『どうしてこうなった? セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー』2023/5/24
増井 敏克 (著)
ちょっとした手違いや知識不足が招いたセキュリティ事故の実例をベースに漫画化、何が起こったのか、どうするべきなのかを教えてくれるITリテラシーの本で、主な内容は次の通りです。
Chapter1 注意不足・誤操作による事故への対策
Chapter2 管理ミスによる事故への対策
Chapter3 紛失・盗難による事故への対策
Chapter4 情報の持ち出しによる事故への対策
Chapter5 日常生活での不安への対策
Chapter6 IT機器やツールを使いこなせず起きた事故への対策
セキュリティには気をつけているつもりですが、どうしても「うっかりミス」をしてしまうことはあります(涙)。本書は、ありがちな「うっかりミス」をたくさん紹介してくれるだけでなく、その対処法も教えてくれるので、参考になりました。
例えば「Chapter1 注意不足・誤操作による事故への対策」の「CASE02 別の取引先の情報をオンライン会議で映してしまった」では、コロナ禍以降、かなり一般化してきたオンライン会議での「ありがちな失敗」について、次のように書いてありました。
「画面を共有するときには、どのような内容が相手に表示されるのかを考慮し、適切に設定する必要があります。」
「リアルな会議よりもオンライン会議で問題になりやすいのは、画面で表示している内容を録画されていることが多いためです。」
具体的な対策としては、「パソコン画面を拡張して表示し、内容を確認して問題ないものだけをプロジェクターの画面に表示する」などを心がけると良いようです。
また「Case08 メールの添付ファイルを開いたら外部にメールの送信履歴が流出した」も、ありがちな失敗例です。
この場合の対策としては……
・心当たりのないファイルのマクロを有効にしない。
・普段から取引している相手からのメールであっても、添付ファイルを開く前に確認しないと、感染してしまう可能性があるので、心当たりのないファイルが添付されたメールが届いた場合は、ひらかないようにする。
……などのことが書いてありました。メールの添付ファイルについては、原則として次のようにすると良いようです。
・Excelファイルであればマクロ機能を有効にしない
・実行ファイル(拡張子がexe、vbs、wshなど)であれば開かない
・PDFファイルであればスクリプトを無効にしておく
またメールのヘッダ情報を確かめることも効果的なようです。
「(前略)メールにはヘッダと呼ばれる部分があり、この部分には経由してきたメールサーバーの情報が記録されています。これは偽装できないため、普段からやりとりしている相手であれば、メールのヘッダ部分を見ることで偽のメールだと判断できます。」
そして「Case12 誤った添付ファイルを送信して会員情報が流出した」では、ファイルを添付してメールを送信するのではなく、ファイル共有サービスを使ったほうが良いという、次のようなアドバイスもありました。
「ファイルを添付して送信すると、誤ったファイルを添付してしまったら、取り返しがつきません。このため、ファイルを添付せずに、ファイル共有サービスを使います。最近では、Google DriveやOneDrive、BoxやDropboxなどのファイル共有サービスを契約している企業が多いため、このようなサービスを使用してファイルを格納し、そのファイルへのリンクをメールに記載しましょう。」
ただし、このようなクラウドサービスを使うことで、セキュリティが低下してしまう危険性もあります。クラウドサービスを契約するときには、「標準」でどのように設定されているかを確認することが大切だということの他に、次のように書いてありました。
「クラウドで提供されるサービスは便利な一方で、機能が追加されるとその設定方法もどんどん変化します。そして、設定方法が変わったために公開範囲などが変わることもあります。
こういった更新を利用者側のタイミングで制御できないため、これが不安であれば自社でシステムを作る方が確実です。それぞれのメリットとデメリットを判断してサービスを選ぶようにしましょう。」
……状況がどんどん変化するので、きちんとセキュリティ対策するためには、それぞれに対応する力がないといけませんね(……ため息……)。
そしてちょっと怖いと思ったのが、「Case28 副業サイトからツールをインストールしたら、機密情報が他社に送信された」という事例。副業に会社のパソコンを利用することは、禁止すべきだそうです。次のように書いてありました。
「(前略)副業の内容が成果物に対する報酬ではなく、時間に対する報酬の場合、その作業に要した時間を記録するツールの導入を求められたりします。これは、パソコンの画面や画像を動画で記録し、依頼された作業を実施しているかを確認するためのツールで、定期的に画面のスクリーンショットなどを依頼者に送信する機能を備えていたりします。
このスクリーンショットの記録が報酬の支払いに関係するため、作業している(不正に報酬を得ようとしていない)ことの確認に必要だとしても、これが会社のパソコンに導入されていると問題になります。
機密情報が書かれたファイルを開いていた場合、その画面のスクリーンショットが外部に送信されるためです。アプリの起動時間などの情報を収集して送信されると、ほかにどのようなアプリを使っているかを把握される可能性もあります。」
……うわー。副業をしている方は、その作業に必須の情報以外を、副業先に収集されていないかどうか確認する必要がありそうですね……。
そしてみんなが陥りやすい落とし穴に感じたのが、「Case43 翻訳サイトに入力した文章が、不特定多数に公開された」という事例。翻訳サイトはとても便利なので、ついうっかり使ってしまいがちですが……会社の機密情報が洩れるのを防ぐために、「会社で機密文書を翻訳する場合には、「データを保存しない」ことが明示されている有料プランを契約することが必須」だそうです。……うーん、確かに。
この他にも、「Case03 間違えた宛先に注文者の情報を送ってしまった(差し込み印刷の宛先の確認漏れ)」、「Case19 社内の無関係の部署にマイナンバーを見られてしまった(アクセス権限は最小限にしてアクセスログを保存するべき)」など、やりがちな失敗事例をたくさん知ることが出来ました。
とは言っても……これらの「やりがちな失敗」を完全にゼロにすることは不可能なんだよなーと思っていたら、「あとがき」に、ちゃんと次のように書いてありました。
「情報漏えいをゼロにすることを目指すのではなく、発生したときに速やかに対応できるように、報告しやすい雰囲気を作ることを心がけましょう。」
……そうですね! このような本を読むことでITリテラシーを高めておくとともに、「やらかした時に回復させやすい」体制づくりをしておくことが、大切なのだと思います。
情報漏えいなどのセキュリティ事故は、人為的なミスや意識の低さによって起こった事例がほとんどなのだとか。時々このような本を読んで、セキュリティ事故を防ぐための最新の知識や、解決策を学んで(再確認して)おきたいと思います。みなさんも、ぜひ読んでみてください。
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>