セキュリティ対策自己宣言一つ星シリーズ。前回は「パスワードを強化しよう!」を見ました。3回目は「共有設定!」を見ていきます。
共有設定って何?
「共有設定」が何を指すのか、案外と明確に答えにくいです。正確に表現しようとすると、持って回った難しい言い回しになってしまいます。
セキュリティ対策自己宣言のパンフレットには、対策例として次のように書かれています。
- ウェブサービスの共有範囲を限定する
- ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する
- 従業員の異動や退職時に設定の変更(削除)漏れがないように注意する
つまり、情報共有の範囲が適切であるか見直そう、ということです。
管理対象が増えるほど煩雑に
例示の1つ目である「ウェブサービスの共有範囲」がなかなか厄介です。我々はウェブサービスをいくつ使っているでしょう? メール、Googleドライブ、facebook、LINE、slack、電話帳などなど……いくつも使っています。それらが正しく共有設定できているか、まとめて管理する方法はありません。台帳などを使ってひとつひとつ見ていくしかありません。
手間がかかります。
ですので、利用するサービス数を減らしたり、使わないものは廃止したり、散らばった情報を一か所にまとめたり、ハウスキーピング(整理整頓)が欠かせません。
あまり放置しておくと、あとから「これって消していいんだっけ?」となり、管理負担が増えてしまうこともよくあります。
見直しをきっかけに、運用ルールの整備を
言い換えると、「棚卸しって大変」という、業務でよくある話が情報セキュリティでも発生します。
棚卸しを楽にするには
- 棚卸し対象を減らす(=不要になった情報は捨てる)
- 動線を短くする(=利用サービスをまとめる)
- 帳簿棚卸と実地棚卸のズレを減らす(=利用状況に変化があったらすぐ対応する)
という、日々の管理が効きます。
この連載では「徹底することが大事」ということを書いています。今回の「共有設定を見直そう」については、棚卸し的に見直すだけでは難しいです。日々のメンテナンスがちゃんと行われるように、管理者を定めて運用ルールを取り決めておくことが実効性確保の点で重要になります。