ささいなミスで重大なITセキュリティ事故を起こさないための対策
日頃、情報漏えいのニュースを見聞きすることがありますが、その中には信じられないほどのうっかりミスが会社の信用や存亡を危うくするような事例も少なくありません。
パソコンやネットワークに悪意のある攻撃を仕掛けられたという大がかりなものではなく、重要なデータが入ったUSBメモリや鞄を紛失した、メールの宛先をBCCにするつもりがCCにして何百人の顧客に送ってしまった、など──。
そうした人為的でささいな、でも笑えないミスでITセキュリティ事故を起こさないことは、リスク回避の観点からは最も重要だと言っても過言ではありません。
パソコンを扱う業務や、お客さんの情報を管理する仕事であれば、常にリスク回避の意識が必要です。それにはITリテラシーを高めることが欠かせませんが、特にやってしまいがちなミスとその対策から知っておくと効率的です。
今回紹介するのは、翔泳社から発売中の書籍『どうしてこうなった? セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー』です。本書では51の事例をマンガにし、その対策を解説しています。
普段、あまり意識していないようなこともあるかもしれませんので、いくつかを抜粋して紹介します。ぜひチェックしてみてください。
◆著者について
増井 敏克(ますい としかつ)
増井技術士事務所 代表、技術士(情報工学部門)。テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。
著書に『図解まるわかり セキュリティのしくみ』、『「技術書」の読書術』(以上、翔泳社)、Excel で学び直す数学』(C&R 研究所)などがある。
資料を捨てたらゴミ収集時に情報が漏えいした
チェックがついたら要注意
□ 重要な資料を廃棄するときシュレッダーを使っていない
□ 裏紙を使用してメモなどをとっている
□ 普段から資料を印刷して確認することが多い
印刷物に記載される機密情報
従業員が個人情報を含む書類を自宅に持ち帰り、自宅のゴミ収集場に一般ゴミとして廃棄していた、という事例です。他の住人によって発見され、会社に問い合わせがあって発覚したものです。
多くの会社で資料のデジタル化が進んでいますが、パンフレットやカタログなど紙の書類が使われる場面も多くあります。中には、アンケート用紙など個人情報が含まれた書類もありますし、コピー用紙の裏紙をメモとして使っていて、企業の機密情報が書かれている場合もあります。
印刷物は機密情報に注意して扱っていても、手書きのメモになると本人の意識が低くなり、適切に廃棄されないケースがあります。そして、自宅に持ち帰ってしまったり、廃棄してからゴミが収集されるまでの間に盗まれたり、収集業者が処分するまでの間に情報が漏れたりする可能性があるのです。
解決策:廃棄のルールを周知する
まずは紙の資料についての意識を高めることが大切です。個人情報や会社の機密情報を印刷するときに、その扱いに注意するだけでなく、コピー用紙の裏紙を使用しないように徹底している企業もあります。そのうえで、資料を廃棄するときには、紙に書かれている内容を必ず確認し、機密情報が印刷されている場合には、一般のゴミとは区別して処理します。
解決策:シュレッダーを使う
機密情報が書かれているなど、中身を他人に見られると困る書類は、細かく切り刻んで廃棄します。このような機械を「シュレッダー」といい、電動の機械だけでなく手でハンドルを回すものもあります。
安価な機械では、幅5ミリ程度で一方向のみにカットします。一方向のみのため、文章が書かれている方向と一致すると、その行は読める可能性があり、セキュリティ面ではあまり高いとはいえませんが、一般的な使用では十分だといえます。
もう少しセキュリティを意識する場合は、縦方向と横方向の両方でカットする機械を使います。カットする幅も数ミリ程度の細かいものが多く、文字単位では読めても文章を復元するのは難しくなります。
いずれにしても、ある程度の枚数を処理すると、ゴミ袋を入れ替えなければなりません。手元で処分できるというメリットはありますが、紙の枚数が増えると処理に時間がかかることもありますし、ホチキスやクリップなどで綴じられている場合は、それらを外さなければならない機種もあります。
