Embed Size (px)
Citation preview
0
企業(組織)における最低限の
情報セキュリティ
対策のしおり
http://www.ipa.go.jp/security/
2017年6月30日 第5版
(1)
1
はじめに
本情報セキュリティ対策のしおりは、これから情報セキュリティ対策を実施してい
こうと考えている企業(組織)の経営者(運営者)、管理者、従業員の方を対象と想定
しています。
本しおりの内容は、既に理解しているとおっしゃる方には、情報セキュリティ対策
の見直し、委託先や子会社に対するセキュリティ教育のための参考資料であると
理解してください。
本しおりに関する質問・相談につきましては、[email protected] まで電子メ
ールにて連絡ください。
情報
資産
情報セキュリティ対策とは
企業(組織)はセキュリティ上の脅威に取り囲まれています
それらの脅威により問題が発生するリスク(危険性)を
減らす(予防する)必要があります
守るものは情報資産
(情報および情報を管理する機器やネットワーク等)
個人・顧客・企業(組織)情報を脅威から守る
会社内の設備を脅威から守る
言い換えれば…
お客様に迷惑をかけないようにすること
それが情報セキュリティ(対策)です
2
情報セキュリティにかかわる脅威の中で、最も深刻な情報漏えい・情報流出。ま
た、コンピュータウイルス感染による情報システムの停止やデータの破壊等も顧客
からの社会的な信頼を大きく失墜することとなります。情報セキュリティ問題は経営
のリスクであり、全ての企業(組織)において取り組む必要があります。
情報セキュリティ対策の進め方は、リスク分析からスタートし、自社に合った対策
基準や実施手順を策定しますが、企業(組織)にとっては「何をすれば良いか分か
らない」というのが実情ではないでしょうか。そこで IPAでは、『中小企業における情
報セキュリティ対策ガイドライン』を作成し、企業(組織)におけるセキュリティ強化を
支援しています。是非ともご活用ください。
5分でできる!
中小企業のための情報セキュリティ自社診断
企業(組織)で実施しなければいけない最低限の情報セキュリティ対策を 25項目
に絞込みました。この項目の実施状況を点検し、パンフレットの解説編と合わせて
ご覧いただくことで、以下の内容を実現します。
どこにどのような問題点があるのかが把握できる
問題点の把握により、次のステップとして具体的な対策の道筋が見えてくる
情報セキュリティ対策の強化
第 5版への改訂は、本しおりのベースとなっている自社診断シートが、「5分でできる
自社診断シート」から「新 5分でできる診断シート」に改訂されたことによるものですが、
「新 5分でできる診断シート」の診断項目に合わせた内容にするだけでなく、最近の中小
企業を取りまく IT 環境の変化(無線 LANやネットワークに接続できる事務機器等の普及)
や、新しい形態のコンピュータウイルスやサイバー攻撃の増加に合わせた解説や対策も盛
り込んでみました。
従来の「5分でできる自社診断シート」の診断項目は項目の統合等でそのまま残しつつ、
新たな診断項目を追加する形で、25の診断項目としています。そこで、本しおりのタイ
トルも、「企業(組織)における最低限の情報セキュリティ対策のしおり」から「企業(組織)
における最低限の情報セキュリティ対策のしおり +1」に変更しました。
本しおりが、皆様のお役に立つことを期待しています。
2017年 6月 Zousan
3
目次
診断項目 診断内容 頁
№1
パソコン等の脆弱
性対策
Windows Update を行うなどのように、常に OS やソフト
ウェアを安全な状態にしていますか? 6頁
№2
パソコン等のウイ
ルス対策
パソコンにはウイルス対策ソフトを入れてウイルス定義フ
ァイルを自動更新するなどのように、パソコンをウイルスか
ら守るための対策を行っていますか?
10頁
№3
パソコン等のパス
ワード管理
パスワードは自分の名前、電話番号、誕生日など推測されや
すいものを避けて複数のウェブサービスで使い回しをしな
いなどのように、強固なパスワードを設定していますか?
21頁
№4
重要情報へのアク
セス(権)管理
ネットワーク接続の複合機やハードディスクの共有設定を
必要な人だけに限定するなどのように、重要情報に対する適
切なアクセス制御を行っていますか?
29頁
№5
脅威情報等の情報
共有
利用中のウェブサービスや製品メーカーが発信するセキュ
リティ注意喚起を確認して社内共有するなどのように、新た
な脅威や攻撃の手口を知り対策を社内共有する仕組みはで
きていますか?
31頁
№6
標的型攻撃メール
対策等
受信した不審な電子メールの添付ファイルを安易に開いた
り本文中のリンクを安易に参照したりしないようにするな
ど、電子メールを介したウイルス感染に気をつけています
か?
35頁
№7
電子メールの誤送
信防止
電子メールを送る前に目視にて送信アドレスを確認するな
どのように、宛先の送信ミスを防ぐ仕組みを徹底しています
か?
40頁
№8
電子メールでの重
要情報漏えい対策
重要情報をメールで送るときは重要情報を添付ファイルに
書いてパスワード保護するなどのように、重要情報の保護を
していますか?
45頁
№9
無線 LANのセキ
ュリティ対策
無線 LANを利用する時は強固な暗号化を必ず利用するなど
のように、無線 LANを安全に使うための対策をしています
か?
51頁
№10
インターネットを
介したトラブル防
止
業務端末でのウェブサイトの閲覧や SNSへの書き込みに関
するルールを決めておくなどのように、インターネットを介
したトラブルへの対策をしていますか?
55頁
№11
重要情報のバック
アップ等の保全対
策
重要情報のバックアップを定期的に行うなどのように、故障
や誤操作に備えて重要情報が消失しないような対策をして
いますか?
57頁
№12
重要情報の事務所
等での管理
重要情報を机の上に放置せず書庫に保管し施錠するなどの
ように、重要情報の紛失や漏えいを防止する対策をしていま
すか?
62頁
4
診断項目 診断内容 頁
№13
重要情報の持ち出
し等の管理
重要情報を社外へ持ち出す時は、パスワード保護や暗号化し
て肌身離さないなどのように、盗難や紛失の対策をしていま
すか?
65頁
№14
パソコン等の第三
者利用制限
離席時にコンピュータのロック機能を利用するなどのよう
に、他人に使われないようにしていますか? 69頁
№15
事務所等への不正
侵入対策
事務所で見知らぬ人を見かけたら声をかけるなどのように、
無許可の人の立ち入りがないようにしていますか? 74頁
№16
事務所等での重要
機器の管理
退社時に机の上のノートパソコンや備品を引き出しに片付
けて施錠するなどのように、盗難防止対策をしていますか? 76頁
№17
事務所等での入退
出管理
最終退出者は事務所を施錠し退出の記録(日時、退出者)を残
すなどのように、事務所の施錠を管理していますか? 78頁
№18
不要になった重要
情報の廃棄管理
重要情報を廃棄する場合は、書類は細断したり、データは消
去ツールを使ったりするなどのように、重要情報が読めなく
なるような処分をしていますか?
80頁
№19
守秘義務等の従業
員への徹底
従業員を採用する際に守秘義務や罰則規定があることを知
らせるなどのように、従業員に秘密を守らせていますか? 88頁
№20
従業員へのセキュ
リティ意識付け
情報管理の大切さなどを定期的に説明するなどのように、従
業員に意識付けを行っていますか? 90頁
№21
BYOD対応のセ
キュリティ対策
社内外での個人所有のパソコンやスマートフォンの業務利
用を許可制にするなどのように、業務での個人所有端末の利
用の可否を明確にしていますか?
94頁
№22
取引先とのセキュ
リティ協議
契約書に秘密保持(守秘義務)の項目を盛り込むなどのよう
に、取引先に秘密を守ることを求めていますか? 97頁
№23
外部サービスのセ
キュリティ対策
クラウドサービスなど外部サービスを利用する時は利用規
約やセキュリティ対策を確認するなどのように、サービスの
安全・信頼性を把握して選定していますか?
100
頁
№24
BCP を踏まえた
セキュリティ事故
対策
秘密情報の漏えいや紛失、盗難があった場合の対応手順書を
作成するなどのように、事故が発生した場合に備えた準備を
していますか?
103
頁
№25
セキュリティルー
ルの策定と運用
情報セキュリティ対策(上記 1から 24など)を会社のルール
にするなどのように、情報セキュリティ対策の内容を明確に
していますか?
106
頁
5
Part1. 基本的対策
№1 パソコン等の脆弱性対策
№2 パソコン等のウイルス対策
№3 パソコン等のパスワード管理
№4 重要情報へのアクセス(権)管理
№5 脅威情報等の情報共有
6
Windows Update とは、Microsoft社の Windows OSを利用しているパソコンに対
して、定期的(通常 1ヶ月に 1度)にOS(オペレーティングシステム:パソコンが基本
動作するために必要なシステム)および関連する Microsoft社の提供するアプリケ
ーションソフトウェア(Microsoft Office:Excel、Word、Internet Explorer等)のバグ修
正、バージョンアップ等の更新プログラムを提供するサービスです。特に、OSやア
プリケーションが持つセキュリティ上の問題点(プログラムの欠陥や仕様上の問題
点)を修正するセキュリティ更新は、パソコンを安全に利用するためには必須のも
のなので、速やかな適用が必要です。
Microsoft社以外のOSを利用しているパソコンの場合も、OSの提供元から定期
的あるいは随時にセキュリティ更新が提供されています。Windows OS以外を利用
している場合も、こういった更新の提供が、パソコンを安全に利用するためには必
須のものなので、速やかな適用が必要です。
ちなみに、ここに挙げたセキュリティ上の問題点を、情報セキュリティ対策の分野
では、セキュリティホールとか脆弱性(ぜいじゃくせい)と呼んでいます。この脆弱性
を悪用されると、パソコンが遠隔(リモート)操作で乗っ取られたり、コンピュータウイ
ルスに感染させられたりしてしまう危険性があります。こういった脆弱性に関する情
№1 パソコンの脆弱性対策
Windows Updateを行うなどのように、
常にソフトウェアを安全な状態にしています
か?
最新の状態に
更新しました!!
7
報は、OSやアプリケーションを提供する開発元(ベンダー)や配布元が情報発信し
ていますが、IPAでも JVN(Japan Vulnerability Notes:脆弱性対策情報ポータルサ
イト)を通じて情報発信しています(参考情報を参照されたい)。
最近では、Microsoft社を含むOSやアプリケーションのベンダーでは、OSやアプ
リケーションの脆弱性を解消するためのセキュリティ更新を自動的に適用する設定
やボタン(クリック)ひとつで更新を適用する方法を推奨しています。こういった設定
をパソコン上で実施することで、パソコンをより安全に利用することができるので、
利用しているOSやアプリケーションの設定がどうなっているか、あるいは最新の状
態であるか確認することをお勧めします(JVNでも利用者の多いアプリケーション等
のバージョンが最新であるかチェックするためのツールを提供しています:参考情
報を参照されたい)。
蛇足(ウンチク)ネタ
その 1:Windows Updateはいつ公開されるのか?
Microsoftの Windows(Microsoft) Updateは、日本では
毎月 1回、第 2火曜日の翌日の水曜日(第 2水曜日では
ありません)に公開されます。これは、米国での英語版の
Windows Updateの公開が米国時間の第2火曜日に実施
されるためです。どうでもいい情報ですが、ウンチクとし
て覚えておくとよいかもしれません。
その 2:リモートでコードが実行される?
Microsoftの Windows(Microsoft) Updateでは、脆弱性の影響として「リモートで
コードが実行される」といった表現がされる場合があります。これは、不正なプロ
グラムによって脆弱性が悪用され、プログラムに組み込
まれた不正な(パソコン利用者にとって不利益となる)処
理が実行されることです。この不正なプログラムが、パソ
コンの外から配布(送り込まれて)されているので、「リモ
ートでコードが実行される」と表現しています。例えば、利
用者に隠れて、利用者がパソコンを起動するたびに動作
するプログラムを仕込んだり、利用者の大切な情報を盗
み出すプログラムが仕込まれたりします。最悪の場合は、OSそのものを破壊さ
れる場合もあります。コンピュータウイルスが悪用する場合もあり、脆弱性を悪用
してウイルスに感染させる処理が実行されます。「リモートでコードが実行される」
という表現は、英文の Remote Code Execution から訳されたものです。
8
<参考情報>
JVN (Japan Vulnerability Notes:脆弱性対策情報ポータルサイト)
http://jvn.jp/
MyJVN (脆弱性対策情報収集ツール、バージョンチェッカ、セキュリティ設定チェ
ッカ)
http://jvndb.jvn.jp/apis/myjvn/
図 1 Japan Vulnerability Notes:脆弱性対策情報ポータルサイト
9
脆弱性に絡んだ話として…
サポート(期間)の切れたOSやソフトウェアの利用はとても危険です。上記までの
説明で理解いただけると思いますが、サポートの切れた OSやソフトウェアは、それ
らの脆弱性が見つかったとしても、脆弱性を解消するための修正プログラムが作
成されないからです。できるなら、そういった OSやソフトウェアの利用は中止し、最
新バージョンの OSやソフトウェア(同じ機能を持つ新しいソフトウェア等)を利用す
ることをお勧めします。
<参考情報>
延長サポート終了を控える「Office 2007」および「Windows Vista」の速やかな
移行を https://www.ipa.go.jp/security/announce/winvista_office2007_eos.html
OSやソフトウェアのセキュリティ上の問題点を放置している
と、それを悪用したウイルスに感染してしまう危険性がありま
す。お使いのOSやソフトウェアに修正プログラムを適用する、
もしくは最新版を利用するようにしましょう。
そこで質問)
Windows Update を行うなどのように、常にソフトウェアを
安全な状態にしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
10
(コンピュータ)ウイルスは、コンピュータやコンピュータ利用者にとって、とても厄
介な存在です。ウイルスは、コンピュータの発達の歴史とともに進化しています。一
昔前であれば、愉快犯的なウイルスが主流でしたが、最近では金銭目的のウイル
スが主流になってきています(ただし、イランの核施設を狙ったウイルスのように金
銭目的のみとは思えないものも出現しています)。
注意)
以下、読者が理解しやすいように、ウイルスの感染対象をパソコンと称しますが、いわゆる
個人利用のパーソナルコンピュータだけでなくサーバやネットワーク関連機器も含むものと解
釈してください。そういった機器にもコンピュータウイルスは感染することがあります。
多種多様なウイルス
最近のウイルスは、狭義のコンピュータウイルス
の定義に縛られない、不正なプログラム(マルウェ
ア)も含まれます。
例えば、スパイウェア*1とか暴露ウイルス*2と呼
ばれるパソコン内の情報を盗み出したりインターネ
ット上に流出させたりするものや、スケアウェア*3と
呼ばれる偽の脅迫行為を行うウイルス(いわゆる
詐欺ウイルス)、パソコン内のファイルやフォルダを
勝手に暗号化して脅迫するランサムウェア*4と呼
ばれるウイルス、インターネット(ネットワーク)を介
してパソコンを遠隔操作できるボット*5と呼ばれる
ウイルス、パソコンの中に潜んで悪さをしたりインターネット(ネットワーク)を介して
侵入できる裏口(バックドア)*6を作成したりするトロイの木馬*7と呼ばれるウイル
№2 パソコン等のウイルス対策
パソコンにはウイルス対策ソフトを入れてウ
イルス定義ファイルを自動更新するなどの
ように、パソコンをウイルスから守るための
対策を行っていますか?
