提携企業&代理店募集

IIA webニュース

今日のセキュリティ

製品紹介動画一覧ページ

年別

2014年の記事





第38回 個人情報保護士認定試験

2014/12/29 18:09

年々高まる情報管理の重要性と、増加する情報漏洩事件
情報漏洩を防ぐための知識を身につけるチャンス

全日本情報学習振興協会主催の「第38回 個人情報保護士認定試験」が平成27年3月15日(日)に開催されます。

申込期間は平成26年11月21日(金)~平成27年2月4日(水)、各地に試験会場があります。

個人情報保護法の理解と有効活用、安全確保のエキスパートを認定する「個人情報保護士」。

個人情報の適切な管理と意識の向上が図れます。


個人情報保護士認定試験
http://www.joho-gakushu.or.jp/piip/piip.html




年末年始の情報セキュリティ

2014/12/22 17:56

年末年始で慌しい時期かと思いますが、長期休暇前に情報セキュリティ対策を行いましょう。

まずは、休暇中のパソコンやUSBメモリの持ち出し禁止。仕事を行うために持ち出した機器類の紛失・盗難により情報漏洩が発生したケースがあります。機器類の持ち出しは原則禁止にします。もし、持ち出しを許可している場合でも、組織内で持ち出し時のルールを定めてください。また、USBメモリ内のファイル暗号化やパソコンログイン時のパスワード設定等は必ず行うようにしてください。万が一紛失した場合に備える必要があります。

次に、ご使用のパソコンのOSを最新のバージョンへと更新し、脆弱性を解消するようにしてください。「Windows Update」から最新バージョンに更新できます。
その他、セキュリティソフトやインターネット閲覧ソフト、メールソフト等も最新バージョンへと更新する事により、インターネットを経由したウイルス感染等の被害を最小限に抑える事ができます。

情報セキュリティは、まず情報が漏洩しないように防止策を行う事が求められます。多少面倒かもしれませんが、万が一を考え手をつけやすいところからでも対策を行うよう心がけてください。


紙媒体からの漏洩を防ぐには、ヒューマンエラーを最小限に

2014/12/16 17:51

2005年より施行された個人情報保護法により、企業の情報漏洩対策の導入は大幅に進みました。 しかし、個人情報の漏洩事故は頻繁に起こっています。

原因は、利用者のうっかりミスや誤操作などといったヒューマンエラーによる事故。
中でも、プリンタから出力された紙媒体からの情報漏洩が大きな割合を占めています。

プリンタからの情報漏洩対策

 印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまう。 また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。

ぜひ、部署単位、もしくは企業内全体で、プリンタ使用時の注意・決まり事を定め、ヒューマンエラーを最小限に留められるよう工夫を行ってください。




「ひろげよう情報モラル・セキュリティコンクール2014」受賞作品発表

2014/12/15 18:09

独立行政法人情報処理推進機構主催の「ひろげよう情報モラル・セキュリティコンクール2014」の受賞作品が発表されました。

標語部門・ポスター部門・4コマ漫画部門の3部門があり、それぞれの作品から情報モラル・セキュリティの大切さが伝わってきます。

2014年のメインテーマ「SNS」。
パソコンやスマートフォン、携帯電話からの簡単に情報発信が出来るツールとして、全世界で利用されています。ルールやマナー、ネットトラブルといったキーワードつくりあげられた作品が多くあります。
学生の豊かな感性と柔軟な発想に、大人こそハッとさせられるかもしれません。


・ひろげよう情報モラル・セキュリティコンクール2014
http://www.ipa.go.jp/security/event/hyogo/2014/index.html





特定秘密保護法が12月10日に施行されました。

2014/12/12 17:43

特定秘密の保護に関する法律(特定秘密保護法)が平成26年12月10日に施行されました。

特定秘密保護法とは、我が国の安全保障に関する情報のうち特に秘匿することが必要であるものの保護に関し、必要な事項を定めるものです。

この法律は、特定秘密の漏えいを防止し、国と国民の安全を確保することを目的としています。

この法律では、「特定秘密」に指定された情報を漏洩した公務員や民間人らに罰則を科すと定めています。防衛や外交、スパイ防止、テロ防止の4分野と対象が幅広い事から、行政・民間等組織を問わず、情報漏洩対策を行う必要があります。

内閣官房 特定秘密保護法関連




クイズで学ぶ情報セキュリティ対策

2014/12/08 17:52

セキュリティ事故が起きたとき、どのような行動を起こせばいいのか?何をすべきなのか?といった疑問をストーリ仕立てで教えてくれるコンテンツがこちら。
JNSA(NPO日本ネットワークセキュリティ協会)様提供の クイズで学ぶ情報セキュリティ対策ツールです。

内容も、ウイルスメール編やパソコン紛失編 等、身近に起こりうる事柄ですので違和感なく進められるかと思います。

分かっているようでいても、実は知らなかったという事柄があるかもしれません。
情報漏洩対策の入り口として、一度行ってみるのも良いでしょう。


JNSA(NPO日本ネットワークセキュリティ協会)
http://www.jnsa.org/ikusei/quiz/


セキュリティに関する作品。今月のお題は「安心」「安全」「セキュリティ」。

2014/12/05 18:00

 日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
12月のお題は「安心」「安全」「セキュリティ」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る Email officejnsa.org 件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html



個人情報には価値があります

2014/12/02 17:42

個人情報とは、プライバシーに関する情報や、個人を特定することが可能になる(なりすませる)情報のことを指します。

【個人情報】
・名前、生年月日、住所、電話番号、家族構成
・職業、勤務先
・インターネットサービスのID、パスワード
・銀行口座情報、クレジットカード情報


上記のような情報が漏れてしまうと、迷惑メールやワンクリック詐欺、訪問販売に利用されたり、悪質なものになると本人を騙ってSNS等で迷惑行為を行われてしまうといった可能性があります。

本人にはあまり関係ないようですが、家族構成が知られてしまうと「オレオレ詐欺」等の犯罪に繋がるおそれがありますので注意が必要です。

また、クレジットカード情報(カード番号や有効期限)が盗まれてしまうと、本人が気付かないうちにカードを利用されてしまい金銭的な被害が発生してしまいます。

自分の持っている情報には価値があるという事をしっかりと認識して、自分の情報を出すときには問題ないかどうか今一度確認を行う様 気をつけてください。


日頃の習慣を情報漏洩防止に繋げる

2014/11/28 17:44

社内での行動は、日頃から習慣づけることが大切です。
なにげない行動から行える情報漏洩対策もあります。日頃の習慣から見直してみましょう。

まずは、ミーティングルームやカウンター等、共用スペースには書類を置かない。
席を離れる際には、パソコンをログインの状態にせずログオフ等で対応する。難しければ、スクリーンセーバーの起動時間を早めに設定するところから始めましょう。

また、社内の情報や顧客情報が記載された書類は、些細なものでも必ずシュレッダーにかける。
終業時には、大切な資料は鍵のかかる保管庫へ、そうでない資料も机の上に出しっぱなしにせず所定の場所にしまう様に心がけましょう。

もしもの事を考え、日頃から情報セキュリティを意識した行動を心がけ、周囲も含めて習慣づける様に協力していきましょう。


インターネットモラルの重要性

2014/11/27 17:54

Facebook やTwitter 等、SNS(ソーシャル・ネットワーキング・サービス)の普及により、プライベートな情報や職場での出来事を気軽に投稿できるようになりました。

その事で個人を特定されてしまったり、デマの拡散に協力してしまった等の問題が起こっています。

SNSは気軽に友人と交流できる事から、内輪の話や写真の交換をする機会も多いものです。
しかし、集合写真等、本人は良くても周りは掲載して欲しくない写真もあるかもしれません。

また、デジタルカメラやスマートフォンのGPS機能より、撮影した場所や投稿を行った場所が公開される恐れもあります。悪用される可能性もありますので十分に注意を行ってください。

基本的に、SNSに投稿した情報は完全に削除する事が出来ません。その後、転用される可能性もありますので、投稿する前に問題がないかどうか考える習慣をつけましょう。

SNS は、インターネットで多数の人と繋がっています。「多くの他人が閲覧出来てしまう」ものと認識して、投稿する記事の内容に充分注意し、思いやりや気づかいを持って利用することが大切です。現実社会と同じく、法律やモラルを意識してSNSを利用してください。






インターネットによる詐欺

2014/11/26 18:08

最近、パソコンや携帯電話からサイトを閲覧していたら、年齢確認を求められ クリックしたところ、会員登録を受け付けたと偽り、高額な料金を請求されるという事例が多く報告されています。

同じように、電子メールで「サービス料が未払いとなっております。至急ご連絡下さい」「裁判所に訴状を提出させて頂きます」といった利用料請求詐欺が増加しています。

これらは、「ワンクリック契約(請求)詐欺」や「不正(架空)請求詐欺」と呼ばれる手口で、実際には契約は成立しておらず、ユーザーの無知や弱みに付け込んで、不正に請求する詐欺です。

クリックするだけで、直ちに契約は成立しませんので慌てず支払いをせぬよう気をつけてください。また、お近くの消費生活センターに相談を行う様にしてください。


・消費生活センター
 http://www.kokusen.go.jp/map/



スマートフォンはアプリに注意

2014/11/21 18:01

仕事に遊びにと使える スマートフォンのアプリ(アプリケーション)ですが、事前審査を十分に行っていないアプリケーションも存在している場合がありますので、注意が必要です。

また、正規のアプリに見せかけた偽アプリも確認されています。
インストールする前に、一度情報収集を行い判断するようにしてください。特に、作成者や提供元が不明のアプリはダウンロードを行わないでください。

その他にも、アプリ提供サイト(もしくは入手元)からウイルスに感染したアプリが発見された事例もあります。出来る限り、携帯電話会社など審査を行ったアプリを利用するようにしましょう。
また、個人情報の取り扱いを記している利用条件やアプリの機能にも目を通すようにしましょう。


パソコンからのスマートフォンや携帯電話の充電は許可されていますか?

2014/11/13 18:19

便利なスマートフォンですが、充電が減りやすい事から、会社のパソコンにUSB接続し充電されている方は多いのではないでしょうか。

セキュリティポリシーでUSBメモリースティックや外付けHDDが禁止されてるところは多いでしょう。ところが、スマートフォンの接続は、許可はされていないが禁止もされていないので充電しているといったケースが見受けられます。

スマートフォンは、パソコン同様多量の情報を保存出来ますので注意が必要です。

まずは、組織内でUSBストレージの持ち込みや接続の可否に関するポリシーの明確化を行う必要があります。これは、情報を持ち出させないと同時に、ウイルスを持ち込ませない防衛策にもなりますので、しっかりと意識の共有を行ってください。

今後は、充電だけという軽い気持ちではなく、ここから情報漏洩やウイルス感染が起こるかもしれないという可能性を考え、個人でも注意するようにしましょう。


トレンドマイクロ社の「セキュリティ対策度診断ツール」

2014/11/12 18:14

トレンドマイクロ社が、26の設問に答えるだけで
セキュリティレベルを診断できる「セキュリティ対策度診断ツール」を公開致しました。
組織のセキュリティレベルを無料で診断出来ますので、すぐに現状確認を行えます。

設問内容は、技術的対策(16問)、組織的対策(10問)の計26問です。

診断結果は、トレンドマイクロ社が実施した調査結果から、規模別平均・業種別・全体平均との比較を確認出来ます。すぐに診断結果を得ることができますので、その結果をもとに、現状確認と今後の対策を立てられます。

セキュリティ対策度診断ツール
https://app.trendmicro.co.jp/sor/Technicalmeasure.aspx



不審な電話に注意

2014/11/11 17:54

大手通信教育会社からの顧客情報流出事件後、不審な電話が増加しています。

「流出した個人情報を削除するために費用が必要」と言った内容で不審な電話が掛かってくる事案が発生しています。もちろん、お金を騙し取る詐欺ですので、こうした不審な勧誘にはご注意下さい。

