貴方は自分の会社の電話回線がどのようなルートを通ってきているか把握しているであろうか。
弊社はバグスイーピング(盗聴器探査)等で上場企業からベンチャー企業まで様々な企業の総務責任者にお会いするが、ほとんどと言ってよいほど把握していないのが現状である。
例えばMDFは何処にあるか、IDFは何処にあるか、PBXは何処にあるか、契約回線数は何回線か、回線種別はデジタルか、アナログか等質問してもほとんど答えられず、場合によっては言葉の意味すら分からない責任者が実際には存在する。これでは回線からの情報漏洩に対しては全くの無防備であると言うほか無い。
また、MDF、IDFの場所を知っていたとしても契約している通信会社任せで施錠してあるかどうかを把握していない場合も多い。
そこで最低限把握しておいていただきたいことは、
・MDFの場所及び雑居ビルの場合はMDF内での自社の回線の場所
・IDFの場所(各階に必ず1つ以上ある)及び雑居ビルの場合はIDF内での自社 の回線の場所
・PBXの場所
・MDF、IDFの施錠状況、鍵の管理方法
・契約回線数と回線種別
・直通回線(一般の家庭での電話と同じように受話器を持ち上げるだけで外線発信 できる電話)の場所
要は自社の通信回線がビルの中をどの様に通っているかを理解していれば良い訳である。
それが理解できたところで、次に実施すべきことは場所毎での情報漏洩危険度をミニマイズすることである。
例えばMDF、IDFであればきちんと施錠をされているか、不明な枝分かれ(ジャンパ線)をしていないか、盗聴器やテープレコーダーが取り付けられていないかを定期的に目視点検し、記録しておく。
PBXについては盗聴器等接続されていないか、不審な分岐がないか目視確認後、封印をしておく。
この点検は内線移動等の電話工事が発生した都度実施することが必要である。
また、電話器については固有の番号を付け管理簿を作成、そして、現状で盗聴器が内蔵されていないことが条件ではあるが、封印をし、開けられたことがすぐに分かるようにしておく、修理をした場合は盗聴器が内蔵されていないことを確認後、封印をし修理記録を残しておくようにする。
また、定期的に電話器から不明な線が出ていないか確認する等を実施することも重要である。
自社で通信回線の盗聴点検を実施する場合は、電話器本体、モジュラーボックス、IDF、PBX、MDFの順であろう。(雑居ビルの場合はIDF、PBXの順序が逆になる場合もある)
電話の次に注意すべきものはFAXであろう。特に多くの企業ではFAXを接続する回線が直通回線になっているので回線上のどこにでも盗聴器またはピックアップ装置を接続できるため、盗聴される危険性は非常に高い。
また、盗聴による情報収集を実施しなくても、最近のFAXは送信時に送信する文面をメモリーしてから送る機能やどこへ送ったか、どこから送られてきたかの履歴を残しておく機能等がついておりその気になれば様々な情報の搾取が可能となっている。
そういった機能の付いていない機種においてもFAXは昼夜休日を問わず送られてくれば受信してしまう。
従って、重要書類を送受信するFAXを決め、送受信の責任者を決め、その番号は一般には知らせないシークレット番号にし、夜間休日は受信できないように電源を切断しておくことが最低限必要である。出来れば施錠の出来る部屋に設置し、重要な場所との送受信のために暗号化装置を双方に設置し、定期的に盗聴器の設置等を点検しておけばベストである。
また、最近の機種の中にはFAXを受信したときに暗証番号を入力しなければ出力されない機能や使用者を制限する機能等が付いているものがある。これらの機能について販売会社の営業マンに使用状況を聞いてみたが、ほとんど使われていないとのことであった。もしかしたら、貴社のFAXにも同様な機能が付いているかもしれないので、確認をお願いしたい。もしも、付いているのであればそれだけで情報流出の危険性が減るわけであるから有効に利用していただきたい。
最後にコンピュータ回線についてであるが、近年ハッカー等の外部からの攻撃に対しては国際的、社会的な観点から各企業で熱心に防護策を講じている。ファイアーウォール、ウイルスプロテクト等様々なものがハードウェア、ソフトウェアとして市場に出回っているので貴社の実情に合わせて適宜導入して行けば良い訳である。
但し、その際気を付けておいていただきたいのは、自社ホームページなどの情報開示している場所と社内ネットワークとは必ず切り放しておくということである。
出来れば情報開示は外部のサーバーを利用することが望ましい。これはもちろん外部からの攻撃が内部に及ばないようにする意味が第一義であるが、最近の被害報告にあった手口のように、社員が公開されている場所に機密情報を隠し、後で外部からその情報を引き出すという方法を使わせないためでもある。
社内ネットワークについては、まず確認すべきことは本人認証方法である。I
D番号、パスワードでの管理であれば、例えば、出向、転籍、退職者のID番号は即日抹消されているか、関連会社、関係会社に与えているID番号に多いが、最近全く使われていないID番号はないか、あればそのID所有者に理由を聞き不要であれば削除する、パスワードは最低月に一度は変更されているかなどを確認することである。
特にパスワードは強制的に変更させることが望ましい。
次にアクセス管理が成されているか、いるとすればその管理の正当性の確認である。アクセス管理の原則は「必要な人に必要なだけの情報を」である。そして、アクセス管理を行う単位は個人である。
多くの企業ではこの単位を社員の階層単位で実施しているが、重要な情報が不要な人にまでいっていないか再度見直しをすることが重要である。特に「秘」以上の企業機密については、例え役員と言えども無差別にアクセス権限を持たせるべきではない。そして、昇格、異動、出向、退職等個人についての変動があった場合には即座にそれが反映される仕組みを作っておくことが重要である。
また、不審なアクセスを発見した場合にはすぐに情報防衛責任者に通報がいくような仕組みも当然必要である。
最後に、物理的な社内ネットワーク回線の点検であるが、回線上でコンピュータの接続されていないむき出しのポートはないか、あるとしたらそのポートは物理的に切断されているか、または論理的に社内ネットワークから切り放されているか、社員が勝手にインターネット等へ電話回線を通じて接続していないか、私有のパソコンを社内ネットワークに接続、或いは社外へ接続していないか、プロトコルアナライザー等の試験用機器が接続されていないか等を定期的に点検する必要がある。
また、近年増加傾向にある無線LANに関しては、盗聴される危険性、混信による利用不能/スループットの低下などが現実問題として起こってきている。これらを回避するための秘策としては電磁波シールドを施すという方法がある。従来のシールド方法は鉛の壁で囲うなどの大掛かりな工事が必要であり、工期も費用も相当なものであり、工事中はその部屋の使用ができない状況であったが、最近では電磁シールド壁紙などを利用した方法(弊社の知り合いの会社が特許を持っている)で安価で短期間でのシールドが可能となっている。しかも、この方法であれば混信などのケースでは原因となっている電波の来ている面だけをシールドすることでも効果が上がる場合もある。
MDF:Main Distribution Frame(本配線盤)電話局からの局線引き込み場所
IDF:Intermediate Distribution Frame(中間配線盤)各フロアでの電話線の中継場所
PBX:Private Branch Exchange(構内交換機)内線電話と局線を繋ぐ装置 |
|
|