11
図 2 悪意の仕掛けがある Webサイトからの感染イメージ
ス等、さまざまな形態のものが存在します。しかしながら、最近のウイルスは種類を
区分けすることができないようないろいろな動作をする複合機能型のウイルスとな
ってきているようです。こういった背景には、ウイルスを簡単に構築するウイルス作
成(構築)ツールが世の中に出回っており、いろいろな機能が使えるように指定する
ことで、新しい(あるいは同じような)ウイルスを誰でも作れるようになってきている
ようです。
いろいろな感染経路
インターネット(ネットワーク)上の Webサイトからの感染
電子メールから感染
USB メモリ等の外部記憶媒体から感染
ネットワークからの直接攻撃による感染
(コンピュータ)ウイルスは、電子メールやインターネット上のWebサイト、インスタ
ントメッセンジャー(IM)やミニブログ(Twitter等)、各種の SNS(ソーシャルネットワ
ークサービス)や掲示板サイトを通じてウイルス配布サイトへの誘導(悪意の仕掛
けがある Webサイトへのリンク等)が行われます。また、電子メールの添付ファイル
やファイル交換ソフトを介したダウンロードファイル、Webサイトからのダウンロード
ファイルからウイルスに感染したり、それらのファイルそのものがウイルスであった
りします。
12
図 3 ウイルス付き電子メールからの感染イメージ
図 4 USB メモリ等の外部記憶媒体からの感染イメージ
さらに外部記憶媒体への感染拡大イメージ
電子メールからの感染として、ここ数年問題となっているのが「標的型攻撃」です。
標的型攻撃とは、主に電子メールを用いて特定の組織や個人を狙う手法です。典
型的な例として、メール受信者の仕事に関係しそうな話題等を含む偽の本文や件
名で騙し、添付ファイル(ウイルス)のクリックを促す場合が確認されています。
添付ファイルを実行してしまうと、ウイルスに感染し、パソコン内の情報が漏えい
する可能性があります。
標的型攻撃の詳細および対策については、後述する「№6 標的型攻撃メール対
策等」を参照してください。
さらには、USBメモリ等の外部記憶媒体に仕掛けられたウイルス(マルウェア)
を利用者が自ら実行してしまう問題や、インターネット(ネットワーク)を通じて直接
攻撃されることでウイルスに感染する(インターネットにつないだだけで感染する)
場合もあります。前者は、一般的に利用可能な機能(処理)を悪用されるケースで、
後者はほとんどの場合 OSやパソコンで利用中のアプリケーション(プログラム)の
脆弱性を狙ったものです。
13
ネットワークからの攻撃対策として…
ネットワークからの直接攻撃については、企業などのネットワーク環境ではファ
イアウォール装置(機能)で、個人のパソコンの場合は(ブロードバンド接続であ
れば)ブロードバンドルータを利用することで、ファイアウォールと同等の対策が
行えますし、Windowsパソコンであれば Windows ファイアウォール機能等で予防
対策(常に有効にしておく)を行うことができます。
図 5 ネットワークからの直接攻撃による感染イメージ
ネットワークからの直接攻撃の代表例としては、2003年 8月に発生した
MSBlasterワーム事件や 2004年 5月に発生した Sasserワーム事件が有名です。
どちらも、パソコンをインターネットにつないだだけで、シャットダウンを繰り返すとい
った症状が発生しました。ちなみにシャットダウン自体はワーム*8が自分自身をパ
ソコンに組み込むために起こしたものですが、連続的に感染するため、シャットダウ
ンを繰り返す事象が発生したものです。今となれば少し笑える話です。
「W32/MSBlaster」ワームに関する情報
http://www.ipa.go.jp/security/topics/newvirus/msblaster.html
新種ワーム「W32/Sasser」に関する情報
http://www.ipa.go.jp/security/topics/newvirus/sasser.html
14
ウイルス対策ソフト
こういったさまざまな感染経路から多種多様なウイルスがパソコンに侵入(感染)
するのを予防するためには、やはりウイルス対策ソフトと呼ばれるアプリケーション
の利用が必須となるわけです。
ウイルス対策ソフトは、さまざまなウイルスの
手配書(ウイルス定義ファイル)を持っており、
その手配書によりウイルスを検知・駆除します。
また、最近では不審な動き(挙動)を検知するこ
とでウイルスの動作を抑止する機能(ヒューリ
スティック検知)や、世間の評判情報を利用し
た不審な Webサイトや不審なメールの閲覧を
抑止する機能(レピュテーション技術)等、新し
い検知技術も適用されてきており、パソコンの
安全性向上に寄与しています。
ただし、スケアウェア*3の一種として、自作自演でウイルス騒ぎを起こすような偽
ウイルス(セキュリティ)対策ソフトがありますが、このような偽対策ソフトでは何の
役にも立たないので注意してください。ウイルス対策ソフトは、一般に認知された評
判の良いものを利用しましょう。導入時に不安がある(どのソフトを利用するか判断
基準があいまいな場合)ならば、できるならばパソコン関連の販売店で商品として
販売されているもの(売れ筋)から選ぶことが、ひとつの安全な方法といえます。
また、セキュリティ対策の知識が豊富な専門家の意見を聞くのも良いかもしれま
せん。
参考までに、以下にウイルス(セキュリティ)対策ソフトの情報を掲載しています。
主なワクチンベンダーの Webサイト等一覧
http://www.ipa.go.jp/security/antivirus/vender.html
15
*1) スパイウェア
スパイウェアは、利用者の意図に関わらず勝手にパソコンに入り込み(感染)、パソコン内の情
報や利用者の操作を記録し、必要に応じて外部に送信する行
為を行うウイルスです。利用者の操作を記録するものとしては
キーロガーと呼ばれる利用者のキーボードでの操作を記録す
るツールが有名です。また、インターネット参照の履歴なども
利用者の操作を記録したものとして奪取される場合もありま
す。
もともとは、インターネットを通じたマーケティングのための
情報表示(コマーシャル表示)・収集(利用者の嗜好分析)活動、
いわゆるアドウェアから発生したものと考えられ、その活動が過激になったものがスパイウェアで
あるともいわれています。
*2) 暴露ウイルス
ファイル交換ソフトを介した情報流出を行うウイルス(Antinnyウイルス等)や、利用者のパソコ
ンを勝手にインターネットに向け公開されたWebサイトにしてパソコンの内容をインターネットに晒
してしまうウイルス(山田ウイルス等)を、情報を暴露するものとして暴露ウイルスと呼ぶ場合が
あります。これらも、前述のスパイウェアの一種といえます。
*3) スケアウェア
スケアウェアは、読んで字のごとく脅迫するウイルスです。『あなたのパソコンはウイルスに感
染しています』と偽の情報を表示し(自作自演のウイルス騒ぎ)、偽ウイルス対策ソフトの購入を
促す詐欺を行うものなどがあります。
*4) ランサムウェア
ランサムは身代金のことで、ランサムウェアはパソコン
に格納された特定のファイルやフォルダを勝手に暗号化
などし、『戻すためのパスワードを知りたければ金を出せ』
などと脅迫するものです。たいていの場合は、お金を払っ
ても人質は解放されないようです。リアルな世界の犯罪と
同じようなことが、インターネットを介したネットワーク上の
バーチャルな世界でも発生しているわけです。
16
図 6 ボットネットを介した攻撃のイメージ
*5) ボット
ボットとは、パソコンに感染し、そのパソコンをネットワーク(インター
ネット)を通じて外部から操ることを目的として作成されたプログラムで
す。感染すると、外部からの指示を待ち(指令サーバとの通信を一定
間隔で実施する)、与えられた指示に従って内蔵された処理を実行しま
す。この動作が、ロボットに似ているところから、ボットと呼ばれていま
す。最近流行のスマートフォンに感染するボットウイルスも確認されて
いるので注意が必要です。
内蔵された処理の例
スパムメール送信活動 (多量のスパムメールを送信する)
DoS攻撃*9などの攻撃活動 (特定のサイトへのサービス妨害攻撃を行う)
ネットワーク感染活動 (コンピュータの脆弱性を狙った不正アクセスによる感染活動)
ネットワークスキャン活動 (感染対象や脆弱性を持つコンピュータの情報を集める)
自分自身のバージョンアップや指令サーバの変更
スパイ活動 (感染したコンピュータ内の情報を外部へ送信)
ボットが厄介な点は、ボットに感染したパソコンが多数集まるとそれらが指令サーバを介してネ
ットワーク(ボットネットワーク)を構成することです。これらのボットネットワークは数百から数十万
台のパソコンで構成される場合もあり、それらから一斉にスパムメールが発信されたり、特定の
攻撃先を一斉にDoS攻撃したりする場合があります。ボットネットワークが大きければ大きいほど
攻撃などの効力が増加するので厄介といえるわけです。
17
*6) バックドア
本来禁じられているアクセス(侵入)を可能とするための仕掛け。 一度、侵入したパソコンに再
侵入しやすくするために仕掛けられることがある。
*7) トロイの木馬
ギリシャ神話である「トロイの木馬」の話はご存知でしょうか?相手(利用者)を騙し信用させ贈
り物と称して木馬を場内へ入れさせる。木馬の中には城を内部から攻撃する兵隊を忍ばせておく
話です。トロイの木馬型ウイルスは、この話と同じように、パソコン内に潜伏させ、必要に応じてい
ろいろな悪さを行うウイルスです。一般的にはスパイウェアやスケアウェア、ランサムウェアといっ
た区分けとは違った分類ですが、以下に示すような悪さを行うものです。
バックドアの設置
インターネット(ネットワーク)を介して外部からパソコンを操作させるためのドア(バックド
ア)を作成する。このバックドアを通じて、パソコンの外部から侵入し、いろいろな操作を行う
ことができるようになり、非常に危険な状態といえます。
不正なプログラムのダウンロード
パソコンの利用者が意識することもなく、不正なプログラム等をインターネットからダウン
ロードし実行します。
利用者パソコンの情報収集
いわゆるスパイウェアの行為を行います。
攻撃の踏み台(攻撃の中継等) ボットと同じように攻撃(攻撃の中継)行為を行います。
*8) ワーム
ワームとは、一般的な狭義のウイルスのような他のプログラムやファイルに感染(寄生)するタ
イプではなく、パソコンにインストールされ実行される自己完結型のプログラムで、自分自身の複
製を作成(コピー)することで感染(自己増殖)活動を行います。昔ながらの狭義のウイルスと区
別するために付けられた名前(種類)ですが、単独でパソコン内で破壊活動や感染(自己増殖)活
動などの悪さをするためにうごめく様から、ミミズやウジのようなのでワームと呼ばれています。
実はこのタイプのウイルスが最も簡単に作成できるため、種類や亜種が多く出現しています。
前述のスパイウェアやスケアウェア、さらにはランサムウェアやボットもこのタイプのウイルスとい
えます。昔ながらのウイルスは減っているということになります。
プログラミングができる人であれば誰でも作成できるものですが、普通はパソコン利用者により
起動してもらう必要があるので、利用者にとって有用なプログラムを装って実行させたり、パソコ
ンの脆弱性を利用して実行させたりするものがほとんどです。
*9) DoS攻撃
サービス妨害攻撃(DoS攻撃)には、インターネットプロトコルの特性を悪用して、ネットワークに
接続されたコンピュータに過剰な負荷をかけ、サービスを提供できなくするような攻撃があります。
このような DoS攻撃の攻撃元が複数で、標的とされたコンピュータがひとつであった場合、その
標的とされるコンピュータにかけられる負荷は、より大きなものになります。このような攻撃を
DDoS(Distributed Denial of Service:分散サービス妨害)攻撃と呼びます。
攻撃元は、攻撃者(人間)自身であるとは限らず、むしろ、攻撃者が事前に標的以外の複数サ
イトに攻撃プログラムを仕掛けておき、遠隔から指令を出すことで一斉にDoS攻撃をしかける手
法が広く知られています。
18
ウイルス対策ソフトの有用性は理解できたと思いますが、忘れていけないことが
あります。それは、ウイルス対策ソフトはインストールしただけでは効力を発揮しな
いということです。
一般的にウイルス対策ソフトは、ウイルスを検知するためにはウイルスの手配書
を必要とします。この手配書のことを「ウイルス定義ファイル」(McAfee社、
Symantec社等)とか「パターンファイル」(TrendMicro社等)と呼んでいます。ウイル
ス対策ソフトは、この手配書をもとにウイルスを検知するわけです。したがって、パ
ソコン内のウイルスの手配書が新しくないと、新しいウイルスを検知できないという
ことになります(最新のウイルス対策ソフトでは、ウイルスの手配書がなくても、怪し
げな動きを検知[ヒューリスティックあるいは”ふるまい”検知]する方法や、インター
ネット上の最新の手配書を直接参照する[クラウドサービスを利用する]方法も使わ
れ始めています)。
そのため、手配書は常に新しい状態にしておく必要があります。
この手配書は、ウイルス対策ソフトによりインターネットを介して更新されるもの
ですが、定期的な更新作業あるいは自動的な更新作業が必要となります。
一般的には、自動更新といわれるような自動的に新しい手配書を更新できる設
定にしておくことをお勧めします。
検知・駆除
19
パソコンをインターネットに接続し、ウイルスの手配書を常に最新になるような設定をする
ウイルス対策ソフトは水際でウイルスを発見するので感染を予防できる自動保護(リアルタイム保護)の設定をする
検知したウイルスを残しておく必要はありませんので、「発見したらすぐ駆除する」設定をする(誤検知問題もありますが、セキュリティ初心者はこの
設置が望ましいと考えられます。ある程度知識のある方は、「発見したら隔
離する」の設定のほうが無難かもしれません)
設定方法は、ウイルス対策ソフト毎に違いますが、基本的には自動更新がデフ
ォルト設定となっています。ウイルス対策ソフト毎に、それぞれの操作手引書を参
考にして設定の確認を行ってください。
自動設定になっていないならば、自動設定がお勧めですが、パソコンを常に利
用している(常にインターネットに接続している)のでなければ、安全性を考えるなら、
手動での更新も必要となります。例えば、パソコンを起動した時は必ず手動で手配
書の更新を行うなども有効な方法でしょう。
インストールしたウイルス対策ソフトを有効に利用する(効力を発揮させる)ため
には、
を忘れないでください。
新しくパソコンを購入した際にパソコンにバンドル(付属提供)されたウイルス対
策ソフトの場合、一般的には一定期間有効な試供版となっています。このようなウ
イルス対策ソフトを利用する場合は、試供版として有効な期間を過ぎると、ウイルス
の手配書やウイルス対策ソフトのアップデート等が手に入らなくなります(更新でき
なくなります)。結果、新しいウイルスに対して効果がなくなる危険性があるので注
意が必要です。対応としては、その製品を正規に購入するか、別の製品を購入な
どして利用する必要があります。ご注意ください。
20
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝
手に暗号化するウイルスが増えています。ウイルス対策ソフト
を導入し、ウイルス定義ファイル(パターンファイル)は常に最新
の状態になるようにしましょう。
そこで質問)
パソコンにはウイルス対策ソフトを入れてウイルス定義ファ
イルを自動更新するなどのように、パソコンをウイルスから守
るための対策を行っていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
21
パソコンを起動する場合には、セキュリティ対策としてログイン画面が表示される
ようになっている(古い Windows OSではログインが不要のパソコンもありました)と
思いますが、この画面はセキュリティ上重要な設定です。しかしながら、ログインで
使用する利用者 ID(利用者識別子)やパスワードが他人に知られてしまうと、その
情報(アカウント情報とか利用者情報と呼ばれている)を悪用され『なりすまし』被害
にあう危険性があります。
利用者 IDについては、そのパソコンが複
数の利用者に利用される場合もあるので、
それぞれの利用者を識別できるものを利用
します。まぁこれは利用者を識別するため
のものですから、複雑怪奇な文字列を利用
する必要はありません。
ところが、パスワードに関しては、利用者
が本人であることを証明するものなので、
本人だけが知っているものでなければなり
ません。
なりすまし被害にあわないために、パスワードは他人(あるいは他の利用者)に
安易に推測されない文字列を使用することをお勧めします。
№3 パソコン等のパスワード管理
パスワードは自分の名前、電話番号、誕生
日など推測されやすいものは避けて複数の
ウェブサービスで使い回しをしないなどのよ
うに、強固なパスワードを設定しています
か?
