情報漏えい対策"虎の巻" 最低限のセキュリティ対策

技術的セキュリティ対策とは、ID・パスワードによる認証や暗号化などのソフトウェア技術を使用したセキュリティ対策のことです。

個人単位のIDの発行、パスワードの使用と定期的な変更

基本中の基本ではありますが、IDは個人単位で発行するようにしてください。また、パスワードを必ず使用するようにし、その長さや文字種にも制限をかけたり、ユーザーに定期的に変更させるようにしてください。

業務上必要なIDだけにアクセス権限を与える制御

本人を認証するためのID管理体制を構築したら、ユーザーの業務に必要な範囲だけのアクセス権限を設定するようにします。これにより無用のリスクを抑えます。

アクセスの記録を残す

これは情報流出が発覚した時、それ(情報)を誰が流出したのかを調べる際に役立ちます。

Windows XPやServer 2003のファイル共有機能にはアクセスログを容易に保存する機能がなく、イベントビューア(図2)を解読するしかありませんが、最低でもこのイベントビューアの保存期間を1年間などに長くするなどの対策を施しておべきです。

ウイルス対策ソフトの使用、定期的な更新

ウイルス対策ソフトは大半の企業で導入されていると思いますが、「どのソフトを入れても同じ」と思っていませんか?

とりわけWinnyをターゲットとしたウイルスは、日本国内のユーザーだけをターゲットとしているため、海外ベンダーの製品では、この点に関して対策が遅れる場合があるようです。ウイルス対策ソフトは、このような点も踏まえて選定することをお勧めします。

OSやソフトのセキュリティパッチの適用

これは、基本的には各クライアントPCにおいてWindowsの自動更新機能をオンにしておけばいいでしょう。あとはOfficeアプリケーションなど、業務で使用するソフトウェアのアップデート情報に気を配ります。ただしブラウザなど、アップデートすることで業務システムの使用に支障が出る場合もありますので、この点については、情報システム部門、またはIT担当者が社員に対応状況を随時通達するなどの措置をとる必要があります。

データ移送の際の安全対策

CD-Rなどで情報を取引先などに送る際は、宅配便、書留郵便、バイク便など、荷物のトレーサビリティを確保できる手段で送るようにします。

データ送信する際の暗号化

電子メールで大事な情報を送ることは大変危険な行為ですが、どうしても電子メールでしか送ることができないという場合は、厳重な暗号化でこれを防ぐしかないということもあります。AES256bitなど、破られていない暗号化方式で暗号化して送信するようにしてください。

データ送信に関しては、セキュリティが確保されたファイル転送サービスなどを利用するということも検討した方がいいかもしれません。

Webで個人情報を取得する場合

これはプライバシーマークの審査条件の1つにもなっていますので、あえて取り上げておきます。

「問い合わせフォーム」などを使用してWebサイトから個人情報を取得する場合は、必ずSSL化しておくようにしてください。これは、専用のフォームを提供しているASP事業者のサービスを利用するといった方法で安価に実現できます。

システムテスト時のセキュリティ対策

開発プロジェクトでシステムテストを行う際は、本番用のデータをCSVファイルなどの形式で用意することが多いと思いますが、これが流出して事件となることも少なからず発生しています。

システムテストには可能な限りダミーデータを使用するようにし、最終テスト時にだけ本番データを使用するようにします。その際、プロジェクトメンバーが単独で行うようなことはさせず、必ず自社の責任者を同席させるといった対策を徹底してください。

システムの動作状況の監視

大事な情報を収めたデータベースなどについては、できれば専任の担当者を24時間張り付けてリアルタイムで監視することをお勧めしますが、これはあくまでも内容の重要度によります。日常的に使用するPCの監視に(専用のセキュリティ対策ソフトなどをインストールすることは必要ですが)そこまでする必要はありません。

執筆者プロフィール

中康二(Koji Naka)
オプティマ・ソリューションズ株式会社 代表取締役
多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など

『出典:システム開発ジャーナル Vol.9(2009年3月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。