情報セキュリティ関連のミスをできるだけ減らすには、情報セキュリティのガイドラインが役立ちます。ただ、ガイドラインを一から作成するのは、簡単なことではありません。そこで、この記事では、自社に合ったガイドライン策定のたたき台となる最低限必要な基本的項目を紹介したいと思います。自社に合ったガイドラインを作成したら、新入社員に説明するだけでなく、既存社員にもぜひ周知してください。
会社で使うシステムおよびサービスへのアクセスについて
- すべてのアカウントで、強度の高いパスワードを使用する。文字数は最低でも12文字とし、辞書にあるような単語の使用は避け、数字と記号を混ぜたパスワードとしてください。単純なパスワードは、総当たり攻撃で簡単に解読されてしまいます。
- パスワードは、アカウントごとに別々のものを作成する。同じパスワードを使い回していると、どれか一つのアカウントのログイン情報が漏洩した場合、同じパスワードを使用している別のアカウントまで不正アクセスされてしまいます。
- どんなパスワードであっても、他の人には知られないようにする(例外は作らない)。どこかに書き留めたり、ファイルに保存したり、社内の人と共有したりしないでください。少し考えただけでも、来訪者がパスワードのメモを見かけて悪用する、解雇された同僚が共有のパスワードを使って会社に害をなすといったリスクが考えられますが、パスワードが知られたことによって生じる可能性のある損害は無限大です。
- 2段階認証の機能が使える場合は、2段階認証/2要素認証を有効にする。仮にアカウントのログイン情報が第三者に漏れたとしても、2段階認証が設定してあれば不正アクセスを防ぐことができます。
個人情報について
- 廃棄する書類はシュレッダーにかける。個人を特定可能な情報は、復元できないような形で廃棄しなければなりません。
- 個人情報を含むファイルをやりとりするときは、保護された通信チャネルを使用する(例:Googleドキュメントを共有する場合なら、特定の人とだけ共有し、リンクを知っている人なら誰でもアクセスできるオプションは使わない)。例えばGoogleの場合、インターネット上で誰でも見られる状態になっているドキュメントは、検索結果の中に出てくるので、意図せず情報が漏れることになりかねません。
- 顧客の個人情報を社内の人と共有する場合は、必要最小限にとどめる。必要以上に情報を共有すると、法律的な問題が生じるだけでなく、情報漏洩のリスクも高くなります。
よくあるサイバー脅威について
- メールに記載されたリンクは、すぐにクリックせず慎重に見極める。また、送信者の名前はいくらでも偽装可能だということを覚えておく。フィッシングサイトへのリンクをクリックさせようとするのは、サイバー犯罪者の常套手段です。また、業務に関係のあるメールに見せかけたり、会社内の誰かのアカウントを乗っ取ってその人名義でメールを送ってきたりすることもあります。
- 予算管理者向け:メールやダイレクトメッセージで伝えられた情報のみに頼ってよく知らない口座へ送金するようなことは、しないでください。送金する権限を持っているはずの人に直接連絡を取って、確認しましょう。
- 出所の分からないUSBメモリは、触らない。その辺で見つけたUSBメモリをコンピューターに差し込むようなことは、しないでください。マルウェアの入ったUSBメモリを人目につくところやオフィス内にわざと置きっぱなしにするという攻撃は、ドラマの中だけの話ではありません。
- ファイルを開く前に、実行可能形式のファイルではないかどうかを確認する。サイバー攻撃では、悪意あるファイルをWordやExcelなどのOfficeファイルに見せかけることが多々あります。また、信頼できる出所ではないところから入手した実行ファイルは、開いたり実行したりしないでください。
緊急連絡先について
- 不審なメールを受け取った、コンピューターがおかしな動作をする、金銭を要求するメッセージが表示されたなどの問題が発生した場合、誰に連絡したらよいかを把握しておく。セキュリティ担当、システム管理者、部門長など、自社で決まっている報告先(担当者、電話番号など)を今のうちから確認しておきましょう。
以上は、社内の一人一人が知っておかねばならない基本中の基本です。現代のサイバー脅威についてさらに知識と情報を得るためには、特別なトレーニングをお勧めします。