スクリーンロックのすゝめ

どうも。細々と活動しているスガ〜です。

ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。

できるだけ分かり易く（と思い込んでいる）内容にしていきたいと思います。読み方が分かりにくいなぁと感じたIT系の用語は、角括弧［ ］内にカタカナで読み方を付けておりますので参考にしていただければと思います。

PCやスマホの画面（スクリーン）って、他人に結構見られていますよね。屋外ならば周りを気にして画面をロックするように意識が働くと思いますが、職場内では画面表示をそのままにして放置している人が多いのではないでしょうか？

モバイルアクセサリーを展開しているFun Standard株式会社様のブランドサイト、ベルモンドで、ノートパソコンの覗き見や情報漏洩対策の実態などのアンケート調査を行ったブログが掲載されていました（www.bellemond.jp、ブログタイトル：「「この会社大丈夫？」取引先にそう思われているかも。ノートパソコン「覗き見したことある」約85％。対策している人、わずか約15％。覗き見防止フィルターで、機密情報・個人情報漏洩対策を」）。

このブログでは最終的に覗き見防止フィルターの商品紹介になっていくのですが、職場での情報保護という観点では、ちょっとした休憩やトイレなどで席を離れるときに画面をロックするように意識付けておくと、他の人が画面を覗き見できないので良いかと思います。

PCの画面をロックする最も簡単な方法は、ショートカットキーを利用することだと思います。

Windows OSの場合、

　　【Windows】＋【L】キー

macOSの場合

　　【Ctrl】＋【Command】＋【Q】キー

Linuxの場合

　　【Ctrl】＋【Alt】＋【L】キー

macOSは古いOSだと異なるようで、Linuxはディストリビューションによって異なるかもしれません。

このショートカットキーを覚え、席を離れるときに押すようにするのです。スマートフォンであれば電源ボタンを軽く押すだけですね。（パスワードなどの保護なしで画面をロックしても意味がないので、パスワードなどの保護機能を設定しましょう。）

しかし、うっかりショートカットキーを押し忘れてしまうこともあると思います。

Windows OSの場合、「設定」→「アカウント」→「サインインオプション」へと進むと、「動的ロック」という項目があります。動的ロックは、Windows PCとスマートフォンをペアリングさせることで、スマートフォンとのBluetooth接続が失われたときに画面をロックするという機能になります。スマートフォンを持ち歩く人にとっては便利かもしれません。しかし、この機能は以下のようなデメリットもあります。

●Bluetoothによる接続が失われてから1分後にロックされること。つまり、ロックされるまでに他人にPCを操作されると動作しません。

●Bluetoothによる接続範囲内ではロックされないこと。つまり、席を離れる距離によっては意味がないことになります。

●Bluetoothを有効にすることで脆弱性を持つスマホなどの場合に攻撃リスクがあること。

利用にあたっては十分にご検討していただきますようお願いいたします。

情報セキュリティマネジメント規格のISMS［アイエスエムエス］（ISO/IEC 27001［アイエスオー アイイーシー にまんななせんいち］）における情報セキュリティ管理策の7.7では、「クリアデスク・クリアスクリーン」と呼ばれる物理的管理策が定められており、机上に書類を放置しないことや、情報をスクリーンに残したまま離席しないことが示されています。

このように、画面をロックすることが定められているので、企業様においては一定時間経過後に画面をロックするようにポリシーを設定していることが多いと思います。

ISMSの例で示したように、規格やガイドラインでは、「一定時間経過したらスクリーンをロックすること」などのように書かれているものが多く、実際に運用する立場からすると「どのくらいの時間に設定するのが良いの？」と聞きたくなってしまいます。

そこで、画面ロックするまでの時間を明示しているドキュメントを可能な範囲で調べてみました。

私個人の見解としては、自身の業務内容に応じた時間範囲に設定するので良いかと思っております。例えば、スクリーンロックまでの時間を10分に設定していた場合に、資料を読んでいる最中にロックされてしまうのは支障するかもしれません。そのため、30分に伸ばすなどして調整するのです。状況によっては1時間でも良いのではと思います。それよりも、ショートカットキーを活用して画面をロックすることの方が重要です。

●日本

IPA：「中小企業の情報セキュリティ対策ガイドライン」、www.ipa.go.jp/security/guide/sme/about.html

このガイドラインの付録５：情報セキュリティ関連規程（サンプル）、3.2 クリアスクリーンにて、「スクリーンセーバー起動時間を5分以内に設定し、パスワードを設定する。」と書かれています。

●米国

CNSS（Committee on National Security Systems）：「CATEGORIZATION AND CONTROL SELECTION FOR NATIONAL SECURITY SYSTEMS」、www.cnss.gov/CNSS/issuances/Instructions.cfm

CNSSは、米国政府が運営する国家安全保障システムのセキュリティに関する委員会です。この委員会で提供されているインストラクション1253では、表D-1のID：AC-11に「30分を超えない範囲でデバイスロックをかける」と書かれています。

●オーストラリア

ASD's ACSC（Australian Signals Directorate's Australian Cyber Security Centre）：「Information Security Manual」、www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism

ASDはオーストラリア政府の信号局で、そこで運用しているサイバーセキュリティセンターが情報セキュリティのマニュアルを提供しています。このマニュアルのSession and screen lockingという項目に、「最大15分間操作がないときに起動する」と書かれています。

●欧州

欧州連合（EU）では、具体的な時間を指定しているドキュメントはなさそう・・・。（見つかりませんでした。）

●番外

CIS（Center for Internet Security）：「CIS Controls V8」、www.cisecurity.org/controls

4.3　保護手段にて、「一般的なオペレーティングシステムでは、この時間は15分を超えてはなりません。」と書かれています。

他にも探せばドキュメントが存在しているのでしょうが、力尽きました・・・。

ひとまず、5分、15分、30分という時間を確認することができました。

何にせよ、画面のロックに関する時間は、組織の業務実態に合わせることや、リスクなどを考慮して定めることが重要です。

大まかな方針としては、

・各自ショートカットキーを押すように習慣付ける。←セキュリティ教育！

・それでもうっかり忘れることがあるからスクリーンロックの時間を設定する。

・設定時間は業務状況を考慮して最適な範囲を見出す。←これが大変！

という感じになるのではないでしょうか？

以上となります。