「機密の刃」解説⑤ -オフィス内のセキュリティ対策-
ここでは、ITセキュリティの従業員教育を楽しく行うために作ったゲーム、機密の刃の解説をしたいと思います。
今回はGoolgleのステージについての解説です。
スムーズにクリアできた方も、新たな気づきがあるかもしれません。
敵を知り己を知れば百戦殆からず。攻撃者の心理を知って、防御力を高めましょう!
オフィスに侵入
居酒屋でゲットした社員証を使ってGoolgleに侵入します。社員証を選択して(図1①)、ドアまたはドア横のカードリーダ(図1②)をクリックしてみてください。
オフィス内の詮索
プリンタを調べる
プリンタが見えます。クリックしてみると、機密情報がゲットできます。
きっと誰かが機密情報を印刷した後回収し忘れてしまったのでしょう。
机上の資料をゲット
今回は部屋の中をぐるっと回って確認することができます。まず画面の左にある白いバーを押してみてください。
すると、机上に白い紙が一枚。ゲットしてください。
机上に重要な資料やノートPCは置いて帰ってはいけませんよね。離席時や帰宅時にはクリアデスク・クリアスクリーンが基本です。クリアデスクとは、机上に書類や記憶媒体などを置かないこと言います。クリアスクリーンとは、他人がパソコンを操作したり覗いたりできないようにしておくことを言います。
ゴミ箱・廃棄パソコンボックスを漁る
更に左を見ると、ごみ箱と古いパソコンを回収するBOXがあります。
ゴミ箱をクリックしてゴミ箱を漁ると(図3①)、機密情報がゲットできます。
機密情報をゴミ箱にそのまま捨ててはいけませんよね。シュレッダーにかけたり、文書溶解サービスを使ったりするべきです。
続いて古いパソコンの回収BOX(図3②)の中から廃棄予定と思われるパソコンをゲットします。
ここではこのパソコンの状態は把握できませんが、パソコン廃棄時にはHDDの物理的破壊またはクリーンインストール(ツールを使ったデータ消去)をする必要があります。もしこれらが行われていないと、パソコン内のデータの漏洩につながる可能性があります。
補足
今回、拾った社員証を使ってオフィスに侵入しました。が、普通に考えると、クラッカーがオフィスに侵入することはまず、あり得ないと思っています。足が付くようなリスクは侵さないと考えられるからです。
世の中には多くのサイバー攻撃が発生していますが、その多くは犯人を捕まえることが出来ていません。犯人は攻撃場所を偽装するなど、巧妙に犯行を行うため、犯人を特定するのが非常に困難だからです。
しかし今回は物理的なセキュリティのリスクについても言及したく、このような少々無理のある設定としました。ご了承ください。
まとめ
オフィスへの物理侵入という少々無理のある設定でしたが、セキュリティ上のリスクについては認識できたかと思います。まとめると以下の通りです。
- プリンタの利用時には速やかに印刷物を回収する。
- 離席時や帰宅時はクリアデスク・クリアスクリーンを行う。
- 機密情報の廃棄時はシュレッダーや文書溶解サービスを使う。
- パソコンの廃棄時はHDDの物理破壊やクリーンインストールをしてデータ復元できないような状態にする。