードのピッチが気に食わない」といって私有品を使うのは序の口です。
外出先で私有のモバイルルーター使ったり(何のためにスマホ支給してテザリング許可していると思ってるんだ)、かと思えば支給スマホのテザリングに私有機器繋いでアホみたいなデータ使用量使ったり(さすがに訓戒&被害額請求となりました)ということが実際にありました。
全て検知して取り締まっているのでこちらも今のところ事故には至っていませんが、「社有」と「私有」の境目がルーズすぎる事象が散見されます。
昔まだ1人1台パソコンが無かったころ、私有のパソコンを会社に持ち込んで仕事していた時期もあったそうで、それを教えてくれた方は「その名残じゃないか」と言っていましたが、何十年前の話を引き摺ってるんだよと。
あなたのパスワードは、情シスも知りません
情シスに来る問い合わせの第1位は、恐らく「パスワードがわからなくなった」です。
PCログイン、システムログイン、携帯のセキュリティロック等様々なパスワードがあるので、致し方ないと思う部分もあります。
ただ「パスワードがわからなくなったから教えて」と言われても、基本的にシステムはパスワードを管理者に平文で教えてくれたりなんかしません。
再設定して送りなおして、初回ログイン時にパスワード変更してもらうしかありません。
一番ひどかったのは「スマホのPINがわからなくなった」です。
MDMの設定で複数回PINを間違えると強制初期化されるようにしているので、残念ながらそのスマホは綺麗に初期化されることになりました。
PINわからずにどうやってスマホ使ってたんだ…。
Web監査は欲望の見本市
定期的にWeb閲覧ログを取り出してフィルタリングの結果をチェックしているのですが、何というか、気が滅入ります。
通販サイトで服ばっかり見ているどころかブライダルサイトで結婚式場や指輪探していたり、株とFXのページばかり閲覧していて「お前いつ業務やってるんだ?」という方がいたり、かなり特殊な性癖をお持ちの方がいらっしゃったり、なかなか頭が痛くなってきます。
一応「業務利用」と区分されているものと、Google検索やGoogleマップなど判別の難しいページを合わせて全体の95%が問題ないのですが、残りの5%に様々な欲望が凝縮されています。
セキュリティインシデントに対する対策
「落とす、無くす、忘れる」を大事件にする
PCの持ち出し申請やスマホのネックストラップは当然なのですが、前職の「部門全員にインシデントメール」に近いことをやっています。
ポータル掲示や全社員メールでの事例展開・注意喚起、経営層の会議でのインシデント報告、セキュリティインシデントを起こした社員への対面セキュリティ教育等、「やらかしたら大事件になる」を意識付けるようにしています。
さすがに全社に通知する時には個人名は出さずにしていますが、本人にとっては晒し首の心境でしょう。恐怖心で統率を保とうというつもりはないのですが、「紛失は重大なセキュリティ事故である」ということを認識してもらわないことには事故は減りません。
「会社に損失を与えるから」だけでは我が事と思わない人もいます。
結局「自分の損失になる」と思ってもらう必要があるのです。
締め出しと監視を発信し続ける
資産管理システムやMDMを導入すると、外部機器接続の制限やアラート、使用しているネットワーク等を把握することができます。
また法人一括契約の携帯電話であればデータ使用量通知メール等を設定することもできたりします。
重要なのは仕組みを導入したり設定を行うことではなく、仕組みや設定で取得した情報を発信することです。
全社発信、役員報告など定期的に行って、「こういうことしてるのバレてるよ」を周知すること自体が抑止力になります。
フィルタリングデータベースを活用する
Webフィルタリングには見てはいけないサイトを制限する「ブラックリスト方式」と、見てもいいサイトだけ許可する「ホワイトリスト方式」があります。
ホワイトリスト方式のほうが安全ですが、例えばGoogle検索で調べものをしても遷移先が表示できなかったり不便を強いることも多くあります。
かといってブラックリスト方式は「この世の中にどれだけの(アクセスしてほしくない)Webサイトがあるかなんてわかんねーよ!」となります。
UTMや専門のフィルタリングサービスにはフィルタリングデータベースというカテゴライズされたURLのデータベースを利用しているものがあります。データベースは随時更新されるので、設定する側は違法性の高いサイトやアダルト、ギャンブルなど、カテゴリで指定して規制を行うことができます。
カテゴリー内で規制を行った上で、フィルタ規制対象だけど許可したいサイトはホワイトリストへ、フィルタ規制対象外だけど規制したいサイトはブラックリストへ、という制限を行ったほうが効率的です。
オフィシャルSNSを運用しているのでSNSが規制できない等、規制と許可が相反するようなものだけはログを抽出してチェックすることにしています。
セキュリティ教育を自前でやってみる
有償のセキュリティ教育コンテンツも検討したのですが、最終的に自前で社内向けコンテンツを作成しました。
個人毎に差はありますが、全体としては「一般論としてのセキュリティはなんとなくわかっているけど自分の日常業務まで落とし込めていない」、「情報としては知っているけど実践できていない」というレベル感であるという感覚があったので、具体的な自社の業務や利用しているシステムにおける注意点やルールの周知に特化すべきと考えたからです。
作るのは大変ですが意外と反響は良かったので、繰り返し活用していこうと思っています。
セキュリティは新たな知識も重要ですが、基本行動の反復が基本です。
憎まれることもあるが、情シスがやらなければ誰もやらない
これらの対策を行って、褒められたり感謝されることはほとんどありません。
むしろ「使いにくくなった」「規制が多い」と不満を持たれることのほうが多いです。
しかし情報セキュリティの対策は他の誰もやってくれないし、問題が発生した時に責を問われるのは情シスです。
ある会社で大規模な個人情報漏えいが発生してマスコミ報道もされたとします。
その会社の情シスだった人が自分の会社に転職してきたとしたら、どんな気持ちでしょうか。
「原因はなんだったのか教えてほしい」等は、社員にならなくても聞けるし仕事の能力とは関係ありません。例えその人が原因ではなかったとしても心情的には抵抗があるのではないでしょうか。
セキュリティの必要性はの第一義は事業継続のためですが、前述の通り自分の損失にもなるのです。
>
>
この記事が気に入ったら
いいね!をお願いします