サイバー・セキュリティといえば、ファイアウォールや強力なパスワード、侵入検知システムなどを思い浮かべることが多い。しかし、多くの企業が見落としている脆弱性がある。システムが動作し、データが保存されている物理的な環境だ。
無人のノートパソコン、アクセスコントロールのないサーバールーム、誰も監視していない共有プリンターなどは、どんなウイルス対策でも阻止できない漏えいの扉を開いてしまう可能性がある。
脅威がドアから入ってきたら
誰かが機密情報を盗むのに高度な攻撃は必要ない。部屋を開けっ放しにしたり、付箋を使ってパスワードを覚えたり、内容を確認せずに印刷したりするだけで十分だ。このようなインシデントは、特に物理的なインフラとクラウドサービスを組み合わせている組織では、依然としてデータ漏洩の主な原因となっている。
最も一般的なシナリオは以下の通り:
- 機器の盗難・紛失ノートパソコン、スマートフォン、暗号化されていないUSBメモリ。
- オフィスや技術室への不正アクセス管理されずに流通する外部の人間。
- 無人デバイスオープンセッション、ノンブロッキングスクリーン、共有コンピューター。
- 管理されていない印刷文書請求書から契約書、顧客レポートまで。
- 安全でない接続ポイント共有エリアのネットワークケーブルやポートの露出を防ぐ。
このようなケースはすべて、デジタル脅威だけに焦点が当てられているために過小評価されがちな、現実の暴露のベクトルを表している。
データを保持する物理的な世界を保護する方法
以下では、プロセスを複雑にしたり、業務のテンポを遅らせたりすることなく、組織の物理的セキュリティを強化するための具体的な推奨策を紹介する。
1.物理的アクセス管理の実施
サーバールーム、管理エリア、物理的ファイルのあるスペースなど、機密性の高いエリアにはIDカード、バイオメトリックリーダー、アクセスコードを導入する。最も重要なことは、誰がいつ入室したかを記録することです。
2.モバイル機器の保護
社外で使用するノートパソコンには、紛失や盗難に備え、アクティブ暗号化、非アクティブ時の自動ロック、リモート・ワイプ・システムを導入する。これらは基本的な対策だが、多くの企業ではまだ不在が目立つ。
3.クリーンデスクポリシーの実施
整理整頓だけではない。クリーン・デスク・ポリシーは、機密文書が閲覧や不正アクセスにさらされるのを防ぐ。一日の終わりには、印刷したデータはすべて施錠するか破棄する。
4.プリンターとスキャナーの使用を監視する。
誰が印刷し、何を印刷し、誰が資料を回収するのか?管理されていなければ、プリンターは盲点になりかねません。認証が必要なセキュアな印刷キューを使用し、機密文書にはアラートを設定する。
5.訪問者プロトコルの確立
メンテナンス要員からサプライヤーに至るまで、チーム外の者は登録、付き添い、移動制限といった明確なプロトコルに従わなければならない。監督なしで施設内を自由に歩き回ってはならない。
6.物理的セキュリティについてチームを訓練する。
最大の間違いは、「誰もが知っている」と思い込むことです。開いているドア、放置された機器、忘れられた書類など、物理的な危険状況を察知できるよう、チームを訓練しよう。最良の障壁は、能動的な意識である。
教訓となった例
数年前、あるテクノロジー企業がデータベースを丸ごと流出させたことがあった。遠隔地からの攻撃ではなく、外部の協力者が会議室で開いたままにしていた重要情報の入った画面を撮影したのが原因だった。マルウェアはなく、単なる不注意だった。
このケースは、データ保護にはケーブルと判断力の両方が必要であることを示している。
フィジカルはデジタルでもある
真のセキュリティ戦略は、デジタルと物理の両世界を統合することなしには構築できない。一方はネットワーク上で流通するものを保護し、もう一方は手元にあるものを保護する。そして、この2つは互いに補完し合っている。
サイバーセキュリティについて考えるとき、周囲を見渡すことを忘れてはならない。次の情報漏えいは、あなたのオフィスかもしれません。
MasterBase®では、セキュリティのベストプラクティスを統合したビジネスプロセスの自動化を、シンプルで効果的かつ低コストで実現するためのプラットフォームをご用意しています。さらに、コンサルタントの協力を得て、情報のデジタル保護と物理的保護の両方に対応する自動化プロセスを設計し、実行することもできます。