22
安易な(不適切な)パスワードとは、以下に示すようなものです。
パスワードクラッキング(パスワード破り)と呼ばれる攻撃手法では、パスワード
を構成する文字種が少ないもの(例えば数字のみ)や長さ(桁数)の少ないものは、
解析されやすいと言われています。例えば、総当り攻撃*10では、文字の組み合わ
せを端から試す攻撃なので、文字種が少ないものや長さ(桁数)の少ないものは簡
単に破られてしまいます。
単純な計算になりますが、6桁の数字のパスワードを考えて見ましょう。
数字の組み合わせは、000000~999999 となります。したがって、パスワードが破
られる確率は 1/1000000=1/106となります。つまり、最大 100万回パスワードの組
み合わせを試せばパスワードを破ることができるわけです。では、6桁の英数字
(英小文字+数字)の場合はどうでしょう。数字は 0から 9の 10個、英小文字は a
から zまでの 26個ありますから、パスワードが破られる確率は 1/(10+26)6となりま
す。つまり、最大 21億 7678万 2326回パスワードの組み合わせを試せなければパ
スワードを破ることができないわけです。
このようにパスワードの文字種を組み合わせるだけで、格段にパスワードが強
固なものとなり、パスワードクラッキングされにくいことになります。
しかしながら、パスワードが意味不明の複雑なものだと利用者自身が忘れてしま
う危険性もあります。そこで、辞書に載っているような安易な単語を利用したりする
わけですが、総当り攻撃の一種に辞書攻撃と呼ばれる手法があり、これは辞書に
載っているような単語を端から試す攻撃手法です。安易な単語は簡単に破られる
でしょう。さらに、このような攻撃を行う場合は、利用されやすい単語を中心に攻撃
用の辞書が作られる場合があるので注意が必要です。
では、自分や家族の名前やニックネームを利用したりするとどうなるのでしょうか。
このようなパスワードの場合、利用者のことをある程度知っている人であれば簡単
に推測される可能性があります。これではパスワードの意味をなしません。
× 長さが不十分
× 辞書に載っている単語の利用 (“password”等)
× ID と同じ
× 自分・家族の情報
× 固有名詞 (“dragon”等)
× 単純な数字の並び (“123456…“等)
× 単純な文字の並び
(キーボードの文字の並びを利用したもの “zxcvbnm“等)
× 過去に使用したパスワードの再利用 等
23
そこで、適切なパスワードとして以下に示すようなものを利用してください。
適切なパスワードを設定しても、長い間同じパスワードを利用していたり、いろい
ろな場面で同じパスワードを流用していたりすると、そのパスワードがいつの間に
か誰かの知るところになる危険性があります。例えば、間違って誰かに教えてしま
ったとか、パスワードを書いておいた紙をなくしてしまったとか…
そこで、パスワード盗難対策として以下に示すようなことが必要です。
定期的なパスワードの変更については、利用者次第ですが、一般的には 3 ヶ月
から 6 ヶ月位が適当と思われます。
パスワードを忘れてしまったときのために、パスワードを紙に書き留める場合が
あるでしょうが、この紙はパスワードを忘れてしまったときのみ必要なものですから、
しっかりと安全な場所で管理する必要があります。例えば、金庫の中とか…
間違っても、パソコンのディスプレイに貼り付けておくような行為は慎んでくださ
い。
これでは、「どうぞ使ってください」といっているようですね…
○ 大文字・小文字・数字・記号の組み合わせ
○ 長いパスワード(推奨は8桁以上)
○ 推測しづらく自分が忘れないパスワード 等
◎ 必要に応じて変更
◎ 紙に書き留めて放置しない
◎ マシンに保存しない
◎ 人に教えない 等
24
大事な
情報
パソコンの中にパスワードを保存する場合もあるでしょうが、これも危険な行為で
す。例えば、情報を盗み出すコンピュータウイルス(スパイウェアなど)に感染した
場合は、パスワードが盗み出される危険性があります。
まぁ、この場合はパスワード以外の情報も盗まれることになるでしょうけど…コン
ピュータウイルスに感染しないにしても、パソコン上のファイルが誰かに読まれる可
能性もあるので、安全性を考えるなら、パソコン上に保存しないことが良いと考えて
ください。
さらに、当然のことですが、人には教えないが鉄則です。
なりすまし被害の怖いところ…
パソコン上やネットワーク上の各種の記録(ロ
グ)には、利用者の行った処理の記録が残りま
すが、なりすましの場合は本人がそれらの処理
を行ったように記録されるので、場合によっては、
悪意のある行為の利用者として告発される可能
性もあります。
25
ここまで、パソコン等のログインで使用するパスワードを中心に話をしてきました
が、もう一つのパスワードの話もしておきます。それは、インターネットを介して利用
するウェブサービスで使用するパスワードです。
ちょっと考えてみてください。パソコン等のログインで使用するパスワードと、ウェ
ブサービスで利用するパスワードは何が違うのか…
一般的には、パソコン等のパスワードは、パソコン自身
(あるいはネットワーク管理されているならネットワークの管
理サーバ)に記録されており、その値と利用者の入力した値
が比較されて利用者認証(本人であるかどうか確認)されま
す。まぁ、単純な形式で記録されているわけではないので、
パソコンの中を探してもなかなか見つかりませんが…
一方、インターネットを介して利用するウェブサービス
で使用するパスワードはどこに記録されているのでしょう
か。それは、サービス提供者側のサーバ等に記録され
ています。その値と利用者の入力した値が比較され利
用者認証されるわけです。
別の見方をすれば、パソコン等のログインに利用する
パスワードの管理者はパソコンの利用者本人(あるいは
ネットワーク管理者)であり、インターネットを介して利用
するウェブサービスに利用するパスワードの管理者はサ
ービス提供者ということになります。当然のことですが、
複数のウェブサービスを利用しているならば、管理者はサービスの数だけ複数いる
ということになります。
この見方からすれば、こんな話が考えられます。
パソコン等のログインに利用するパスワードは自分で管理しているのだから、自
分が漏らさなければ、簡単に推測されない限り安全…
だけど、インターネットを介して利用するウェブサービスに利用するパスワードは
自分以外のサービス提供者が管理しているから、ひょっとしたら何らかの理由でど
こかのサービスから漏れるかも知れない…そういった話もよく聞くし…
さて、この話から考えればインターネットを介して利用するウェブサービス利用す
るパスワードについては、もうすこし対策が必要になってきます。
その対策とは…
26
ということになります。
ここで、少し補足しておきます(蛇足かもしれませんが…)。
ウェブサービス提供者へのお願い
ウェブサービスの提供者にいつもお願いすることですが、利用者の個人情報が
漏れない対策はきちんとしてほしいわけですが、特にパスワード等のデータ保存に
ついては、そのままの形(平文)で保存せず、ハッシュ関数*11等を利用してそのま
までは悪用できない形(ハッシュ値)で保存してほしいということです。
ウェブサービスで情報漏えい事故を起こしたニュースをみると、時々ですが、利
用者のパスワードが平文のまま流出したとか、危殆化が議論されている(ある程度
力任せに逆推できる)古いハッシュ関数(値)を利用しているものが見受けられます。
このようなばあいは、パスワード流出により利用者へ被害が広がる危険性を秘め
ていることになります。利用者には見抜けませんが…
さらに、ウェブサービスの利用ということで注意すべき点があるので補足しておき
ます。
業務に関係のないウェブサービスやアプリケーションの利用について
本来、業務に関係ないウェブサービスやアプリケーションの利用は NGですが、
業務用のパソコン等でそういったものを利用する人が見受けられます。これらのウ
ェブサービスやアプリケーションを介して、企業・組織の重要な情報が漏えいする
危険性もあるので業務での利用は控えましょう。
しかしながら、それらのウェブサービスやアプリケーションが業務を遂行するため
に有益であるならば、企業・組織の管理者に使用許諾(管理者は利用方法やセキ
ュリティ対策を考慮し、安全性を確認する必要があります)を取って利用することを
お勧めします。自分勝手な業務利用(シャドーIT*12)はもっての外です。
当然、こういった許諾を取る過程において、ウェブサービスやアプリケーションの
利用方法や利用(者)認証の方法について、管理者との間でルールを明確にする
ことが重要です。このルールの中でも、認証のためのパスワードの扱いが大事で
あるということになります。間違っても安易なパスワードの設定は止めましょう。
◎ 漏れたパスワードが悪用されても他のサービスが成りすまされないよう
に、複数のサービスで使い回しはしない
◎ いつ漏れるかわからないので自己防衛として、定期的な変更
27
*10) 総当り攻撃
総当り攻撃とは、文字列や単語を総当りに試す攻撃です。一般にこういった攻撃手法をブルー
トフォース攻撃(アタック)と呼びます。ブルートフォースとは「力ずく」とか「強引に」という意味で、
ブルートフォース攻撃は力ずくの攻撃ということになります。単純に文字列を端から試したり、辞
書にある単語を端から試したりする攻撃で、攻撃を行うコンピュータの性能次第では非常に厄介
な攻撃といえます。単純な文字の組み合わせによるパスワードや、辞書に載っているような単語
をパスワードとして利用することは危険とされていますが、パスワードによく使われる単語もある
ようで、それらの単語を登録した攻撃専用の辞書もあるようです。ちなみに、よく使われる単純な
パスワードは”123456”のようです。
*11) ハッシュ関数 (hush function)
与えられた原文から固定長の疑似乱数を生成する演算手法。「ハッシュ値」と呼ばれる。「要約
関数」「メッセージダイジェスト」とも呼ばれる。通信回線を通じてデータを送受信する際に、経路の
両端でデータのハッシュ値を求めて両者を比較すれば、データが通信途中で改ざんされていない
か調べることができる。ハッシュ値から原文を再現することはできず、また同じハッシュ値を持つ異
なるデータを作成することは極めて困難である。通信の暗号化の補助や、ユーザー認証やデジタ
ル署名などに応用されている。
*12) シャドーIT
シャドーIT とは、「IT部門の許可を得ずに、従業員又は部門が業務に利用しているデバイスや
クラウドサービス」(平成 28年度 春期 プロジェクトマネージャ試験 午後Ⅱ 問題より)のことであ
る。こういった環境の利用は、企業・組織の管理部門で管理しきれないため、企業・組織としての
重要情報が漏えいしたり、企業・組織への攻撃の踏み台になったりする危険性が管理外で存在
することになる。
28
パスワードが推測されたり、ひとつのウェブサービスから流出
したID・パスワードが悪用されることで、不正にログインされる
被害が増えています。パスワードは「長く」「複雑に」「使い回さ
ない」ように強化しましょう。
そこで質問)
パスワードは自分の名前、電話番号、誕生日など推測されや
すいものは避けて複数のウェブサービスで使い回しをしないな
どのように、強固なパスワードを設定していますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
29
最近、(ローカル)ネットワークを介して接続された機器が、インターネットから丸見
えとなっているような状況が問題となっています。IPAではこのような問題に関して
注意喚起する目的で以下に示す資料を公開しています。
IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報
公開とその対策」 https://www.ipa.go.jp/security/technicalwatch/20160531.html
ネットワークに接続する様々な機器において、接続設定等の見直しが必要です。
これらの機器から、インターネットを介して情報漏えいを起こしたり、接続機器の不
正利用が行われ、場合によってはサイバー攻撃の踏
み台となってしまったりすることがあります。正しい設定
を行うためには、機器の機能をよく理解し、必要な利用
者のみが使える状態にすることが重要です。
このような話は、業務を行う上で利用するファイル等
を共有するために利用するファイルサーバあるいは
NAS(Network Attached Storage)と
呼ばれるストレージでも同様です。
例えば、大きなファイルを外部の人に提供する方法としてオ
ンラインストレージを使う場合は、相手に与えるアクセス権が第
三者に渡ったり不正に使われたりしないようにしましょう。その
他にも、業務で使用するクラウドサービス等を事務所以外の自
宅等で使用できるようにするとセキュリティリスクが上がります。
そこで、事務所のみで使うようなアクセス制御も必要かもしれま
せん。
№4 重要情報へのアクセス(権)管理
ネットワーク接続の複合機やハードディスク
の共有設定を必要な人だけに限定するなど
のように、重要情報に対する適切なアクセ
ス制限を行っていますか?
30
企業・組織の中で扱う重要な情報は、事前に適切なセキュリティランクの格付け
が必要です。例えば「社外秘」といったような格付けが行われるならば、これらの情
報にアクセスできる利用者も制限する必要があります。つまり、この情報を利用で
きるのは誰か設定するということです。それがアクセス権の設定ということになりま
す。
クラウドサービスを利用する上では、利用者の認証などの設定を適切に行う必
要があります。また、ストレージ上のアクセス権の設定では、ストレージ単位、フォ
ルダ単位、ファイル単位といったきめ細かい設定もできるので、それぞれの設定方
法について接続機器の利用マニュアル等を参考にアクセス(権)管理を実施するこ
とをお勧めします。
前述のIPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情
報公開とその対策」の中には、インターネット上に配置された監視カメラが不正に
利用(例えば覗き見)されたりするケースが記載されていますが、ネットワークを介し
て利用する機器の問題は、今後の IoT(Internet of Things)のセキュリティの話も含
めて大きな問題となっていくでしょう。このあたりの問題も理解しておくことが重要と
なります。
データ保管のためのファイルサーバやオンラインストレージ、
ネットワーク接続の複合機等の設定を間違ったため無関係な人
に情報を覗き見られるトラブルが増えています。サーバやネット
ワーク接続機器は必要な人にのみ共有されるよう設定しましょ
う。
そこで質問)
ネットワーク接続の複合機やハードディスクの共有設定を必
要な人だけに限定するなどのように、重要情報に対する適切
なアクセス制限を行っていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
31
最近のサイバー攻撃(犯罪)は多様化してきています。企
業・組織の活動を阻害するような多くの攻撃や攻撃の踏み
台(例えばハードウェアやソフトウェアの脆弱性)となるような
事象も多いようです。こういった問題に関する情報(注意喚
起等)を常に確認できるような仕組みが必要です。世の中で、
今どんな問題が発生しているのかも含めて、企業・組織活
動に必要な情報を収集し、企業・組織内で共有する仕組み
作りをお勧めします。
例えば、
● システム管理者(情報収集担当者)によるメールや掲示板での情報発信
● 定期的な脅威情報に関する勉強会・集めた情報の発表会
などが考えられます。
情報を収集するネタ元としては、
● OSやソフトウェア(アプリケーション)メーカーや各種
ウェブサービス提供者の発信する注意喚起等の発
信情報
● ウェブニュース等を介したセキュリティ関連情報
● IPAを含むセキュリティ関連組織の注意喚起や最
新脅威情報等の発信情報
などが挙げられますが、それ以外にも有償サービスとし
ての情報提供サービスもあるので、そういったものを利用するのもよいでしょう。
№5 脅威情報等の情報共有
利用中のウェブサービスや製品メーカーが
発信するセキュリティ注意喚起を確認して社
内共有するなどのように、新たな脅威や手
口を知り対策を社内共有する仕組みはでき
ていますか?
32
脅威や手口を知ることがセキュリティ対策の第一歩です。知りえた情報は(当然
真偽を確認した後)企業・組織内で共有できるようにしましょう。
例えば、こんな情報も…
IPA 安心相談窓口だより https://www.ipa.go.jp/security/anshin/mgdayoriindex.html
『安心相談窓口だより』では、IPAの情報セキュリティ安心相談窓口に寄せられる
相談内容などをもとに、情報セキュリティに関するさまざまテーマをピックアップして
紹介していきます。被害防止に向けた自己学習や普及啓発のための資料などとし
て活用してください。
情報セキュリティ・ポータルサイト ここからセキュリティ! https://www.ipa.go.jp/security/kokokara/
公的機関・民間団体・企業のセキュリティ情報を集めました!
ここから始めよう!
探しているセキュリティ情報がすぐ見つかる!
「対策」も「教育」も「診断」も全部ここから。
★ IPAではいろいろな情報提供やコンテンツの配布を行っています。
33
取引先や関係者を偽ってウイルス付のメールを送ってきた
り、正規のウェブサイトに似せた偽サイトへ誘導してID・パスワ
ードを盗もうとする巧妙な手口が増えています。脅威や攻撃の
手口を知って対策を取りましょう。
そこで質問)
利用中のウェブサービスや製品メーカーが発信するセキュリ
ティ注意喚起を確認して社内共有するなどのように、新たな脅
威や手口を知り対策を社内共有する仕組みはできています
か?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
34
Part2. 従業員としての対策
№6 標的型攻撃メール対策等
№7 電子メールの誤送信防止
№8 電子メールでの重要情報漏えい対策
№9 無線 LANのセキュリティ対策
№10 インターネットを介したトラブル防止
№11 重要情報のバックアップ等の保全対策
№12 重要情報の事務所等での管理
№13 重要情報の持ち出し等の管理
№14 パソコン等の第三者利用制限
№15 事務所等への不正侵入対策
№16 事務所等での重要機器の管理
№17 事務所等での入退出管理
№18 不要になった重要情報の廃棄管理
35
企業・組織を狙ったサイバー攻撃のひとつとして、標的型攻撃メールが増加して
います。№5にも記載したように、最近のサイバー攻撃は巧妙になってきており、何
とかして利用者に電子メールに添付されたファイルを開かせたり、本文中のリンク
を参照させたりしようとします。このような添付ファイルやリンクを開いてしまったた
めに、利用者のパソコンがウイルスに感染し、さらに利用者が利用するネットワー
ク上の他のパソコンやサーバにもウイルスが拡散していく場合があります。結果的
に、企業・組織内の重要な情報が盗み出されたり、企業・組織内の機器や機能が、
関係企業・組織へのサイバー攻撃の踏み台にされたりする場合もあります。
例えば、こんなイメージです。
№6 標的型攻撃メール対策等
受信したメールの添付ファイルを安易に開
いたり本文中のリンクを安易に参照したりし
ないようにするなど、電子メールを介したウ
イルス感染に気をつけていますか?