解決策:溶解処理する
シュレッダーのように手元で処理するのではなく、専門の業者に回収を依頼し、溶解処理する方法もあります。切り刻むのではなく、水によって溶かすため、大量の紙があっても時間をかけることなく処理できます。また、ホチキスなどを外す必要がないことも多く、手間がかかりません。
ただし、業者が持つ専用の設備での処理が必要なため、その運搬中にトラブルが発生する可能性がありますし、信頼できない業者であれば情報漏えいのリスクがあります。契約条件などを確認し、信頼できる業者を使用するようにしましょう。
業務メールを第三者のアドレスに送信してしまった
チェックがついたら要注意
□ メールアドレスを手作業で入力している
□ エラーメールがなければ届いたと思っている
□ メールアドレスを手書きで書くことがある
メールアドレスの入力ミスの原因
メールを送信するときに、相手のメールアドレスを間違えて入力したために、異なる宛先に送信してしまった事例です。
他社とメールでやりとりする際、名刺などに書かれた相手のメールアドレスを手作業で入力すると、誤って入力してしまう可能性があります。例えば、I(大文字のアイ)とl(小文字のエル)、1(数字)を間違える、O(大文字のオー)と0(数字)を間違える、といった例をよく聞きます。
また、iとj、gとqと9など見た目が似ていて間違いやすい文字がいくつかあります。このような似た文字だけでなく、一部の文字の入力が漏れたりすることもあります。
メールを送信して、存在しないメールアドレスであれば、多くの場合はエラーメールが返ってくるため、その時点で気づける可能性があります。しかし、間違えて入力したメールアドレスが存在すると、その宛先に情報が届いてしまいます。相手が誤送信を教えてくれる場合もありますが、無視されると誤送信に気づかない可能性があるのです。
最近では、「gmai.com」などのドメインに間違えて送信してしまう例があとを絶ちません。これは、「gmail.com」の「l」が抜けたものですが、存在しないアドレスであってもエラーメールが返ってこないものです。送信が完了してしまったメールを取り消すことはできないため、機密情報などを書いていると情報漏えいとなります。
解決策:提供されたメールアドレスを入力する立場で考える
メールアドレスを1文字ずつ入力するのではなく、コピーして貼り付けられれば入力ミスを防げます。例えば、メールアドレスがWebサイトなどに書かれているのであれば、それを使えます。ただし、Webサイトに公開すると迷惑メールを送信されることが多いため、公開されていないことも多いでしょう。
もし相手からメールを送信してもらえるのであれば、届いたメールの差出人の欄をコピーできます。つまり、相手にメールを送ってもらえばよいので、次に示すようなメールアドレスを提供する方法と組み合わせればよいでしょう。
そして、何度もやりとりする宛先であれば、メールソフトのアドレス帳(連絡先)機能を使って相手のメールアドレスを登録しておきます。これにより、メールを送信するときはアドレス帳から宛先を選択するだけなので、誤入力による送信ミスを防ぐことができます。
解決策:メールアドレスを提供する立場で考える
自分がメールアドレスなどを提供する立場で、誤送信を防ぐことを考えます。例えば、名刺にQRコードを印刷する方法があります。QRコードはURLをパンフレットなどに印刷するときに使われていますが、メールアドレスを入れることもできます。
スマートフォンでQRコードを読み取れば、メールアドレスをアドレス帳に登録することもできますし、そのままメールを送信することもできます。これによって相手にメールを送信すれば、お互いにメールアドレスを1文字ずつ入力する必要はなくなります。
QRコードを使えば、メールアドレスだけでなく、LINEやTwitterなどのアカウントを共有するときにも便利です。
なお、紙のアンケートなどに回答するときに、メールアドレスを記入する場面があります。このような場合も担当者がそのメールアドレスを誤って入力すると自分の名前が他人に送信される可能性があります。このため、どうしても必要な場合を除いては、紙にメールアドレスを書くようなことは避けた方がよいでしょう。
フリーソフトをダウンロードしたら、警告が出るようになった