不安を煽るような話題や、お金の話が出た場合には要注意です。
もし、不審な電話が掛かってきた場合には、お近くの消費者センターへご相談ください。


国民生活センター
株式会社ベネッセコーポレーションにおける
個人情報漏えいに便乗した不審な勧誘にご注意ください!
http://www.kokusen.go.jp/news/data/n-20140722_1.html




セキュリティに関する作品。今月のお題は「フィッシング」「赤」。

2014/11/10 18:04

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
11月のお題は「フィッシング」「赤」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る Email officejnsa.org 件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html



複合機(プリンタ)からの情報漏洩に気をつける

2014/10/28 18:06

個人情報の漏洩事件の原因は、利用者のうっかりミスや誤操作などといったヒューマンエラー。中でも、プリンタから出力された紙媒体の情報漏洩が大きな割合を占めています。

印刷物からの情報漏洩が後をたたない事から、プリンタ周りで注意している方は多いでしょう。 しかし、プリンタ本体からの情報漏洩対策はどうでしょうか。

複合機と呼ばれるプリンタは、ファックスやスキャナーなど多数の機能を搭載しており、 今やオフィスにかかせない機器です。しかし、多数の機能を有しているため、ここから情報漏洩へと繋がる恐れがあります。

複合機には、様々な機能を利用するため、SDカードやUSBメモリースティックといった外部記憶装置が接続できます。

この複合機を直接パソコンにUSB接続すると、複合機に差し込んだSDカードやUSBメモリースティックが USB接続したパソコンで使用出来ることから、 パソコン内の情報を抜き取る事が可能になってしまうのです。

便利な複合機(プリンタ)を安全に使用するために。
複合機は、直接SDカードやUSBメモリースティックが差し込める事から 情報漏洩の経路となる恐れがあるため、USBを用いた直接接続(ローカルプリンタ接続)ではなく、 LANケーブルもしくは無線LANを用いるネットワーク接続にてご利用ください。

また、ネットワーク接続の場合は、出来るだけ外部ネットワークとは繋がないこと。繋ぐ場合は、ファイアウォールを経由する等、他のインターネットセキュリティと同じ様に保護を行ってください。また、管理者パスワードを出荷時のものから変更するのも大切です。忘れずに変更しましょう。




10月は情報化月間

2014/10/24 17:17

10月は情報化月間

1970年代はじめ、通商産業省(現在の経済産業省)は、当時起きていた「情報化社会」への潮流が、単に産業や経済に影響を及ぼすだけでなく、私たち個人のライフスタイルをも変える社会的なものであると捉え、この情報化の波を健全に発展させていくためには、情報化に関する正しい知識を提供し、国民一人一人が情報化について理解を深めることが重要と考えました。

そこで、10月を「情報化月間」として定め、全国各地で情報化に関する展示会、講演会を行うとともに、情報化の促進に貢献した個人や企業の表彰を開始しました。

パソコンやインターネット、モバイル端末が普及し、家電は「情報家電」へと進化を遂げ、今や私たちが暮らす現代にITは不可欠な存在となっています。

あなたの身の回りのITが、さらにあなたの生活を豊かにするためには何が必要なのか...、情報化月間を機会に一緒に考えてみませんか?(情報化月間ポータルサイトより引用)

全国各地で様々なイベントが催されました。U-22のプログラミング・コンテストも開催され、今後どのような技術やサービスがうまれてくるのか、とても興味深いものです。

経済産業省 情報化月間ポータルサイト
http://www.meti.go.jp/policy/it_policy/gekkan/



セキュリティに関する作品。今月のお題は「もみじ」と「内部犯」「栗」。

2014/10/21 17:54

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
10月のお題は「もみじ」「内部犯」「栗」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る Email officejnsa.org 件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html



バックアップの重要性

2014/10/14 18:11

企業や組織では、日々の業務の中で顧客情報・技術情報・財務情報など、情報資産と呼ばれる情報が蓄積されます。

その情報資産を維持する、または、万が一のデータ消失の事態に備えるために、定期的なバックアップが必要です。

社内でバックアップシステムを用意したり、作成した書類ファイルや重要な電子メール、頻繁に利用するホームページのURL等、各種設定も含めバックアップの対象を洗い出し、バックアップの方法や頻度等ルールを決めていきましょう

また、バックアップしたデータからも情報漏洩の危険がありますので、情報の持ち出し、ウイルス感染等のセキュリティ対策も厳重に行うようにしてください。 


NISC様の「情報セキュリティ意識啓発動画ポータル」

2014/10/10 17:32

NISC 内閣官房情報セキュリティセンター様 が、各省庁等が作成した意識啓発動画を集めたYouTubeを公開しています。

アニメも多く、世代を問わず楽しんで学べる内容になっています。注意点や対策等、短時間で理解出来、また、英語バージョンが用意されている動画もありますので、外国人スタッフにもおすすめ出来ます。

SNS・スマートフォン対策アニメーション(ダイジェスト版)[NISC]



NISC情報セキュリティ意識啓発動画ポータル
http://www.youtube.com/user/NISCchannel




情報セキュリティ国際キャンペーン

2014/10/09 17:21

10月は「情報セキュリティ国際キャンペーン」月間です。

スマートフォンやパソコン等の情報通信技術は、世界中の国民の社会・経済生活に恩恵を与える一方、不審メールによる情報漏えい等の情報セキュリティ上の脅威は、国境を越えています。こうした脅威は国境を越えた共通の課題であり、海外諸国と協力して取り組むことが必要です。

このため、政府では、毎年2月に開催している「情報セキュリティ月間」に加えて、平成24年から10月に「情報セキュリティ国際キャンペーン」として、アジア、欧米をはじめとする諸国と国際連携を活用した行事や情報セキュリティ対策に関する情報提供を実施し、国際連携の推進と国内における情報セキュリティ対策の一層の普及を図ることとしました。(NISC 内閣官房情報セキュリティセンターより引用)

【情報セキュリティ国際キャンペーン】
http://www.nisc.go.jp/security-site/campaign/


セミナーやシンポジウム等のイベントも各地で行われます。
セキュリティ担当者や興味のある方は、この機会に参加してみてはいかがでしょうか。






ファイル共有ソフトの危険性

2014/10/08 17:48

ファイル共有ソフトとは、インターネット上で不特定多数のユーザーとファイルのやりとりをするためのソフトウェアの事を指します。P2P(Peer to Peer)ソフトとも呼ばれます。WinnyやShareがファイル共有ソフトにあたります。

ファイル共有ソフトは、サーバーを経由せず、それぞれのパソコン同士でファイルのやり取りを行える便利な面もありますが、そこでやり取りされているファイルの多くは、音楽や映像、ゲーム等で、著作権の侵害として問題となっています。

また、著作権侵害の問題だけではなく、ファイル共有ソフトをターゲットにしたウイルス感染による危険性があります。
感染したウイルスによって、共有用に設定していたフォルダ以外も公開へと変更されてしまうと、企業や組織の機密情報がインターネットに漏洩してしまいます。

更に、漏洩してしまったデータは大量に複製される恐れがありますし、それらを全て削除する事は事実上不可能な事から大きな被害をもたらす可能性が高くなっています。

対策としては、まずはパソコンに共有ファイルをインストールしないこと。共有のパソコンでも、アカウントが別々のものを使用すること。それから、自分だけは大丈夫という意識ではなく、周りも巻き込んで危険なソフトは利用しないよう気をつける事が大切です。




フィッシングサイトにご注意

2014/10/07 17:53

フィッシング詐欺は、会員制ウェブサイトや大手企業サイトとそっくりな偽ページを作成し、そこで各種サービスのユーザー名とパスワードを入力させる「ログイン」で、個人情報やクレジットカード番号といった情報を盗む詐欺手法です。

盗んだ情報をもとに、当人になりすまして高額な買い物を行ったり、オークション詐欺等に利用されたりと二次被害へと繋がるおそれがあります。

このフィッシング詐欺への予防策としては、個人情報を入力する前にそのサイトが本物であるかどうかの確認を行ってください。一見しただけではそっくりで判断がつかない場合もありますので、その場合は正規のサイトのトップページから、任意のページへと移動するようにしてください。

また、フィッシング詐欺対策機能が実装されているWebブラウザでは、その機能をオンにしてください。
個人情報を入力する場合には、そのページが「https~」からはじまる暗号化通信を行うページか確認してください。

もしも、フィッシングサイトと思われるサイトにユーザー名とパスワードを入力してしまった場合は、速やかに使用しているパスワードを変更し、個人情報が流出しないよう対策を行ってください。

フィッシングサイト対策の専門サイトでは更に詳しい情報がございます。

【フィッシング対策協議会】
https://www.antiphishing.jp/







架空請求の対策

2014/10/06 17:32

あるWebページを表示したら、個人のパソコン情報の様な文字列と、料金の支払いを要求する「架空請求」というものがあります。架空請求詐欺とも呼ばれます。使用したおぼえのない有料サイトの使用料を求めてくるのが、主な手口です。

架空請求の対応策としては、慌てず無視するのが基本姿勢です。

けして料金の支払い画面にしたがって情報を入力したり、解除用のメールアドレスを送信してはいけません。そこから、個人情報が漏洩するきっかけになります。

最近では、OSの脆弱性を利用して、料金支払い画面を表示させる事例も出ています。

対策としては、ウイルス対策ソフトを利用し、不正なプログラムの駆除を行う。また、こまめにWindows Updateを行い脆弱性を修正し、不正なプログラムを侵入させない環境づくりも大切です。

ただ、例外的に本当に督促されている場合もありますので、その点はご注意ください。



日本語文字入力ソフトの確認を

2014/10/02 18:02

日本語文字入力補助ソフト(IME)の多くは、ユーザー辞書の同期・変換候補の取得のために、外部サーバーとのやり取りを行う機能をもっています。これらは、文字入力の効率の面から便利ではありますが、セキュリティの面から注意が必要です。

ユーザーが入力した文字列をデータとして蓄積し、それを外部へと送信するため、意図せぬ情報漏洩へと繋がるおそれがあります。

単語登録機能にも注意が必要です。入力を省く、もしくは誤字を防ぐためにパスワードの文字列を「ぱすわーど」の様に単語登録していると、この情報も外部サーバーへ送信されてしまいます。重要な情報の登録は避けてください。


対策としては、IMEの設定をオンライン機能を使用しないように変更する。もしくは、ファイアーウォールなどで、通信を禁止する等の設定を行ってください。

また、IMEは別のソフトウェアと組み合わさってインストールされている可能性もありますので、この機会にお手元のパソコンを確認してみてください。




パスワードリスト攻撃とは

2014/10/01 17:44

パスワードリスト攻撃とは、何らかの手法により得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行し、結果的に不正アクセスを行う攻撃方法のことを指します。リスト型攻撃、リスト型アカウントハッキングとも呼ばれます。

これは、同一のパスワードを複数のWebサービスで利用するユーザーが多いことから頻繁に行われる攻撃手法です。

ユーザー側からの対策としては、同じID・パスワードを複数サービスで利用しないこと。パスワードの内容も、名前や生年月日、電話番号等推察されやすい情報を使わないこと。また、大文字や小文字を混ぜる等も手軽に行える対策になります。

ID・パスワードが流出した事件が日常的に起こっている現在、自分自身の情報も守るためにも対策を行っていきましょう。



「情報化社会」とは

2014/09/30 18:25

「情報化社会」とは、情報システムが生活や企業活動に浸透し、利用出来る社会をいいます。
電車の自動改札やカード決済、パソコンや携帯電話でのメールの送受信等コンピュータを利用した情報システムはいまや日常に欠かせません。

