PCにパスワードを設定しているかどうか

今では当たり前に職場でパソコンを使っていると思いますが、
そのパソコンに、パスワードが設定されていないと危険です。
また、パスワードを設定していても、自分の席を離席する場合に、
パソコンをパスワードでロックしていないのも危険です。

いくら職場であっても、異なる複数の部署が1つのフロアにいるような場合、
例えば、経理部門の人が離席している間に、他の部署の人間が、
経理部門の人のパソコンの画面を見てしまう可能性があるからです。

さらに、パスワードは定期的に変更すべき点にも注意が必要です。
オンラインバンクなどで定期的なパスワードの変更を求められるのと同じ理由です。

ウィルス対策ソフトの最新のパッチが当たっているかどうか

ウィルス対策ソフトは多種類ありますが、いずれを導入しているにしても、
導入したソフトがきちんと最新に保たれているかどうかは重要です。
いわゆる「定義ファイル」は毎日自動でアップデートされますが、
バグ等の修正を含むパッチは自動では適用されないからです。

基本的にはサーバーにインストールされているウィルス対策ソフトに、
ベンダーが提供しているパッチを適用すれば、その変更がクライアントPCに配布されます。
職場では一般に、システム部門が対応すると思いますが、
職場にシステム部門が存在しなかったり、担当者のスキル不足などが原因で、
パッチが全く適用されてないということがあり得ます。
つまり、単にウィルス対策ソフトがインストールされているから安心だとは言えないということです。

私の経験上、特許事務所は最新のパッチが適用されていない可能性が高いです。
ですので、事務所や中小企業だと注意が必要です。

USBポートからデータの書き出しができるかどうか

職場のパソコンにUSBメモリなどを差し込んで使うことがあるかと思います。
この場合、パソコンのデータをUSBメモリにコピーできると、
データの持ち出しが可能である、ということになります。
職場のセキュリティに関するガイドラインで、
データの持ち出しを許容しているところは少ないでしょう。

物理的にUSBポートを塞げば、そこからのデータの持ち出しを完全に防ぐことができますが、
なにかと不便になってしまいます。
USB等の外部媒体への書き込みさえ禁止できていればいいので、
これができているかどうかチェックしておきましょう。

特定のサイトのアクセス禁止

USBポートを封鎖しても、例えばWEBメールやオンラインストレージにアクセスできてしまうと、
結局はデータの外部への持ち出しが可能ということに変わりありません。
また、不用意に怪しいサイトにアクセスすると、マルウェア等に感染するリスクも高まります。

そこで、URLやコンテンツフィルタリングなどで、
不要なサイトへのアクセスを禁止する措置を取っているかどうかもポイントです。

一方で、業務上必要な情報を検索した結果を見ようとすると、
フィルタリングによりブロックされてしまい、必要な情報が得られない場合もでてきます。
そういう場合は、そのサイトをホワイトリストに入れるなどして対処すれば済みます。
つまり、フィルタリングの設定については、柔軟に運用をしていくしかないのです。

UTMの設置

統合脅威管理(UTM)とよばれる器機を設置しているかどうかもポイントです。
当然、設置しているだけでは意味はありませんが、これがないというのでは話になりません。
簡単にいうと、UTMというのは、外部からの攻撃や情報流出を防御してくれる装置です。
見た目にそれとわかるものなので、職場にあれば目につくと思います。
主にインターネットへの出口近辺に設置されるものです。

社員のマイナンバーをパソコン等でデータ管理する職場であれば、
このUTMの導入は必須となっています。
技術的安全管理措置という項目で規定されています。
逆に、この装置を設置していない職場において、
あなたの大事なマイナンバーが職場で管理されたのではたまったものじゃないですよね。

UTMを導入していない場合で、万一社員のマイナンバーの流出が発覚したら、
会社は潰れてしまうでしょう。
流出しているのに、発覚しない場合はそれはそれで怖くないですか?

ですので、UTMは、より安全なセキュリティ構築のためには重要といえます。
参考:はじめてのマイナンバーガイドラインの項目Fに技術的安全管理措置が記載されています。

ちなみに、私の経験上、
UTMを導入していない職場は多いと思います。

まとめ

ウィルス対策ソフトやUTMを導入しているから安心だ、
ということも現在では言えません。
導入している以上、きちんと運用・管理ができていないと意味がないからです。
また、UTMの種類もベンダーも数多いので、
どのUTMを導入したらいいのかがわかっていないシステム担当者がいるかもしれませんね。

何を基準にUTMを決定すればよいかは別の機会に説明します。