内部診断と内部監査20 | 平林良人の『つなげるツボ』

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.277 ■□■
― つなげるツボ動画版はじめました ―
*** 内部診断と内部監査20 ***
————————————————————
「ドコモ口座詐欺」のニュースが、先々週全国を駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手したか
についていろいろ推測が行われています。その推測の一つに
275号でお話しした「パスワードクラッカー」があります。
銀行口座にアクセスするには、一般に口座番号とパスワード
が必要になりますが、今回はパスワードを取り上げます。

■□■ パスワードの記憶 ■□■
今まで述べてきたように情報セキュリティ対策の前提には、総て
の場面において他人に知られないパスワード管理が大切です。
パスワードは、その作成だけでなく、他人に知られないようかつ
自分でも忘れないようにしなければなりません。この他人に知ら
れないようかつ自分でも忘れないようにすることは結構難しい
ことです。例えば、パスワードを忘れないようにメモを作成した
場合は、それを肌身離さず持ち歩くことは却って無くす危険性を
増やします。しかもパスワードは世の中いろいろなところで必要
とされる時代になりました。しかし、覚えておくためにパスワード
を複数のサービスで使い回すことは推奨できません。

■□■ パスワードの診断ポイント ■□■
パスワードは複数のサービスで使わないようにします。ある
サービスから流出したアカウント情報を使って、他のサービスへ
の不正ログインを試す攻撃の手口が知られています。もし、重要
情報を利用しているサービスで、他のサービスからの使い回しの
パスワードを利用していた場合、他のサービスから何らかの原因
でパスワードが漏洩してしまえば、第三者に重要情報にアクセス
されてしまう可能性があります。
利用するサービスによっては、パスワードを定期的に変更する
ことを求められることもありますが、実際にパスワードを破られ、
情報が流出した事実がなければ、パスワードを変更する必要は
ありません。むしろ定期的な変更をすることで、パスワードの
作り方がパターン化し簡単なものになることや、数回前に使った
パスワードをまた使うことの方が問題となります。定期的に変更
するよりも、機器やサービスの間で同じパスワードを使わない、
それぞれ固有な頑強なパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、
2017年に、米国国立標準技術研究所(NIST)からガイドライン
として、サービスを提供する側がパスワードの定期的な変更を
要求すべきではない旨が示されています※1。
※1 NIST SP800-63B(電子的認証に関するガイドライン)
また、日本においても、内閣サイバーセキュリティセンター
(NISC)から、パスワードを定期変更する必要はなく、パスワード
流出時にだけ速やかに変更する旨が示されています※2。

※2 https://www.nisc.go.jp/security-site/handbook/index.html

■□■ パスワードの活用 ■□■
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に
復帰する際にパスワードの入力を促す設定を行うことができます。
このように設定することで、離席中に不正な利用者がそのパソコン
を操作することを防ぐことができるようになります。ただし、
スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログア
ウトを行い、パスワードを入力してログインしなければパソコンを
操作できないようにするなど、利用者が自発的にロックする方法が
有効です。

■□■ アフターコロナの世界 ■□■
これまで5回にわたって情報セキュリティの診断について話して
きました。このコロナ禍の中で多くの組織が売り上げの減少、欠損
に苦しんでいますが、その様子を横目に見ながら業績を伸ばしている
企業群があります。言わずと知れた情報関係の企業で、その代表が
GAFAと呼ばれるグーグル、アップル、フェイスブック、アマゾンです。
アフターコロナの世界を語るのにテレワーク、テル会議、リモート
イベント、リモート講義などへの重要性について触れない人はいない
でしょう。これらの世界に必須となるのがコンピュータなどの情報
機器、それらを操る情報リテラシー、そして情報セキュリティです。
今後の世界に対応するために「情報セキュリティポリシー」を作って
おきましょう。

■□■ 情報セキュリティポリシー ■□■
情報セキュリティポリシーとは、組織の情報漏洩対策の基本的な
考え、対応策をいいます。組織の業態、組織規模、目的、予算、
期間などによって大きく異なります。ここでは、代表的な策定
手順を紹介します。
1.策定の組織決定(責任者、担当者の選出)
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定

■□■ 情報セキュリティポリシー診断のポイント ■□■
効果的な情報セキュリティポリシーを策定するには、以下の点に
留意する必要があります。すなわち、情報セキュリティポリシー
診断のポイントとなるものを以下に示します。
・守るべき情報資産を明確にする。
・対象者の範囲を明確にする。
・できる限り具体的に記述する。
・社内の状況を踏まえて、実現可能な内容にする。
・運用や維持体制を考慮しながら策定する。
・形骸化を避けるために、違反時の罰則を明記する。