また、情報が物質やエネルギーと同等の価値を有し、それらを中心として機能・発展する社会のことも指します。

情報化社会へと発展した今日、コンピュータウィルスやコンピュータへの不正アクセス等、企業や組織に重大な被害を与える事件が頻繁に起こっています。また、個人情報や機密情報等の漏洩や侵害も問題となっており、セキュリティ確保の対策が進められています。




パソコンやUSBストレージの廃棄時の注意

2014/09/29 17:51

古くなったパソコンやUSBストレージを廃棄する際は、保存されていた情報がここから漏れてしまわないか注意が必要です。

パソコンに関しては、平成15年10月1日から「資源有効利用促進法」により、メーカーによる自主回収・リサイクルが義務付けられました。また、地域によっては回収や引取りを行ってくれるところもあります。

パソコンを廃棄する際には、まず、データ消去を行いましょう。

データを消去するには、データ消去用のソフトウェアを利用したり、専門業者にデータ消去サービスを依頼する等の方法があります。組織内で手順とルールを確立するとよいでしょう。

USBストレージについても、パソコンと同じようにデータ消去を行いますが、それでも不安な時は、ドリルで穴を開けたり、ハンマーで壊す等物理的に破壊してから処分してください。大切なのは、中のチップを壊す事です。また、処分する際は、中が見えないような袋に入れる等工夫を行ってから処分してください。

また、CD、DVDなどの記憶媒体については、メディア専用のシュレッダで物理的に粉砕してから処分してください。




Androidスマートフォンの情報漏洩対策を

2014/09/26 17:34

スマートフォンは、電話機能だけではなく、持ち運びも容易な小型のパソコンといった使い方をされています。パソコンと同様にタブレットやスマートフォンは、ウイルス感染等のリスクが高まっています。
特にAndroidスマートフォンは多種多様のウイルスも発見されていますので注意が必要です。

大きさ自体は小さくてもパソコンと同じ様な使用法が出来るスマートフォンは、紛失した場合に多量の情報が漏洩し、大きなリスクがある事をしっかりと認識する事が大切です。

スマートフォンが被害にあった場合、起こりうる被害には「電話帳の流出」「GPSを用いた端末の位置情報の送信」「盗聴」など生活に密着した情報が流出する危険があります。

被害を防ぐために、スマートフォン本体に情報漏洩対策ソフト(アプリ)をダウンロードし、情報の保護を行ってください。

アプリによっては、盗難・紛失対策機能やアドレス帳情報漏洩防止機能、位置情報漏洩防止機能や画面情報流出防止機能等、様々な機能が搭載されています。

ご使用のスマートフォンに最適なアプリをダウンロードし、安全にスマートフォンをご利用ください。 


印刷物からの情報漏洩、どう防ぐ?

2014/09/25 17:33

2005年より施行された個人情報保護法により、企業の情報漏洩対策の導入は大幅に進みました。 しかし、利用者のうっかりミスや誤操作などといったヒューマンエラーにより情報漏洩事故は度々起こっています。

中でも、紙媒体からの情報漏洩はいまだに大きな割合を占めています。

印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまう。

また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。


印刷物からの情報漏洩抑止。防止するには?

1.特定のユーザーのみパソコンへログオン可能にする。

PCログオン時に本人認証を行えば、認証されたユーザー以外はPCにアクセス出来なくなり、不正に印刷される危険性が軽減されます。

2.印刷時にも、認証を導入する。

認証印刷を導入する事で、印刷物の受け取りをコントロールすることができ、印刷物の持ち去り、取り間違い、のぞき見などに起因する情報漏洩のリスクを軽減出来ます。


気軽に扱いやすい紙媒体だからこそ、まずは取り扱う量を減らし、リスクを最小限にするという点が重要になるでしょう。 






共通鍵暗号方式 / 公開鍵暗号方式

2014/09/24 18:04

共通鍵暗号方式
暗号化と復号化で同一の鍵を設定する暗号方法のこと。
秘密鍵暗号方式とも呼ばれます。

処理速度が速く、比較的扱いが容易である。
相手先ごとに固有の鍵を作成しなければならないこと、あらかじめ安全な方法で相手に鍵を渡さなければならないことから、限られた特定の相手とのやり取りに向いています。

共通鍵暗号には、大きく「ブロック暗号」と「ストリーム暗号」に分けられます。


公開鍵暗号方式
暗号化と復号化で、異なる鍵を設定する暗号方法のこと。

公開鍵暗号方式では、"暗号文を作成する鍵"と"暗号文を元に戻す鍵"の2つの異なる鍵のペアを作成する必要があります。

暗号化と復号化を同じ鍵で行う共通鍵暗号方式に比べ、数学的処理が多いため、処理時間を多く必要とする場合があります。

相手が複数でも、秘密鍵は1つなので広範囲の相手とのやり取りに向いています。




基本的な情報漏洩対策は、普段から意識する事

2014/09/22 18:00

基本的な情報漏洩対策は、普段から意識する事
 
日頃から出来る、何も特別な道具や設定がいらない情報漏洩対策です。
 
 ・社内で知らない人を見かけたら声をかける。
社内への立ち入り制限は行われていますか?
日頃見かけたことのない人がいたら声をかける等、関係者以外の立ち入りが無いよう確認しあいましょう。情報を盗まれてしまう恐れがあります。
 
 
・退社時や長時間席を離れる時は、机の上を片付ける。
ノートパソコンや書類・ファイル等は、 重要な情報が入っている可能性が高く、また持ち運びがしやすい事から盗難や紛失の恐れがあります。

特に、紙媒体の紛失・置忘れによる情報漏洩が数多く報告されています。
 
デスクから長時間離れる場合は、机の上のものを引き出しにしまう等、大切な情報を守りましょう。中でも重要な情報は鍵付の場所に保管する等、一目で見たり手に取ったり出来ない状態に保護する等工夫を行ってください。
 

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。 



情報リテラシーとは

2014/09/18 17:59

情報リテラシーとはコンピュータやネットワークを活用して、情報・データを管理、活用するための知識や能力のことを指します。

主に、コンピュータやソフト等の操作能力を指す事が多い。

近年は、インターネットの利用によりコンピューターから多くの情報を手に入れられる事から、目的にあった情報の検索・収集・整理等、情報の取り扱いに対する知識や能力が必要とされています。このような能力も含めて、情報リテラシー、またはコンピュータリテラシーと呼ばれることもあります。

本来、リテラシーとは「識字力=言葉を正しく読み書き出来る能力」を指しますが、現代では、情報リテラシーをはじめメディアリテラシーやコンピュータリテラシーといった新しいリテラシーがあると考えられるようになっています。


個人情報取扱事業者とは

2014/09/17 17:25

個人情報取扱事業者とは

個人情報保護法における個人情報取扱事業者とは、5,000件以上の個人情報を持つ情報データベースを事業として利用する事業者と定義されています。また、個人情報とは、氏名、生年月日、住所等のデータによって特定の個人を識別できる情報を指します。

ただし、国の機関や地方公共団体、独立行政法人等、その他政令で定められた者は除外されます。取り扱う個人情報が5,000件以下の小規模事業者についても、個人情報取扱事業者には入りません。


個人情報保護法では、以下の様に個人情報取扱事業者に対して義務付けています。

・利用目的の明確化
 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて取り扱ってはならない。

・利用目的の通知・公表
 個人情報を取得する場合には、利用目的を通知・公表しなければならない。利用目的に変更があった場合も通知・公表をしなければならない。

・個人情報の管理
 個人データを安全に管理し、従業者や委託先も監督しなければならない。

・第三者供与
 あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
 
・本人の関与
 本人の求めに応じて、そのデータの開示・訂正・利用停止を行わなければならない。
 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。


個人情報の関心が高まる中、法律の有無に関わらず、名誉や財産やプライバシーの問題につながる個人情報を如何に守るのか真剣に考える事が求められています。



スマートデバイス経由の情報漏洩対策

2014/09/16 18:02

持ち運びに便利なUSBデバイス(USBスティック,USB外付けHDD)に加え、
スマートフォンやタブレット端末からの情報漏洩も問題になっています。


USBデバイスの利用制限を行っている企業は多いと思いますが、スマートフォンの制限はまだ見落としがちです。

スマートフォンはUSBを利用して接続するので、USBデバイス制限でブロックが掛かるように思われますが、接続されたパソコンが、スマートフォンをUSBデバイスとしてではなく「WPD(Windows Portable Devices)」として認識する場合があります。

これでは、USBデバイスの接続制限を行っていても、WPDとして認識されてしまっているため、スマートフォンへのファイルのやり取りが行えてしまいます。

情報の持ち出しを防ぐために、まずは、スマートフォンのパソコンへの接続を禁止してください。
次に、もし接続された場合でも情報の持ち出しを防止するために、従来のUSBデバイスの接続制限に加え、WPD(Windows Portable Devices)の制限も行う必要があります。

外付デバイスを経由して情報が漏洩しない様、USBデバイスの制限に加えWPDの制限も行われているか担当者の方はご注意・ご確認ください。

※WPD(Windows Portable Devices)・・・
 携帯電話、デジタルカメラや携帯音楽プレーヤーなどのポータブルデバイスを指します。


データを持ち運ぶ際には暗号化を

2014/09/12 18:05

データの暗号化はなぜ必要なのか。
大切な情報を読み取らせないため。


パソコンやUSBストレージ(USBスティック、外付けHDD)の社外への持ち出しは、当然情報漏洩のリスクがつきものです。

しかし、業務上データの持ち出しが必要な状況は多少なりとも発生します。

万が一、持ち出したデータが盗難や紛失に遭い第三者に渡ってしまっても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

これから導入をお考えの方には、ユーザーの負担が少ない データ持ち出し時自動暗号化機能や、自動パスワード発行機能の付いたソフトがおすすめです。万が一に備え、日頃から持ち運ぶデータは暗号化を行えいましょう。


万が一に備えてログの取得を

2014/09/10 18:12

ログの取得は、情報漏洩事件が発生した場合の原因究明や事後の対策への重要な手がかりとなります。また日常では、情報持ち出しの抑止力として働きます。

個人情報保護法が2003年に成立し、様々な情報漏洩対策が行われる様になりました。
それに伴い、セキュリティ管理の対象は広くなり、状況を取得・確認出来るログ(通信・操作記録)が重要視されています。

デジタル化されたデータは、様々なルートで社外に流出する危険性があります。
データをメールに添付して送信。印刷して持出し。ファイルをコピーしUSBメモリーの様な外部メディアに保存したが紛失。


ログを取得していると、情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えます。

必要なログの種類や保存期間等、組織内で検討し適切なログ取得を行って下さい。
ログ収集を周知する事で、内部からの情報持ち出しの抑止力にもなりますので、この点からも情報漏洩対策の1つになります。


毎月9日はパソコン救急の日

2014/09/09 17:36

パソコン救急の日

毎月9日は、セキュリティソフトで知られるトレンドマイクロ株式会社が設定したパソコン救急の日です。パソコンユーザーに月1回以上のセキュリティチェックを促すのを目的に定められました。

コンピュータウィルスは、コンピュータに被害をもたらす不正なプログラムの一種です。

コンピュータ内に保存されているファイルを破壊・改変したり、他のコンピュータにも感染させたりといった挙動を行います。最近問題になっているのは、遠隔操作を可能とした悪質なウイルスです。

