池PONです。さて、『社内のネット関連セキュリティは大丈夫ですか??』の続きです。
会社が情報を守る為の最低限の処置
では、具体的にコストを極力掛けずにセキュリティ対策を行うにはどうすればよいか必要な措置と理由をおさらい含めて簡単に出来る順に記載していきます。
PWは毎月変更し社員の退職時はPW変更
ここがキモですよね?PWが変わっていればブラウザに記憶されていたとしても、手帳に記録されていたとしても先述の情報流出事故は防げていました!でも、ココが一番面倒くさくて難しいと思っている方が多いです。ぶっちゃけ、ここさえしっかりしていれば(管理権限と機密レベルの設定は必要)相当数の情報流出事故は防げます。
PWを毎月変更し、尚且つ簡易にコストをかけずに管理する方法
※完全ではないです。出来ない人にまずやって頂く所からのスタンスなので、折衷案といった所でしょうか?
①グーグルアカウントを活用する。
- グーグルのアカウントを会社で社員毎に準備し、そのアカウントに保管したPWを活用する。
- その作ったアカウントのログインPWは会社が管理して毎月変更の徹底。
- 退職者が出た場合は、その退職者が利用していたアカウントで保存されているPWを確認。
- 保管されているPWをそれぞれ変更。(コレをやらなければ意味無いです)
- その後、そのアカウントごと削除
PWの生成方法の一例
社員用グーグルアカウントのログインPWを毎月変える一例
10月の場合、1Password0・0passworD1・等、大文字を利用し、月を分散すると良いですね。
ちょっとひねって、キー数を準備する。例えば素数利用の場合はキー数3を足して因数分解する等、、、
10月の場合、13Password・等、、、解説、10+3=13の13は素数なので頭につけても、1と3で挟んでもセキュリティレベルは格段に上がる。
素数利用の場合にキー数3で1月だと?、1+3=4なので、2Password2等でも良いですし、単純に足し算で0Password4でも想像しにくいですよね??
どうです?キー数と計算方法のルールを決めるだけで、セキュリティレベルが格段にアップした毎月変更できるPWを生成できますね♪
簡単に計算できるルールを作るとセキュリティレベルは格段に上がりますね^^
②パスワードキーパーを活用する。
パスワードキーパーで管理する場合も同様にパスワードキーパーのパスワードは毎月変えましょう♪
個人所有デバイスの利用禁止
社員用のPCを会社が準備しなければいけない理由←ここで述べましたのでご参照下さい。
又、某大手の一部上場会社の情報流出事故もコレでした。。。PC機器のメンテナンスに入った業者が持ち込んスマホがブルートゥースで基幹PCに接続できてしまったが為に起こってしまいました。。。この案件を防止する為には基幹PCは施錠等により隔離された部屋に置き、入退出時にボディチェックを行い、もちろん、持ち込む機器類は事前に申請と確認を行う等厳重な処置が必要です。
会社利用のブラウザを統一
IDとパスワードの保管方法で情報流出事故は起こります!←ここにも記載していますのでご参照下さい。
ブラウザを統一する事により、会社側が一元管理しやすくなります。上記に記載致しましたPWを毎月変える方法も、統一されていないと管理できなくなり、実現は厳しいでしょう。
会社でのブラウザアカウントは会社側が準備する
IDとパスワードの保管方法で情報流出事故は起こります!←ここに記載していますのでご参照下さい。
上記PWのに記載致しましたPWを毎月変える方法も、アカウントを会社が管理していなければ効果は有りません。。。
CDやDVD、USB等からのデータ類は検閲を通す
実は、これが一番難しいです。。。簡単には防ぎようがないと言っても過言では有りません・・・セキュリティレベルを設定し、最高レベルの機密は、最高レベルの機密情報を扱える担当者のみが解錠出来る部屋にあるネットワークから切り離してある隔離されたPCを準備したり、、、今回はこの件には触れないでおきますf^^
転ばぬ先のPW
如何でしたでしょうか??
少々乱暴ではありますが、PW管理の考え方は『ふ~~ん』位は感じて頂けたのではないでしょうか??
実際に、情報流出事故が起きてからでは遅いですし、対岸の火事では無い状況なのです。
ご不明点は池PONまでお気軽にどうぞ~~^^