ブログ

セキュリティ対策自己宣言一つ星を詳しく見ていく(4/5)

2021年3月23日 | セキュリティ

セキュリティ対策自己宣言一つ星シリーズ。前回は「パスワードを強化しよう!」を見ました。3回目は「共有設定!」を見ていきます。

共有設定って何?

「共有設定」が何を指すのか、案外と明確に答えにくいです。正確に表現しようとすると、持って回った難しい言い回しになってしまいます。

セキュリティ対策自己宣言のパンフレットには、対策例として次のように書かれています。

  • ウェブサービスの共有範囲を限定する
  • ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する
  • 従業員の異動や退職時に設定の変更(削除)漏れがないように注意する

つまり、情報共有の範囲が適切であるか見直そう、ということです。

管理対象が増えるほど煩雑に

例示の1つ目である「ウェブサービスの共有範囲」がなかなか厄介です。我々はウェブサービスをいくつ使っているでしょう? メール、Googleドライブ、facebook、LINE、slack、電話帳などなど……いくつも使っています。それらが正しく共有設定できているか、まとめて管理する方法はありません。台帳などを使ってひとつひとつ見ていくしかありません。

手間がかかります。

ですので、利用するサービス数を減らしたり、使わないものは廃止したり、散らばった情報を一か所にまとめたり、ハウスキーピング(整理整頓)が欠かせません。
あまり放置しておくと、あとから「これって消していいんだっけ?」となり、管理負担が増えてしまうこともよくあります。

見直しをきっかけに、運用ルールの整備を

言い換えると、「棚卸しって大変」という、業務でよくある話が情報セキュリティでも発生します。

棚卸しを楽にするには

  • 棚卸し対象を減らす(=不要になった情報は捨てる)
  • 動線を短くする(=利用サービスをまとめる)
  • 帳簿棚卸と実地棚卸のズレを減らす(=利用状況に変化があったらすぐ対応する)

という、日々の管理が効きます。

この連載では「徹底することが大事」ということを書いています。今回の「共有設定を見直そう」については、棚卸し的に見直すだけでは難しいです。日々のメンテナンスがちゃんと行われるように、管理者を定めて運用ルールを取り決めておくことが実効性確保の点で重要になります。

メールマガジンを購読する

月に1回、ブログには書きにくいことを配信します。
解除はいつでも可能です。