ウイルスは悪質なサイト等で配布されたり、メールに添付されていたり、USBメモリースティックに潜んでいたりと、様々な経路でコンピュータに侵入してきます。

悪質なサイトに接続する可能性のある迷惑メールに注意する、不審なメールの添付ファイルを開かないなどの対策を行ってください。

ウイルスに感染しないために
・ウイルス対策ソフトを導入する。
・ソフトウェアを最新の状態にする。更新する。
・怪しいサイトやメールに注意する。



情報セキュリティ EXPO【秋】

2014/09/08 18:36

情報セキュリティ EXPO【秋】が
2014/10/29(水) ~ 31(金)に幕張メッセで開催されます。


情報セキュリティEXPO(IST)は、情報セキュリティ対策のあらゆる製品が一堂に出展する専門展です。
毎年多数の企業の各企業のリスク・セキュリティ 管理部門、情報システム部門、経営・経営企画部門、監査部門、法務部門の責任者ならびに担当者が来場し、出展企業と活発な商談・受注を行っています。

■出展社の対象製品・サービス
  • 不正侵入、標的型攻撃対策
  • 情報漏えい・内部アクセス対策
  • IT資産管理
  • 認証・暗号化
  • コンサルティング
  • 物理的セキュリティ
  • 詐欺、改ざん、盗聴対策
  • モバイルセキュリティ
(情報セキュリティ EXPO【秋】サイトより引用)


情報セキュリティ EXPO【秋】
http://www.ist-expo.jp/ja/Home_AKI/

【会期】2014年 10月29日(水)~10月31日(金) 10:00~18:00
【会場】幕張メッセ

【同時開催】
  • 第5回 クラウド コンピューティングEXPO【秋】
  • 第4回 情報セキュリティEXPO【秋】
  • 第4回 Web&モバイル マーケティング EXPO【秋】
  • 第4回 スマートフォン&モバイルEXPO【秋】
  • 第3回 データセンター構築運用展【秋】
  • 第3回 ビッグデータ活用展【秋】
  • 第2回 通販ソリューション展【秋】




セキュリティにちなんだ作品。今月のお題は「危機管理」と「月」。

2014/09/05 18:14

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
9月のお題は「危機管理」と「月」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る Email officejnsa.org 件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html



不正アクセス/アクセス権限/ファイル共有ソフト

2014/09/04 18:15

不正アクセス
不正アクセスとは、利用する権限を与えられていないコンピュータに、不正に接続する事をさします。
コンピュータ内への侵入(侵入行為)や、持ち主に代わって利用したりする(なりすまし行為)事も不正アクセスに含みます。
不正アクセスによる被害が急増した事を背景に、不正アクセス禁止法が施行されました。

アクセス権限
コンピュータのユーザー(利用者)に与えられた、プログラムの実行や、ファイル・フォルダの閲覧、追加、変更、削除などをできる権限のこと。
企業や組織などでは、データの重要性に応じて、ユーザーによって異なるアクセス権限を設定したりします。また、管理者ユーザーはすべてのユーザーに影響を与えるような変更を行える権限を持ちます。
       
ファイル共有ソフト
ファイル共有ソフトとは、インターネットを通じて、複数の利用者でファイルのやり取りや共有を可能にしたソフトウェアをさします。ファイル交換ソフトとも呼ばれています。利用者にとっては便利なソフトですが、映画や音楽等違法なファイルがやり取りされ、著作権を侵害される用途に使われる事が多いため、大きな社会問題のひとつとなっています。


   
   
 


スマートデバイスの情報漏洩対策

2014/09/02 18:11

デジカメやスマートデバイス(タブレット端末やスマートフォン)
本来の用途に加え、記憶メディアとして便利ですが、情報漏洩のリスクが懸念されます。



■制御したいデバイス例
制御できるデバイス例


日本ネットワークセキュリティ協会(JNSA)の調査によると、
「USB等可搬記録媒体」からの情報流出が全体の4分の1を占めています。

この「USB等可搬記録媒体」の中には、デジカメやスマートフォンも含まれます。
USBストレージは制限していても、デジカメやスマートフォンに関してセキュリティポリシーを策定しているところはまだ少ないのではないでしょうか。

社内での使用を禁止するだけでは各自の判断任せになりますので、スマートデバイスも制御できるソフトの導入を検討しましょう。特に、スマートフォンやタブレット端末は便利な分、情報漏洩のリスクも大きくなりますので早急に対応を行ってください。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整えましょう。

参考:
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf



スマートフォンからの情報漏洩を防ぐ

2014/09/01 17:22

スマートフォンにも
情報漏洩対策アプリの導入を


スマートフォンは、電話機能だけではなく、持ち運びも容易な小型のパソコンといった使い方をされています。

企業によっては、社内への持込やパソコンへの接続を禁止する等 セキュリティポリシーが定められているところもありますが、特に定めのない企業では、多量の情報を蓄積できる便利なデバイスとして使用されているのが現状です。

大きさ自体は小さくてもパソコンと同じ様な使用法が出来るスマートフォンは、紛失した場合に多量の情報が漏洩し、大きなリスクがある事をしっかりと認識する事が大切です。

スマートフォンからの情報漏洩を防ぐには、そもそも重要な情報を保存しない事が一番ですが、持ち運び用のデバイスとして使用されている場合には、スマートフォン本体に情報漏洩対策ソフト(アプリ)をダウンロードし、情報の保護を行う必要があります。

アプリによっては、端末情報漏洩防止機能やアドレス帳情報漏洩防止機能、位置情報漏洩防止機能や画面情報流出防止機能等、様々な機能が搭載されています。

ご使用のスマートフォンに最適なアプリをダウンロードし、安全にスマートフォンをご利用ください。


記憶媒体の紛失・置忘れに注意

2014/08/28 17:32

情報漏洩は身近なところに
記憶媒体の紛失・置忘れに注意

情報漏洩事件のニュースは多く流れていますが、あまり身近な話では無いとお考えかもしれません。

しかし、実際に起きている事件は、「個人情報が印刷された書類を置き忘れた」「取引先の連絡先やファイルが保存されたスマートフォンを紛失した」等、とても身近な所で起こっています。

特に、仕事熱心のため自宅に仕事を持ち帰る場合や、客先での打ち合わせのために資料を持ち運ぶ際に漏洩・紛失してしまう事が多い様です。

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。


■情報持ち出しの可能性がある記憶媒体
USBメモリースティック、外付けHDD、USB接続型のその他大容量記憶媒体、SDカード、デジタルカメラ、携帯電話、スマートフォン、タブレット端末、携帯音楽プレーヤー、CD・DVD、MO、フロッピーディスク
stop03.gif




大学生からはじめる新資格「DCA」

2014/08/27 17:59

大学生からはじめる新資格「DCA」

インターネットを安心・安全に利用するための態度や知識、技能を身に付けることを目的としたデジタルコンテンツアセッサ(以下DCA)資格制度が、2014年4月より開始されました。

DCAは、一般社団法人インターネットコンテンツ審査・監視機構(以下I-ROI)が開発した資格です。スマートフォンやタブレット端末が急速に普及していく中、必要となってくるプライバシーや情報セキュリティ等の知識を身につけられる内容になっています。

3級から1級までの段階があり、3級はユーザ向けの基礎知識、2級は特定サーバー管理者などのための実務知識、1級はコンサルタントやインストラクターを務めることができる高度な能力が認定されます。インターネットを扱う学生や社会人を対象としていますが、まずは大学から導入がはじまっています。

企業でも、SNSの公式アカウントを運営されている担当者には魅力的な資格の様に見受けられますので、社会人へ導入される日が期待されます。

・DCA(デジタルコンテンツアセッサ)
 http://www.dca-qualification.jp/
・I-ROI(一般社団法人インターネットコンテンツ審査・監視機構)
 http://www.i-roi.jp/


ISO 20000 / ISO 27001

2014/08/26 17:25

ISO20000

ISO 20000は、ITサービスを提供している企業が、サービスの内容やリスクを明確にすることで、ITサービスの継続的な管理、高い効率性、継続的改善を実現するための国際規格です。

企業がビジネスに関わるITサービスを有効的に運用する上で実現すべき項目をまとめた業界標準、ITサービスマネジメントを規格化した第三者認証制度のことをさします。


ISO 27001(情報セキュリティ・マネジメント)

ISO 27001は、組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格です。

情報の機密性・完全性・可用性の3つをバランスよくマネジメントすることで、企業は保有する情報資産を有効に活用することができます。

ISO27001を取得している企業は、情報セキュリティ対策について組織的に取り組まれていることを示します。

情報セキュリティ・マネジメントを実施している事で
重要な情報の取扱う業者を選定する一つの目安になるでしょう。




知識を資格にする

2014/08/25 17:42

情報セキュリティが大切な事はよく分かっていても、どこから手をつけたらいいのか悩んでいる担当者の方も多いかと思います。
そんな時には、セミナーに足を運んだり、資格に挑戦するのも良いでしょう。

情報セキュリティ初級認定試験とは
情報セキュリティに関する知識として要求される範囲は年々広がっています。
従事する業務により、求められるスキルも多種多様となっております。しかも、こうした傾向はこれからも一層強まることは確実です。

情報セキュリティを考える上で、断片的な知識に留まらず、ITが必須となっている現代を生きる上で、業種・業務を問わず全ての社員が理解を深める必要があります。

本試験は企業ニーズに即して、個人レベルで身に付けるべき概要を網羅する内容となっており、問われる知識は情報セキュリティ対策に関する基本的概念から、情報を保有する脅威と求められる対策、ソフト/ハードの両面の基本知識が問われます。
一般従業員・ユーザーレベルの情報セキュリティに関する基本を理解していることを認定します。(全日本情報学習振興協会HPより引用)

情報セキュリティ初級
http://www.joho-gakushu.or.jp/isb/





情報公開の範囲は適切ですか

2014/08/22 17:24

インターネットサービス利用から、情報漏洩が発生した例

紛失・盗難、不正アクセス等、情報漏洩の経路はいくつも考えられます。
最近では、便利なインターネットサービスを利用する事で起きる情報漏洩も出てきました。

Googe社のインターネットサービス「Googleグループ」や「Facebook」に代表されるSNSを利用する際、公開の範囲が不適切で情報が漏れてしまう事故が発生しています。


以下はIPA(独立行政法人情報処理推進機構)からの呼びかけです。
複数人と共有でき便利なインターネットサービスは魅力的ですが、今一度、公開範囲の見直しを行い情報が流出していないか確認を行ってください。

IPA「 インターネットサービス利用時の情報公開範囲の設定に注意! 」
http://www.ipa.go.jp/security/txt/2013/10outline.html


人的対策とは

2014/08/21 18:00

情報セキュリティ対策における人的対策とは

人的なセキュリティ対策とは、ルールやポリシーを作成し、それを運用する人に対して啓発、教育、訓練等を行いリスクの発生を最小限に抑える事を指します。

具体的な方法としては、社内規定やプライバシーポリシーを策定し、また、何のために対策が必要かという理解を持てるような機会を設けるのが一般的です。

■具体例
・不正行為・不正開示の防止
・セキュリティポリシーの策定
・社員教育の実施
・情報取り扱い時のルールを設定
・メール使用やWeb閲覧時の基本的な心構えの教育
・情報漏洩が発生した場合の対応を設定

情報セキュリティに関する教育は、全社員(派遣社員、アルバイトを含む)を対象とします。これは、情報セキュリティに関する規定の周知徹底のためです。
年初や配属変更時等、区切りとなる時期に行うのが良いでしょう。




技術的対策とは

2014/08/20 18:06

情報セキュリティ対策における技術的対策とは

技術的対策とは、情報資産をウイルスや不正アクセスから保護するため、ウイルス対策や暗号化等ハードウェアとソフトウェアの両方から行なうセキュリティ対策をさします。

技術的対策は非常に効果がありますが、技術の進歩により新たな抜け道を発見されたり、未対応であったりと他の対策に比べ頻繁な見直しが必要とされます。

■具体例
・パソコンへのログインID・パスワードの管理
・ファイアウォールの設定
・侵入検知システムの導入
・ウイルス対策ソフトの導入
・認証システム
・外部媒体への書き込み禁止
・ログ管理
・web閲覧制限
・アクセス権限の管理

