補遺編2 本来、セキュリティ対策はどうあるべきだったかにわか管理者奮闘記(8)(3/4 ページ)

» 2004年10月01日 00時00分 公開

「セキュリティポリシー」

 

(1)目的

  • お客さまの情報の安全確保
  • 社員の情報の安全確保
  • 会社の情報の安全確保

(2)情報の種類

  • 公開情報=誰にでも公開しても構わない情報
  • 社外秘=社員、および関係会社社員以外には公開しない情報
  • 取扱注意(マル秘)情報=限定されたメンバー以外には公開しない情報

(3)当社が扱う情報

  • お客さま情報(すべて)=社外秘
  • 社員の個人情報=取扱注意
  • 会社の経理関係情報=取扱注意
  • 各社員の人事査定情報=取扱注意
  • サービス体系と価格表=公開
  • 駐車場の設置場所=公開
  • 料金回収手順=取扱注意
  • そのほか=社外

(4)取り扱い方

  • 公開情報=特に注意点なし

  • 社外秘=原則社屋から外に持ち出さないこと。ただし、会社から貸与するノートパソコンを用いる場合は持ち出し可とする。ファイルをCD-ROMそのほかの媒体やノートパソコンなどにコピーして持ち出す場合、上長の書面による許可(「情報複写・持ち出し許可証兼破壊確認書」)を取ったうえで行う。また、持ち出したファイルは不要になり次第削除し、上長に確認してもらったうえで前述の確認書に破壊確認印をもらうこと。印刷する場合は印刷物に社外秘印を押印する。また、不要になり次第シュレッダーで処理・廃棄すること。持ち出しについては、前述のファイルの手順、書類の手続きを経ること

  • 取扱注意=限定メンバー以外閲覧など不可。サーバに置き、自分のパソコンやCD-ROMそのほかの媒体にはコピー不可。限定メンバーであってもいかなる形での社外への持ち出しは不可。印刷物、メール、ファイル交換、VPNなどによるやりとりも不可(一部であっても)。印刷した場合はマル秘印を押印し、施錠した場所に保管すること。また、不要になり次第シュレッダーで処理・廃棄すること

(5)私用パソコンなどの利用禁止

社内のネットワークに個人の所有するパソコン、機器などを接続してはならない。また、パソコンは「利用の手引き」に従って使用すること

(6)報告の義務

すべての社員は、このセキュリティポリシーに違反する行為を見つけた場合には自分の上長に報告すること。報告を受けた上長は、セキュリティ管理者に連絡すること

(7)協力会社、派遣社員との契約

上記と同等のセキュリティ管理を求め、秘密保持契約を結ぶこと

(8)体制

社長直属のセキュリティ管理者を2名設置する。全社員はセキュリティ管理者からのセキュリティ上の要請には無条件に従うこと

(9)罰則

このセキュリティポリシーに違反した場合、3日間の情報システム利用停止、1週間の停職、または懲戒免職とする。また該当社員の上長は戒告、1カ月または6カ月、15%の減給とする


 今回の事件については、情報システム部長と相談した結果、初犯であったということもあり該当者に3日間の情報システム利用停止処分を科すということで社長に具申することになった。最終的な処分の決定は社長が行うことになるだろう。

 今回のワームは感染力が強力なものだったが、幸いにしてほかのパソコンに影響を出すことなく収束させることができた。初動捜査時に、感染パソコンの特定と感染拡大の有無の確認が迅速に行えたことが大きかった。右も左も分からない中村君のような新人でも、パソコンの操作やネットワークに関する知識があれば何とかなったのは、トラブル対策マニュアルの存在のおかげだ。

 しかし課題も残った。現在はノートパソコンに強制的にファイアウォール機能を適用するといった運用を行っていない。このため、過失にせよ意識的にせよ、外部のアクセスポイントに接続してしまった場合に、ワームに感染する可能性がある。中村君の会社の人たちはパソコンの知識に乏しく、「アクセスポイントにつながる」ということがどういうことなのか、ということはもちろん、「どうなったらつながれてしまうのか」についてもまるっきり分からない。ということは無意識のうちにミスしてしまう可能性も高い。

 「やはりファイアウォール機能の強制導入かなあ」。中村君は頼りになる先輩、小野さんが復帰したら、どうやって強制的にファイアウォール機能を導入するかを相談することにした。取りあえずファイアウォール機能が動いてさえいれば、ワーム感染する可能性はぐっと減るだろう。しかし、こういった機能をやみくもに導入してしまうと、ユーザーの利便性を阻害し、IT化による事業の効率化・活性化という本来の目的を損なう可能性がある。この点で、バランスのいい導入ポイントを判断するのは中村君にはちょっと荷が重い。

 小規模であっても安全で、かつ、ユーザーに便利なネットワークの運用は難しいが、そういう仕掛けはどんどん援用していきたいものだ。そうすれば中村君の仕事もさらに楽になるはずだ。小野さんがいっていた言葉を思い出す。「楽をしようと工夫することが、管理というものかもしれないね」。まだまだやるべきことは多いが、前向きに進んでいる充実感でいっぱいの中村君であった。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。