3.4 データを格納したリムーバブルメディアの管理

バックアップデータなどをリムーバブルメディア(以下,メディアと表記します)に格納して保管する場合,そのメディアを不正使用されないように管理する必要があります。ここでは,データを格納したメディアの管理方法について説明します。

<この節の構成>
(1) メディア管理の重要性
(2) 管理ルールの設定

(1) メディア管理の重要性

システムのセキュリティをいくら強化しても,データを格納したメディアの管理が行われていないと,メディアを盗まれてデータが漏えいしたり,メディアを不正使用されてデータが改ざんされたりするおそれがあります。そのため,データを格納したメディアが不正使用されないように管理する必要があります。

ポイント
守る必要があるデータは,ハードディスク上のデータだけではありません。データを格納したメディアも同様に守る必要があります。データが漏えいする原因は,ハードディスク上のデータが盗まれるケースよりも,メディアが盗まれるケースの方が多いと考えられます。

(2) 管理ルールの設定

メディアの管理ルールの例を次の表に示します。これを参考にしてデータを格納したメディアの管理ルールを設定してください。

表3-6 メディアの管理ルールの例

メディアの管理ルール説明
メディア管理の責任者を決めるメディア管理の責任者を決めてください。責任者は管理対象のメディアの一覧を作成し,それを使用してメディアを管理してください。
管理対象とするデータを決める組織のセキュリティポリシーに従って管理対象とするデータを決めてください。バックアップデータ,アンロードデータ,アンロードログなどの重要なデータは必ず管理対象にしてください。
セキュアエリア内でメディアを管理するメディアはセキュアエリア内で管理し,セキュアエリア外に持ち出せないようにしてください。また,キャビネットなどに格納して施錠するなど,厳重に管理してください。
メディアの使用記録を取るメディアを使用する場合,使用者や,使用時刻などの使用記録を取ってください。
メディアが無くなっていないかを定期的に確認するメディアが無くなっていないかを定期的に確認してください。
読み込み専用のメディアにデータを格納するデータの上書きを防止するために,読み込み専用のメディアにデータを格納してください。
メディアごとに管理番号入りのシールをはるメディアの差し替えを防止するために,メディアごとに管理番号入りのシールをはるなどしてください。
メディアの廃棄方法を決める廃棄したメディアが不正使用されないように廃棄方法を決めてください。
利用者全員に教育を実施するメディアの管理が重要なセキュリティ対策になっていることを利用者全員に教育してください。