「技術的対策」という言葉から難しく聞こえますが、パスワードを付箋にメモしてモニターに貼らないことや、実行形式のファイル(.exe)が添付されたメールの送受信の禁止等、一度は聞いた事のあるような例もこの技術的対策にあたります。
難しいと敬遠せず、少しずつ取り入れるよう工夫してください。








物理的対策とは

2014/08/13 17:48

情報セキュリティ対策には、いくつかの対策があります。
一般には、物理的対策、技術的対策、人的対策の3つです。


物理的セキュリティ対策とは

情報漏洩対策として、最初に必要と思われるのが物理的なセキュリティ対策です。

媒体や機器が「盗難」「紛失」(「壊れる」)といった事象に備えます。

よく耳にする言葉に変換すると、「防犯」「入退室管理」「ドアや棚の施錠」「監視カメラ」といった日頃の業務で何気なく行っている事が物理的なセキュリティ対策にあたります。

■具体例
・入退の日付、時刻を記録する。
・IDカード等の認証システムの導入。
・暗証番号錠、ICカード、生体認証等の施錠管理。
・社員、訪問者の証明書等を常時表示する。
・重要な部屋・場所(セキュリティエリア)への立ち入りは、必要最小限にする。

セキュリティエリアというと、施錠が必要な部屋といった厳重なイメージもありますが、実際には、ここから部外者立ち入り禁止といった区切っただけのスペースでも問題ありません。ただ、その場合には目線より高いパーテーションを設置する等の工夫を行ってください。

物理的セキュリティは、設備の導入が必要になる面もあり費用負担のある場合も多いですが、少しの工夫で現状より高セキュリティな環境へと変更する事が出来ます。ぜひ、身の回りをもう一度見直してみてください。




ウィットに富んだセキュリティを

2014/08/12 17:31

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
8月のお題は「流出」と「台風」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る Email officejnsa.org 件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html



情報セキュリティポリシー

2014/08/11 18:10

情報漏洩の原因は、内部の人間による持出しや操作ミスなど内部要因が多くを占めています。 

デジタル化されたデータは、USBによる持ち出しやメールへの添付、印刷物の持ち帰り等、様々なルートで社外に流出する危険性があります。

出来る限りリスクを排除するために、書類の持出し禁止やUSBストレージの使用禁止等、組織にあったセキュリティポリシーを策定してください。

 【情報セキュリティポリシー】例
  1.CD・DVDの使用禁止
  2.メモリカード(SD、メモリースティック)の使用禁止
  3.携帯電話、スマートフォンの持込禁止
  4.USBストレージの使用禁止
  5.ファイルをメールで送信する際は暗号化を施す
  6.プリンタはネットワークプリンタのみ(ローカルは禁止)
  7.webの閲覧制限
  8.管理のための操作ログ取得
  9.ウイルス対策
  10.書類の持ち出し禁止
  11.書類破棄時はシュレッダー裁断(破砕)を義務化
  12.入退室管理
  13.IDパスワード等、個人権限の貸借禁止




楽しく情報セキュリティの理解を

2014/08/08 17:46

知っておきたい情報セキュリティ
「理解度セルフチェック」


NPO日本ネットワークセキュリティ協会様が「理解度セルフチェック」を提供しています。

情報セキュリティ理解度セルフチェックとは?
今日、パソコンやインターネットは社会の至るところに浸透し、私たちの生活になくてはならないものとなってきています。

一方で、利用者がコンピュータウイルスに感染したり、不正アクセスやプライバシー侵害等の脅威に直面する危険性も増してきています。

安全・安心にインターネットを利用するためには、技術面の対策だけではなく、利用者一人一人が情報セキュリティについて理解を深めることが不可欠になっていると言えます。
こうした状況をふまえ、情報セキュリティの理解度を確認していただけるよう、情報セキュリティに関する知識を自己診断できるセルフチェックサイトを開設いたしました。(「理解度セルフチェックサイト」より引用)


IT技術が発達し、パソコンでファイル作成・データ管理が出来るようになったことは、私たちに大きなメリットをもたらしてくれましたが、ITを取り巻く環境も大きく変化する中、情報漏洩を防ぐためには何が必要なのか普段から意識する事が大切です。


理解度セルフチェック(NPO日本ネットワークセキュリティ協会)
http://slb.jnsa.org/slbm/
理解度セルフチェック 管理者機能付(NPO日本ネットワークセキュリティ協会)
http://slb.jnsa.org/eslb/


持ち歩きに便利なスマートフォンやタブレット端末

2014/08/07 17:34

スマートフォンやタブレット端末が
ビジネスシーンへ浸透し始めました。


パソコンは、セキュリティポリシーによって社外持出し不可と定められているケースが多く見受けられますが、持ち歩く事を前提としてつくられたタブレット端末や電話機能のついているスマートフォンは、持ち出し、持ち込みともに自由なのが現状となっています。

持ち運びも容易で便利な反面、紛失・盗難といったリスクに常にさらされています。
大きさ自体は小さくても、パソコンと同じ様な使用法が出来るスマートデバイス(スマートフォン、タブレット端末)は、多量の情報を蓄積しているのです。紛失した場合のリスクが大きい事を、しっかりと認識する事が大切です。

対策としては、持ち歩くデバイスですから、情報を社内から持ち出さない(スマートデバイスには保存しない)様にする。もしくは、持ち出しても第三者には読み取られないように対策を行う必要があります。

「スマートデバイス制御機能」もしくは「WPD機器制御機能」や、デバイス自体にログインする際に高度なログイン方法を必要とする、ファイル自体に暗号化をかける等、それぞれに適した対応を模索し、検討しましょう。


情報漏洩に備えた保険

2014/08/06 18:15

情報漏洩が起こると
どのような費用が発生するのか。


情報漏洩事件が起こると、弁護士費用や謝罪会見・広告等が必要になります。もし、損害賠償が発生した場合は、1件あたりの額が小さくとも被害者の数によっては多額の費用となります。

また、技術情報が漏洩した場合、類似品の発生からくる売り上げ減少、株価下落等も考えられます。

日本商工会議所では、会員事業者に向けて「情報漏えい賠償責任保険制度」があります。平成17年4月に「個人情報保護法」が施行されたことに伴い、商工会議所会員事業者の法への対策支援および負担軽減を目的につくられました。

漏洩が起こらないのが一番ですが、万が一に備え保険の確認も必要かもしれません。

個人情報漏えい賠償責任保険制度
http://www.jcci.or.jp/hoken/kojin.html


情報持出し時には、データの暗号化を

2014/08/05 17:25

パソコンやUSBストレージが盗難にあったり紛失した場合
暗号化されていれば読み取られる危険性低くなる。


パソコンやUSBストレージ(USBスティック、外付けHDD)の社外への持ち出しは、当然情報漏洩のリスクがつきものです。しかし、業務上データの持ち出しが必要な状況は発生します。

パソコンやUSBストレージが盗難にあったり紛失した場合による情報漏洩は、社員それぞれの注意や頑張りだけでは防げません。

万が一、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

また、暗号化時にパスワードを設定する場合は、アルファベットと数字や記号などを混合し、簡単には推測できない複雑なパスワードを設定して下さい。他人には一見、理解出来ない文字列にしたり、忘れにくい文章を設定するのも良いでしょう。

これから導入をお考えの方には、データ持ち出し時に、自動で暗号化やパスワードの設定が行われるものがユーザーの負担も少ないのでおすすめです。万が一に備え、データの暗号化を行える体制を整えましょう。 


早い段階から情報セキュリティへの関心を

2014/08/04 19:39

NRI セキュアテクノロジーズ株式会社様が
情報セキュリティに興味がある学生を対象に、「SANS NETWARS Tournament 2014」を開催します。

SANS NETWARS Tournament 2014とは、
最先端の情報セキュリティのトピックと世界基準のセキュリティトレーニングを体感してもらい、また、情報セキュリティへの関心を深めてもらうことを目的としたイベントです。

■開催日時: 2014年8月30日(土)10:00~20:00、31日(日)10:00~17:00
        (2日間とも参加いただく必要があります。)
■開催場所:秋葉原UDX ギャラリーNEXT 外部リンク (秋葉原UDX 4F)
■実施内容 : 情報セキュリティに関するトレーニング(1日目)
         NETWARSトーナメント(2日目)
■参加資格: 情報セキュリティに興味がある学生
■参加費: 無料
■募集人数: 100名(予定数。応募者多数の場合は抽選となります)   
■特典 1: NETWARSトーナメントで優秀な成績をおさめられた方3名を11月開催「SANS Tokyo 2014 外部リンク」で実施するトレーニングに招待します。
■特典 2: NETWARSトーナメント優勝者には、JNSA主催のSECCON 2014 外部リンク全国大会の出場権を提供します。


NRI セキュアテクノロジーズ株式会社
SANS NETWARS Tournament 2014
http://www.nri-secure.co.jp/event/2014/netwars.html


スマートデバイスの制御

2014/08/01 18:02

タブレット端末やスマートフォンは
便利だが、情報漏洩のリスクが大きい。


情報漏洩の約8割は内部に原因があります。

USBスティック等は制限していても、
デジカメやスマートフォン、タブレット端末に関しての対策はどうでしょうか。

セキュリティポリシーとして使用を禁止するだけでは、各自の判断任せになります。
内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事が大切です。可能ならば、デジカメやスマートフォンといったスマートデバイスも制御できるソフトの導入を検討しましょう。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整える必要があります。


※デジカメやスマートデバイスを
 制御する設定は、デフォルトの状態では出来ません。
 「スマートデバイス制御機能」、もしくは「WPD機器制御機能」を持ったセキュリティソフトを導入してください。


参考:
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf


情報セキュリティ国際会議CODE BLUEが開催されます

2014/07/31 17:38

情報セキュリティ国際会議CODE BLUEとは
CODE BLUEは、世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議です。2014年12月18日(木)~12月19日(金)に東京で開催されます。

前回(2013年)は、ネットワーク家電や自動車セキュリティの現状、セキュリティバリアデバイスについての講演が行われ、国際社会への発信が行われました。

最新の情報セキュリティを発表する場ですので、身近に感じるのは難しいかもしれませんが、最先端の技術へ触れるチャンスです。

情報セキュリティ国際会議CODE BLUE
http://codeblue.jp/2014/

前回(2013年度)
http://codeblue.jp/2013/


被害にあったら専門機関へ相談を

2014/07/30 17:51

個人情報が漏洩して
具体的な被害にあったらどうしたら?


