見出し画像

企業のセキュリティ意識は受付で分かる

穂苅洋介 / 総務専門デジタル変革請負人@新潟

企業や何らかの施設に訪問した際、受付の方の『うしろ』って気になりませんか?
これは私のクセというかもはや習慣になっているのですが、受付の方の『うしろに見えている情報』にばかり目が行って仕方がないのです…。これは「機密情報を盗み見てやろう!」ってことではなくて、長いこと情報セキュリティの内部監査をしていた経験から、「リスク」に目が行くようになったのです。

そして最近、結構大きな企業の『うしろ』がとても気になったので、そのお話をします。

セキュリティ区画は大事だけど…

企業がセキュリティ対策を講じる上で出てくる『段階別セキュリティエリア』という考え。これは用途や性質に応じて場所のレベル分けをしましょう、というものです。だいたい4段階で区切られます。

段階別セキュリティエリアのレベル(例)

  • Lv.1:誰でもOK(受付など)

  • Lv.2:エスコート付きで社外の人OK(応接室など)

  • Lv.3:社員のみ(一般の執務スペース)

  • Lv.4:特定部門/関係者のみ(サーバー室、金庫室など)

ISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク制度)に取り組んでいる企業であれば、どの社員もご存じのはず。ですが、実際は『かたちだけ』になっていることが多いように思います。セキュリティエリアで区切ってはいますが、区切った先で機密情報が丸見えとか、大変残念なことに…。

情報セキュリティ対策は、トップダウンでの取り組み&ルールが必要であることは言うまでもないですが、結局はどれだけ『自分ごと』として意識できるかに尽きますよね。

実際に見た

先日、地元では有名なとある企業の店舗に、用事を足しに行く機会がありました。受付で暫く待ち、私の用事は少し時間のかかる手続きが必要だったので、窓口ではなくその隣にある個室に通していただきました。その部屋は扉が2つあり、一つは顧客用で私が入ってきたところ、もう一つは店員が出入りする執務スペース直結の扉。

で、ここからがnoteの本題ですが、端的に言うと『セキュリティがザル』でした。この企業は法人/個人の両方を顧客としています。ということは、機密情報&個人情報を山ほど持っているのです。

そんな企業で、どんな『アブナイ』ことがあったのか、紹介ついでに対策も書いてみます。

その①パソコンをロックせず無人に

通された部屋にはノートパソコンが2台、ともにロックされていない(操作できる状態)。つまり、見ようと思えばパソコンの中身のデータを見ることができるし、逆にデータを消すこともできる。ワイヤーで繋がれてもいないので、やろうと思えば勝手に持ち出せる。そんな状態で10分以上待つ…。

対策はとても簡単、「クリアスクリーン」です。離席時に「Windowsキー」+「L」を押してロックすればOKです。それか、少なくともスクリーンセーバー設定ですね。(Windowsの場合)

その②客側モニターにPC画面丸見え

恐らくプレゼン目的で、顧客側にモニターが設置されていました。その画面には、担当者が使うであろうシステム画面が複製されていてまる見え
「まる見えでも重要なデータ見えてなきゃ別にいいじゃん」と思うかもしれませんが、見えている画面の情報から色々推察できるんです。たとえば、使っているソフトが分かればそこから様々な情報を得ることができますし、それがクラウドサービスなら、担当者の名刺に載っているメールアドレスと組み合わせて、なりすましでログインを試してみる…なんてこともできてしまいます。

これの対策は①に加え、モニターは複製ではなく「拡張」にして一緒に見る、又は相手に見せる時だけ画面共有するなどで対処できます。
また少し話がそれますが、打ち合わせ中はパソコンの通知はオフにすることをお勧めします。過去に何度も、相手のパソコンで表示されたメール受信通知(タイトルと送信者丸見え)を見てしまい、こっちが気まずくなることがしばしば…。

その③手の届くところに書類の山

私が通された部屋は、常時誰かがいるようなところでは無いはずです。なのに、書類がカゴに入って山積みになっている。そして、私が応対していただいた際には一切触れず。じゃあいらないじゃん!ですよね。

この対策はクリアデスク、つまり「その時にいらないものは置かない」ですよね。モノが無ければ盗まれることはありませんし、情報も洩れません。

その他いろいろダイジェスト

まだまだあるので箇条書き。

  • 執務スペース丸見え。なぜ扉があるのに閉めない

  • 複合機まる見え&印刷物放置。機密情報/個人情報扱っているのに放置って…複合機でICカード認証からの印刷がスタンダードでは?

  • 書類片手に持って歩く人。印刷面見えていますよ~。

  • 防犯カメラのモニター、コチラから良く見えます。代わりにぜーんぶ監視しておきますね。

  • 知らない店員が別のお客連れて入ってきた。「あっ、すみません」じゃない、私が個人情報さらしてたらどうするんですか。

  • 通路に段ボール置いておくと、躓きますよ。

  • ペン立てにやたら多くペンがあけど自前の文具しか使ってないじゃん!

  • パソコンに付箋貼ってる!読める、読めるぞ!

  • 壁に貼ってある御社のカレンダー浮いてる!

  • てかモノがすべて乱雑!!

みたいな感じで…最後の方は文句に近くなってしまいましたが、これ全部同じ店舗で客が出入りできるエリアから見えたものです。これが実態なのです。正直、この企業に情報を預けておくのがリスクに思えてしまいます。でも、競合企業も同じという…。

最大のセキュリティホールは人間

今回は民間企業での実体験を書きましたが、これは役所でも病院でも、もちろん他の民間企業でもほとんど同じようなレベルなのだと思います。
きっと、どこも情報セキュリティについては教育や啓蒙活動をしているんだと思います。でも、勉強だけでは駄目なんだと思います。皆さん、情報セキュリティの大切さは知りつつも、目の前の仕事に注力してしまうのは仕方のないことです。私もそうですし…。

でも、情報セキュリティ事故が起こっていないのは『超絶運がいいだけ』なのです。いや、もしかしたら事故は起こっていて、気が付いていないだけかもしれません。
そう思うと、ちょっと怖くなりませんか?あなたがセキュリティホールかもしれませんよ…?

一度、お客様の立場になって社内を見てみる

せっかくこのnoteを読んでいただけたのでしたら、一度立ち止まって見て、あなたの周りがどんな状況か是非振り返ってみることをお勧めします。私のように、受付からお客様の視点で見てみることで、なにか気づきを得られるかもしれません。

情報セキュリティは意識しすぎて困ることはないはずです。
ちょっとしたことで改善できるものもたくさんあります。

情報セキュリティ、ぜひ『自分ごと』としていきましょう!

この記事が気に入ったらサポートをしてみませんか?