36
メールの差出人や本文などに違和感があったら、あるいは不必要に添付ファイ
ルや本文中のリンクを開くように要求されたら注意が必要ですが、最近ではビジネ
スメールに見せかけた攻撃メール(BEC:Business Email Compromise ビジネスメ
ール詐欺)もあるようで、違和感のないメールでも危険な場合があるようです。当然
のことですが、ウイルスに感染しないためには、パソコンの脆弱性対策やウイルス
対策ソフトの利用も必須ですが、添付ファイルに関しては、そのファイルの属性(プ
ロパティ)あるいはファイル拡張子にも注意が必要です。
標的型攻撃でよく利用される添付ファイルは、それらのファイルを開くためのアプ
リケーションの脆弱性を悪用するものだけでなく、実行するだけで感染(正確には感
染ではなく乗っ取りです)する実行型式ファイル(いわゆるアプリケーションファイル)
が多く見受けられます。また、最近では Microsoft Officeのドキュメントファイルに
悪意のあるマクロ(命令)機能を組み込んだもので攻撃したり、ショートカットファイル
やブラウザで開かせるイメージファイルに悪意のあるスクリプト(命令)を組み込んだ
もので攻撃したりするものもあるようです。
まとめると…
アプリケーションの脆弱性を悪用するファイル(例えば PDF ファイルを開く
Adobe Reader といったアプリケーションの脆弱性を悪用し、悪意のある細工
を施した PDF ファイルを開かせることで感染する)
実行するだけでパソコンに感染する実行形式ファイル
悪意のあるマクロ機能を組み込んだ Microsoft Officeのドキュメントファイル
悪意のあるスクリプト(命令)を組み込んだショートカットファイル(拡張子は.lnk)
や、拡張子が.jsや.jse等のファイルも悪意の Java Scriptが記述されている
場合があります
基本的な対策として…
OSやアプリケーションの脆弱性を解消する
OSやアプリケーションの自動更新設定を有効にしておく
自動設定がない場合は、脆弱性が見つかっているか、OSやアプリケーシ
ョンの開発元の情報を定期的に参照し、必要なら更新を行い脆弱性を解
消する
セキュリティ対策ソフトを利用する
既知の不正プログラムは対策ソフトが駆除してくれる(見つけてくれる)
各種のセキュリティの対策を利用者に代わって実施してくれる
37
出所不明なファイルやプログラムは開かない(実行しない)
信頼できる相手やウェブサイト(アプリケーション配布サイト等)以外からフ
ァイルやプログラムをダウンロード(インストール)しない
必要ならば、インターネット上の評価・評判を検索し問題がおきて
いないか確認してから利用する(システム管理者への申請も必要)
業務に関係ないファイルやプログラムはインストール(実行)しない
具体的な対策として…
(1) 脆弱性の解消 (「№1 パソコン等の脆弱性対策」を再度確認してください)
添付ファイルを開く前に、そのファイルを開くためのアプリケーションが最新か(脆弱性が見つかっていないか)確認する
使用する度は面倒ですが、毎朝一番に確認でもOK
アプリケーションそのものでなくても、世の中の脆弱性情報の確認でも
OK
(2) マクロの制限
Microsoft Office(2010以降)の場合は、各アプリケーションのオプションの
セキュリティセンターを確認する
出所不明あるいは疑いのあるファイルの場合は、マクロ機能を
制限(デフォルト値)しておきましょう
どうしても開く必要のある場合は、送信元に確認しましょう
(3) 添付ファイルの確認
一般的には実行形式ファイルが直接添付される場合は、ファイル拡張子が変更されているので、そのまま実行されることはないと考えてよいが要
注意…メール本文中に「拡張子を変えて開いて」なんて指示があったりし
ます…ご注意ください
実行形式ファイルやショートカットファイルは圧縮ファイルとして添付される場合が多いので、圧縮ファイルを展開した後で注意する
そこで、不必要な(自分の知らない)拡張子のファイルは、自分の判断だけでは開
かないで、システム管理者等に相談することをお勧めします。
当然のことですが、万が一開いてしまってから気が付いたなら、システム管理者
へ必ず報告し指示を仰ぎましょう。迅速な対応は被害を最小限にします。
38
具体的な対策等について詳しい話は、以下の資料を参考にしてください。
標的型攻撃メール<危険回避>対策のしおり
(対策のしおりシリーズ) http://www.ipa.go.jp/security/antivirus/shiori.html
貴方が企業・組織の脆弱性(セキュリティ上の弱点)と
ならないように、日々の対策を実施しましょう。貴方がウ
イルスに感染すると、そこを突破口として企業・組織全体
へウイルスのセキュリティの脅威が広がります。企業・組
織が定めたセキュリティポリシーに即した、セキュリティ対
策手順に従い、突破口とならないようにしてください。
IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」 https://www.ipa.go.jp/security/technicalwatch/20150109.html
標的型攻撃メールには、受信者が不審をいだかないように、高度な騙しのテ
クニックが用いられます。そのため、本書の例に類似した本物のメールやその
逆に本書の例に類似しない巧妙な標的型攻撃メールも存在することを理解し
た上で参考にしていただきたい。
同じような感染経路(メールや Web経由)や感染手口を持つその他の危険度の
高いウイルスに関する情報として…
ランサムウェア
ランサムは身代金のことで、ランサム
ウェアはパソコンに格納された特定のフ
ァイルやフォルダを勝手に暗号化などし、
『戻すためのパスワードを知りたければ
金を出せ』などと脅迫します。たいてい
の場合は、お金を払っても人質は解放
されません。
ランサムウェアに感染した場合あるいは事前の策は…
コンピュータ内のファイルが不正操作された場合、業務が遂行できなくなる可
能性がありますが、身代金を払うくらいなら…常日頃のファイルのバックアッ
プが重要となります(「№11 重要情報のバックアップ等の保全対策」も参照し
39
てください)。重要なファイルはウイルスの手の届かない安全な場所にバック
アップしておきましょう
ただし、リストアできないバックアップは意味がありませんので要注意!!
セキュリティ対策ソフトで駆除できないならコンピュータのクリーンインストー
ルが必須です
自分自身で何とかしようなんて思わないで…慌てず、騒がず…被害を最小
限に抑えるために…システム管理者へ必ず報告し指示を仰ぎましょう
電子メールに添付されたファイルを開いたり、電子メール本
文中に記載された URL リンクをクリックしたりすることでウイル
ス感染する事故が続いています。身に覚えのない電子メールの
添付ファイルや URL リンクへのアクセスに気を付けましょう。
そこで質問)
受信した不審なメールの添付ファイルを安易に開いたり本文
中のリンクを安易に参照したりしないようにするなど、電子メー
ルを介したウイルス感染に気をつけていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
40
電子メールや FAXの宛先間違いによる情報漏えい事故が多発しています。間違
って電子メールや FAXを受け取った方が良い人であれば、事後の問題の発生はな
いかもしれませんが、電子メールや FAXに記録された個人情報などの本人にとっ
ては、あまり呑気なことはいってられません。やはり、これも情報漏えい事故となり
ます。
普段から、そういったうっかりミス的な事態を起こしやすいと考えるならば、電子
メールや FAXの宛先間違いを起こさないための工夫が必要でしょう。
基本的な対策は以下の通りです。
電子メールの場合
送信前に宛先を再確認
いわゆる目視確認となり
ますが、送信ボタンを押す
前に再度宛先とメールの内
容の整合性を確認すること
が大切です。
ひとつの操作例ですが、宛先の設定をメール作成の最後に行うとメール
の内容と宛先との整合性を確認しやすくなります。
メールの返信を利用する場合も注意が必要です。返信する相手とメール
の内容の整合性は正しいのか確認する必要があります。例えば、メーリング
リストが返信アドレスになっていると、メーリングリストに登録されたすべての
人にメールの内容が返信(送信)されることになります。特定の送信者のみ
に返信する場合は、自ら宛先の再設定が必要でしょう。
№7 電子メールの誤送信防止 電子メールを送る前に、目視にて送信先ア
ドレスの確認をするなどのように、宛先の送信
ミスを防ぐ仕組みを徹底していますか?
41
送信前に宛先(あるいはメールの内容)が確認できるような設定にする
電子メールの送受信を行うアプリケーション(メーラー)で、送信前に宛先
等が再度確認できる設定を行うことで、宛先とメールの内容との整合性を再
確認することができます。例えば、
Microsoft社のOutlook Express ならオプションの送信設定で即時送
信を抑止することで、メール作成画面での送信ボタンでは送信フォル
ダに格納されるだけで、Outlook Express本体の送受信ボタンを押した
ときに送信されるようになります。メールの内容を再確認できるチャン
スが増えるわけです
Mozilla社のThunderbirdの場合は、本体機能(設定)に即時送信を抑
止するものがないので、送信前に内容の確認を促すアドオンを利用す
ることで、送信時に毎回宛先を再確認することができます。ただし、ア
ドオンの利用は自己責任でお願いします
詳細については以下に示す資料を参考にしてください。
電子メールソフトのセキュリティ設定について (JPCERT/CC)
https://www.jpcert.or.jp/magazine/security/mail/index.html
FAXの場合
送信前に宛先を再確認
いわゆる目視確認となりますが、送信ボ
タンを押す前に再度宛先と送信内容の整
合性を確認することが大切です。一人で
は不安というのであれば、二人以上で宛
先(FAX番号)を確認するのも良いかもし
れません。事実そういった FAX送信ルー
ルを実施している企業(組織)もあるようで
す。
FAXでの送信で注意が必要な問題とし
て、宛先の FAX番号が FAX機に登録され
ている場合です。その登録内容が間違っ
ていれば、そのまま誤送信となります。宛先の FAX番号が変更になった時と
か、FAX機のリプレース時などは特に注意が必要でしょう。
指さし確認
42
FAXなどはいつも安易に利用していると慣れによるうっかりミスが発生す
る場合があるようです。安易な操作が情報漏えいにつながることを意識し、
操作することをお勧めします。
メールアドレスの漏えい事故
メールアドレスが漏えいしたと伝えるニュース記事が最近多いと感じられません
か?個人情報保護法の施行以降、こういった事故もセキュリティ関連の情報漏え
い事故として扱われるようになってきました。
例えば、こんな感じで報道(ニュースタイトルの一部を伏字にしてあります)されて
います。
誤送信防止システムの設定ミスでメールアドレスが流出 - ○○市
キャンペーンメールを誤送信 - 外国人向け○○サービス会社
情報提供メールの誤送信でメアド流出 - ○○県
再就職訓練事業の委託先でメール誤送信が発生 - ○○
業務メール誤送信で関係者のメアド流出 - ○○機構
イベント来場者への礼状メールを誤送信 - ○○
メール誤送信で直行バス申込者のメアド流出 - ○○
これらの報道は、ある一時期(約1ヶ月間)にインターネット上のニュース記事とし
て報道されたものですが、ニュース記事になっていない事故も多数存在すると考え
られます。
これらのセキュリティ事故のほとんどが、メール送信の際に宛先の設定場所を間
違ったために発生したものです。
43
電子メールの用語:BCC(ブラインド・カーボン・コピー)
お互いを知らない複数の宛先にメールを送る場合に使用するもので、宛先
毎のメールには、それぞれの宛先情報(メールアドレス)が表示されません
宛先(TO)や CC(カーボン・コピー)を使うと、指定された宛先情報がすべて
のメールに表示されます
例えば、Microsoft社の
Outlook の場合は、オプシ
ョンの BCC設定で BCCが
利用可能になります(デフォ
ルト設定では BCCが表示さ
れていないので使えませ
ん)。
他のメーラーについては、
各メーラーのベンダー情報
を参照してください。
前述のニュース報道における事故は、本来 BCCに設定すべきであった複数のメ
ールアドレスを、宛先(To)や CCに指定した(設定場所を間違った)ために発生した
ものです。
BCCを知らなかったのであれば「いかんともしがたい」ですが(電子メールの利用
に関する従業員教育が必要です)、うっかりミスによって間違えたのであれば、厄
介な話です。安易な操作が情報漏えいにつながることを意識し、操作することをお
勧めします。
ちなみに、インターネット検索で『BCC とは』で検索すると、BCCに纏わるいろい
ろな情報を参照することができます。
“BCC”って用語、ご存知ですか?
44
電子メールや FAXの送り先を間違えて、全く知らない他人
に情報が漏えいしてしまう事例が多数発生しています。電子メ
ールや FAXは送り先を十分確認するようにしましょう。また、
電子メールアドレスを誤って他人に伝えてしまうことも情報漏
えいになります。電子メールを複数の人に送信する際には、送
り先の指定方法を十分に確認するようにしましょう。
そこで質問)
電子メールを送る前に、目視にて送信先アドレスの確認をす
るなどのように、宛先の送信ミスを防ぐ仕組みを徹底していま
すか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
45
電子メールを介した情報漏えい事故が多発していることは、すでにご承知とは思
いますが、電子メール上の情報が他人に読み取られない工夫(保護の工夫)をする
ことで、事故による被害を小さくすることができます。
例えば、こんな工夫があります。
電子メールの本文を暗号化して送受信する方法
公開鍵*13方式
メールの宛先(受信者)が暗号化のための公開鍵を公開している場合
は、その公開鍵を利用してメールを暗号化します。公開鍵を公開してい
る側にある秘密鍵(公開鍵とペアのもの)がないと暗号化メールは復号
できません。つまり、受信者以外はメールの内容を見ることができないわ
けです。一般的には、PGP機能として無償で提供されるソフトウェアを利
用しますが、この方式を利用したメール暗号化ソフトも製品としてありま
す。鍵管理が伴うので、あまり一般利用されていませんが、確実な方法
であることは間違いありません。
専用の環境や鍵管理などの、ある程度の習熟が必要となり、利用者
にとってはハードルが高いと考えられます。
№8電子メールでの重要情報漏えい対策 重要情報をメールで送る時は重要情報を添
付ファイルに書いてパスワード保護するなどの
ように、重要情報の保護をしていますか?
電子メールを保護する理由
間違った相手に届いても安心・・・ 通信経路で盗聴されても安全・・・
46
共通鍵*13(パスワード)方式
電子メールの送信側と受信側が、暗号化のための同じ鍵(パスワー
ド)を持っていれば、そのパスワードを利用して暗号化したメールをやり
取りできます。一般的には暗号化の際に自動的に共通鍵とパスワード
生成する方式のメール暗号化ソフトも市販されていますので、こういった
ものを利用することもできます。専用ソフト等の導入コストを気にしない
のであれば、利用者にとっては比較的ハードルは低いと考えられます。
*13) 公開鍵と共通鍵
公開鍵は暗号化のための鍵となるもので、ペアとして生成された秘密鍵とセットで利用されま
す。公開鍵で暗号化したものはペアとなる秘密鍵でしか復号できません。同じような鍵として共通
鍵がありますが、これはペアの鍵がなく同じ鍵で暗号化も復号もできるものです。
電子メールの添付ファイルを暗号化して送受信する方法
重要な情報はドキュメント(ファイル)化し、そのファイルをパスワード保護
(暗号化)した状態で電子メールに添付する方法です。一般的なドキュメント作
成ツールやファイル圧縮・解凍ツールでパスワード保護できるので、利用者に
とっては比較的ハードルは低いと考えられます。
実際の使い方等は後述します。
電子メール本文や添付ファイルを専用サーバに格納し、宛先には一時的な
アクセス権(専用サーバの URL とアクセス用の利用者 ID とパスワード)を渡す
方法
電子メール本文や添付ファイルを、電子メールを管理(送信)するメールサ
ーバ上で分離し、専用の情報配信サーバに格納します。電子メールの宛先に
は、この情報配信サーバ上の該当情報(ファイル)の一時的なアクセス権(情
報配信サーバの URLとアクセス用の利用者 IDとパスワード)を渡し、これを受
信した利用者は、そのアクセス権により必要な情報を情報配信サーバから取
り出すことができます。
この方式の利点は、間違った宛先に情報を送信してしまった場合に、情報
配信サーバを操作することで、電子メールを受け取った人が情報にアクセスで
きないように制御できる点です。さらに、情報が宛先に伝わったかどうかもサー
バの履歴を参照することで確認できます。
しかし、動作環境を作成するにはそれなりのコストがかかるので、利用者に
とって少しハードルが高いと考えられます。
このように、電子メールをセキュアな状態で利用する方法はいろいろありますが、
ここではもっとも簡単でお手軽な方法(添付ファイルを暗号化する方法)について説
明します。
47
電子メールの添付ファイルを暗号化して送受信する方法
暗号化というキーワードで利用者が二の足を踏むかもしれませんが、以外と簡
単な操作で実現できるので、この方法を利用することをお勧めします。
電子メールで送受信する重要な情報を電子メールの本文に書くのではなく、ドキ
ュメントファイルとして作成します。この作成の際に、ドキュメントファイルがパスワ
ードを入れないと読み取りできないように設定(暗号化)することで、ドキュメントの
安全性を確保します。後は、このファイルを電子メールに添付して送受信すればよ
いわけです。
さて、ドキュメントファイルの暗号化(パスワード保護)の方法ですが、暗号化のた
めの専用ツールも市販されていますが、一般的なドキュメント作成ツール
(Microsoft社のOffice系アプリケーション等)やファイルの圧縮・解凍ツールの暗号
化機能を利用すれば、簡単に実施することができます。実際の操作方法は後述し
ます。
ここで、気をつけなければいけない重要な問題を示します。
どう考えても説明は不要ですね…それでもうっかり書いてしまうミスを犯す人がい
るようです。ご注意ください。
こういったパスワードを宛先に伝える方法もいろいろありますが、例えば以下に
示すような方法があります。
パスワードは直接本人に電話等で伝える
暗号化した添付ファイルの送受信を行う前に、
送信者・受信者間であらかじめパスワードを取り
決めておく
別の通信手段でタイミングをずらして連絡する
(宛先を間違えないように注意が必要です)
暗号化に使用したパスワード(復号のためのパスワード)を、暗号化
したドキュメントを添付した電子メールの本文に書いてはいけません!!
48
こういった操作を自動的に実施してくれるメールサーバ(機能)もあるようです。こ
ういった環境を構築するには、サーバ等の専用環境が必要なので、それなりのコス
トがかかります。環境構築および運用に必要なコストを受け入れられるのであれば、
電子メールの送受信を行う利用者のうっかりミスを防げるという理由から、導入を
検討する価値はあるでしょう。
Microsoft Word 2010 文書の暗号化
Word 2010の場合は、この手順で文書ファイルをパスワード保護(暗号化)するこ
とができます。
1
2
3
4
5:パスワード設定
49
さらに、Word 2013の場合は、次の手順で文書ファイルをパスワード保護(暗号
化)することができます。いずれにしても、基本的な操作は同じなのでお試しくださ
い。
Microsoft Word 2013 文書の暗号化
1
2
3
4:パスワード設定
50
重要情報をメールで送る場合は、電子メールの本文ん書き
込まず、文書ファイルなどに記載してパスワードで保護した後、
メールに添付します。パスワードはその電子メールには書き込
まず、電話等の別の手段で通知することが必要です。
そこで質問)
重要情報をメールで送る時は重要情報を添付ファイルに書
いてパスワード保護するなどのように、重要情報の保護をして
いますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
51
企業・組織の業務環境において、パソコンを使うためのネットワーク環境を構築
する場合、昔ながらの LANケーブルを事務所内に張り巡らすような有線ネットワー
ク(有線 LAN)ではなく、無線ネットワーク(無線 LAN)が増加傾向にあるようです。そ
の背景は、コスト面や性能問題(低価格・高性能)だけでなく、見た目の美しさや取
り回しが楽であるといった部分もあるようです。
しかしながら、こういった環境の場合、安全性の問題は忘れてはなりません。有
線であれば問題が発生しなかった環境でも、無線にしたとたん厄介なセキュリティ
問題が発生します。それが、盗聴と不正使用の問題です。
無線による通信の場合、電波が届く範囲であれば誰でもその通信に接続できる
可能性があります。
№9 無線 LANのセキュリティ対策
無線 LANを利用する時は強固な暗号化を
必ず利用するなどのように、無線 LANを安
全に使うための対策をしていますか?
