オフィスセキュリティ

オフィスで必要な基本的なセキュリティ対策について説明します。

1. 雷サージ対策
　1.1 雷サージの概要
　1.2 雷サージ防止策
2. コンピュータ、データのセキュリティ対策
　2.1 ウイルス対策
　2.2 迷惑メール対策
　　2.2.1 迷惑メール送信の仕組み
　　2.2.2 迷惑メール防止策
　2.3 データの保全対策
　　2.3.1 事故対策
　　2.3.2 情報漏洩対策
3. 文書のセキュリティ対策
　3.1 文書の不正コピー対策
　3.2 文書の持ち出し・盗難対策

1. 雷サージ対策

1.1 雷サージの概要

これまでは夏季に集中していた雷の発生が、異常気象により年間を通してみられ、その落雷発生件数も増えています。
建物の近くに落雷した場合を誘導雷と、建物に直接落雷した場合を直撃雷と呼びます。この誘導雷や直撃雷により、瞬間的に過電圧が発生し電線や通信線を流れます。この過電圧のことを雷サージと呼びます。

雷サージが流れると接続されているパソコン・サーバーや通信機器内部の基盤を破損させたり、蓄積されているデータを破損させたりして、業務への影響が多大となります。
機器が雷サージにより破損する仕組みは、本来絶縁されている部分が異常電圧により絶縁破壊を起こし、そこに過電流が流れるためです。これを防ぐには、雷サージが発生したら装置前で瞬時にバイパス路に接続して雷サージを流します。

1.2 雷サージ防止策

雷サージ防止策としては、パソコン・サーバーや通信機器の電源回路と通信回路にサージ防護デバイス（ＳＰＤ、保安器）を取り付けます。ＳＰＤは動作機能から以下の２つのタイプに分類されます。

タイプ	動作機能	特　徴
絶縁形	・絶縁トランスや中和トランス等により、異常電圧に対し回路を絶縁・防護するタイプ	・予想した電圧までの異常電圧に対しては最も確実な防護がされ、消耗部品がないので無保守で長寿命・大型、比較的高価・高信頼が要求される通信回線の防護に使用
放流形	・避雷管、バリスタ等の放流形サージ防護デバイスで、異常電圧に対し回路インピーダンスを下げて、被防護機器に加わる異常電圧を抑制するタイプ	・小型、廉価・適当な防護デバイスの組合せ使用によりかなりの防護性能が得られる・一般の通信機器の防護に多く使用

基本的な対策は、分電盤内の電源線と共通接地間に電源用ＳＰＤを取り付けたり、通信盤への通信用ＳＰＤの取り付けたりします。オフィスの環境に合わせて施工を検討する必要があります。
フロア間に電圧が誘電されような高層建築物の場合は、電源、通信線に接続される装置それぞれにＳＰＤを取り付けます。
光ファイバの場合も決して安全ではありません。光ファイバの中には、保護する目的でテンションメンバと呼ばれる鋼線が入っているものもあります。十分な絶縁処理を施すか、等電位ボンディング接地に確実に接地する必要があります。ノンメタルのテンションメンバ使用の光ファイバを使用している場合は、対策の必要はありません。
簡単・安価な方法としては、雷サージ対策が施されたコードタップから電源を取る方法があります。通信線を使用している場合には通信回線にも対応したコードタップを使用します。
また、落雷による停電に備えて、重要な機器には無停電電源装置（ＵＰＳ）を使用します。

さらに、情報通信機器以外のオフィス機器全般（コピー機、エアコン、冷蔵庫など）にも雷サージ防止策を施す必要があります。

【雷サージ対策用品取り扱い会社】

株式会社サンコーシャ
株式会社昭電
サンワサプライ　など

2. コンピュータ、データのセキュリティ対策

2.1 ウイルス対策

最近問題になっているのが、Winny等がインストールされたＰＣのウイルス感染で情報流出を起こしたり、Nimda、CodeRed等のネットワーク型ウイルスへの感染、ボットと呼ばれるタイプのウイルスへの感染です。

