ショップハンター

いままでの話はこちら。
[情報編] うっかりもれてる個人情報
[個人対策編] うっかりもれてる個人情報

犯罪歴を帳消しにしたり、銀行口座の金額を改竄したり、ID を別人のものにすり替えてしまったり。
こんなことが日常茶飯事に起これば、ひとりの人間の人生なんて一瞬で吹き飛ぶ可能性もあるのです。
人様の大切な情報を預かる以上は、頭を下げたり、責任者をクビにしたりすれば済まされるレベルの話ではないのです。
低額金券一枚程度の賠償で、めちゃめちゃにされた人生は戻ってこないかもしれないのですから（被害者の数があまりにも多ければ他に方法はないかもしれないにせよ）。

【パソコン・サーバ編】

　事業で使うパソコンやサーバですから、無料ソフトウェアではなく、有償で信頼性の高いものを導入するようにしましょう。

1. アンチウィルスソフトウェア、スパイウェア駆除ツールは、集中管理型のものを導入する。
　集中管理型のアンチウィルスソフトウェアは、各クライアントのバージョン情報、ウィルス駆除状況、自動インストールがトータルに行える。
　社内スタッフが個々に好き勝手なアンチウィルスソフトを導入すると、それぞれのソフトウェアの性能によってウィルス検出率にバラつきが出たり、エンジン更新やウィルス定義の更新を忘れたりするので極力避ける。


2. 社内でパソコンまわりやセキュリティに明るく、社運がかかっているという自覚と責任感がある人をセキュリティ担当者に任命し、定期的にウィルス検出状況を調べさせる。
3. ルータは NAT 設定がしっかりできるもの、そしてファイアウォール設定も LAN 内外ペア、WAN 内外ペアの両方で管理できるタイプのものを導入する。
4. 各パソコンのファイアウォール設定をオンにし、ルータのファイアウォールと併せて二重の通信ブロックを行う。
5. DMZ 設定はセキュリティが著しく低下するので行わない。
6. WAN → LAN 向けのポートは、必要最低限なものしか開かないようにする（ICMP も遮断）。
7. LAN → WAN 向けのポートも必要最低限のものしか開かないようにする。安価なルータは、Ethernet ケーブルをつなげてすぐに通信ができるようなユルいポート構成になっているため、基本的に LAN → WAN ポートがほとんど解放されているものが多いので特に注意。
　事業で使うパソコンなら、Web ブラウジング（80, 443）、メール送受信（25、110、587）、その他セキュリティソフトで使用するもののみを解放する程度でも事足りることが多い。
　このほか、チャットツール、クラウドストレージツールなどのサービスを使いたい場合は、それぞれポート番号を調べて解放することになるが、解放するポートが増えれば、それだけセキュリティが低下する。
　ポート一つ解放するにしても社内の了承を必ず得ること。
8. 社内で Web サーバを立てている企業は、可能であれば Web サーバ機はイントラネット回線とは別の回線を契約する（それぞれがつながっていれば、芋づる式にデータが外に流出する可能性がある）。
　また、ユーザ登録型のネットサービスを展開している場合は、アプリケーション層、ビジネスロジック層、データベース層、それぞれ別個にサーバを立て、外部にポートを開放するのはアプリケーション層のサーバのみになるようにする。


9. メールサーバは添付ファイルの自動スキャンを実施するように設定。
　拡張子をできるだけ多めに設定し、添付ファイルをサーバの段階で自動的削除するようにする。
　ベイジアンフィルタを併用して、スパムメールが社内に流れないようにする。
10. 支社と本社をネットワークでつなぎたい場合は、可能であれば専用線を引く。
　コストがかかりすぎるなら VPN と SSH を併用することでも対応できるが、IPSec よりは SSL VPN を使う。それでも専用線に比べるとセキュリティは落ちることになる。
11. 侵入検知システム(IDS) を導入。ルータに実装できるタイプのものもあるが併用することによって検知率アップが期待できる。
　ポートスキャン、Web サーバ、リモートアクセスツール、プロキシサーバ、メールサーバ、データベースサーバなどのポートを狙った侵入が検知された場合は、すぐにその IP アドレスからのアクセスを自動遮断するとともに、侵入検知ログをメールで管理者に通知するように設定しておく。
12. システム管理者が自宅から意図的に社内サーバに対してポートスキャンを実施し、IDS が正常に動作していることを確かめる。
13. 新しい通信系ソフトを検討する際は、システムセキュリティ担当者がパケットキャプチャツールを使って内外のポート解放状況とパケットの流れを解析し、問題なしと判断したときのみ採用する。
14. 就業時間が定刻の企業の場合は、朝～夕の勤務時間のみネットワーク回線が使えるようにルータ側で制御する。
15. 個人情報を扱うデータベースサーバは専用のサーバルームに置き、施錠しておく。
　データベースのユーザパスワードはすべて暗号化する。
　データベースは毎日定刻に自動バックアップを行い、5-6世代管理し、それとは別に永久バックアップを取る。
　永久バックアップ先は別の場所にするとより安全。
16. 不定期にデータベース復旧テストを実施する。

【社内スタッフ編】

　こちらは社内スタッフの日常業務におけるセキュリティ対策です。
　怪しいメールを開かないのは基本中の基本ですね。

1. セキュリテイ担当者は英語力必須。
　最新ウイルス情報、セキュリティ対策に関する情報は、英語の方が情報量も高度な技術者も圧倒的に多く、しかも拡散スピードが速い。
　翻訳された情報を待っているのでは遅すぎる。
　海外のセキュリティ関連フォーラムにも積極的に参加して情報収集を行う。
2. むやみに個人情報を収集しない。
3. 社内のハードウェアコストを抑えるために Bring Your Own Device（自前デバイス持ち込み）をする流れがあるが、基本的に個人デバイスの持ち込みを禁止する。
　各人のセキュリティ意識に過度に依存するのは Bring Your Own Danger（自分から危険持ち込み）につながることを忘れないようにする。
4. 出社時に個人所有の携帯電話、スマホやタブレット PC の電源を完全に切る（長押ししてシャットダウン）。
　これにより、GPS 機能やインストール済の悪意をもったアプリが作動するのを未然に防ぐ。
　個人情報を扱う企業の場合は、警備会社から荷物預かりスタッフを派遣してもらい、出社時にこれらのデバイスをいったん預けるようなルールを検討する。
　これにより、社内スタッフが重要データを社外に持ち出すのを未然に防ぐことができる（昨年のベネッセ流出事件はこれが原因）。
5. 社外の人間が通常業務フロアに立ち入らないようにする。打合せは専用の会議室（可能であれば別階）で行う。
6. 個人所有の USB メモリの使用禁止。
7. USB メモリ、CD-RW/DVD-RWなどのメディアの社外持ち出し禁止。
8. メールは出す前に宛先をしつこいくらいチェックする。
9. クラウドストレージサービスを使う場合にも、社外秘の情報は絶対に置かない。
10. 仕事を自宅に持ち帰らせない（印字された資料含む）。
11. 全社で「社外秘」、「機密保持」という言葉の意味をよく理解し、スタッフ同士で声掛けしながらうっかりミスによる情報流出を食い止める。