叡智の三猿

~情報セキュリティで森羅万象を捉える~

壁に耳あり障子に目あり

前回は柏崎刈羽原発の外部からの不正侵入を検知する機器が作動していなかったことを取り上げました。
www.three-wise-monkeys.com

建屋オフィスへの入退室に関する脅威をまとめます。
(参考:らくらく突破 情報セキュリティ管理士 認定試験 公式テキスト

外部からの侵入

外部からの侵入が考えられる場合は、直接機密情報を見たり、聞いたりすることが可能となり、重要な情報漏洩の脅威があります。入室を特定するには、認証が必要です。認証方法としては、①IDカード、②パスワード、③バイオメトリックスがあります。また、入室権限を持った社員の後について不正な入室をする脅威があります(ピギーバックといいます)。IDカードの認証に加え、監視カメラの設置や、警備員の配置によるチェックが、ビギーバックには有効な手段です。

関連会社・協力会社の社員の脅威

観覧会社や協力会社の社員は、社内の社員と同じ作業をする場合があります。それにより、重要な情報を見聞きしたり、コンピュータを利用した不正な作業をするなどの脅威が考えられます。重要な情報を扱う社員に対しては、参画にあたって、情報の取り扱いに対する誓約書に署名を頂くなどの対策が必要です。

派遣社員・アルバイト社員の脅威

派遣社員やアルバイト社員は、正規社員と同じ場所で作業を行い、その分、重要な情報を見聞きする機会も増えます。一方、企業に対する責任感が高くない傾向にあり、その分情報を漏洩する危険も高まります。仕事への参画にあたって、正規社員と同様に情報セキュリティリテラシーを高める教育を行い、定期的にセキュリティ教育の受講をさせることが必要です。

退職者の脅威

退職者は、退職日まで他の社員と同様に特定の場所への入退室やコンピュータへのアクセスも行っていました。退職して、会社との関係がなくなっても、IDなどのアクセス権が削除されていないと、退職者による不正な入退室や不正アクセスの脅威が考えられます。退職するタイミングでIDカードを戻し、権限を削除するような手続きを行う必要があります。また、退職した社員は同業退社に転職する可能性が高く、機密情報が他社に渡ってしまう危険があります。退職する1ヵ月まえくらいから、機密情報へのアクセスが頻繁になるなど、妙な動きをしていないかを監視することも情報漏洩対策には有効です。
f:id:slowtrain2013:20210404014545p:plain:w300

来客者の脅威

来客者自身が重要情報をたまたま見聞きすることで、情報が漏洩する脅威が考えられます。悪意のある人が来客者になりすますことも考えられます。来客者の入退室はゲスト用のIDカードを渡し、入退室の記録をとることが必要です。

出入り業者の脅威

宅配・ビルメンテンス・清掃など、業者の出入りにより重要な情報を見聞きしたり、ゴミ箱にある重要な情報を漁ったりすることが考えられます。出入り業者に対しては、入退室を管理するだけではなく、業者の出入り口が可能なエリアと、セキュリティを確保するべきエリアを分ける対策が必要です。
f:id:slowtrain2013:20210404022351p:plain:w300
こうしてみると、オフィスに入退室するすべての人が脅威になる可能性を持っていることが分ります。

f:id:slowtrain2013:20210404014145p:plain
また、オフィスの外でも同じ建屋のなかは、情報漏洩の脅威にあふれています。特に注意するべきは、エレベータとトイレです。

エレベータ

f:id:slowtrain2013:20210404022059j:plain:w100
複数のテナントが入るビルのエレベータは、乗り降りする人も多種多様で、知り合いが偶然に出会うことが多くあります。そんなとき、重要な顧客情報に配慮する意識が緩みやすいのです。

〇社行ってたんでしょ!?大丈夫だった?

もう、やばかったですよ。Aさんだけ出ると思ったら、課長も同席されたんですよ~。

トイレ

f:id:slowtrain2013:20210404022115j:plain:w100
トイレは用を足すだけの場ではなく、ランチ後の歯磨きなどで、意外と人が集まり会話が生まれやすい場です。しかし、まったく関係ない人が用を足していて、その人は会話に耳を澄ませる傾向があります。

最近、Bさん見ないよね。△案件、大丈夫なの?

Bさん、マインドやられたんですよ。Cさんの圧が問題ですよ。

「壁に耳あり障子に目あり」ですね。