52
一般的には、無線 LANの通信機器の設定が緩いと、だれでもその通信機器に接
続できてしまいます。さらに、無線 LANで通信に利用される電波を、通信を傍受で
きる専用機器等で傍受するか、あるいは同じ無線 LAN機器に接続したパソコンを
使って、他の利用者の通信を傍受することができたりします。この場合、通信が平
文で行われているなら情報はダダ漏れということになります。
そこで、重要になってくるのが通信を暗号化することです。自分たちの業務環境
において無線 LANを設置するのであれば、通信機器が利用できる最強の暗号化
設定をお勧めします。
具体的な対策等について詳しい話は、以下の資料を参考にしてください。
(対策のしおりシリーズ) http://www.ipa.go.jp/security/antivirus/shiori.html
無線 LAN<危険回避>対策のしおり
無線 LANを利用する際に、セキュリティ設定をきちん
と行わないと、他人に悪用されて勝手に利用されたり、
なりすまし行為が行われたり、同じネットワーク上にあ
る情報が抜き取られたりする危険性があります。本冊
子では知っておくべきセキュリティ上の脅威と対策をわ
かりやすく紹介します。
暗号化による <情報漏えい>対策のしおり
大切な情報が漏えいすることを防止する有効な手段
の一つに暗号化があります。本冊子では暗号化が行
われる背景、様々な場面で使われる暗号化のしくみと
注意事項についてわかりやすく紹介します。
さて、自分たちの業務環境での無線 LANの話をしましたが、続きがあります。
53
便利な無線 LANの環境に慣れてしますと、企業・組織の外でも同じようにパソ
コン等の通信機器が業務に使えないかと思うようになり
ます。実際に、企業・組織が用意したモバイル機器や、
利用者自身が BYOD として業務に利用する通信機器を、
外部の Wi-Fiスポット(無線 LAN環境)経由で利用する
場合が多くなってきます。こういった環境では、利用者
自身が意識してセキュリティ対策を確認あるいは実施
する必要があります。詳細は、前述の資料にも記載して
いますが、ポイントだけ以下に示しておきます。
《外部の Wi-Fiスポットでのセキュリティ対策のポイント》
自分たちで管理していない街中のWi-Fiスポットを利用する場合は、そこが公
の場であることを認識し、重要な情報の送受信は控えましょう
公の場で秘密の相談はしませんよね…
そもそも、その Wi-Fiスポットは情報を盗みだすための悪意のあるスポッ
トかもしれませんし、通信キャリアから有償で提供される Wi-Fiスポットを
騙る偽 Wi-Fiスポット(利用者 ID とパスワードを盗まれる可能性がありま
す)かもしれません…
必要ならば、自分たちで用意したプライベートネットワーク(VPN)等を利用し、
無線 LANに依存しない強固な暗号化通信を利用しましょう
Wi-Fiスポットに設定された暗号化通信は、あくまで皆さんの通信機器と
Wi-Fiスポットのアクセスポイントとの間の通信が暗号化されるだけです。
この暗号化は、利用者を特定するためだけのものと考えた方が無難です
から…
もしも利用中の通信機器(パソコン等)でフォルダやファイルのネットワーク共
有の設定をしている場合は、街中の Wi-Fiスポットやビジネスホテルでの
Wi-Fiスポット(有線LANでも同じですが)では、共有設定を解除しておきましょ
う(知らない人に情報が共有される危険性があります)
54
適切なセキュリティ設定がされていない無線 LANは、通信内
容を読み取られたり、不正に接続されて犯罪行為に悪用され
たりする被害を受ける可能性があります。無線 LANの盗聴対
策や無断使用を防止するようにセキュリティ設定をしましょう。
そこで質問)
無線LANを利用する時は強固な暗号化を必ず利用するなど
のように、無線 LANを安全に使うための対策をしています
か?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
55
業務を遂行する上で、インターネットの利用はかかせない状況になってきていま
す。世の中にはいろいろな情報を提供したり、サービスとして便利な機能を提供し
たり、ネットで買い物ができるようなサービスもあったり…業務だけでなく個人的な
利用でも便利になってきています。
ところで、そういったウェブサイトの中には、悪意を持って利用者のパソコンにウ
イルスを感染させたり、パソコンそのものを乗っ取ったり、パソコン上の個人が管理
する情報を盗み出したりする仕掛けが施されたものもあります。
このようなサイトを業務端末からアクセスできないような制御(特定の条件に引っ
かかるウェブサイトは参照を禁止する[ウェブフィルタリング]等)をすることが必要に
なってきています。当然、業務に支障をきたすような制限は避けなければならない
ので、企業・組織の中でルール作りが必要になるわけです。
インターネットを介したトラブルということでは、
業務端末でウェブサイトを閲覧する場合に不必
要に情報を書き込まないようすることが重要です。
また、業務端末で個人的な SNSなどを利用する
のは避けましょう。不必要な書き込みから情報が
漏えいする危険性があります。それでも SNSを
利用する必要があるならば、不必要な情報の書
き込みには気をつけましょう。
情報入力が可能なウェブサイトやSNS(ソーシャルネットワークサービス)、各種の
掲示板やブログサイトを利用する際には、それらのサイトやサービスの安全性につ
いてセキュリティ意識を持って対応することをお勧めします。
№10 インターネットを介したトラブル防止
業務端末でウェブサイトの閲覧や SNSへの
書き込みに関するルールを決めておくなど
のように、インターネットを介したトラブルへ
の対策をしていますか?
56
こういった話について…
例えば、新入社員が業務を遂行するにあたって、自分がどんな仕事に就いたか
を友人に報告するために、その業務内容を個人のブログに掲載してしまうようなこ
とがないように、企業・組織においては、業務端末によるウェブサイトの閲覧やSNS
への書き込みに関する明確なルールを作って周知徹底することが重要です。
当然のことですが、個人端末で個人用の SNS等への書き込みについても、守秘
義務が適用されることを明確にしておく必要もあります(「№19 守秘義務等の従業
員への徹底」を確認してください)し、利用者が不適切な書き込みをした結果、いわ
ゆるお祭り騒ぎ(炎上)になり、閲覧者に本人特定された場合は、とばっちりのような
ことで、利用者の勤務する企業・組織まで風評被害が及ぶこともあります。
このあたりも踏まえたルール作りが必要になるでしょう。
悪意のあるウェブサイトやセキュリティ上の問題があるウェブ
サイトを閲覧することでウイルス感染することがあります。ま
た、SNSや掲示板へ悪ふざけた投稿や秘密情報の意図せぬ掲
載で会社に被害を及ぼすことがあります。業務でのインターネ
ットの使用を制限する仕組みやルールにより、被害を防止する
ことが必要です。
そこで質問)
業務端末でウェブサイトの閲覧や SNSへの書き込みに関す
るルールを決めておくなどのように、インターネットを介したト
ラブルへの対策をしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
57
企業(組織)内のIT化が進み、いろいろな情報が電子データとなってきています。
これらの電子データの中には、企業(組織)活動にとって重要なものもあるでしょう。
この電子データの入ったパソコンや記憶媒体(装置)が何らかの理由で使えなくな
ったら、どうしますか?
企業(組織)内にあるパソコンや記憶媒体は、絶対に壊れないと考えている方も
多いことでしょう。確かになかなか壊れません。でも、コンピュータウイルスに感染し
たり、机の上から床に落下させたり、ノートパソコンの前で飲んでいた飲み物をパソ
コンにかけてしまったり、耐用年数を過ぎてしまったハードディスク装置が異音をた
てて止まってしまったとか、いろいろな原因で壊れることがあるわけです。
もっと厄介なのは、利用者が誤って消してしまったとか、別のデータで上書きして
しまったとか、うっかりミスや誤操作によって業務に必要なデータを消失させる可能
性です。
№11 重要情報のバックアップ等の保全対策 重要情報のバックアップを定期的に行うなど
のように、故障や誤操作などに備えて重要情
報が消失しないような対策をしていますか?
58
バックアップは最後の砦
「情報セキュリティ対策とは、情報資産を保護することである」と「はじめに」にも
書きましたが、『バックアップは最後の砦』と言える重要な対策です。つまり、何らか
の事故が起きたときの復旧の手段が、そのバックアップによって得られるわけです
から…事故そのものを防ぐことができなくても、バックアップを利用することで、事業
を継続することができるので、情報資産を保護したことにつながるわけです。
この情報セキュリティ対策にとって重要なバックアップも、その運用方法や管理
方法によっては使いものにならない場合があります。使えないバックアップは意味
がありません。
そこで、バックアップにまつわる注意事項を以下にまとめます。
バックアップの注意事項
定期的なバックアップが必要
日々更新される情報に関しては、定期的なバックアップが必要です。毎日更
新される情報を 1年に 1回しかバックアップを取らないのであれば、最悪 1年前
の情報しか復元できないわけですから、これでは業務が継続できません。そこで、
情報の更新頻度にあわせた定期的なバックアップが必要となるわけです。
この頻度については、業務の仕方・内容に合わせることになりますが、バック
アップの方法についても情報の大きさ・構造によってさまざまな方法があります。
情報をそのまますべてバックアップする方法や、更新した差分をバックアップす
る方法、更新の度に更新情報をバックアップする方法などがあります。この方法
も、業務の仕方・内容あるいはバックアップを行うための環境(記憶媒体の種類
や大きさ、保存場所等)に合わせることになります。
さらには、日々の更新が間違ってしまった場合に備えるのであれば、バックア
ップの世代管理 [一定回数のバックアップを世代として管理する方法で、最新
のバックアップだけでなくひとつ前(あるいはもっと前)のバックアップから戻すこ
とができるようにすることです] が必要になる場合もあります。例えば、「昨日更
定期的なバックアップ
戻せる(リストア)ことができることを確認
バックアップ(外部記憶)媒体は安全に管理し、バックアップ媒体からの情報漏えい(紛失・盗難)を防ぐ
不要になったら確実に消去
59
一昨日のバックアップ 昨日のバックアップ 今日のバックアップ
トラブルのタイミング
適切なリストア
図 7 世代管理のイメージ
新を間違えたが、昨日のバックアップは更新後に行ったものである。」といった場
合、一昨日のバックアップがあれば、昨日の更新をなかったものにできるわけで
す。少しセキュリティの話よりは業務の運用の話よりになりますが、こういった世
代管理されたバックアップも有効なので、バックアップのひとつの方法として検討
してみてください。
戻せる(リストア)ことができることを確認
せっかくバックアップを取っていても、なんらかの事故の後で、そのバックアッ
プからリストア(復元)できなければ、バックアップそのものが意味のないものにな
ってしまいます。そのため、定期的にバックアップした情報が戻せる(リストア)こ
とを確認しておく必要があります。ただし、くれぐれもリストア確認時に、本来の
情報を破壊しないように注意してください。
バックアップ(外部記憶)媒体は安全に管理し、バックアップ媒体からの情報漏
えい(紛失・盗難)を防ぐ
戻せることが重要なことは説明しましたが、戻せなくなる要因としては、バック
アップ媒体(バックアップを格納したもの)が何らかの理由でなくなってしまったと
か壊れてしまったと言うことも考えられます。これでは、やはり戻せなくなるので
意味がありません。そこで、重要なのは、バックアップ媒体は安全に管理されな
ければなりません。
60
まして、そのバックアップ媒体が情報漏えいや流出の原因となっては厄介な
ので、元の情報と同じレベルのセキュアな管理が必要になります。だからと言っ
て、元の情報が格納された環境と同じ環境(例えば、同じハードディスク上の別
のフォルダ、同じロッカーの中等)でバックアップを管理するのは意味がありませ
ん。同じ環境は、同じタイミングで壊れる、あるいは盗難にあう可能性があるから
です。シンプルな考え方としては、例えばバックアップをCDやDVDで取るならば、
それらのCDやDVDは、安全な別の部屋の鍵のかかるロッカーで保存・管理しま
しょうと言った具合です。
不要になったら確実に消去
バックアップはいつか不要になります。ある程度の世代管理を行う必要がある
場合もありますが、リストアしても意味のないくらい古い情報は廃棄の対象とな
るでしょう。その際は、「№4 廃棄について」でも説明したような安全な廃棄の方
法を実施してください。この廃棄すべきバックアップから情報漏えいを引き起こす
と厄介な話となります。
(参考:マイクロソフト)
一般的なデータのバックアップ方法と注意点
http://support.microsoft.com/kb/418385/ja
61
故障や誤操作、ウイルス感染などにより、パソコンの中に保
存したデータが、消えてしまうことがあります。このような不測
の事態に備えて、バックアップを取得しておきましょう。
そこで質問)
重要情報のバックアップを定期的に行うなどのように、故障
や誤操作などに備えて重要情報が消失しないような対策をし
ていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
バック アップ
62
情報漏えい事故を引き起こす原因の多くは、紛失・置忘れ、誤操作あるいは管
理ミスによるとされています(図 8)。この管理ミスとは、会社内で情報を管理するた
めのセキュリティ対策が定められているにもかかわらず、それらのルールを守らな
かったり、知らなかったりするために発生するもの(管理できなかったもの)と考えら
れます。さらに、誤操作はうっかりミスを含むもの、例えば封書や FAX、電子メール
の誤送信等が挙げられます。また、どんな情報媒体で情報漏えい事故が発生して
いるかというと、やはり紙媒体が多いようです(図 9)。紙媒体は、USB等の可搬記
録媒体や PC本体が情報漏えい事故の原因であった場合に比べて、漏えいする情
報の量は少ないのは確かですが、些細なミスにより事故が発生する場合が多いよ
うです。中でもインターネット経由の漏えいということで、インターネットへの不用意
な書き込みなどが挙げられます。
例えば、事務所の中の自分の机の上に放
置されたドキュメント類、これは大切な情報
(漏れてはいけない情報)ではないのでしょう
か?放置された情報は、誰かに持ち去られ
たり、盗み見されたりする危険性があります。
ちょっと席を外す場合も、退社時も同じです。
重要情報は机の上に放置せず鍵付き書庫に
保管するなどのように、重要情報がみだりに
扱われないようにしましょう。
№12 重要情報の事務所等での管理
重要情報を机の上に放置せず書庫に保管
し施錠するなどのように、重要情報の紛失
や漏えいを防止する対策をしていますか?
63
図 9 漏えい媒体・経路別の漏えい件数
図 8 原因別の漏えい件数
64
補足というわけではありませんが…
ここでは、紙媒体のドキュメントの話をしましたが、机の上に放置してはいけない
ものはまだまだあります。たとえば、顧客の連絡先がいっぱい詰まった携帯電話や
スマートフォン、簡単に持ち運びのできるノートブック・タブレットタイプのパソコン、
情報の格納された CDや DVDあるいは USB メモリ等の電子媒体も危険です。
こういった電子機器もセキュリティ対策の対象となります。つまり、セキュリティ対
策の対象は重要情報のデータだけはでなく、それらが格納された機器(媒体)も含ま
れるわけです。セキュリティ対策の界隈では、これらを合わせて情報資産と呼んで
います。
つまり、「守るべきは情報資産」ということになります。
机の上に放置した情報は、誰かに持ち去られたり、盗み見ら
れたりする危険にさらされています。関係者以外が見たり、触
れたりすることができないように、重要情報は放置せず、管理
する必要があります。保管場所を定め、作業に必要な場合のみ
持ち出し、終了後に戻すことを励行するようにしましょう。
そこで質問)
重要情報を机の上に放置せず書庫に保管し施錠するなどの
ように、重要情報の紛失や漏えいを防止する対策をしています
か?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
65
会社内からの安易な情報の持ち出しは、情報漏えい事故を引き起こす大きな要
因となります。それらの情報を社外でウッカリ置忘れ(紛失)したり、盗難にあったり
すると、それは情報漏えい事故になります。
営業活動等の社外業務で必要な情報を持ち出す際は、それらの情報が紛失・盗
難にあっても、情報漏えいに繋がらないようにするには、情報そのものが他人には
触(さわ)れない、開けない、読めない状態にしておく必要があります。
紙媒体(書類等)であれば、社外では必要もなく鞄から出さない、ファイルバイン
ダーやクリアファイル/ホルダー等にきちんと綴じておく、さらに鞄は体から離さない
(電車やバスで空いている席や網棚に放置しない)、鞄に鍵をかける、さらに(笑え
るかもしれませんが)鞄を持っているときは居眠りしないなどのような盗難・紛失対
策が必要です。
№13 重要情報の持ちだし等の管理
重要情報を社外へ持ち出す時はパスワード
保護や暗号化して肌身離さないなどのよう
に、盗難・紛失対策をしていますか?
