本誌では、職場に潜む危険度チェックとして、日常事務の一例を御紹介します。

普段の仕事の流れ、そして行動パターンの中に、思わぬ危険が含まれていることもあります。何気ない振る舞いの中で思いつくことがないか、気懸かりとなっていることがないか、読者の皆様にも一緒に考えていただき、セキュリティ対策の参考としていただきたいと思います。

庁内ネットワーク上に置かれたデータは、何の対策も施さなければ、庁内ネットワークへのアクセスを許可された職員の目に広くさらされることになります。海上保安庁の尖閣諸島中国漁船衝突映像流出事件にみられるように、情報漏えいは、外部からの攻撃だけではなく、内部関係者による故意又は不注意を原因とするものが大半を占め、データにアクセスできる人数が増えれば増えるほど、期間が長ければ長いほど、情報漏えいの確率は高くなります。

上記の映像流出事件では、映像が、海上保安庁内のネットワーク上にある海上保安大学校の共有フォルダに保存されており、海上保安庁の職員であれば、誰もが閲覧できる状態にあったとのことです。

情報漏えい、データ改ざん等から情報を保護するためには、情報の使用者を制限するなど、その用途、機密性等に応じた適切なセキュリティ対策を実施する必要があります。

また、全職員がアクセスできる共有フォルダは、基本的には職員間での情報の共有を目的とするもので、一部の職員のみが利用する機密性の高いデータの保存は、なるべく避けた方がよいでしょう。

保存しようとするデータの用途や機密性を考え、そのデータを取り扱う必要のある人にだけフォルダへのアクセス権を設定し、不必要なデータアクセスを防止します。

アクセス権の設定とは、ユーザIDごとに、フォルダ及びファイルの「フルコントロール」、「変更」、「読み取り」、「書き込み」等の各操作権限について、拒否又は許可の設定をすることです。

また、OfficeのWord及びExcelの文書では、ファイルごとに、「読み取り専用」の設定や読み取り・書き込みのパスワードを設定することもできます。

更に強固なセキュリティ対策として、ファイル等の暗号化があります。データを暗号化しておけば、万が一ファイルにアクセスされても、データまで盗み見られる危険性は下がります。

庁外に持ち出された場合でも、復号できなければ、ファイルの中身を見ることはできません。

ただし、この場合には、暗号鍵の管理に十分注意する必要があります。

データが管理されないまま庁内ネットワーク上に放置されると、そのデータに紛失、破壊、改ざん、流出等の問題が発生しても、気付かない又は発見が遅れ、被害が拡大することも考えられます。

特に、共有フォルダに保存されたデータは、その所有者が分かりにくく、管理責任が曖昧になりがちですので、さらに注意が必要です。データを置いた職員が、そのデータに対し、最後まで責任を持つ必要があります。

データの管理責任や所在を明確化するため、フォルダ作成の統一的なルールを決めることも有効な対策です。

使用しないファイルが共有フォルダに保存されたままになっていると、不必要なデータアクセスの機会を増やすことになります。また、ファイルの数が増え、ファイルの所在が分からない、内容の古くなったファイルを誤って使用してしまうといった危険も考えられます。

共有フォルダにファイルを保存する必要がなくなった場合は、共有フォルダにファイルを放置せず、直ちに削除することも重要です。