クリアデスク・クリアスクリーンとは？情報セキュリティマネジメントの試験でも出てます

本日はクリアデスク・クリアスクリーンについて書いていきたいと思います。

先日社内の営業から私のもとに、「取引先からITセキュリティについての質問書をもらったので回答してほしい」と書類を渡され質問書に従って回答しておりました。

質問書の内容は、ISMSを取得していますか？や会社貸与PCの管理はどうなっていますか？など多岐に渡っており、そのなかで 「クリアデスク・クリアスクリーンは実施していますか？」という内容がありました。

試験問題で聞かれることはあっても、現実のアンケートとして初めて聞かれたのでこの機会に記事にしたいと思います。

ちなみに、情報セキュリティマネジメントの試験でも出てます。以下の問題です。回答は記事の最後に載せておきますね。

Q：情報セキュリティ対策のクリアデスクに該当するものはどれか。
ア：PCのデスクトップ上のフォルダなどを整理する。
イ：PCを使用中に離席した場合，一定時間経過すると，パスワードで画面ロックされたスクリーンセーバに切り替わる設定にしておく。
ウ：帰宅時，書類やノートPCを机の上に出したままにせず，施錠できる机の引出しなどに保管する。
エ：机の上に置いたノートPCを，セキュリティワイヤで机に固定する。

[出典]情報セキュリティマネジメント H28年春期 問2

クリアデスクとは？

まず、クリアデスクとは実際の「デスク」とは「机」のことが対象で、机から離れる際に机の上に書類などの紙情報を放置しないということです。

理由はお分かりだと思いますが、たとえ社内であっても机上の紙情報から情報漏えいを防ぐためで、帰宅時や外出時、トイレのちょっとした離席であっても机の上に何もない状態に習慣づけることが求められています。

クリアスクリーンとは？

こちらがIT的な話で、 机から離れる際にPCの画面を他人が覗き見れる状態のままにしていたり、他人が勝手に操作できる状態のまま放置しておかないということです。

方法としては画面ロックがかかるようにマウスやキーボードの操作がない状態で一定時間が経つと自動的にロックがかかるように設定をする必要があります。

そもそも何のために？

最近は社外でPCを紛失したり、メールの送信先の間違いで情報が漏えいすることだけでなく、 情報漏えいの原因が社内の人間だったということも多くあると言われています。

このクリアデスクやクリアスクリーンは利用者の意識で改善できることでコストがかかりませんし、この「クリアデスク・クリアスクリーン」が徹底できると自然にITセキュリティについての意識も高まりますのでとてもおすすめです。

ショルダーハッキングにも気をつけよう

最近はPCのモバイル化が進み仕事場所も社内に限らずカフェや新幹線の座席などどこでも仕事ができるようになっています。

クリアスクリーンに関しては、セキュリティリテラシーの低い方だと画面を表示したままトイレなど離席するなどの際に気をつけていただき、クリアスクリーンからは少し話が脱線しますが離席しなくても 自分の背後から機密情報が丸見えになっているケースも散見されます。

このことをセキュリティ用語として、ショルダーハッキングとよばれており、簡単に言うとのぞき見・盗み見のことで、肩(ショルダー、shoulder) 越しに対象者がタイピングしているところやディスプレイをのぞき見て、重要な情報を盗み取る方法を指します。

＜よくある手口＞
・カフェや公共の場でパソコンの画面をのぞかれる
・社内で関係者になりすました第三者にパソコンの画面をのぞかれる
・人ごみでスマートフォンの画面をのぞかれる

＜被害例＞
・公共の場でパソコン画面をスマホのカメラで撮影されたり、ログイン情報を盗み見られ、不正ログインされる恐れがあります。
・不正ログインまではされなくても、画像をTwitterに掲載されるなど情報漏えいの可能性があります。

クリアスクリーンの対策方法は

クリアスクリーンの対策としては離席時に画面をロックするという本人の操作に任せるのも大事ですが、忘れる人も一定数います。

ですので、忘れても大丈夫なように操作しないまま一定の時間が経つと自動的にパスワード付きスクリーンセーバーが起動するようにしたり、または自動的にログオフするようにグループポリシーで設定することが求められます。

ちなみにショルダーハッキングについての対策も合わせて考えるのであれば、 「覗き見防止フィルター（プライバシーフィルター）」を全社員に配るのがいいかと思います。

まとめ

会社のフロアをブラブラしていると、机上に書類を積んでたり、PCの画面開きっぱなしだったりするんですよね。レベルがあがってくるとPCのログインパスワードを付箋で貼っていたり。。

会社内でなく新幹線の中やカフェでも後ろから丸見えだったりします。パワポなどの資料を頑張って作るのはいいのですが丸見えですし、最近は何でもネットで買う時代でクレジットカードの番号とか入力すると思います。

管理側で対策を取るのも大事なんですが、セキュリティ教育という意味では クリアデスク・クリアスクリーンを社内に通知して徹底していくという草の根活動も大事です。みなさま頑張りましょう。

最後に、冒頭に記載した情報セキュリティマネジメントの試験の回答はウが正解です。

【解説】
クリアデスクとは、机の上や鍵のない引出しに置かれた書類の盗難・紛失、および、第三者に文書を見られたことによる情報漏えいを避けるために、常に机上を整理整頓し、席を長時間離れる場合には机に重要書類等を放置したままにしないことを求めるルールです。JIS Q 27001において 物理的及び環境的セキュリティの管理策として挙げられています。

ちなみにその他の回答の解説は以下の通り。

ア：PCのデスクトップ上のフォルダなどを整理する。
→クリアスクリーンについての記載。

イ：PCを使用中に離席した場合，一定時間経過すると，パスワードで画面ロックされたスクリーンセーバに切り替わる設定にしておく。
→クリアスクリーンについての記載。

エ：机の上に置いたノートPCを，セキュリティワイヤで机に固定する。
→機器の盗難防止対策についての記載。