小さな工夫で大きな効果を～情報漏洩対策のヒント集～

現在，企業や組織からの情報漏洩が大きな問題となっている。その原因の多くが人的なものなので，たとえ高価な対策製品を導入しても100％防ぐことは難しい。セキュリティ管理者の多くは対策に苦労されていることだろう。一方で，工夫次第で，多額の費用をかけずに効果を上げられる対策がいくつか考えられる。そこで今回の記事では，そのような対策方法をいくつかまとめてみた。

セキュリティ対策に万能薬は存在しない。今回紹介する対策についても，効果が上がらない場合は当然ある。しかしながら，企業／組織のセキュリティ・レベルの向上のヒントとして，少しでも役立てていただければ幸いである。

セキュリティ事件／事故を“活用”する

セキュリティ管理者の悩みとしてよく聞かれるが，セキュリティに関する一般ユーザーの意識の低さである。教育プログラムなどを実施しても，他人事だと思われて，真剣に取り組んでもらうことが難しいという。

そのような企業／組織で試していただきたいのは，「セキュリティ事件／事故に関する報道」の“活用”である。情報セキュリティに関連した事件／事故が報道された際に，その報道に合わせてセキュリティに関する重要性を呼びかけるのである。

事件／事故を引き起こした業務と同じような業務を自社で行っている場合には，その関連部署に対する点検を抜き打ち的に実施して，その結果を公表するのも効果がある。例えば，「外部に公開しているWebサーバーから顧客情報を盗まれた」という報道があれば，それに合わせて，自社のWebサーバー・システムのセキュリティや，担当部署の業務フローを調査する。

こうすることで，一般ユーザーにも「セキュリティ事件／事故は決して他人事ではない」という意識を持たせることができるだろう。もちろん，他の教育プログラム同様，一度実施したからといってすぐに効果が出るものではない。継続的に実施する必要がある。

具体例でパスワードの重要性を示す

パスワードの重要性も一般ユーザーには理解してもらえないことの一つ。多くのユーザーにとって，パスワードは情報を守るための“鍵”ではなく，パソコンを使うための“おまじない”になっているのが現状のようだ。このため，容易に他人に教えたり，複数ユーザーで共用したりしてしまう。

そのような状況を改善するには，自分のID／パスワードを悪意を持って使われると，どのような情報を参照されてしまうのかを具体的に示すとよい。例えば，イントラネットで給与や保険にかかわる情報を参照できる企業では，参照できる情報をダミーのデータを使って列挙するとよいだろう。

パスワード自体の重要性だけではなく，パスワードの管理方法（設定方法）の重要性なども，具体的に説明したほうがよい。

例えば，「他人に推測されないように，英数字や記号を混ぜた長いパスワードを設定しましょう」と説明するだけではなく，「少ない文字数の数字だけのパスワードは，どのくらい早く破られてしまうか」について，パスワード破りのソフトなどを使った実験結果などを示すと効果がある。 [全文]