WinnyなどのP2Pソフトがインストールされている社内や取引先のコンピュータがウイルスAntinnyに感染することで、顧客情報、個人情報、機密情報等が不特定多数の第三者に流出します。
Antinnyは一般的なゲートウェイアンチウイルスでは感染動作をブロックできないため、侵入を防ぐことは困難です。さらに、Winnyは任意のポートを使用して通信するため、ファイアウォールやルータで止めることも困難です。
防止策としては、企業の日常業務のなかでWinny使用の必要性はないので、インストール・使用は禁止するのが得策です。

Antinnyと似た動作をするのがボットウイルスです。
ボットウイルスは、その目的から、感染をしていても利用者に気づかれないように密かに活動をします。
一度感染すると、外部の悪意の第三者からあなたのパソコンが遠隔コントロールされ、スパムの送信感染拡大、DDoS攻撃など他の人への迷惑行為を行うばかりか、利用者のパソコン内のあらゆる情報を盗み出す危険なウイルスです。
DDoS (distributed denial-of-service：分散型のサービス拒否) 攻撃とは、既知の有効なユーザー ID と不正なパスワードを使って繰り返しサーバーにログインし、サーバーをシャットダウンしようとする試みのことです

ネットワーク型ウイルスはネットワーク内部からの攻撃で、以下のような被害を及ぼします。

多大なトラフィックによるインターネットおよびＬＡＮの速度低下
ＣＰＵ使用率 100%
コンテンツの改ざん (スクリプトが追加されます)

基本的なウイルス対策は以下のとおりです。

感染源	対　策
インターネット	・アンチウイルスの使用
データファイル等の持ち込み	・持ち込み時に必ずアンチウイルスで検査
持込のパソコン等	・社員が外部に持ち出してインターネットネットに接続したパソコンはウイルス検査が終わるまで社内ＬＡＮに接続しない・訪問者など外部の人間が持ち込んだ管理が行き届いていないパソコンは、原則として社内ＬＡＮに接続させない

2.2 迷惑メール対策

2.2.1 迷惑メール送信の仕組み

迷惑メールは、以下のような方法で無差別かつ大量に送信されますので、広く公開していないメールアドレスにも届く場合があります。

送信方法	概　要
アドレス収集	・インターネット上に流れている会員情報や、個人情報などからメールアドレスを収集する方法
総当り配送	・メールアドレスを英字と数字の組み合わせで1文字づつずらしたりランダムに組み替えて、不特定多数に大量に送信する方法・サーバに負荷がかかるため大量送信を制限しているところが多いのですが、時間を少しずつずらしながら送信される場合は制限が困難
辞書配送	・メールアドレスに使われる単語、様々な企業やプロバイダのドメイン、メールアドレスの法則など、予想されるメールアドレスを辞書登録し、メールを送信する方法

送信元のメールアドレスは、詐称されていることが多く、宛先と同じであったり、無効のメールアドレスが使用されたりします。

また、ＢＣＣ（ブラインド・カーボン・コピー）機能を悪用した迷惑メールの送信も多発しています。
メールのＢＣＣ機能は、同じ内容のメールを複数の宛先に送信する場合で、第三者への送信の事実を伏せるために使用します。
例えば、以下の条件で迷惑メールを送信すると、
To：　実在、架空を問わない或るメールアドレスを入力
BCC：利用者のメールアドレスを入力
宛先（To：）に或るメールアドレスが表示されており、BCCに利用者のメールアドレスが表示されていない、あたかも宛先間違いのような迷惑メールが利用者のメールアドレス宛に届くことになります。