66
暗号化
鈴
大きなタグ
USB可搬記憶媒体等の電子記憶媒体であれば、データの暗号化(パスワードに
よるロック)、媒体をなくさないための工夫(大きなタグを付ける、ストラップを付け体
から離さない、落としてもすぐに分かるように鈴を付ける)などのような盗難・紛失対
策さらには、紙媒体と同じように、それらを入れた鞄の扱いに注意する必要があり
ます(例えば、飲み会には持っていかないほうが無難です)。
パソコン(ノートブックPC、タブレットPC、スマートフォン等のモバイル機器)に情
報を格納した状態で持ち出す場合は、それらの情報が漏えいしないために、パソコ
ンを推測されにくいパスワードで保護(ログインパスワードの設定や BIOSパスワー
ドロック*14)したり、格納された
情報や内蔵された HDD(ハード
ディスクドライブ)を丸ごと暗号化
したりすることで、他人にパソコ
ンの中身が開けない(見えない)
ようにする必要があります。
*14) BIOSパスワードロック
パソコンを起動する際にパスワードによるロックをかけるもので、マザーボート単位にロックさ
れます。パソコンそのものを勝手に使わせないという意味では意味がありますが、このロックを掛
けていても内蔵 HDDはロックされないので、内蔵 HDDを直接取り出された場合は、その内容を
外部から参照することができます。安全性を考えるなら、HDD丸ごとの暗号化をするほうが無難
です。
67
ところで、情報の持ち出しに関しては、『そもそも持ち出していいの?』が基本で
す。安易な持ち出しを防止するためには、情報の持ち出しを管理する必要がありま
す。例えば、「情報を持ち出す際は、上長の許可が必要である」とか、「持ち出す情
報の記録をきちんととる」などのような、持ち出し管理が重要です。
ここで、持ち出し情報の記録をとることのもう一つの利点を紹介します。
万が一、持ち出した情報を紛失した場合、どんな情報がなくなったのかすぐに明
確にすることができるので、事故後の対応が早くできます。まぁ、事故を起こさない
のが原則ですが…
最近では、携帯電話やスマートフォンを業務に利用する場合が多いようですが、
携帯電話やスマートフォンの中にも重要な(他人に漏れてはいけない)情報が入っ
ているでしょう。そこで、携帯電話やスマートフォンは暗証番号やジェスチャーによ
るロックあるいは生体認証によるセキュリティロックをお勧めします。
しかし、このセキュリティロックは結構面倒なものです。その面倒が嫌な人には、
キャリア等が用意するリモートロックサービスの存在を覚えておいてください。これ
は、携帯電話やスマートフォンをなくした、あるいは盗まれた際に、リモート(携帯電
話から離れたところ)からセキュリティロックをかけることのできるサービスです。
68
重要情報を社外に持ち出す場合、思わぬ盗難にあったり、う
っかり紛失したりすることがあります。ノートパソコンやスマート
フォンの利用にあたってパスワードの入力を求めるように設定
したり、データファイルを暗号化するなどの対策を事前に行う
ことで、盗難・紛失の際に情報を簡単に見ることができないよ
うにしましょう。
そこで質問)
重要情報を社外へ持ち出す時はパスワード保護や暗号化し
て肌身離さないなどのように、盗難・紛失対策をしています
か?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
69
事務所内や業務作業場所でのパソコンの利用を行う場合、常にパソコンの前で
仕事をしているわけではないと思われます。昼休みやちょっとした休憩時間など、
パソコンの前から離れるタイミングがあるでしょう。このとき、パソコンがログインさ
れ、そのまま利用可能な状態であれば、パソコン内のありとあらゆる情報が誰にで
も見えたり、取り出すことができたりする状態にあるといえます。
誰にでも即座に利用できる状態のパソコンを放置することは、セキュリティ上とて
も危険な状態といえます。みんなで使う環境もありだけど・・・関係ない人が勝手に
使えるのはどうでしょう?
パソコンも書類と同じです。開いている画面が
重要情報である場合もあるわけで、誰にでも操
作できる状態で放置すれば、情報漏えい(盗み
見や盗難など)や、不正な操作(悪意のあるプロ
グラムのインストールや実行など)が行われる危
険性があります。
こんな場合は、
『離席時はパソコンに鍵(コンピュータロック)を掛ける』 が重要です。
お使いのパソコンがMicrosoft社のWindows OSの場合は、コンピュータロックは
簡単に行うことができます。
№14 パソコン等の第三者利用制限
離席時にコンピュータのロック機能を利用す
るなどのように、他人に使われないようにし
ていますか?
70
コンピュータのロック機能の活用(Windows 8.1 の場合)
「Ctrl + Alt + Delete」で、「(コンピュータの)ロック」
もしくは
「Windows キー + L 」で即座にロック
『パソコンから離れるときは、他人がパソコンを使うことを防ぐため、コンピュータ
をロックする』これも重要なセキュリティ対策です。
自分のパソコンが勝手に他の人に使われないようにするための処置となります。
同僚を疑うつもりはないでしょうが、放置すれば情報漏えいを引き起こす可能性
もあります。さらに、不特定多数の人が出入りする事務所等ではなおさら必須の対
策となることは言うまでもありません。
パスワードロック付きのスクリーンセーバーの利用もありますが、出来る限り利
用者が意識的にコンピュータロックを使用したほうが良いでしょう。忘れっぽい人の
ためには、パスワードロック付きのスクリーンセーバーとの併用が望ましいです。
パスワード付きのスクリーンセーバーは、デスクトッップでマウスの右ボタンクリッ
ク→個人設定→スクリーン セーバー→「スクリーン セーバーの設定画面」で設定
できます( 再開時にログオン画面に戻る(R))。
こういった操作を普段から実施させることで、セキュリティ意識を高めることもでき
ます。
71
また、離席時ということでは、業務が終了して退社する時なども同じ状況となりま
すが、この際はコンピュータロックよりもパソコンのシャットダウンのほうが無難で
す。
昼間なら…
コンピュータロック
夜間なら…
シャットダウン(電源を切る)
72
パソコンを使用した作業の途中でそのまま席を離れたり、パ
スワードなしでログインできるパソコンなど、誰でも操作できる
状態のパソコンは、不正に使用される可能性があります。不正
使用からパソコンを守るための対策を行いましょう。
そこで質問)
離席時にコンピュータのロック機能を利用するなどのように、
他人に使われないようにしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
73
参考までに…
携帯電話やスマートフォンもパ
ソコンと同じように利用していな
いときにはセキュリティロックを掛
けておくことをお勧めします。これ
らの端末を業務で利用している
のであれば、業務関連の重要な
情報が格納されている場合もあ
るでしょう。当然のことながら、業
務関係先の電話番号やメールア
ドレスを含む顧客情報も登録され
ているかもしれません。しっかりと認証機能で保護することが大切です。
「№13 重要情報の持ちだし等の管理」でも記載したとおり、認証機能の設定とし
ては、携帯電話の場合は、暗証番号によるロックが有効です。スマートフォンの場
合は、いろいろな認証の方法があります(機種毎のマニュアルを参照してください)
が、一般的には画面を最初に開く(フリックする)際に、パスワード等による本人認
証が行えるように設定しておくことをお勧めします。
携帯電話やモバイル端末のリモートからのセキュリティロックを掛けるサービスを
提供しているキャリアやプロバイダーもあります。こういったサービスを利用するこ
とで、モバイル系の端末を紛失あるいは盗難にあった際に対処するのも、情報流
出を防ぐひとつの方法といえます。ネットワーク接続を行っているキャリアやプロバ
イダーの情報を参考にしてください。
74
事務所そのもののセキュリティの話です。
誰でも気安く入ってこられる事務所は良いですか?
でも、大事な情報が盗まれる危険まで犯す価値があ
るのでしょうか?
事務所の中に見知らぬ人がいることは、セキュリティ
上問題があることを、事務所で業務を行う人は、当たり
前のこととして認識していなければなりません。事務所
の中を整理整頓していても、大事な情報がそこに存在
することは確かです。これらの情報が、見ず知らずの人
に勝手に盗み見されたり、持ち出されたりすることはあってはなりません。
事務所を訪問された方が誰なのかを明確にすること
は、業務上でも必要なことです。訪問記録に記入しても
らう、名刺をいただく、あるいは声を掛けることによって、
その誰かによって行われるかも知れない不正な行為を
抑止することができるかもしれませ
ん。
また、事務所への訪問者を一
人事務所に残すことは、面識があ
るなしに関わらず情報漏えいや盗
難の危険があります。このような
場合は、訪問者にも一度事務所
から退室いただく必要がありま
す。
№15 事務所等への不正侵入対策
事務所で見知らぬ人を見かけたら声をかけ
るなどのように、無許可の人の立ち入りがな
いようにしていますか?
75
さらに、忘れてはいけないこととして、
事務所の清掃やメンテナンスを外部業
者に依頼する場合も同じです。それらの
作業者のみが事務所内に残る状況を
作り出すことは危険です。
こういった作業には、事務所内の従
業員が立ち会うのが妥当でしょう。
事務所に入ってきてもあまり違和感のない人たちは…
清掃の作業者さん
空調などのメンテナンス作業者さん
宅配便やバイク便等の輸送会社の作業者さん
保険等の外交員さん
消防点検の作業者さん
など
でも、見慣れた人あるいは違和感のない人にも注意が必要です。
関係者以外の事務所への立ち入りを制限しなければ、情報
を盗み取られる危険性があります。特にサーバや書庫・金庫な
ど、重要な情報の保管場所の近くには無許可の人が近づけな
いようにしましょう。
そこで質問)
事務所で見知らぬ人を見かけたら声をかけるなどのように、
無許可の人の立ち入りがないようにしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
76
「従業員がすべて帰った事務所は施錠する」が当たり前ですが、事務所の中の
机の上に、安易に持ち出せるような備品やノートパソコンを放置しておくことは、と
ても危険です。万が一、事務所の施錠を忘れてしまい、事務所荒らしに遭えば、机
の上等に放置された、こういったものが盗み出されるのは当然のことです。
特に、機動性(持ち運びやすさ)を重視したノートパソコンは、盗まれやすいだけ
でなく、格納された大事な情報が流出する危険性も持っています。
これは夜に限った話ではありません。昼間、ちょ
っと事務所を空けたすきに、ノートパソコンが盗難に
遭う話は良く聞きます。席を外す度に、ノートパソコ
ンを机の中やロッカーにしまうのは厄介です。そこ
で重宝するのが、ワイヤーロックです。
事務所内で使うノートパソコンは、ワイヤーロック
で机などに縛り付けておくことで、盗難防止となりま
す。
しかし、夜間は別です。夜間に事務所に侵入する
ような泥棒の場合、ワイヤーロック程度の仕掛けを壊すのは、人
目さえなければ簡単なことです。いわゆる
ワイヤーカッター等で簡単に切断すること
ができるからです。そこで重要なのが、従
業員が退社した夜間などは、こういった備
品やノートパソコンを(鍵の掛る)机の引き
出しや(鍵の掛る)ロッカーに片付ける(直
接目に触れないようにする)ことで、盗難
防止となるわけです。
№16 事務所等での重要機器の管理
退社時に机の上のノートパソコンや備品を
引き出しに片付けて施錠するなどのよう
に、盗難防止対策をしていますか?
77
ノートパソコンやタブレット端末、USB メモリなどは気軽に持
ち運べる便利さがある反面、盗難の危険性も高くなっていま
す。利用しない場合は、施錠可能な引き出し等に保管するなど
の対策を講じましょう。
そこで質問)
退社時に机の上のノートパソコンや備品を引き出しに片付け
て施錠するなどのように、盗難防止対策をしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
78
「従業員がすべて帰った事務所は施錠する」が当たり前ですが、誰が鍵を掛ける
のか決まっていない場合は厄介です。事務所の施錠忘れにより、事務所荒らしに
遭うこともあるからです。
では、鍵の掛け忘れを防ぐ方法はないのでし
ょうか?
一つの回答が、事務所の退出記録を実施する
ことです。事務所の最終退出者が、退出する際
の記録を残すことで、事務所を空ける場合の手
続きを明確にすれば、その記録する行為(行動)
から、施錠し忘れを防止することができるでしょ
う。
では、退出時の記録とはどんなものがあるでし
ょうか?
例えば…
日付
退出時間と退出者名
机の上に大事な書類は・・・チェック
パソコン(モニターも)の電源チェック
コピー機やシュレッダーの電源チェック
消灯チェック
施錠チェック
№17 事務所等での入退出管理
最終退出者は事務所を施錠し退出の記録
(日時、退出者)を残すなどのように、事務
所の施錠を管理していますか?
79
こういった記録をとることで、しなければいけないことを理解し、実施することがで
きるようになります。
鍵のかかっていない事務所は…
鍵のかかっていない金庫です
最終退出者と退出時間の記録を残すことは、最終退出者に
よる施錠の責任意識を向上することにも役立ちます。施錠と
記録の管理をしましょう。
そこで質問)
最終退出者は事務所を施錠し退出の記録(日時、退出者)を
残すなどのように、事務所の施錠を管理していますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
80
重要書類はシュレッダーで細断!!
溶解・焼却処分をするなら処分業者ときちんと契約!!
廃棄書類は手が離れるまで管理、放置は厳禁!!
できれば鍵の掛かるロッカーへ・・・
一般のゴミ収集は、どうなるか分からない!!
持ち出した書類やデータが一番危ない!!安易に廃棄しない!!
重要な情報が記載された書類(CDなどに格納された電子書類も含む)を廃棄処
分にする際どのようなことに気をつけていますか?「№1 保管について」でも紹介し
たように、情報漏えい事故での漏えい媒
体・経路では紙媒体がトップです。安易な
廃棄を行ったがために、重要な情報が漏
えいすることは、うっかりミスでは済まされ
ないことです。
あなたは、重要な情報が記載された書
類を、机の横の(一般ゴミ用の)ゴミ箱に
捨てていませんか?
重要情報が記載された書類をゴミ箱に
そのまま捨てると、関係者以外の目に触れてしまい、重大な漏えい事故を引き起こ
すことがあります。重要情報を破棄する場合は、シュレッダーを利用するなど、情報
が漏れない対策が必要です。
そこで、廃棄についての注意事項 その1
№18 不要になった重要情報の廃棄管理
重要情報を廃棄する場合は、書類は細断し
たり、データは消去ツールを使ったりするな
どのように、重要情報が読めなくなるよう
な処分をしていますか?
81
最近では、CDや DVD、FD(フロッピーディスク)や MO(光磁気ディスク)、さらに
は SD(メモリーカード)やUSBメモリまで直接細断できるメディア専用のシュレッダ
ー(メディア・シュレッダー)も登場しています。
ところで、重要情報は書類だけではありません。重要情報が格納された、今まで
業務に利用していたパソコンや外付けHDD(ハードディスク装置)、各種の外部記
憶媒体(CD/DVD/FD/MO/SD/USB メモリ/磁気テープ等)も、不要になって廃棄す
る際には、格納(記録)されたデータ(情報)をきちんと消去しておく必要がありま
す。
細断することで、これら
の媒体の安易な廃棄によ
り発生する情報漏えいを、
未然に防止することがで
きます!!
82
消えないファイル?
通常、これらの電子機器等を使用する際は、ファイルの削
除機能を利用することが多かったと思います。例えば、パソ
コンのハードディスク上の不要になったファイルを削除する
場合は、パソコンのOS(オペレーティングシステム)に用意さ
れたファイル削除(機能)を実施していたはずです。
しかしながら、この機能は見ため上でファイルを削除(ファ
イルが何処に記録されていたかの情報のみ消去)する機能
で、(パソコン上の機能では使えない状態ですが、)物理的に
はファイル内のデータはそのままの形で残っている場合がほ
とんどです(ゴミ箱の話ではありませんので注意してくださ
い)。これは、記憶媒体の寿命を延ばしたり、削除機能の効
率や見ため上の処理速度を高めたりするために、このような
仕様になっています(通常の使用環境では特に問題は発生
しません)。
こういった、見た目上削除されたファイルは、専用のファイ
ル復元ソフトを利用すると、ファイルの記録位置が他のファイ
ルによって使われない(上書き利用されない)限り、元の形で
復元することができます。つまり、見た目上は存在しないファ
イルが、ファイル復元ソフトを利用(一般的には特殊な操作です)することで、復活し
てしまう場合があるということです。
結果、廃棄されたパソコンのハードディスクドライブ(HDD)や、フロッピーデスク
(FD)や光磁気ディスク(MO)、フラッシュメモリ(不揮発性半導体メモリ)などから消
したはずのファイル(データ)が流出(漏えい)する危険性があるわけです。
特に、USB メモリやメモリカードに代表されるフラッシュメモリは、容量の割に価
格が安くなっているため、多くの方が利用していますが、安易な利用・操作がアダと
なる危険性を多く含んでいることを忘れてはなりません。
蛇足ですが…
【フラッシュメモリの危険性】
機動性、格納性に優れたフラッシュメモリは、それらの貸し借りが行われた時点
で、大きな危険性を含んでいます。
友人・知人さらには業務上での同僚や顧客間で、USB メモリを貸し借りすること
があると思いますが、これは大変危険な行為です。USB メモリを貸す際に、記録さ
れたデータをファイルの削除機能等で削除して貸し借りをしたとしても、借りた人に
悪意があれば、記録されたファイル(データ)を復元されてしまう危険性があるわけ
です(一般的なフォーマットでは解消されない問題:前述のファイルの削除機能と同
じ問題で、特にフラッシュメモリでは寿命問題[後述]があるので深刻です)。
83
例えば、デジタルカメラのメモリカードを貸し借りした場合、過去に記録されてい
た(他人には見せたくない)写真が、借りた人に勝手
に復元されて、インターネット上に暴露されたら…
よくある芸能人の流出画像などはこういったものか
ら流出したものと考えられます…とても厄介な問題
へ発展することになります。
また、業務活動で顧客にデータを受け渡しする
際に、他の顧客との情報交換に利用されたことの
ある USB メモリ等を利用した場合、最悪の場合は
以前の顧客との交換情報が他の顧客に漏れてし
まう危険性があります。
この問題を解決する方法は二つ、一つ目は USB メモリの貸し借りはしない方法、
二つ目はデータの自動暗号化のできる暗号化 USB メモリを利用
することです。暗号化されたファイル(データ)は、暗号キー(鍵)を
変更することで、ファイル復元ソフトでもファイルを復元できな
くすることができます(逆に言うと復元したくてもできません)。
そういった意味では、業務で使用するなら自動暗号化機能の
ついた暗号化 USB メモリを使うことをお奨めします。ただし、
正しい管理と運用が必要なので注意してください。
フラッシュメモリの寿命問題
フラッシュメモリは不揮発性半導体メモリと呼ばれ、内部は無数のスイッチの塊
です。このスイッチが ON/OFFの状態で情報が記録されますが、このスイッチは開
け閉めによる回数の寿命があります。そのため、フラッシュメモリではこのスイッチ
がなるべく開閉されないようにデータを記録する構造になっており、同じスイッチを
連続して使わないなど、記録場所が上書きされる確率が低い記録媒体と言えます。
結果、ファイルの復元可能性が高い記憶媒体となっています。
本題に戻ります。
84
FDは分解して中身をはさみで切る!!
