セキュリティの認知啓蒙は高まっているとはいえ、技術の進化は早く、ハッキングする側のスキルも改善している。企業のIT部門にとっては未だ課題だ。それはセキュリティ企業Sophosであっても同じようだ。同社のIT部門でサービスエンジニアを務めるSam Cave氏がSophosのブログで、「ITチームがやってほしい5つのセキュリティ対策」を挙げている。
1.コンピューターにロックする
デスクを離れる時、コンピューターをロックするという人は多い。だが、この重要性を軽視している人もいる。コンピューターのロックは徹底すること。
あなたの画面はあなたのものであって、他の人のものではない。だから、あなたが画面を見ていないのなら他の人もその画面を見るべきではない。ましてや、あなたに代わってログインするべきでもない。信頼できる同僚であっても、だ。
ロックは簡単だ。Windows PCをロックインするときは「CTRL」「ALT」「DEL」を同時に押して「Lock」を選択するか、Windowsのロゴのボタンと「L」を押せば良い。Macユーザーなら「⌘」(command)「option」電源ボタンの3つを同時に押すとロックできる。
2.情報のリークを防ぐ
第二次世界大戦中、"口元が緩むと軍艦が沈む"として軽率に話をしないように米英政府は市民に警告していたとか。この言葉はサイバーセキュリティでも役にたつ。
相手を間違えてメールを送ってしまう、それだけで情報がリークしてしまう時代だ。適切ではないところで適切ではない話をする、ホワイトボードを消さずに会議室を出る、機密情報をプリントアウトしてデスクに置きっぱなしにする・・・などには十分注意しよう。
対策としては、メールやメッセージを送る前に内容を読み返すこと、送信先を確認することだ。ファイルの添付も、正しいファイルを添付しているかを確認するように。大きなスプレッドシートやドキュメントの一部に機密情報は入っていないだろうか?
話をするときは周囲に誰がいるかを見てからにしたい。もちろん、相手がその情報を与えて良い人かどうかも考えるように。会議が終わったらホワイトボードは消すこと。そのままだと、たまたま通った来客がスマートフォンのカメラでさっと撮影できてしまう。消すことは情報漏洩対策にもなるし、次の人のためのエチケットとも言える。
3.定期的にバックアップを
IT担当としてデータの保護に最善を尽くしてはいるが、ユーザーが保存していないものは我々は保護できない。作成中の資料でもなんでも、定期的に適切なところに保存する習慣をつけていただきたい。ノートPCを紛失したり・窃盗されてからでは手遅れだ。
IT担当はノートPCを暗号化し、万が一ノートPCが紛失・窃盗となった場合にも外部の人にデータが渡らないように対策を講じている。だが、安全なところに保存していないデータの損失は、我々IT担当に泣きついてもどうにもならない。
4.私用と業務用を分ける
私用の電子メールやメッセンジャーアカウントを使っている場合、これらはITのポリシー適用外だ。当然、我々には保護できないので、自己責任となる。
業務用のコンピューター、電子メール、電話を私用に使っている場合--子供やペットの写真を保存したり、オークションサイトやアダルトサイトを見たり(実際にある話だ)していた場合、会社を辞めたらなくなってしまうことを肝に命じておくこと。ある社員が辞めてアカウントを削除する時にIT担当が最初にやることは、その人のデータを全て消去することなのだ。
5.何が起こったのかを(正直に)伝える
IT部門に何かを伝えるときは、省略したり勝手な修正を加えずに正直に事実を伝えて欲しい。我々は全てを知りたいのだ。些細で重要でないと思っていることが、トラブルシューティングにとっては大きなことである可能性がある。最初から詳細に事実を伝えてくれれば、早期に問題解決の糸口が見つかる。
IT担当はあなた方のためにある。お互いの協力関係は不可欠だ。