2.2.2 迷惑メール防止策

迷惑メール対策として、送信元アドレスを指定してブロックする方法が考えられますが、送信元アドレスをランダムに作成して送信されるため、すべての迷惑メールを防ぐことはできません。
現在は、テキスト分析、ホワイトリスト・ブラックリストに登録された発信元のIPアドレス、ＳＭＴＰ（Simple Mail Transfer Protocol）サーバーのIPアドレスでフィルターをかけてブロックする方法が主流となっています。
このような機能を持つ対策ソフトを導入して迷惑メールを防止します。

2.3 データの保全対策
事故対策と情報漏洩対策が基本です。
2.3.1 事故対策
地震発生時の被災に備えて、サーバーなどの設置床を免震化します。アンカーボルトで床固定するとハードディスクの被災確率は高くなります。サーバーを持たない小規模事業所では、ファイル保存用のパソコンを設置して、ハードディスク破損等に備えて、ハードディスクの２重化（Raid化）を行います。また、データのバックアップを行うようにします。火災発生に備えて、コンピュータルーム・サーバールームへのハロン消火設備の設置を行います。
2.3.2 情報漏洩対策
いろいろな手段で個人情報などの社内データが外部へ流出します。
●WinnyなどのＰ2Ｐソフト対策 WinnyなどのＰ2Ｐソフトがインストールされたパソコンがウイルス感染すると、不特定多数の第三者にデータが流出します。Ｐ2Ｐソフトの社内のパソコンへのインストール・使用を禁止すると共に、社員が持ち込んだパソコンの社内ＬＡＮへの接続を禁止します。
●不要な閲覧の禁止小規模な事業所では、共有などの理由で、パソコンにログインＩＤ・パスワードの設定をしないで使用している場合が多くみられます。この場合には共有パソコン以外にはログインＩＤ・パスワードを設定します。さらに設定されているパソコンでも、共有フォルダには共有アクセスの許可設定を行うと共に、閲覧をさせたくない文書ファイルは共有フォルダに置かないようにします。基本的には、文書データはファイルサーバで一括管理して、利用者制限します。
●コンピュータシステムのシンクライアント化シンクライアント（Thin Client）は、クライアント端末に最低限の機能しか持たせず、サーバ側でアプリケーションソフトやファイルなどの資源を一元管理するシステムです。運用・管理コストの削減をはかる新しい考え方です。シンクライアントは、機能を絞った低価格のクライアント用コンピュータを使用します。ハードディスクを持たないため、電源を含めて端末本体が小型化（国語辞典程度）されます。事業所の移転やデスクの移動などの容易性もメリットとなります。まだ歴史が浅いのですが、端末に情報が残らない、リムーバブルディスクの使用禁止、端末側のセキュリティポリシーの統一など、情報管理上のメリットがあります。
●パソコン廃棄時の問題パソコンのハードディスク内には廃棄直前まで使用していたデータが残っています。ＯＳのファイル削除を使用しても、ファイルへのポインタ部分しか削除されず、データ部分はそのまま残ります。この状態でパソコンを廃棄すると、残ったデータ部分を繋いで復元できるため、情報の社外流出の一因となります。この問題を回避するためには、ハードディスクのクリーンソフトを使用してファイル削除を行った後にパソコンを廃棄します。

3. 文書のセキュリティ対策

3.1 文書の不正コピー対策

個人情報、機密情報は文書の不正コピーでも流出します。
文書の不正コピーの防止策で簡単に行えることは、原本を不正コピー防止の機能を持つ用紙を使用することです。実際にコピーを行うと、「コピー」、「不正コピー」などの文字が全面に表示されます。
この他には原本の隠したい部分にコピー防止シールを貼る方法もあります。

3.2 文書の持ち出し・盗難対策

個人情報や機密資料の持ち出し、盗難など、日常の業務の中では、文書での情報漏洩に対する対策も必要となります。
文書の持ち出し・盗難対策の基本は、特定の人しか開閉できないタイプのキャビネットを設置して、重要文書はこのキャビネットに収容します。登録したＩＣカードで開閉するタイプが主流となっています。