CD/DVD は傷をつけて読めなくする!!
USBメモリ等のフラッシュメモリ、パソコン用のHDDもファイルの削除では不十分!! 消去ソフトを使うか、壊して捨てる!!
専門業者に頼むのもあり!!
FAX やコピー機も要注意!! 捨てる時は専門業者に・・・
デジタルカメラ、携帯電話も要注意!!
パソコンや CD・USBメモリなどの記憶媒体に保存された情報は、「ファイル削除」
などの操作をしても、復元ツール等を用いて情報を取り出すことが可能です。重要
情報の入ったパソコンや記憶媒体を廃棄する場合は、消去ソフトウェアを利用する
など、情報を確実に消去する措置が必要です。
そこで、廃棄についての注意事項 その2
今ではあまり使われなくなったフロッピーディスク(FD)ですが、情報が漏れない
ように確実に廃棄するには、中身の記録媒体部分を読めないようにする必要があ
ります。FD のシャッター部分を開けて、記録媒体に傷をつけるか、外装を分解して、
記録媒体部分をハサミで切るのが無難です。
CDや DVDに関しては、割ってしまうのが基本ですが、媒体を構成する反射層と
呼ばれる薄い層が割るときに散らばってしまうので止めたほうがいいという意見も
あります。そこで、メディアシュレッダー等で細断(破砕)する方法がお勧めとなりま
す。もっと手頃な方法としては、読み取りができないように媒体に傷をつける方法も
ありますが、注意が必要なのは、どちらの面を傷つけるかです。よく誤解されるの
ですが、キラキラしている面に傷をつける人がいますが、これは間違いです、この
面は分厚いコーティングが施してありますから、付けられた傷を専用の装置で研磨
することで、読み取りが可能となります。したがって、傷を付けるのは、一般にレー
ベル面と呼ばれるレーベルが書かれている面となります。このレーベルの裏側に
記録媒体があるので、基礎の素材が出るほどの傷(反対が透けるほどの傷)をつ
けることで、読み取りができなくなります。レーベル面が保護されている場合には傷
がつきにくい場合もありますが、その場合は別の手段(切れ味の良いハサミで切る
等)で読めなくしてください。
こちらの面に
傷をつける
85
USB メモリ等のフラッシュメモリやパソコン用の HDD(ハードディスクドライブ)は、
ファイルの削除機能では完全に消去できないので、専用のデータ消去ソフトを利用
するか、機器を壊して(例えばドリルで HDD に穴をあける等)捨てることになります。
いずれにしても、自分たちで実施するだけでなく、専門の業者に依頼する方法もあ
ります。これらの消去(あるいは業者)がいい加減だと、こんな事故につながる場合
もあります。
FAXやコピー機を廃棄する場合も注意が必要です。最近のこれらの機器は、処
理性能を向上させるために、内蔵メモリをもっており、FAX 送信やコピーを行う際に、
それらのデータをメモリに記憶します。このメモリの内容から情報漏えいする危険
性があるので、廃棄する場合は専門の業者に依頼し、メモリの内容を完全に消去
してから廃棄してください。
当然のことですが、デジタルカメラや携帯電話も同様に、廃棄の際は注意が必
要です。内蔵メモリのデータを消去できる自信がない場合は、安易にオークション
等に出品するのではなく、専門業者に廃棄を依頼することをお奨めします。
2009年 6月のニュース記事
ガーナで販売されていた中古 HDDから米国(企業)の機密情報が発見された
世界の電子廃棄物事情を調査していたジャーナリスト・チームが、ゴミの
山から情報セキュリティ問題を掘り当てた
米国企業の機密文書(国防情報)を発見
廃棄業者(委託先)のデータ消去が不十分→盗難→部品販売
一方国内では、2010年 1月のニュース記事
ネット落札のPCに顧客情報、買い取り求め恐喝未遂容疑
ネットオークションで落札した PCの HDDから企業の情報が消去されてい
なかった
落札者は、買い取りを求めて企業を恐喝しようとした
86
重要情報が記載された書類をゴミ箱にそのまま捨てると、
関係者以外の目に触れてしまい、重大な漏えい事故を引き起
こすことがあります。また、電子機器・電子媒体に保存された
情報は、ファイル削除の操作をしても復元される恐れがありま
す。重要情報を廃棄する場合は、シュレッダーや消去用ソフト
ウェアを利用するなど、媒体ごとに適切な処分をしましょう。
そこで質問)
重要情報を廃棄する場合は、書類は細断したり、データは消
去ツールを使ったりするなどのように、重要情報が読めなくな
るような処分をしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
87
Part3. 組織としての対策
№19 守秘義務等の従業員への徹底
№20 従業員へのセキュリティ意識付け
№21 BYOD対応のセキュリティ対策
№22 取引先とのセキュリティ協議
№23 外部サービスのセキュリティ対策
№24 BCPを踏まえたセキュリティ事故対策
№25 セキュリティルールの策定と運用
88
そんなの常識!?
これが危ない…
企業(組織)に新たに就職する従業員に対して、業務を行うにあたっての従業員
教育を行うことが一般的と考えられますが、この際(あるいは採用時にも)、従業員
は企業(組織)内の情報や業務遂行上知り得た情報などを外部に漏らさないといっ
た守秘義務があることを伝える必要があります。
もし、採用の際にそういった守秘義務の確認を怠ると、業務活動中に重大な情
報漏えいあるいは流出事故が起きる可能性があります。さらに、企業(組織)からの
情報漏えい(流出)事故が発生した場合の責任問題を含めた事故対応や事後対策
に支障が生じる可能性があります。
誰にとっても、守秘義務があることは『常識』であると考えがちですが、ここが落と
し穴になる危険性があるわけです。曰く、『知りませんでした』は厄介なことになりま
す。ある意味では、従業員に対する管理者の管理責任が果たせていないことにな
りますので注意してください。守秘義務は企業(組織)活動での常識ですが、明確に
従業員に守秘義務があることを伝えるのは管理者(経営者)の責任です。また、こ
れが企業(組織)におけるセキュリティ対策の第一歩ともいえます。
№19 守秘義務等の従業員への徹底 従業員を採用する際に守秘義務や罰則規
定があることを知らせるなどのように、従業員
に秘密を守らせていますか?
89
一般的には、従業員を採用した際に守秘義務があることを確認した旨の「誓約
書」等を書いてもらうのが効果的と考えられますが、そ
の方法が何であれ、従業員に明確に伝え、それが(記
録として)確認できることが大切です。
ただし、採用の際などはあまり具体的な内容確認は
できないので、業務を遂行する都度に、業務に関わる情
報あるいは業務上知りえた情報の扱いなどを再確認す
るような管理方法もあるかもしれません。
そこで、そういった場合の例えばのポイントを以下に示します。
何が機密(守秘義務の対象)なのか明確にする
機密を守る方法も明確にする(業務ルール等)
守られなかった場合の罰則も用意する(就業規則等)
要は、守るべきこと(対象と方法)を常に明確にしておくことが大切であるというこ
とです。
従業者が業務遂行上知りえた機密を守ることは就業規則な
どから当然のことと言えますが、そのことを暗黙にせず、明確
に従業者に指示しましょう。
そこで質問)
従業員を採用する際に守秘義務や罰則規定があることを知
らせるなどのように、従業員に秘密を守らせていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
90
すべての人がそうであるとは限りませんが、長い間、セキュリティ事故も起こさず、
問題が発生しない状況が続くと、人は慣れというぬるま
湯につかることになります。
この慣れが気の緩みとなり、セキュリティ事故につなが
る可能性もあることを忘れてはなりません。それゆえに、
従業員に対する定期的な情報セキュリティ対策の意識付
けが必要となるわけです。
先行している企業(組織)では、セキュリティ対策の
形骸化・風化も始まっています
常にセキュリティ意識を高める工夫が必要です
例えば、「ヒヤリハット活動」も効果的です (ハインリッヒの法則)
うっかりミスは何故起きるのでしょうか?知っていたはずなのに、「誤操作してし
まった」とか、「確認し忘れた」とか、些細なことが大きな事故につながる可能性もあ
ります。例えば、電子メールの宛先の再確認はいつも実施していたはずなのに、今
回に限ってし忘れて、結果宛先間違いで大事な情報を
第三者に送付してしまったなんて、うっかりとしか言えな
いような事故だって起きるのです。
慣れが生まれると、『今までだって事故を起こしたこと
がないから、自分は事故を起こさない』といった考え方に
なってくる場合があります。交通事故の問題としても良く
聞かれる話ですが、これは非常に厄介な問題といえま
す。
№20 従業員へのセキュリティ意識付け 情報管理の大切さなどを定期的に説明す
るなどのように、従業員に意識付けを行ってい
ますか?
91
1件の重大な事故
29件の軽微な事故
300件の事故に至らなかった問題
ハインリッヒの法則の図
ハインリッヒの法則
『1件の重大な事故の背景には、29件の軽微な事故が存在する。さらに、29件
の軽微な事故の背景には 300件の事故に至らなかった問題が存在する。』
1929年に発表されたハーバート・ウィリアム・ハインリッヒ(Herbert William
Heinrich)の論文で示された法則。ハインリッヒの法則は、労働災害の統計情報
から導き出された教訓ともいってよい法則です
事故に至らなかった 300件の問題を少しでも起こさない(減らす)ようにすること
で、29件の軽微な事故や 1件の重大な事故を起こさないための意識を持ち続ける
必要があります。
つまり、事故に至らなかった問題を、大きな事故の予兆として感じ、事故を起こさ
ないようにするということです。
ひとつの方法として、誰かが事故に至らなかった問題を起こしたときに、その問
題を他の従業員とともに情報共有することで、同じ問題(誤操作やうっかりミス)を
起こさない意識付けができるはずです。それが、『ヒヤリハット』活動です。
92
ヒヤリハット
一般的には、事故に至らなかった問題を「ヒヤリハット」と呼んでいます
事故にはならなかったが、ヒヤリとしハットした問題を報告・記録・共有することで、事故につながる問題を起こさないように、気を引き締めることが大切である
という教訓です
ヒヤリハットの報告・記録・共有は、現場に慣れができてくると、億劫な行為になってくる場合が多いようですが、これでは何のための教訓か分からなくなるので
注意が必要です
普段の行動で気が付いた問題は、報告・記録・共有する癖をつけることで、事故の予兆を見つけられることを、忘れてはなりません
例えば、こんなことがヒヤリハット…
ヒヤリハットした本人が、どうしたらよかったか検討し、事例とともに記録・共有す
ることが効果的です。
こういった情報(資料)は情報セキュリティ対策の社内教育にも利用することがで
きます。
私物メディアを勝手に業務に使い顧客にビックリされました
会議室での白板を消し忘れて次の人から注意されました
電車の網棚にカバンを置いて、置き忘れそうになりました
机の上が整理整頓されていないと指摘されました
荷物を配送車の中に無人状態で放置しました
機器の操作説明書などを管理しておらず、故障時に対応が遅れました
プリンターへ出力した資料を放置しました
外部からの問い合わせに個人の携帯の番号を勝手に伝えました
鍵を掛けるべきロッカーを未施錠のまま帰宅しました
93
日々の仕事では常に情報を取り扱いますが、日常的である
がゆえに管理の意識がつい疎かになりがちです。従業員に対し
繰り返し意識付けを行うことが有効です。
そこで質問)
情報管理の大切さなどを定期的に説明するなどのように、
従業員に意識付けを行っていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
94
私物パソコンは
企業として管理できない
会社内の業務を行うにあたって、個人のパソコン(私物パソコン)を利用していま
せんか?会社内の業務で使うパソコンと私物パソコンでは、通常はそれらのパソコ
ンの動作環境が違います。
私物パソコンにおいては、会社内で決められたパソコ
ンのセキュリティ対策が実施できない場合があります。
例えば、指定されたセキュリティ対策ソフトが動作してい
ないとか、データの暗号化やバックアップの問題や、利
用可能な電子メールなど、いろいろな面で会社内の業
務パソコンとは違ったものとなります。このような私物パ
ソコンを業務に利用した場合、予測不能なセキュリティ
事故が発生する危険性があります。
私物パソコンの場合は、ウイルス感染で情報漏えいを起
こす危険性のあるファイル交換ソフトが家族の手によってイ
ンストールされ、利用されている可能性もあります。さらに、
業務利用後のパソコンで利用したデータを削除し忘れたこと
が、将来のデータ流出につながる可能性もあります。
と考えてください。
こういった危険を回避するためには、業務で利用するパソコンは、会社で用意し、
会社の管理下で利用されるべきです。
しかしながら、諸般の事由により、私物パソコンを利用しなければならない場合も
あるかもしれません。その際は、私物パソコンの利用を会社が把握し、必要に応じ
№21 BYOD対応のセキュリティ対策
社内外での個人所有のパソコンやスマート
フォンの業務利用を許可制にするなどのよ
うに、業務での個人所有端末の利用の可否
を明確にしていますか?
95
許可制にするなど対応が必要です。当然、会社が許可できるパソコンは、会社が
用意できるパソコンと同レベルあるいはそれ以上のセキュリティ対策(とりわけ情報
漏えい対策)が施されていることを確認する必要があります。とりわけ、会社内の重
要な情報が社外に持ち出される危険性が高いことを意識し、利用方法(運用方法)
も明確にしておく必要があるでしょう。
例えばの決まりごととして…
などの確認を行う必要があるでしょう。
*15) 電子メール環境
業務に無関係なソフトや私物のソフトを利用するのは、業務としての利用には適しません。例
えば、私用の電子メールの場合通常はフリーメールや個人で契約しているプロバイダーのメール
環境を利用するでしょう。しかし、そういった電子メール環境では、送受信したメールがどのように
管理されているか、あるいは途中で傍受されないか個人が判断することはできません。どこのメ
ールサーバで誰に管理されているのか不明なわけですから。さらに、安易な認証を設定している
場合は、なりすましの被害にあう場合もあります。自分たちが管理している、あるいは会社として
契約関係にある電子メール環境を利用することが安全性を高めることにつながります。
*16) リモートアクセス環境
最近では、インターネットを通じてリモート(遠隔地)から会社の IT環境に接続することができま
す。特に接続するパソコンでは何も処理をせず、会社内のデータやアプリケーション環境を利用
することで、接続したパソコンに大事なデータを保存しなくとも処理ができます。こういったリモート
接続環境を利用することで、遠隔地でもセキュアな利用ができる場合があります。しかしながら、
接続の度に利用する認証設定(パスワードなどの認証基盤)が弱いと、知らないうちに成りすまし
被害にあう場合もあるので注意が必要です。
OSや利用しているアプリケーションの脆弱性は解消されている
業務が利用するデータあるいは業務処理そのものに悪影響が出る可能性のあるアプリケーションなどのソフトの利用禁止(インストール禁止)
セキュリティ対策ソフトを正しく利用している
業務としての処理を行った場合は、利用した業務データ等を不必要に保存せず、速やかに削除(できれば完全消去)する
会社が用意した電子メール環境*15やリモートアクセス環境*16以外、ある
いは会社が用意した記憶媒体以外を利用したデータの受け渡しは行わな
い
パソコンそのものの利用制限ができるログインパスワードの設定や、記憶された大事な情報は暗号化するなどのセキュリティ対策(情報漏えい対策)が
施されている
96
新しい業務形態を作り出す携帯端末?
