セキュリティ対策自己宣言一つ星シリーズ。前回は「パスワードを強化しよう！」を見ました。3回目は「共有設定！」を見ていきます。

共有設定って何？

「共有設定」が何を指すのか、案外と明確に答えにくいです。正確に表現しようとすると、持って回った難しい言い回しになってしまいます。

セキュリティ対策自己宣言のパンフレットには、対策例として次のように書かれています。

• ウェブサービスの共有範囲を限定する
• ネットワーク接続の複合機やカメラ、ハードディスク（NAS）などの共有範囲を限定する
• 従業員の異動や退職時に設定の変更（削除）漏れがないように注意する

つまり、情報共有の範囲が適切であるか見直そう、ということです。

管理対象が増えるほど煩雑に

例示の1つ目である「ウェブサービスの共有範囲」がなかなか厄介です。我々はウェブサービスをいくつ使っているでしょう？　メール、Googleドライブ、facebook、LINE、slack、電話帳などなど……いくつも使っています。それらが正しく共有設定できているか、まとめて管理する方法はありません。台帳などを使ってひとつひとつ見ていくしかありません。

手間がかかります。

ですので、利用するサービス数を減らしたり、使わないものは廃止したり、散らばった情報を一か所にまとめたり、ハウスキーピング（整理整頓）が欠かせません。
あまり放置しておくと、あとから「これって消していいんだっけ？」となり、管理負担が増えてしまうこともよくあります。

見直しをきっかけに、運用ルールの整備を

言い換えると、「棚卸しって大変」という、業務でよくある話が情報セキュリティでも発生します。

棚卸しを楽にするには

• 棚卸し対象を減らす（＝不要になった情報は捨てる）
• 動線を短くする（＝利用サービスをまとめる）
• 帳簿棚卸と実地棚卸のズレを減らす（＝利用状況に変化があったらすぐ対応する）

という、日々の管理が効きます。

この連載では「徹底することが大事」ということを書いています。今回の「共有設定を見直そう」については、棚卸し的に見直すだけでは難しいです。日々のメンテナンスがちゃんと行われるように、管理者を定めて運用ルールを取り決めておくことが実効性確保の点で重要になります。