個人情報漏洩による被害で直接影響を受けやすいのが、迷惑メールや郵送や電話による広告・セールス等です。

また、悪質なケースとして、架空請求やクレジットカードが悪用される等、不安をかきたてられたり実際に被害を受けてしまうこともあります。

そんな時には、落ち着いて専門機関に相談しましょう。


【相談のできる専門機関

・情報セキュリティ安心相談窓口(IPA(独立行政法人情報処理推進機構))
 http://www.ipa.go.jp/security/anshin/
・迷惑メール相談センター(財団法人日本データ通信協会)
 http://www.dekyo.or.jp/soudan/denwa/index.html#index3
・インターネット安全・安心相談(警察庁)
 http://www.npa.go.jp/cybersafety/
・都道府県警察本部のサイバー犯罪相談窓口等一覧(警察庁)
 http://www.npa.go.jp/cyber/soudan.htm 
・法テラス
 http://www.houterasu.or.jp/
・消費者ホットライン(消費者庁)
 http://www.caa.go.jp/region/index.html#m04
 




認証 / ハッキング / クラッキング / プライバシーマーク(Pマーク)

2014/07/29 17:25

認証
利用者が本人であるかどうかを確認を行うこと。
ユーザ名とパスワードの組み合わせを使って、コンピュータを利用しようとしている人が本人かどうかなどを確認すること。

ハッキング
コンピュータシステムやネットワークの動作の解析を行うこと。
他人のシステムを不正な手段で操作したり不正に機密情報を入手することをさす場合もある。(=クラッキング)

クラッキング
コンピュータネットワークに繋がれたシステムへ不正に侵入したり、システム上またはネットワーク上で権限を越えた行為を意図的に行うこと。多くはインターネットなどのネットワークを通じて外部から侵入し、不正を働いたり、システムを破壊・改ざんなどが行われる。

プライバシーマーク(Pマーク)
個人情報保護の適切な保護措置体制を整備している事業者を認定する制度のこと。プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定します。


親子で学ぶセキュリティ

2014/07/28 18:00

インターネットを使う生活が当たり前になった近年、子供のうちからインターネットに慣れ親しみ、また危険性をよく知っておく事が大切です。トレンドマイクロ様が開催する夏休みのイベントがとてもためになりそうです。

「トレンドマイクロ 夏休みセキュリティ教室」
2004年から毎年開催されており、今年はタブレット端末を実際に使って、
親子で「インターネットで気をつけること」を考え、学びます。

(会場は、東京・名古屋・大阪・広島・福岡。)

■トレンドマイクロ
親子で学ぼう!夏休みセキュリティ教室2014
http://www.trendmicro.co.jp/jp/seminars/articles/20140616014752.html





暗号化 / 復号化 / なりすまし / 情報モラル

2014/07/25 18:00

暗号化
ファイル形式を変換し、第三者がファイルを閲覧できないようにすること。

復号化
暗号化されたデータを読めるように変換すること。

なりすまし
システム上またはネットワーク上で、他人のユーザIDやパスワードを盗用し、別人のふりをして不正行為を行うこと。

情報モラル
モラルとは『(1)道徳。倫理。習俗。(2)道徳を単に一般的な規律としてではなく、自己の生き方と密着させて具象化したところに生れる思想や態度。』(広辞苑)の事。したがって、情報モラルとは、情報社会で適正な行動を行うための基礎となる考えかたや態度のことをさします。的確な判断が出来る事は危険回避能力の向上にも繋がります。
近年はソーシャルメディアの発達により、情報モラルの重要性が問われています。


個人情報保護法とは

2014/07/24 17:52

個人情報保護法とは

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として制定されました。2005年4月より全面施行。

定められた個人情報の具体的な扱いについて

・個人情報を集める際には、目的を告知する
・適正な取得を行う(本人の同意を得る)
・情報を安全に取り扱う(流出や盗難、紛失を防止する)
・透明性の確保(本人が閲覧可能なこと、本人に開示可能であること、個人情報が事実と異なる場合、訂正や削除に応じる こと)

この法律が立案された背景には、パソコンやインターネットの発達によって、大量の個人情報を蓄えたり、利用可能になったことがあります。

まずは、情報の取り扱いについて、個人情報保護法について改めて確認を行ってください。
下記サイトは、法律に関する質問やパンフレットなど関連資料が多数掲載されています。

■総務省 
行政機関・独立行政法人等における個人情報の保護のよくある質問
http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/question.html

■消費者庁
個人情報の保護
http://www.caa.go.jp/planning/kojin/index.html





個人で出来る情報漏洩対策

2014/07/22 18:34

個人で出来る情報漏洩対策
トラブルから個人情報を守るために、自分で行える対策もあります。ちょっとした事ですが、ぜひ実践してみてください。

■パソコンの廃棄・譲渡の場合には、データ抹消ソフトの使用を。
ファイルをゴミ箱に入れて削除したりハードディスクをフォーマットしても、データ復元ソフトを使用するとファイルが復元され、個人情報(銀行の口座情報やクレジットカード番号など)が読み取られる恐れがあります。パソコンの廃棄・譲渡の場合にはデータ抹消ソフトを使用してください。

■懸賞応募、アンケートへの協力の際は必要以上の情報記入に気をつける。
個人情報を必要以上に書き込むと、多数の迷惑メールが送られてきたり、個人情報の売買が行われる恐れがありますので気をつけましょう!

■情報送信時には暗号化されているか確認を。
ウェブサイトで個人情報を送信する際は、通信が暗号化されているか確認しましょう。
ブラウザの上部に鍵マークが表示されている事を確認し、それから送信を行ってください。

■SNSやブログへ個人情報は記載しない。
SNSやブログは、多くの人が閲覧出来ます。トラブルを未然に防ぐ為、個人情報の書き込むには注意しましょう。

■どのような情報を登録しているか把握しておく。
オンラインショッピングサイトにクレジットカード情報を登録しているのならば、トラブルが起きてもすぐにカードの停止が行える様、登録してるカードをおぼえておく必要があります。また、もう利用しないサービスがあったら、忘れずに退会処理を行い個人情報を削除してください。




スマートフォンの管理は出来ていますか

2014/07/18 17:52

データの保存や受け渡しを簡単に行える便利な機器類や、業務上必要になる紙媒体の出力。
情報持出しの可能性のある記憶媒体は数多く存在します。

スマートデバイス制御機能

USBストレージ(USBメモリ、外付けHDD)の制限を行っている企業は年々増えていますが、それに加えて、誰もが持っている携帯電話やスマートフォン(iPhone・Androidフォン)、デジタルカメラ等の制限も必要に迫られています。

特に、スマートフォンは、従来の電話としての用途に加え、持ち歩き可能な便利な情報端末として利用されています。この事から、スマートフォンもUSBストレージと同様に、パソコンで使用出来ない・もしくは登録したUSBのみ使用可能とする設定を行ってください。

また、盗難・紛失に備えて、保存するデータは暗号化する等のセキュリティ対策が必要です。




情報漏洩は内部要因が多くを占める

2014/07/17 17:16

内部セキュリティの強化が必要

情報漏洩の約8割は内部に原因があります。

近年の情報漏洩事件における原因の多くは、ウイルスやハッキングなど、外部に原因があるのではなく、誤操作や設定ミス・紛失など、内部要因が多くを占めています。

sec_20140609.png


内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事です。

書類の持ち出し禁止、CD・DVDの使用禁止。携帯電話やスマートフォンの持ち込み禁止。ファイルをメールで送信する際には暗号化を施す等、組織に必要だと思われる対策を行う必要があります。

情報を持ち出すのに便利なCDやUSBストレージ、スマートフォンなど、ITを取り巻く環境も大きく変化する中、情報漏洩を防ぐためには何が必要なのか普段から意識する事が大切です。

JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html




学校情報セキュリティの重要性

2014/07/14 17:46


近年は、小学校からICT教育が推し進められ、タブレットパソコンを利用しての授業や家庭での予習復習を含め、教育の現場にICT端末が日常的に利用されるようになってきました。

そのICT教育を進めていく学校の先生方も、生徒の名前・住所・成績等、重要な個人情報を扱っていますので、ぜひ情報セキュリティの必要性を考えていただけたらと思います。そんな学校の先生方対象の情報セキュリティお助けサイトもいくつか登場しています。

その中のひとつ、ISEN運営の「今日もワンステップ」では、日常に潜む危険チェックシートをイラストで紹介していたり、先生向けの情報セキュリティ啓発ポスターが用意されていたりと、少しの時間で学べたり、研修用の資料が用意できる便利なサイトです。

また、学校関連の情報セキュリティ事故ニュースを配信していますので、実際にどのような情報漏洩事件が起きているのか確認し、自分に置き換えて考えると今後の対策にいかせるでしょう。



学校の先生方向けに、情報セキュリティの大切さと、ICT利活用促進のための情報を提供するサイト。

学校情報セキュリティお役立ちWeb
今日もワンステップ!
http://school-security.jp/




個人情報漏洩保険

2014/07/11 18:07

情報漏洩が起こった場合、どのような状況になるのか。
どのような費用が発生するのか。


情報漏洩事件にさらされる代表的な情報に、「技術(機密)情報」「顧客(個人)情報」が上げられます。

「技術情報」の漏洩は、企業の重要資産である技術そのものやノウハウが流出する事により、類似品の発生からくる売り上げ減少、株価下落等を引き起こし、「顧客情報」の漏洩は、損害賠償(慰謝料)の支払い等が発生します。

情報漏洩事件が起こると、弁護士費用や謝罪会見・広告等が必要になりますし、損害賠償は1件あたりの額が小さくとも、被害者の数によっては大きな費用となります。

情報漏洩によって多額の費用が必要になる事から、個人情報漏洩に対する保険も登場致しました。補償内容は各社によって違いますが、万が一に備え、保険も確認しておくとよいでしょう。


IPA独立行政法人 情報処理推進機構様の「IPA Channel」

2014/07/10 16:52

IPA 独立行政法人 情報処理推進機構様 が、 情報セキュリティに関する脅威や対策などを学べる映像コンテンツを、YouTube内の「IPA Channel」を通じて公開しています。

様々な脅威を映像で分かりやすく確認できます。新入社員もベテラン社員も興味深くご覧になれるかと思います。

3つのかばん -新入社員が知るべき情報漏えいの脅威-


IPA 映像で知る情報セキュリティ ~映像コンテンツ一覧~
http://www.ipa.go.jp/security/keihatsu/videos/index.html




第36回 個人情報保護士認定試験

2014/07/09 17:28

年々高まる情報管理の重要性と、増加する情報漏洩事件
情報漏洩を防ぐための知識を身につけるチャンス

全日本情報学習振興協会主催の「第36回 個人情報保護士認定試験」が平成26年9月14日(日)に開催されます。

申込期間は5月21日(水)~8月6日(水)、各地に試験会場があります。

個人情報保護法の理解と有効活用、安全確保のエキスパートを認定する「個人情報保護士」。

個人情報の適切な管理と意識の向上が図れます。


個人情報保護士認定試験
http://www.joho-gakushu.or.jp/piip/piip.html




情報セキュリティ

2014/07/07 18:04

企業の資産とは、業務の過程で生み出される価値あるものをさします。

資産には、不動産や製品など、形として現されるものもあれば、、顧客情報・技術情報・財務情報など、明確な形をとらないものもあります。
これらの情報の事を情報資産と呼び、それが外部に漏れる事の無い様、守る必要があります。

  【情報セキュリティポリシー】例
  1.CD・DVDの使用禁止
  2.メモリカード(SD、メモリースティック)の使用禁止
  3.携帯電話、スマートフォンの持込禁止
  4.USBストレージの使用禁止
  5.ファイルをメールで送信する際は暗号化を施す
  6.プリンタはネットワークプリンタのみ(ローカルは禁止)
  7.webの閲覧制限
  8.管理のための操作ログ取得
  9.ウイルス対策
  10.書類の持ち出し禁止
  11.書類破棄時はシュレッダー裁断(破砕)を義務化
  12.入退室管理
  13.IDパスワード等、個人権限の貸借禁止

国をあげて、情報セキュリティについての対策をすすめています。
総務省「国民のための情報セキュリティサイト」は内容も豊富でとても分かりやすく記されています。

これから対策を行う企業、更に対策を強化したい企業のどちらもお勧めいたします。


総務省国民のための情報セキュリティサイト
企業・組織の対策
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/index.html




すぐに出来る情報漏洩対策

2014/07/04 17:38

企業の事務所内には、顧客情報や開発中の製品情報、社内での会議資料等、情報資産が様々な場所に存在しています。
事務所内にあるから安心というわけではありません。注意して情報資産を取り扱いましょう。


・机の上
常に、机の上の整理整頓を行いましょう。
個人の机や会議に使用した机も含め、機密情報を印刷した書類やCD・USBメモリー等、目に付く場所に放置せず情報の紛失を防ぎましょう。もちろん、見た目にも好ましいものです。

・パソコンにロックをかける
パソコンから離れる場合、ディスプレイに情報が表示されたままにしない。
また、他人に操作されないようロックをかけてください。

それには、「システムをログオフする」、「画面のロックを行う」等、離席時に何かしら対策を行ってください。。
また、電源オプションやスクリーンセーバー等、その他セキュリティソフトを導入するなど、自動的に画面をロックを行う様設定するのは、情報漏洩対策にとても有効です。。




パソコンからの情報漏洩対策。はじめにする事は?

