この診断を使って自社の状況を鑑みることで、どの部分が足りないのか大枠を知ることができる。「対策の不十分さが目立つのは、事故発生時の備えです。事故や盗難の際、どのように対処するのか、連絡網や対応手順書などの準備が必要ですが、多くの企業で十分とは言えない状況です。“専門家に相談する”といったことでもよいので、具体的な対策を決めておくべきです」(石田氏)。

 また、石田氏は「今回の調査では、情報セキュリティの脅威として、69.4%が情報漏えいを挙げています。しかし、大企業と比較すると、中小企業の関心度合は低くなっているのが心配です」と語る。情報セキュリティの組織・運用面の対策としては、「重要なシステム/データのバックアップ」が74.4%と最も高く、次いで「ID/パスワード、アクセス権限の強化」が66.6%、「ハードディスク等の廃棄時の破壊」が63.3%となっている。

 廃棄時にハードディスクを破壊するのはデータを消去するためだが、この点についてはITを熟知していないために誤解されていることが多い。PCのデスクトップにある「ごみ箱」を「空にする」という操作を行っても、データは完全には消えていない。「ハードディスクに残るデータを復元することはそれほど難しくありません。例えば、米国の国防情報局との契約データが、ガーナで販売されていた中古のハードディスクから見つかったという例もあります」と石田氏。完全にデータを消去するための対策も別途講じる必要があるのだ。

クラウドやスマートフォンを
安全に使うための勘所

 クラウドを活用する際にも、データの消去は留意すべき項目である。IPAでは「クラウドサービス安全利用のすすめ」という小冊子を作成し、安全なクラウドの利用のためのチェックシートを掲載している。そこではデータの消去についてのチェック項目もある。

情報処理推進機構(IPA)
技術本部 セキュリティセンター
情報セキュリティ分析ラボラトリー
主任研究員
勝見 勉

 勝見氏は「クラウドを活用する前に、どの範囲で使うのか、使える体制があるのか、安心できるサービスなのかといったチェック項目をまとめました。この中でも見逃しやすいのが、利用終了時のデータの確保です」と語る。サービスの利用をやめた場合に、確実にデータを消去してくれるかは、事前に確認しておくべきだろう。「データ消去の体制が確立されているかどうかは、信頼できるベンダーを見極めるポイントにもなります」と勝見氏は指摘する。

 一方、最近注目されているスマートフォンについても、情報セキュリティマネジメントを強化することで対応するのが基本だ。石田氏は「スマートフォンは高機能な“携帯電話”と言われていますが、PCレベルの機能を持つ小型機器と考えて対応していただきたい」と語る。

 パスワードのロックを掛ける、置きっぱなしにしない、データを保存するときは暗号化する、などである。ウイルス対策ソフトも導入する必要がある。中でも気をつけたいのが、アプリケーションのインストールだ。データを盗み出すような悪意のあるアプリケーションもある。提供元が不明なアプリケーションはインストールしないほうがよい。また、PCと同様に廃棄時のデータ消去にも留意する必要がある。

 クラウドであっても、スマートフォンであっても、企業システムの一形態としてとらえれば、講じるべき情報セキュリティ対策の基本ラインは同じである。今回取り上げたチェックシートなどを活用して、自社の弱みを把握し、情報セキュリティマネジメントを強化することが、情報漏えいを防ぐための王道である。それが企業の競争力を高めることにもつながるはずだ。