情報漏えい、その意外な盲点とは
「目指せ! CSOへの道」(5)

タイトルイメージ第五回

本稿では、コラムとして毎月、次世代の「CSO」(Chief Security Officer:セキュリティ最高責任者)を目指す方を対象に、セキュリティ対策のポイントについて述べていきたいと思います。

これまでも(*)繰り返し述べてきた通り、情報セキュリティの司令塔であるCSIRTには、社内の情報管理体制を継続的に強化・改善する役割が求められます。特に留意して頂きたいのが、既存の常識に縛られることなく、なるべく幅広い視点を持つようにするということ。なぜなら、情報漏えいをはじめとするセキュリティインシデントは、時として全く意識していなかった「意外な落とし穴」から生じる場合があるからです。

*
コラム「目指せ! CSOへの道」(4) ~ 「人」の力が被害を防ぐ ~

まさかそんなところから–。思いもよらなかった「犯人」とは

ちょうど2016年1月初頭、まさにこのことを裏付けるような事案が報道されました。その内容は、国立大学をはじめとする複数の教育機関において、機密性の高い文書を含む複数のドキュメントがインターネット上で閲覧可能になっていたというもの。しかも、この事案を引き起こす原因となった機器は、サーバでもクライアントPCでもなく、コピーやプリント、FAXなどに日常的に利用されている「デジタル複合機」だったのです。

組織や体制の「壁」がインシデントを生む原因に

一般にこうした事務機器の調達や管理は、総務部門が担当するケースも多く、IT部門が運用実態を把握していないことも珍しくありません。しかし、現在のデジタル複合機はネットワーク対応が進んでおり、Webサーバやftpなどの機能を実装している製品も数多く見受けられます。こうなると、サーバやクライアントPCと同様のしっかりとしたセキュリティ対策が不可欠。それにも関わらず、適切な対処が施されていなかった一因には、「事務機器=総務部門管轄物件」という思い込みがあったのではとも想像されます。

考えてみれば、今回のデジタル複合機のように、セキュリティ被害の要因となりそうなデバイスは意外と少なくありません。たとえば、防犯用のWebカメラなどもその一つです。こちらも最近、パスワード設定が不十分なものが大量に確認されたとの新聞報道があったばかり。もし、自社のカメラ映像に外部からもアクセスできるようになっていたら、悪意ある第三者にも警備体制などが筒抜けになってしまいます。

ネットワーク機器(複合機)

とはいえ、IT部門が考えるセキュリティ対策では、どうしてもサーバやクライアントなどの「コンピュータ」に主眼が置かれがち。こうした一見「非コンピュータ」に見えるデバイスは、CSIRT側でもしっかりとフォローしておく必要があります。思わぬインシデントを未然に防ぐためには、情報漏えいなどにつながる「死角」をできるだけ排除していくことが肝心。特定の業務や部門に捉われない幅広い視点を持ってこの問題に取り組めるのは、CSIRTを置いてほかにありません。

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン