サイバー攻撃はメールだけではありません。ソーシャルエンジニアリングといわれる物理的な接触活動も含まれます。中堅中小企業には、入口にセキュリティゲートが存在しない、入退室にパスカードが存在しないといった問題があります。

物理セキュリティに関するインシデントの例をご紹介します。

これは「元従業員が当時所属していた部門で保管されていた情報を不正に持ち出した」という事件です。記事には秘匿情報がどこに保管されていたかの記載はありませんが、一番多いのは、社内ファイルサーバーです。

記事では、「本人に確認したところ、USBを使用して社用パソコンから情報を抜き取り、私物パソコンに移し変えたことを認めました」とあります。

この事例では良い点と悪い点を見つけることができました。

良い点：
退職時の情報漏洩リスク予防のための離職時検査を実施している。
情報漏洩発覚後、すみやかに本件を公表している。

元従業員は機密情報に触れる仕事に従事していた模様です。そのため、基幹のサーバーへのアクセスを許可されていたのでしょう。元従業員の退職が決まり、該当社員のアクセスログを調査したことから、この行為が発覚しています。また事件発覚後、速やかにこれを世間に公表しています。このことから、一定以上のサイバーセキュリティのガバナンスがとれた会社であることがわかります。

報告というのは簡単なようで、これはほとんどの企業ができていません。多くの企業が情報漏洩を軽んじていて、この程度のことは報告する必要はないとして、問題の隠蔽を図ります。
大抵の場合、外部からの指摘により問題が発覚し、やむなく公表を余儀なくされることになるのですが、報告の遅延が問題を更に悪化させてしまいます。

悪い点：
無断でのUSBの挿入を許可している。
機密情報のデータコピーがシステム上で許可されている。

この事例で注目したいポイントは、「重要情報資産がどこに保管されていたか？」です。
この会社では重要な情報資産が各所に点在していたか、ファイルサーバーに集約していたとしていたと思われますが、いづれにせよ機密情報を自由に取り出せる状況にあったと思われます。

もしリモートから遠隔にサーバーでログインできない場合、ハッキング常習者が考える手口は、物理的にサーバールームに侵入して、USBメモリを挿入できないか？と考えます。
そういった観点から、リモートでのログイン制限はもちろんですが、物理での重要資産サーバーの隔離は重要な検討項目です。

もし、サーバールームを確保できない企業であれば、サーバー上のUSBスロットを無効にするなどの処方、あるいはオンプレミスのサーバーを放棄して、信頼のおけるデータセンターのサービスに移行するという手段があります。

また、まず最初にやることは、重要資産の特定、それに対する集中的な投資です。
重要資産が特定できたら、その資産にアクセスできる人間の制限、重要資産の堅牢化のために集中投資してください。

物理セキュリティを強化するために入退室名簿を作成し、特にサーバールームに対する入室の制限をすることは、セキュリティの保全にとても効果があります。監視カメラの導入コストも以前より安価になり、投資対効果の高いデバイスとなっております。

物理セキュリティにおいても、重要資産の特定が重要です。

一旦、特定作業が済んだら、特定資産に対して効果的な物理セキュリティを実施しましょう。

この場合、集中的な投資が重要です。2段階認証や生体認証は、近頃低コスト化が進んでいる領域で、人的コストがないので保守費用も安く、また費用対効果が高い設備です。

物理セキュリティで最も注目すべきは、外部メディア（USBメモリ）の使用に対してどのような対策を講じるかです。全面的に社内持ち込みを禁止している会社は多数あります。それが難しい場合、各クライアント上のデバイスコントロールを使用して検知可能にするか、システム上でUSB挿入を無効にするアクションが必要です。

外部メディアの使用をどのように制限するのか？
離職時の不審行動への対処、委託業者の出入りの際の入退室チェックにどのようなガバナンスを図るのかは真剣に考えていかねばなりません。

最近、サプライチェーンリスクがとかく問題となっています。委託先が業務を遂行している場合、重要なデータの多くは委託先企業が保有していることでしょう。そこにはデータリンクが発生していて、勿論、パスワードが設定してあるものの、一旦これが漏洩してしまうと、委託元企業へアクセスが可能となります。

また会社から支給されたスマートホンに、委託元企業の担当者の連絡先は入っていませんか？
これを紛失してしまうと、ビジネスインパクトが多いことから、インシデントとして扱われることになります。

重要な情報が社内で散乱していませんか？さらに重要なポイントは、情報の重要性を誰も気付いていないことがあるということです。
一刻も早くご自分達を取り巻く状況が非常に重要な資産に囲まれているという事実を認識すべきです。

具体的なセキュリティに関する事件をご紹介します。

「研究目的のために患者情報を記載したメモ帳を紛失」

ある大学付属病院の医師は、患者の情報をメモに書き留めていたが、そのメモを紛失してしまい問題となってしまった事件です。研究目的でメモを取ったとのことですが、患者の個人情報というのは、情報社会の中では価値の高いものです。まず「情報とは組織において重要な資産である」ということを認識する必要があります。またその情報は意図せずに社外に出てしまうと「機密情報漏洩」扱いになるということを理解した上で、ご自身の身近にある情報が社外の人からみたら、機密情報扱いであることを認識すべきです。

平成29年5月30日の改正個人情報保護法の全面施行により、中堅中小企業をはじめとするすべての事業者が個人情報保護法の適用対象となりました。
事業者には営利・非営利を問わず、個人情報をデータベース化して事業活動に利用していれば該当します。
漏洩発覚後、影響を受ける可能性のある本人への通知、警察、監督官庁への通知を速やかに行う必要があります。