2014/07/03 18:02

認証されたユーザーのみログオン可能にする

まずは、大切なデータが保存されているパソコンを守るため、パソコンにパスワードをかけます。

一般的に利用されているパソコンへのログオン方法は、ID・パスワードを入力してパソコンにログオンする方法です。

そこから、もう一歩進んでパソコンログオン時に本人認証を行えば、認証されたユーザー以外はPCにアクセス出来なくなり 簡単・安全にセキュリティをアップさせる事が出来ます。

弊社のPCセキュリティウェア「おくとパス」を使用すると、更に、ログオン・ログオフ情報をログとして記録し、いつ誰が利用したかを管理できます。

ログオンエラーの情報も記録する為、 不正なログオンを試みた等の疑わしい行為の形跡も残すことができます。



■PCセキュリティソフトウェア「おくとパス」とは・・・
「おくとパス」は、FeliCa対応おサイフケータイやICカード(FeliCa・MIFARE[TypeA])をWindows認証の鍵として使用できる高度なセキュリィティソフトです。
「Windows Server上のActive Directoryにも対応しセキュリィティポリシー設定でのパスワード変更要求にも対応しています。

PCセキュリティソフトウェア「おくとパス」の詳細へ





様々なUSBメモリー

2014/07/02 17:27


持ち運びが安易で多くのデータが保存出来るUSBメモリー。
容量の違いだけではなく、セキュリティ機能を備えていたり、ユニークなデザインのものまで数多く発売されています。

USBメモリーの一般的な容量は、4GB、8GB、16GB、32GB、64GB等。さらには、512GBや1TB などの大容量の製品も登場しています。


一般的なUSBメモリ
ファイルの保存が行える標準的なUSBメモリーです。ファイルの保存や削除が手軽に行え、比較的安価です。

セキュリティUSBメモリー
USBメモリに保存されたデータのセキュリティが重要視されています。
パスワード保護やデータの暗号化を備えた高セキュリティな製品や、ウイルスチェックが行えるものもあります。これらの機能は、紛失や盗難による情報漏洩を防ぐ重要な役割を担っています。


その他、見た目にもバラエティ豊かなUSBメモリーも発売されています。ハート型や食べ物の形、キャラクターものなど、実用と楽しみを兼ね備えたUSBメモリーもあります。

それぞれ、目的にあったUSBメモリをご使用ください。その際、セキュリティもお忘れなく。




情報持ち出しの可能性がある記憶媒体

2014/07/01 18:03

データの保存や受け渡しを簡単に行える便利な機器類や、業務上必要になる紙媒体の出力。情報持出しの可能性のある記憶媒体は数多く存在します。

情報漏洩の原因の多くは、組織内に原因があります。これらの管理方法は決まっておりますか?まだ決まっていないようでしたら、リスクを排除するために、書類の持出し禁止やUSBストレージの使用禁止等、組織にあったセキュリティポリシーを策定してください。


■情報持ち出しの可能性がある記憶媒体
USBメモリースティック、外付けHDD、USB接続型のその他大容量記憶媒体、SDカード、デジタルカメラ、携帯電話、スマートフォン、携帯音楽プレーヤー、CD・DVD、MO、フロッピーディスク


情報持ち出しの可能性がある記憶媒体




物理的なセキュリティ

2014/06/30 17:43

物理的なセキュリティ対策

ひとくちに情報漏洩対策といっても、暗号化等によるデジタル面の対策と、管理カメラや入退室管理による物理的な対策があります。

物理的なセキュリティ対策の例としては、監視カメラ、機器や媒体などの持込・持出禁止、入退室管理、部屋や重要資料棚の施錠、ICカードや生体認証による個人識別等、様々な対策があります。

これらは、実際に物品の持出しを防ぐ意味と、心理的な抑止効果を高める働きを行います。組織内外を問わず、人間による 情報を持ち出そうという気を起こさせない事が大切です。

組織内の人のセキュリティ意識を高めることで、オフィス全体のセキュリティを高めることにつながります。組織における日常のセキュリティの確保につとめましょう。


デジカメやスマホの管理の重要性

2014/06/27 18:19

 日本ネットワークセキュリティ協会(JNSA)の調査によると、USBメモリをはじめとした「USB等可搬記録媒体」を経路とし、多くの個人情報が流出しています。

さらには、スマートフォン・タブレットパソコン等のスマートデバイスが、新たな「大容量記憶メディア」として広まっていますが、十分な対策を施せていない組織が多いのが現状です。SDカード内蔵のデジタルカメラにも注意が必要です。

持ち運びが安易で多くのデータが保存出来、便利な反面、私物のスマートデバイスは管理がしづらく、ユーザー任せになり把握が行えません。

仮に、顧客情報が大量に入ったスマートフォンを紛失した場合、重大な漏洩事件になる可能性が大きいのです。

対策として、私物のデジカメやスマートデバイス使用を禁止する。
更に、対策をユーザー任せにしないために、パソコンに接続しても読み込めない様、セキュリティソフトの導入を推奨します。

情報漏洩事件が起こってしまう前に、ユーザー任せの状況をやめ、不正使用が起こらない様クライアントパソコンを管理下に置き対策を行ってください。


JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html




偽セキュリティソフトに注意

2014/06/26 17:48

パソコンの画面に、「○個のウイルスが検知されました」「ハードディスク内にエラーが見つかりました」といった偽の警告画面が表示され、解決するために有償版の製品を購入させる手口の「偽セキュリティ対策ソフト」型ウイルスの情報が多く出回っています。

これらは、有償のセキュリティソフトを購入させる様に見せ掛け、クレジットカードの情報や個人情報を盗んだり、更にはパソコンが正常に動作しなくなる様に悪さをするおそれがあります。

このようなウイルスに感染しないために、OSやウイルス対策ソフト、Flash Player、Adobe Readerといった各種プログラムを最新状態に保つように心がけてください。

それと、使用しているウイルス対策ソフトの正式名称を確認し、日頃どのようにウイルスチェックをしているのか把握してください。把握していることで、警告やエラー画面が出た場合、それが正規の対策ソフトからの情報なのか、それとも偽の対策ソフトなのか判別が行えます。

また、万が一に備えて重要なデータを定期的にバックアップしてください。ウイルス感染に限らず、パソコンの故障にも備える事が出来ます。




USBメモリからの情報漏えいを防ぎたい

2014/06/25 17:37

USBメモリを介したウイルス感染や情報漏洩は、問題にはなるものの後を絶つ事がありません。更には、大容量化と低価格化が進み、どの組織でもかなりの割合で使用されていると思われます。

USBメモリそのものは、データの保存や受け渡しを簡単に行える便利な機器ではありますが、複数のパソコン間を行き来する機会が多く、取り扱いには注意が必要です。

情報漏洩対策のために、パスワード保護やデータの暗号化を備えた高セキュリティな製品も数多く提供されるようになりました。これらの機能は、紛失や盗難による情報漏洩を防ぐ重要な役割を担っています。

このように高セキュリティなUSBメモリもありますが、盗難・紛失に対して有効ではあっても、勝手に持ち込まれたUSBメモリによる漏洩は防ぐことが出来ません。

パソコン側にもセキュリティソフトウェアを導入し、管理者やパソコンのユーザーが、USBメモリについて 使用許可・禁止、特定のもののみ使用可能といった制御を行える仕組みが必要になります。


パソコンからの情報漏洩対策。ログイン方法を見直す。

2014/06/24 18:11

個人情報漏洩対策は大丈夫ですか?

大切なお客様の個人情報を守りたい。
個人情報や重要な社内文書など守らなければならない情報は日々増えるばかりです。
お客様の信頼を得るために、対策を施しましょう。

情報が漏洩する原因は、利用者のうっかりミスや誤操作などといったヒューマンエラーによる事故が多く、8割を占めています。

内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事です。まずは、大切なデータが保存されているパソコンを守る事から考えましょう。

まずは、パソコンへのログイン方法を見直してください。ID・パスワードを設定されてない方もいらっしゃるかもしれませんが、セキュリティのために、ID・パスワードの登録をおすすめします。

さらにセキュリティをアップさせるため、ICカード認証や、生体認証(手のひら静脈認証、指紋認証、顔認証)等を導入してもよいでしょう。

従来のID・パスワードの入力方法に、複製や改ざんが出来ないICカードや生体認証方法を追加導入する事により、第三者の不正なパソコン利用を防ぐことが出来ます。

JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html


USBストレージの盗難紛失に備えて

2014/06/23 17:58

対策:データの暗号化で解決

USBメモリーが第三者の手に渡ってしまうと、保存してある情報が漏洩する可能性があります。 ですが、データを暗号化しておけば、万が一紛失や盗難にあっても、USB内のファイルを閲覧する事はできません。


下図は、弊社の情報漏洩対策ソフト「発見伝Select」を使用し、暗号化を施した場合。
※使用するUSBは、市販のUSBメモリで対応可能です。(SONY,TOSHIBA,ELECOM,BUFFALO 等)

発見伝Select ver3.1.0からは、USBストレージ(USBスティックや外付けHDD)にデータをコピーする際、強制的に暗号化され格納されますので、更に高セキュリティで安心です。


ファイル暗号・復号化機能




USBストレージ経由でウイルス感染

2014/06/20 17:45

USBメモリでウイルス感染する仕組み
ウイルスに感染したUSBメモリがPCに接続されると、ウイルス自身のコピーをPCに自動作成されます。
そのPCに接続した別のUSBメモリも次々と感染!

USBストレージ経由でウイルス感染

ウイルス(不正プログラム)に感染したUSBメモリをPCに接続すると、ウイルス(不正プログラム)が自動的に起動し、接続した瞬間にウイルス自身をコピーして、自動実行ファイル「autorun.inf」を作成します。
そして感染PCに別のUSBメモリを挿すとまた...と次々に感染が引き起こされてしまいます。


 対策:自動起動(オートラン)の無効化で解決


CD・DVDやリムーバブルドライブの自動起動(オートラン)を無効にする機能

データのやりとりで便利なUSBストレージも、複数のPCで共用しているとウイルス感染が心配です。

USBストレージ(CD・DVDを含む)接続時の自動起動(オートラン)を無効化し、「マルウェア」からのウイルス感染を防ぐ対策を行ってください。



情報漏洩の多くは、組織内に原因がある

2014/06/19 17:15

情報漏洩の多くは組織内に原因がある
情報を大切に扱う等、意識することが重要



IT技術が発達し、パソコンでファイル作成・データ管理が出来るようになったことは、私たちの業務に大きなメリットをもたらしてくれました。

しかし、それは大きな脅威でもあります。
パソコンの中にある重要なファイルも、コピー&ペーストで簡単に複製することが出来ます。これは便利な反面、よく考えるととても危険な事です。

個人情報に限らず、組織外に漏れてはならない情報は数多く存在しています。これらの情報をいかに安全に管理するかは、大きな課題の1つでしょう。


情報漏洩の原因の多くは、内部に原因があります。
原因の大部分は操作ミスや紛失といった過失によるものです。

過失によるものは、そこで活動する人の意識を向上させる事で防いでいけます。

過去に他社で起きた事例等をもとに、自分たちには何が出来るかを考える事。また、普段取り扱っている情報が、とても重要なものである事を再認識する機会を設けるのもよいでしょう。