チェックがついたら要注意
□ フリーソフトを使用している
□ 公式サイト以外からダウンロードしている
□ 最新バージョンを確認していない
フリーソフトの改変や再配布
フリーソフトをダウンロードするとき、ダウンロードサイトを使用したところ、公式サイトで配布されている内容とは異なっていた事例です。
ソフトウェアの開発にはお金がかかるため、多くのソフトウェアは有料で提供されています。しかし、一部のソフトウェアは無料で提供されており、「フリーソフト」や「フリーウェア」と呼ばれています。ダウンロードできるだけでなく、雑誌の付録としてCDやDVDに収録されていることもあります。
無料で使用できるだけで、ライセンスはソフトウェアによって異なります。ソースコードなどが提供されておらず、プログラムの変更や再配布などについては許可されていないこともあります。著作権は開発者が保持していることが一般的です。
学生が趣味で開発していたり、作者が自分用に開発したものを善意で公開していたりすることも多く、不具合があっても修正されるとは限りません。使い方がわからなくてもサポートなどは期待できないため、その使用にあたっては割り切りが必要です。
なお、同じように無料で使用できるソフトウェアでも、ソースコードが公開されていて、そのプログラムを変更したり再配布したりすることも認めるようなライセンスが定められているものがあり、「オープンソースソフトウェア(OSS)」と呼ばれています。
公式サイトからダウンロードすべき理由
フリーソフトを使用したい場合、一般的にはそのソフトウェアの開発者が用意した公式サイトからダウンロードします。ただし、公式サイトに掲載しても、アクセス数が少ないサイトでは利用者が増えません。そこで、公式サイトに掲載するだけでなく、フリーソフトを多く紹介しているサイトに登録している開発者も多いものです。冒頭で紹介したように、CDやDVDで配布するなど、開発者に許可を得て掲載していることもあります。
問題は、このようなWebサイトでは開発者がそのフリーソフトをバージョンアップしても、その内容が更新されるとは限らないことです。開発者の公式サイトや、開発者自身が登録した公式サイトであれば、新しいバージョンを公開した時点で開発者が更新しますが、第三者が掲載しているようなWebサイトでは、いつ更新されるかわかりません。
結果として、古いバージョンが残っている可能性があるのです。古いバージョンが残っていても、そのバージョンの機能が少ないだけであれば、大きな問題にはならないかもしれません。しかし、セキュリティ上の問題が存在し、古いバージョンを使用していると攻撃を受ける可能性があるような場合には、最新版を使用しないと問題になります。
解決策:フリーソフトの利用は原則として禁止する
多くの企業では、フリーソフトを社員が勝手にダウンロードすることを禁止しています。これは、フリーソフトでは問題が発生したときもサポートが受けられませんし、何らかの不具合が含まれていても更新が続けられる保証がないことが挙げられます。また、マルウェアが含まれている可能性を排除できないこともあります。
一方で、有料のソフトウェアには含まれていない便利な機能を搭載したフリーソフトもあります。こういった機能を使いたい場合、申請することで使えるようにしていることも多いでしょう。
フリーソフトをダウンロードする場合は、必ず開発者の公式サイトを訪問し、その最新バージョンを確認します。公式サイト以外からダウンロードする場合も、公式の情報を確認するようにしましょう。
OSSの場合はメンテナンス状況を確認する
Webサイトを運用する場合には、Webサーバーやデータベースサーバー、そこで動くプログラムに使われるフレームワークなど、多くのOSSが使われています。
こういったソフトウェアを使用する際には、ライセンスを確認するとともに、メンテナンス状況を確認します。ソースコードが公開されていても、数年にわたって更新されていないようなソフトウェアでは、利用者が少ないことや保守するプログラマがいないことが考えられます。
必要に応じてコミュニティに参加するなど、その活用方法やメンテナンス状況を共有することが、リスクを減らすことにつながります。
よろしければスキやシェア、フォローをお願いします。これからもぜひ「翔泳社の福祉の本」をチェックしてください!