投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.4.19
(更新:2024.4.11)
中小企業庁と情報処理推進機構(IPA)が推進する取り組み「できるところから始めて段階的にステップアップ」。
その第1ステップ「情報セキュリティ5か条」中の4項めは「共有設定を見直そう!」です。
〇無関係な人・権限のない人からのアクセスを防止
IT化の進展に伴い、データ保管や共有等に利用するウェブサービスや、職場のネットワークに接続したプリンタ/スキャナ等複合機の設定誤りや、カメラ(Webカメラ)、ハードディスク(NAS)などの設定誤りから、無関係な人に情報を覗き見られるトラブルが増加傾向にあります。
前述の「共有設定を見直そう!」では、外部の人や、同じ社内でも部署の違い等からアクセスする必要がない人、及び本来なら権限を有していない人が、ウェブサービスや機器を使って情報を覗き見ることができる設定になっていないか、確認するよう呼び掛けています。
また、Webカメラやルータなどインターネットにつながる機器では、ログインパスワードが「password」など推測されやすいものやデフォルト値のままで運用されていないか、あわせて確認すべきです。
〇テレワークの場合&外出先
「共有設定を見直そう!」では、テレワークで使用するパソコン等は他者と共有しないよう注意喚起しています。
共有せざるを得ない場合は、別途ユーザーアカウントを作成し、共有する相手と異なるアカウントで利用するようにしましょう。
また、外出先でフリーWi-Fiを使うときは、周囲のフリーWi-Fi利用者への情報漏洩の可能性も考慮し、パソコンのファイル共有はオフにしましょう。
〇異動や退職に伴うアクセス権の変更・削除にも注意
さらに、従業員など職場のメンバーの異動や退職時にも注意が必要です。
異動や退職の際、IT機器やネットワークなどのアクセス権やアカウントの更新・削除が適時に行われず、アクセス可能な状態が維持されて情報漏洩等のトラブルにつながる事象は起こりがちです。
職場のメンバーに異動や退職があった場合、IT機器やネットワークのアクセス権やアカウントの変更・削除が速やかに行われるよう注意しましょう。
また、組織がある程度以上の規模になると、メンバーの異動は恒常的に発生するようになります。
組織の成長に合わせてアクセス権やアカウントの変更・削除の自動化や仕組み化も検討することをお勧めします。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
תגובות