大部分の中小企業は外向けのセキュリティ対策は実施済み

大企業が情報漏洩を繰り返している中、セキュリティ対策が注目され
中小企業においてもネットワークセキュリティ対策を行っている企業が
増えてきました。
対策する企業が増えた理由としては、外部からの攻撃やウイルス感染により自社の重要書類や
顧客情報を流失してしまうことにより自社の基幹システムのダウンのみならず顧客からの信頼というダメージを
直接受けるということが昨今のマスコミによる報道、ニュース等により大きく取り上げられ
ようやく重要な対策事項だということが実感されてきたということが一つの理由でもあります。

下のリサーチ結果を見ての通り
「ウイルス対策ソフトの導入」90.6％
「不正アクセスの防止」68.9％
と中小企業は何らかの形で外部からの侵入を防ぐ対策を行っていることが言えます。

ノークリサーチ「2005年版中堅・中小企業のITソリューションの実態と展望」から

注意すべき内部セキュリティ

上記データから大部分の中小企業は外向けのセキュリティ対策は進んでいるが、
社内向け「社内でアクセス制限を設けている」が36.1％とまだまだ進んでいないのが現状です。
昨年の某社の例をみるように（http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050214/156142/）
内部で情報を入手、操作等により社内セキュリティを掻い潜った情報漏洩を起こしてしまうパターンも
大企業でおきているのが現状で社員のモラルも問われる時代にあります。
2005年の4月に個人情報保護法が施行され情報に対した社内対策をしている中小企業が
増えてきていますが、データを見る限りまだまだこれからの対策実施項目といえます。

対策が重要なソーシャルエンジニアリングとは？

これから中小企業は外向けのセキュリティ対策の次に社内セキュリティ対策をする上で
守るべき情報の整理とアクセス管理、システム・ネットワーク的なアクセスコントロールの実施を
行っていくことになりますが、同時に考えなければいけない重要な対策項目として
ソーシャルエンジニアリングを考えていかなければいけません。

情報セキュリティ世界でのソーシャルエンジニアリングの意味は社会的手段を使い不正アクセスを
行う手段であり、コンピュータやネットワークを介さずに人間の心理面や行動に盲点を狙った
手法全般のことを言います。

ソーシャルエンジニアリングの3つの手法を理解する

1. トラッシング ：ゴミとして破棄されたものの中から目的の情報を取得する手法
2. ショルダーハック ：PCや電話の覗き見や盗聴によって機密情報を入手する手法
3. なりすまし ：他人になりすまし、機密情報の入手や誘導を不正に行う手法

具体例として挙げると
ゴミとして破棄されたものの中から情報を取得する⇒1の手法や
PCに貼付している付箋紙や机の上のメモ紙を参照⇒2の手法
管理者に装いパスワードの聞きだしやセキュリティ区画入出の際の同伴者のふりをしての入室⇒3の手法

主に機密情報にアクセスする際のID/パスワード取得目的に行われる、一見古典的でありながら
どんなシステムやネットワークセキュリティを構築したとしても人間が介在する限りは通用する
情報収集手段であり、気づかぬうちに漏洩をしてしまう可能性が十分に考えられる
不正アクセスの一つです。

基本5項目のソーシャルエンジニアリング対策

• スクリーンセーバロック
• クリーンディスク
• 機密情報書類のシュレッダー破棄の徹底
• コールバックを利用したID払い出し確認
• 管理者との面識を作る

上記5項目を実施することによりソーシャルエンジニアリングの3つの手法の大部分を防止することが
可能です。（※上記は実際に大企業で実施されているもの）
今後中小企業は情報の取り扱いについて徹底的に従業員に対し理解させ、
トップダウンによる実施指示と定期的なチェックを行う必要があります。
また情報セキュリティポリシーを策定し「入退出管理」「情報・データ取り扱い方法」など
ヒューマンエラーを未然に防ぐ教育の実施を定期的に行っていく必要があります。