危険な運用でカバー
セキュリティ対策を検討すると、人の行動や日々の業務の中で気を付けるという運用面でセキュリティ強化を進めることがあります。最終的に必要な場合もありますが、運用面でカバーすることをなるべく少なくできるようにセキュリティ対策を検討してみましょう。
Point① 人の脆弱性を考慮して対策を
運用でセキュリティを担保しようとした場合には、ミスや誤操作といったことを考慮する必要があります。人の介在が多くなると、ルール違反やルール忘れなどが発生しやすくなり、セキュリティ事故につながります。
ルールではアクセス不可だが、実際はアクセスできてしまう
あるデータへのアクセス制御を、ルールによる人の行動で制限します。この場合、本来アクセスしてはいけない人も技術的にはアクセスできてしまいます。誤操作によりファイルにアクセスしてしまうと、見てはいけない情報を見ることになったりと情報漏えいにつながります。
技術的に通信を止め、アクセスできなくする
あるデータへのアクセス制御を、技術的な対策で実現します。ルールを知らない人や間違ってアクセスしてしまった場合にも、制御する機器が自動でアクセスを止めてくれるため、権限がない情報にアクセスするという危険性がなくなります。
こんな事例も
ある会社では、セキュリティ対策のほとんどを日々の業務による運用によりカバーしていました。この会社では、USBなどの外部記憶媒体の利用は社内のセキュリティ規程で利用を禁止しています。これはセキュリティ担当者も知っていることです。本来であるならば、PC導入の初期設定の段階で検討を行い、システム側で対応を検討しておくべきでした。例えば、 PCのシステム制御でUSBを認識しないようにするなどの対応ができます。しかし、そういった検討をせず導入してしまったため、USBを接続すれば認識し、外部記憶媒体として利用できる状態になっていました。運用面だけで接続を禁止した状態であるため、従業員の教育をより強化するなど注意していました。
しかし、ある社員が外部記憶媒体を認識できることに気づきました。この結果、家でも業務をするために情報を持ち出すといったことが頻発し、情報流出の危険性が高まりました。いよいよ追加の対策が必要となり、現在ではシステム側でのUSB利用禁止となりました。
運用面で取り組むセキュリティが最小限となるよう心がけ、利用するシステム側でセキュリティを高めておくことが重要と感じる事例でした。