最近では、携帯電話やスマートフォン、さらには
iPad (Apple)や Kindle (Amazon)のような電子書籍
リーダに代表されるメディアタブレットな
どの携帯端末(デバイス)を業務に利用
する場合も増えてきているようです。
お客様に即座に情報を提示したり、商品のプレゼンテー
ションを行ったり、出先でもインターネットを通じて情報収集
を行ったり・・・
こういった携帯端末も会
社内の大事なデータを持
ち出したり処理したりする
ことがあるのであれば、当然のことですが会社が
用意すべきものとなります。しかしながら、私物パ
ソコンと同じように私物の携帯端末を利用するので
あれば、会社としてはこれらの携帯端末についても登録制・許可制などの管理を行
う必要があるでしょう。
個人所有のパソコンやスマートフォンを業務で使用する場
合、管理が行き届かず、セキュリティの確保が難しくなります。
個人所有端末の業務利用の可否や業務利用のルールを定め
ましょう。
そこで質問)
社内外での個人所有のパソコンやスマートフォンの業務利用
を許可制にするなどのように、業務での個人所有端末の利用
の可否を明確にしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
97
業務委託先からの情報漏えい事故が増えています。大企業では、企業内の情
報セキュリティ対策が強化され、大企業からの直接的な情報漏えい事故は、内部
犯行を除いて減少していると考えられます。しかしながら、情報セキュリティ事故と
しての情報漏えい記事は減っていません。これは、業務委託先である企業(組織)
等で発生する事故が増えているということになります。
本来であれば、業務委託元から業務委託先へ情報セキュリティ対策が継承され
るのが理想ですが、これがなかなかうまくいっていないわけです。
以前は、今までの商習慣から、この委託先なら大丈夫との感覚で業務委託が行
われている場合が多かったと考えられますが、最近では、業務委託先等のビジネ
スパートナーに、情報セキュリティ対策を実施していることを期待する(求めている)
業務委託元が増えているようです。言葉をかえれば、『情報セキュリティ対策を実
施していない企業には、業務委託できない』とまでなりつつあるということです。
さて、こういった背景から必ず実施してほしい
情報セキュリティ対策があります。それが、取引
先との間の秘密保持(守秘義務)の項目を契約
書等に盛り込むことです。特に、委託業務として
扱う情報が個人情報や企業(組織)情報を含んで
いた場合には、それらの情報が外部に漏れたり
しないように、情報の重要性、秘密性を明確にし、
場合によっては、その情報の管理方法まで明確
に指示する必要があるでしょう。
№22 取引先とのセキュリティ協議 契約書に秘密保持(守秘義務)の項目を盛り
込むなどのように、取引先に秘密を守ること
を求めていますか?
98
これは、業務委託先で何らかの事故が発生した場合、業務委託元の管理責任
や、業務委託先の業務遂行責任について責任の範囲を明確にするものとなりま
す。
特に気を付けるべき点は、業務委託関係者間で取り交わした情報セキュリティ
対策の取り決めが、業務委託先の関係する従業員すべてに伝えられたことを確認
する必要があることです。契約時の取り決めが、単なる紙の上の決め事では役に
立ちません。事故が起きてから責任問題を追及していると、本来すべき事故対応
が遅れ、事故により情報漏えいあるいは流失した情報の主体(顧客個人あるいは
顧客企業)へ取り返しの付かない迷惑がかかる可能性があるからです。情報の主
体が我が身であると考え、事故の対応を速やかに実施することが必要でしょう(№
24 事故対応について)。
参考までに、営業秘密について…
企業(組織)にとって大事な情報(守るべき情報)って何
でしょう?それは…
顧客情報・個人情報
委託元から預かった各種(業務)情報
企業(組織)固有のノウハウ・テクニックなどの技術
情報・企業(組織)戦略情報
その他、漏れると企業(組織)活動に大きな支障をきたす情報(企業秘密・営
業秘密)
です。この中の営業秘密について紹介します。
営業秘密の定義は、不正競争防止法*17 にありますが、ここで言う営業秘密とは、
著作権や商標権で保護されていない企業(組織)の重要なノウハウ(例えば技術情
報)や営業機密などのことであり、次に示すような条件を満たしている場合には、不
正競争防止法で保護されるというものです。
秘密として管理されている(秘密管理性)
事業活動に有用な情報である(有用性)
公然と知られていない(非公知性)
簡単に言ってしまえば、「企業(組織)内でいい加減に扱われている情報は営業
秘密にはあたらないことになり、保護されない」ということです。こういった情報を業
務委託で利用している場合は、特に秘密保持が重要になってくるでしょう。
99
取引先が情報の内容から判断して「当然秘密にしてくれる
だろう」という一方的な期待は禁物です。取引先に機密情報を
提供する場合は、それを機密として取り扱ってもらうことを明
確にすることが必要です。
そこで質問)
契約書に秘密保持(守秘義務)の項目を盛り込むなどのよう
に、取引先に秘密を守ることを求めていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
*17) 不正競争防止法
『この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するた
め、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健
全な発展に寄与することを目的とする。』と定義されています。この法令は、いわゆる営業秘密の
保護(情報窃盗からの保護)を目的にしたものですが、平成 21年 4 月 30日に改定されました。
以下のサイトが参考になります。
三番目に紹介する『「営業秘密管理指針(改訂版)」の公表~事業者の価値ある情報の管理方
法』には、具体的な秘密情報の管理方法なども掲載されており、セキュリティ対策としても有効な
資料です。
経済産業省 知的財産政策/不正競争防止
http://www.meti.go.jp/policy/economy/chizai/chiteki/index.html
不正競争防止法
http://law.e-gov.go.jp/htmldata/H05/H05HO047.html
営業秘密 ~営業秘密を守り活用する~
http://www.meti.go.jp/policy/economy/chizai/chiteki/trade-secret.html
100
こんな事例がありました。
ファーストサーバのデータ消失事故 (2012年 6月)
2012 年 6 月 20 日、レンタルサーバ企業であるファーストサーバにおいて
大規模障害が発生した。5万顧客中、約 5700の顧客のサーバ群に対し、不適
切なファイル削除処理を含むプログラムを検証環境・本番環境・バックアップ環
境で実行してしまった。その結果、大規模にデータが消失し、復旧不可能な状
況となった。ファーストサーバの一部の広告で「お客様による作業(バックアッ
プ)は不要」と記載されていたこともあり、ユーザーの多くが、バックアップを行
っておらず、ユーザー組織のビジネスに大きな損害を与えた。(「2013年版 10
大脅威 ~身近に忍び寄る脅威~」より引用)
2013年版 10大脅威 ~身近に忍び寄る脅威~ https://www.ipa.go.jp/security/vuln/documents/10threats2013.pdf
無料翻訳サイトから情報漏えい (2015年 2月)
無料翻訳サイトで電子メールの内容を翻訳したら、その内容がネット上で誰
でも見られる状態になっていた。
プレス発表 【注意喚起】クラウドサービスに入力した内容の意図しない情報
漏えいに注意 http://www.ipa.go.jp/about/press/20150220.html
№23 外部サービスのセキュリティ対策の確認
クラウドサービスなど外部サービスを利用す
る時は利用規約やセキュリティ対策を確認す
るなどのように、サービスの安全・信頼性を
把握して選定していますか?
101
情報入力が可能なウェブサイトやSNS(ソーシャルネットワークサービス)、各種の
掲示板やブログサイトを利用する際には、それらのサイトやサービスの安全性につ
いてセキュリティ意識を持って対応することをお勧めします(「№10 インターネットを
介したトラブル防止」を再度確認してください)。
近年、様々なクラウドサービス(ウェブサービス/インタ
ーネットサービス)が充実し、企業向けだけでなく、個人
を対象としたサービスの利用も進んでいます。例えばイ
ンターネット上に写真や資料等のデータを保存すること
で、いつでも、どこでも利用できたり、翻訳なども手軽に
できたりするサービスなどがあります。
しかし、クラウドサービスはその利便性から急速に
普及した反面、利用者がサービスの内容やリスクを正し
く認識せずに利用したことが原因で、意図しない情報漏えいの問題があります。
例えば、2013年には Google社が提供するサービスの 1つである Googleグルー
プの利用者が、情報公開範囲の設定を正しく認識していなかったために、関係者
以外でもやりとりが閲覧できてしまう状態にあったという問題が発生しています。
2013年 10月 1日「インターネットサービス利用時の情報公開範囲の設定に
注意!」 https://www.ipa.go.jp/security/txt/2013/10outline.html
また、IPAの調査では “ブラウザへの入力情報や検索履歴等がブラウザ提供元
の企業に収集される”ことについて、“まったく気にならない”“あまり気にならない”
等と回答した人が全体の 31.3%であったことからも、クラウドサービスに対する利用
者の意識・知識向上が求められます。
2014年 2月 4日「知らない間に情報を外部に漏らしていませんか?」~クラ
ウドサービスを利用する上での勘所~ https://www.ipa.go.jp/security/txt/2014/02outline.html
《クラウドサービス(ウェブサービス/インターネットサービス)
安全利用の対策のポイント》
利用に際して、信頼できるサービスであるかどうかを慎重に検討し、提供されるサービスの機能や仕様を十分に確認する
一旦、預けた情報や書き込んでしまった内容は、自分のコントロールが及ばないことになるリスクを認識して、利用するかどうかを判断する
102
さらに、クラウドサービスを安全に利用するために、以下に示す資料も参考にし
てください。
クラウドサービス安全利用のすすめ
(対策のしおりシリーズ 姉妹冊子) http://www.ipa.go.jp/security/antivirus/shiori.html
中小企業にとっては、クラウドとはどういうものか理
解しにくかったり、どう使えばよいかわかりにくかったり、
正しく使えないためにデメリットが勝ったりといったことも
起こりえます。そのような状況に対応するために、IPA
では、「中小企業のためのクラウドサービス安全利用の
手引き」を作成しました。
「中小企業のためのクラウドサービス安全利用の手
引き」では、クラウドサービスの利用についての判断やその条件の確認、注意
点の点検等が、比較的容易にできるように、解説やチェック項目を整理しまし
た。
クラウドサービスなどの外部サービスをコスト優先で選んで
しまうと障害等でサービスが利用できなくなる場合もありま
す。事業継続性を大きく左右するような用途で外部サービスを
利用する場合は、性能や信頼性、補償内容など十分に吟味し
ましょう。
そこで質問)
クラウドサービスなど外部サービスを利用する時は利用規約
やセキュリティ対策を確認するなどのように、サービスの安全・
信頼性を把握して選定していますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
103
情報セキュリティに関する事故(インシデント)は、いろいろな情報セキュリティ対
策を実施していても、ある日突然のように発生します。最近では、情報セキュリティ
対策では、セキュリティ事故を起こさないようにする予防対策以外に、セキュリティ
事故が発生した場合の対応に関する対策(事故前提の対策あるいは準備)も必要
であるとされています。
情報漏えい事故だけが、情報セキュリティ事故ではありま
せん。地震、台風、洪水、火災など、さまざまな理由で情報
(情報システム)を活用した事業が続けられなくなる場合も、
情報セキュリティ事故となります。これらの事故はいつ発生
するか予測できないので、実際に事故が発生した場合は、
関係者はパニック状態となり、被害を最小限に食い止める
ことや事業をすぐに再開することが困難になる場合が多
いようです。
こういった問題に対処するために、BCP(事業継続計
画)あるいは BCM(事業継続マネジメント)と呼ばれる対応
が望まれています。この対応のポイントは以下のとおりで
す。
№24 BCPを踏まえたセキュリティ事故対策 秘密情報の漏えいや紛失、盗難があった場
合の対応手順書を作成するなどのように、事
故が発生した場合に備えた準備をしています
か?
事故が起きてからでは遅いので、事故対応の事前準備と予行演習が必要です
できれば、事故対応マニュアルと対応体制を明確にしておきましょう
104
事前準備とは、起こりうる事故を想定して、何をどうするといった手順や対応する
人、対応する相手、対応する方法をあらかじめ決めておくことです。できれば、これ
らの手順などはマニュアル(文書)化しておくことが重要です。これがあれば、事故が
発生したときも慌てずに済む可能性があります。さらに、火災訓練などのように、事
故対応の予行演習を実施することで、対応の漏れや欠陥(落とし穴)を見つけてお
くことも大切です。
もっとシンプルな話をするならば、事故発生時の緊急連絡網の準備や、大規模
災害発生時の従業員の安否確認手順も用意する必要があるでしょう。
企業(組織)における BCP(事業継続計画)については、以下に示す情報が有効
です。こちらのサイトの内容を参考にしてください。
中小企業 BCP策定運用指針 (中小企業庁)
http://www.chusho.meti.go.jp/bcp/index.html
また、情報漏えい事故に限った場合、以下に示す情報も有効なので、こちらも参
考にしてください。このサイトでは、実際に情報漏えい事故を起こしてしまったときに、
どのような対応が必要かまとめてあります。
情報漏えい発生時の対応ポイント集
http://www.ipa.go.jp/security/awareness/johorouei/
105
実際に事故が起きてからだと、それを冷静に考える余裕が
なくなってしまいます。また、対応が後手に回り、それが原因で
さらに深刻な事態になりがちです。報道される事故内容などを
参考に、「もし、同じことが自分の会社で起こったら・・・」と想
定して、誰がいつ何をするのかをまとめておきましょう。
そこで質問)
秘密情報の漏えいや紛失、盗難があった場合の対応手順書
を作成するなどのように、事故が発生した場合に備えた準備
をしていますか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
106
ここまで話してきた内容については、会社のルールにし対策内容を明確にしてお
く必要があります。しかしながら、ルールというのはなかなかうまく作ることが出来な
いようです。
内容が抽象的過ぎたりして、従業員それぞれが違った理解をするようなあいまいなルールは意味がありません(誰からも同じく理解されるルールがよい)
また、内容が厳しすぎるとか、他人事のようなルールとか、事業内容に合わないルールといった、守れない(守られない)ルールも、ごく限られた狭い範囲
でしか意味がありません(誰でも守れるルールがよい)
企業(組織)毎に業務が違うように、情報セキュリティ対策のルールも企業(組
織)毎に違ってきても問題はありません。他の企業(組織)のルールをそのまま
持ってきてもうまく運用できない場合もあります。要は自分たちの企業(組織)
(会社)にあったルール作りが必要であるということです
№25 セキュリティルールの策定と運用 情報セキュリティ対策(№1~№24など)を
会社のルールにするなどのように、情報セキュ
リティ対策の内容を明確にしていますか?
あいまいなルールは・・・×
守れない(守られない)ルールは・・・△
会社にあったルール作りを・・・○
107
経営者が情報セキュリティ対策に関する方針を決めていたと
しても、それを自社のルールとして明文化していなければ、従
業員は都度経営者の指示を仰がなければなりません。従業員
が自らルールに従って行動できるように、「企業としてのルー
ル」をまとめて明文化し、従業員がいつでも見られるようにし
ておく必要があります。
そこで、あらためて質問)
情報セキュリティ対策(№1~№24など)を会社のルールにす
るなどのように、情報セキュリティ対策の内容を明確にしていま
すか?
○:実施している 4点
△:一部実施している 2点
×:実施していない 0点
108
診断はここまです!!
各診断項目の点数を合計してください。
109
いかがでしたか!?
• 100 点満点だった方
入門レベルのセキュリティ対策はもう完璧です。ステップアッ
プを検討しましょう。
• 70~99 点だった方
ほぼ出来ていますが、部分的に対策が不十分な点があるよ
うです。
• 50~69 点だった方
対策が行き届いていないところが目立ちます。
• 49 点以下だった方
いつ情報流出等の事故が起きても不思議ではありません。
さいごに…
ところで、点数についてはあまり気にしないでください。この自社診断は、自分が
働く企業(組織)での情報セキュリティ対策の甘いところを気づいていただければよ
しと考えるものであり、他社と比較するものとは考えていません。
自社に不足している基本的な情報セキュリティ対策は何で
あるのか、さらには緊急で対応(改善)すべきものは何である
のかなど、気づいたものがあれば…
自社にあった、情報セキュリティ対策ができるようにセキュ
リティ対策ルールの検討・施行、従業員教育の実施、さらに
はPDCAサイクルに基づくセキュリティ対策ルールの見直し
を行って、よりよいセキュリティ環境を構築していただきたい
と願っております。
2011年 5月
(更新) 2017 年 6月
110
<情報セキュリティ(対策)実施の成功ポイント>
PDCAサイクル
<参考情報>
中小企業向け情報セキュリティ対策
http://www.ipa.go.jp/security/manager/know/sme-guide/
中小企業のためのセキュリティツールライブラリ
http://www.ipa.go.jp/security/manager/know/tool/
「5 分でできる!情報セキュリティポイント学習」ツール
http://www.ipa.go.jp/security/vuln/5mins_point/
IPA対策のしおり
http://www.ipa.go.jp/security/antivirus/shiori.html
各ツールの紹介
http://www.ipa.go.jp/security/tools/
111
〒113-6591 東京都文京区本駒込2丁目28番8号
(文京グリーンコートセンターオフィス16階)
URL http://www.ipa.go.jp/security/
【情報セキュリティ安心相談窓口】
URL http://www.ipa.go.jp/security/anshin/
E-mail [email protected]
情報
資産
