iCARE情報管理部便り2023年8月号

はじめに

株式会社iCARE情報管理部 CISO 岩崎です。
情報管理部には、２つの役割があり俗に言う「情報システム」の役割と「情報セキュリティ」の役割があります。こちらの「iCARE情報管理部便り」は定期的に社内の情報管理で起きた出来事を、緩くご紹介していく記事となります。

情報セキュリティ委員会の取組報告

情報セキュリティ委員会では、セキュリティの取組が社内でちゃんと運用されているかの実態調査を行ったり、セキュリティの取組に対する課題や改善を進めています。

8月サーベイのハイライト

iCAREでは今期（8月）よりPCのサインイン、サービス利用のパスワードに対するパスワードポリシーをこれまでよりも厳しいものにしました。
当社のポリシーは、総務省、IPA独立行政法人情報処理推進機構、内閣サイバーセキュリティセンター（NISC）の推奨に基づき定義していますが、概ね以下のようになります。

• 12文字以上

• 英字大文字、英数小文字、数字、記号を含む

• 会社名、部署名、氏名、誕生日、サービス名等、推測し易いキーワードを含まない

• 既存の固有名詞をそのまま使わない（「Apple1234567!」とか「Starbucks20230801!」とか）

• 他のサービスのパスワードと同一のパスワードを含まない（使いまわしのパスワードを利用しない）

• キーボードの配列順を使わない（「1234567890-^\」や「1qaz2wsx3edc」）

特に今回追加したものとして、既存の固有名詞を使わないというものがありますが、この制限を入れることにより古からの攻撃方法ディクショナリーアタックに対する耐性を高めています。
もともと厳しいパスワードポリシーを定めていましたが、今回のポリシー変更については、初月50％程の対応状況となりました。移行期間内でパスワードポリシー対応100％を目指します。

こういうポリシー変更は、毎月機械的に確認することにより、全社に対して変更を伝え、対応を促す効果があるので委員会の取組として有意義だと感じるところでした。

情報システムよもやま話

先日、情報システム部に1本の問い合わせが入りました。
「執務室内のロッカーの上にルーターが放置されています。」
ネットワーク機器は、執務室ないの小さなサーバーラックに収納されており、情報管理部しか開けられないように鍵をかけて管理しています。
それがロッカーの上にある？と思い、現物を確認しに行くと、なんとそこにあったのは

Nintendo WiiU

写真で伝わるかわかりませんが、たしかにNintendo Wii Uってルーターに似てますね。っていうかなんでWii Uが会社にあって鳩サブレの缶に入ってる？
これは社員の私物ということが判明しました。
私はWiiUを持っていなかったので、これがWiiUであると判別するのに10秒くらいの時間を要してしまいましたが、想定しないものが突然目の前に現れると、脳が混乱しますね。

情報管理部9月の取組

やっぱりデバイス管理の徹底かなと思います。
これまで、社員に貸与している機器の管理はしていたものの機器の利用状況の管理は十分ではありませんでした。
9月はこちらノートパソコン、スマートフォン含めデバイスの中身の管理や、中央管理としてできることを増やし、有事の際の安全性の向上をしていこうと思います。

それでは今回はこのへんで失礼いたします。
また来月、ヨロシク俺にチューニング！