TOPセキュリティ > 機密情報は自分から漏れている?OPSEC強化が必須なわけ(下...

セキュリティ

機密情報は自分から漏れている?OPSEC強化が必須なわけ(下)

2019/05/31

Josh Fruhlinger CSO

 企業や組織に関して何らかのデータが公になった時に、敵がそれを他のデータと的確に組み合わせて巧妙に分析すると、秘匿しておくべき全体像が明らかになる場合がある。そうした事態を防ぐように自組織のデータを保護するプロセスがOPSEC(Operations Security:作戦保全)だ。

前回から続く)

OPSECの対策

 OPSEC計画の中で講じられるセキュリティ対策にも、やや抽象的な面はあるが、HackerCombatの記事では、次のようなベストプラクティスを挙げている。

  • 変更管理プロセスを導入する
  • ネットワークデバイスへのアクセスを必要最小限のみに限定する
  • 社員に与えるアクセス権は極力減らし、最小権限の原則を徹底する
  • タスクを自動化して人間の弱点を排除する
  • インシデント対応と復旧の計画を定めておく

 SecurityTrailsの記事では、OPSECの計画で注目すべき部分について細かく挙げている。氏名、IPアドレス、言語、メールアドレスなど、個人を特定するセンシティブなデータに細心の注意が必要なのは当然だが、人的側面への対応も欠かせない。特に、社内の人間にOPSECの意識を習慣づける必要がある。データやデバイスの暗号化、データの転送に対するモニタリング、特定のデータへのアクセスの制限など、いくつかの習慣についてトレーニングが必要だ。

 また、本記事の前半で取り上げたような失敗の数々も意識しておく必要がある。ソーシャルメディアに関しては特にそうだ。第2次世界大戦時の米国では、「口は災いのもと」という意味合いのスローガンがOPSECの推進に使われた。現在の企業や組織にも同じことが言えるし、Facebookへの投稿にも同様の考え方が当てはまる。

↑ページ先頭へ