中堅中小企業のセキュリティ対策実践ガイド(3/3)

　さて、ログ管理を行うにしても、ログに残る利用者を正しく特定できなければ意味が無く、“成りすまし”されることの無い確かな個人認証が必要となる。

　手軽な対策として「パスワードを定期的に変更すること」「推測しにくい文字列とすること」などといったパスワード管理を実施する例も多いが、内部犯行を意識するならば、盗み見、盗み聞き、巧みな話術でパスワード等の情報を聞き出すといった“ソーシャルエンジニアリング”に対しては脆弱な管理策と言わざるを得ない。

　ましてや、毎回のパスワード入力は面倒だとして、パスワードを自動入力する設定にしていたり、パスワードが覚えにくいとして、パスワードメモをパソコンの傍らに置いている者がいるような状況ならば、内部犯行者にとっては無策であるに等しい。

　そのため、利便性が高く、かつ、確度の高い個人認証システムが求められるようになり、最近では、こうした要求に応える様々な認証ツールが手軽に入手できるようになってきた。

　その一つである「USBキー」は、見かけはUSBメモリと変わりないが、内部にIDやパスワード等の情報を記憶し、パソコンのUSBポートに挿入して利用することでID・パスワードの入力を不要とするものである。

　USBキー保有者を本人と認識し、このキーがなければパソコンが使えず、操作中にキーを抜けば画面が消えてロックされるので、離席時の不正閲覧･不正利用対策も容易である。

　これによって、パスワード管理の面倒さを解消することができ、また、“ソーシャルエンジニアリング”からも回避できる。

　ただ、USBキーの保有者を本人と判定するだけでは、キーが人手に渡ってしまえば不正利用される可能性を残すため、キーの利用と同時に暗証番号を入力する二要素認証によって安全性を高めることも可能である。

　USBポートのあるサーバーやパソコンであれば、特別な専用入力装置は不要であり、また、数千円程度から入手が可能であるということで広く利用されるようになってきた。

　最近はUSBメモリーと一体化した製品も多く、さらには、メモリ内のデータを自動的に暗号化することで、万一人手に渡っても内部データを保護する機能を持つ製品もある。

　また、SuicaやICOCAなどのカード乗車券、Edyなどの電子マネーなどでも広く利用されている「スマートカード（ICカードとも言う）」も注目されている。基本的な利用方法は、カードリーダーで読み取ること以外はUSBキーと変わりないが、スマートカードを“社員証”に加工して従業員に貸与し、社員証をかざして電子鍵を開閉する入退室管理システムなどと連動させて利用する例が増えている。電子マネーの機能を付加して、社員食堂や自動販売機の利用においてキャッシュレス化する例も見られる。

　その他にも、身体的特徴によって本人確認を行う「バイオメトリクス認証（生体認証）」や、第三者が利用者本人であることを証明するシステムをもつ「USBトークン」、利用ごとに毎回異なった使い捨てパスワードを発行する「ワンタイムパスワード」など、求められるセキュリティ要求に応じた様々な認証システムが登場している。



　セキュリティ対策においては、内部犯行防止の視点が重要であることを述べてきた。しかし、注意していただきたいのは、セキュリティ対策を、運用時に形骸化するような規則や手順によって実現してはならないことである。

　規則の形骸化は、すなわちルール無視を許容することであり、そのような風土そのものが企業における最大のリスクであることを認識しなければならない。従業員の良心に任せてルール化しないほうがまだましである。

　管理者と従業員が一丸となって、保護すべき対象を明確にし、それらが、万一、情報漏えいや意図しない紛失・破損などの事故があった場合の影響を想定し、その影響の程度に応じたメリハリのある実現可能な管理策を検討していただきたい。

　管理者と従業員が一緒になってセキュリティ対策を考えること。おそらく、これが最善の内部犯行防止策ではないだろうか。