情報漏洩事件は、対岸の火事ではなく、自分たちの身に起きるかもしれないという意識を持つ事が情報漏洩対策の大きな一歩となります。


スマートフォンの紛失・盗難

2014/06/18 18:11

ライフメディアのスマートフォンに関する調査の結果によると、スマートフォンの利用者は全体の53%で、半数を超えました(2014/4/9現在)。

スマートフォンは、従来の電話としての使用に加え、持ち歩き可能な便利な情報端末として利用されています。
パソコンと同じようにwebサイトが参照出来たり、オンラインで利用出来る多様なアプリ(アプリケーション)もあります。持ち運びに便利な小さなパソコンとも言えます。

携帯電話やUSBストレージ、ノートパソコンと同様に、スマートフォンも盗難・紛失に備えたセキュリティ対策が必要です。

まずは、セキュリティロックをかける。
重要な情報を保存しない。保存するならば、データの暗号化対策(アプリ)を行う。

携帯電話やモバイルパソコンと同じように、遠隔で出来る強制ロックやデータの強制消去サービス、位置情報の確認サービスといったアプリケーションの利用も効果的です。

スマートフォン自体を持ち出さない、データを保存しないのが一番効果的ではありますが、組織での業務活動にあわせて、定められているセキュリティ・ポリシーに沿って利用を行ってください。


スマホ利用者が半数を超える、スマートフォンに関する調査
http://research.lifemedia.jp/2014/04/140409_smartphone.html



情報漏洩は内部から

2014/06/17 17:58

情報漏洩は内部から

情報漏洩の原因は、不正アクセス等の外部要因ではなく、内部の人間による持出し、操作ミスなど内部要因が多くを占めています。
重要データは、社外に「持ち出せない」仕組みづくりに取り組む必要があります。

デジタル化されたデータは、様々なルートで社外に流出する危険性があります。
データをメールに添付して送信。印刷して持出し。ファイルをコピーしUSBメモリーの様な外部メディアに保存したが紛失。

また、データを共有する人も臨時職員や海外現地社員、派遣社員等様々です。

出来る限りリスクを排除するために、書類の持出し禁止やUSBストレージの使用禁止等、組織にあったセキュリティポリシーを策定してください。

  【情報セキュリティポリシー】例
  1.CD・DVDの使用禁止
  2.メモリカード(SD、メモリースティック)の使用禁止
  3.携帯電話、スマートフォンの持込禁止
  4.USBストレージの使用禁止
  5.ファイルをメールで送信する際は暗号化を施す
  6.プリンタはネットワークプリンタのみ(ローカルは禁止)
  7.webの閲覧制限
  8.管理のための操作ログ取得
  9.ウイルス対策
  10.書類の持ち出し禁止
  11.書類破棄時はシュレッダー裁断(破砕)を義務化
  12.入退室管理
  13.IDパスワード等、個人権限の貸借禁止


私物USBメモリから情報が漏洩

2014/06/16 18:10

実際に情報漏洩が起こりやすいケースの紹介です。

■Case
※USBストレージ(USBメモリ、ポータブルハードディスク)から漏洩


職員が私物USBメモリに診療情報を入れて病院外に持ち出し、紛失。パスワードの設定やデータの暗号化がなされていなかったため情報が漏れてしまった。


●解決・防止策
組織内でUSBメモリやポータブルハードディスクによるデータの持ち出しを禁止する。

ただし、業務上必要な場合は、データの暗号化を施してからの持ち出しを原則とし、万が一に備えて情報を読み取られないようにする。



上記のケースは、業務に熱心な方や繁忙期に起こりやすい事例です。

USBストレージを全て使用禁止に出来れば漏洩も防げますが、
業務に支障が出る場合もあるでしょう。

どうしても持ち出しが必要な時のために、
あらかじめ持ち出しの手続きや管理方法をセキュリティポリシーで決めておく。

また、もしも紛失した時のためにファイル暗号化を行う等、
何重にも防止策を施しておく必要があります。


様々なパスワード・認証方法

2014/06/13 17:31

様々なパスワード・認証方法

ワンタイムパスワード
一度しか使用できない使い捨てのパスワードのこと。
毎回異なるパスワードにする事により、パスワードの漏洩によるリスクに対処できます。モバイル端末でのセキュリティ対策に利用される事が多い。


シングルサインオン
ユーザーが一度認証を受けると、許可されている全ての機能を利用出来るようになる仕組みのこと。
シングルサインオンは、認証を簡単にする事でユーザーの負担軽減が行えます。
しかし、漏洩した時の被害が大きいので、厳重な認証機能である事が求められます。


バイオメトリクス認証(生体認証)
指紋や手形、眼球の虹彩、声紋、手の甲の静脈パターンなどの身体的特徴によって本人確認を行う認証方式のこと。
単純な暗証番号やパスワードなどに比べ、認証システムをだましにくい方式であるため、関心が高まっている。その人の生物学的特徴で識別するため、コピーする事も、盗難・紛失、置き忘れる危険性がない。
しかし、コストや正確性(指紋認証:濡れている場合、怪我をしている場合等)に課題が残る。


DLPとは

2014/06/12 17:59

注目が集まるDLP(Data Leak Prevention)

DLPとは、Data Leak Preventionの略で、「機密情報そのものを守る」「情報そのものを、システムとしてブロックする」という仕組みを指します。

近年、データの暗号化やパソコンの操作ログを収集・管理する事で情報漏洩を防ぐツールの導入が進んできています。これらの機能は、確かに情報漏洩対策になるのですが、内部の情報を扱う権利を持つ人物に対しては、十分な効果が得られません。

では、どうすれば情報漏洩に対する根本的な対策ができるのか?
DLPは、機密情報の流出を事前に止めることを目的としています。

先に、特定のファイルや特定のキーワードを持つファイルを重要ファイルとして位置づけます。
その重要ファイルが、メール送信やUSBメモリーへのコピーを行われない様に設定をし、情報の流出を防ぎます。外部へと持ち出されない様に行う事前の対策になります。





情報漏洩の多い媒体は紙

2014/06/11 17:40

情報漏洩で目立つ紙媒体
取り扱う量を減らす事からはじめてみよう


「JNSA2012年情報セキュリティインシデントに関する調査」によると、情報漏洩は紙媒体紙経路が多い。印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまったり、 また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。

まずは、紙媒体の利用や紙自体の量を見直してみましょう。
不要なコピーやプリントアウトを削減したり、今まで配布していた資料を電子化するのも良いでしょう。

また、紙媒体の利用状況をログとして残すのも良いでしょう。
プリンタを使用する際、「誰が」「どのファイルを」「いつ」印刷したかといった情報をログとして記録し管理に役立てる事が出来ます。記録が残る事により、心理的な抑止効果も働き、無駄な印刷を削減したり、用紙の使用量を抑えることができます。

気軽に扱いやすい紙媒体だからこそ、まずは取り扱う量を減らし、リスクを最小限にするという点が重要になるでしょう。


情報漏洩は身近なところに

2014/06/10 18:11

情報漏洩は身近なところに
紙媒体の紛失・置忘れが多い

情報漏洩事件のニュースといえば、「データベースに不正アクセス-会員情報漏洩」「ファイル共有ソフト使用で情報が流出」とか、「サイトのセキュリティをついて個人情報を盗難」と言った内容が多く、『あまり関係の無い話だな』とお考えかもしれません。

しかし、実際に多く起きている事件は、「個人情報が印刷された書類を置き忘れた」「取引先とのファイルが入ったUSBを紛失した」等、とても身近な所で起こっています。

特に、自宅に仕事を持ち帰って作業をする仕事熱心な方や、客先での打ち合わせのために資料を持ち運ぶ際に漏洩・紛失してしまう事が多いのです。

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。


組織内部のセキュリティ対策が不可欠

2014/06/09 18:16

組織内部のセキュリティ対策が不可欠
情報漏洩を防ぐには、内部セキュリティの強化が必要


sec_20140609.png

情報漏洩の約8割は内部に原因があります。

近年の情報漏洩事件における原因の多くは、ウイルスやハッキングなど、外部に原因があるのではなく、誤操作や設定ミス・紛失など、内部要因が多くを占めています。


内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事です。

書類の持ち出し禁止、CD・DVDの使用禁止。携帯電話やスマートフォンの持ち込み禁止。ファイルをメールで送信する際には暗号化を施す等、組織に必要だと思われる対策を行う必要があります。

【様々な漏洩原因】
管理ミス/誤操作/紛失・置忘れ/盗難/不正な情報持ち出し/不正アクセス/内部犯罪・内部不正行為/バグ・セキュリティホール/設定ミス/ワーム・ウイルス/目的外使用

JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html



5月15日~6月15日は情報通信月間

2014/06/06 18:12

5月15日~6月15日は情報通信月間

後り1週間ほどになりましたが、5月15日~6月15日は情報通信月間です。

情報通信の普及・進行を図ることを目的に、郵政省(現在の総務省)が、第1次情報通信改革がスタートした1985年に、6月1日~15日の「テレコム旬間」として制定。
その後、1995年に5月15日~6月15日の「情報通信月間」に改められました。

この期間中、情報通信の役割と重要性を広くアピールするため、全国各地で様々な行事が開催されています。
内容は放送施設の見学からスマートフォン利活用セミナーや最新のクラウド環境におけるセキュリティ課題等、多岐に渡ります。

・情報通信月間
 http://www.jtgkn.com/
・平成26年度 情報通信月間参加行事(沖縄)
 http://www.jtgkn.com/2014_hp/itiran26/13_okinawa.htm


ウイルスに感染しないために

2014/06/05 18:16

ウイルスに感染しないために

・ウイルス対策ソフトを導入する。
・ソフトウェアを最新の状態にする。更新する。
・怪しいサイトやメールに注意する。


ウイルスは悪質なサイト等で配布されたり、メールに添付されていたり、USBメモリースティックに潜んでいたりと、様々な経路でコンピュータに侵入してきます。

悪質なサイトに接続する可能性のある迷惑メールに注意する、不審なメールの添付ファイルを開かないなどの対策を行ってください。

最近は、無料のウイルス対策ソフトのように見せかけ、ウイルスをインストールさせる被害が増えています。

代表的な手段は、サイトを閲覧していると「あなたのコンピュータはウイルスに感染しています」といったメッセージを表示し、偽のウイルス対策ソフトをインストールさせる方法です。
不用意にリンク先をクリックしたり、ソフトをダウンロードしないようご注意下さい。


ウイルス対策ソフト
コンピュータをウイルスから防御・検出・除去するためのソフトウェアのこと。
「アンチウイルスソフト」「ワクチンソフト」などとも呼ばれています。
コンピュータに侵入したウイルスを検出・駆除したり、電子メールなどで送受信されるファイルをスキャンして、ウイルスが含まれていないかチェックします。

代表的なウイルス対策ソフト:
Norton Security、ウイルスバスター、カスペルスキー、ESET等




被害が深刻な不正アクセス行為

2014/06/04 18:10

近年被害が深刻になっている「不正アクセス」
利用者のパスワードの設定や管理の甘さにつけ込んだ手口がほとんど


近年被害が深刻になっている「不正アクセス」。
正規のアクセス権を持たない人が、ソフトウェアの不具合などを悪用してアクセス権を取得し、不正にコンピュータを利用する、あるいは試みることを不正アクセスと言います。

警視庁発表によると、平成25年の不正アクセス行為の発生状況は認知件数が2,951件(前年より1,700件増加)。
そのうち、インターネットバンキングの不正送金は1,325件で、手口は利用者のパスワードの設定や管理の甘さにつけ込んだものがほとんどでした。


個人で出来る対策としては、以下の項目があげられます。
自分だけは大丈夫という考えは捨て、もしかしたら?という意識を持って下さい。

・OSやソフトを常に最新の状態に保つ
・ウイルス対策ソフトを最新の状態にする
・銀行からのログインやパスワードを求められるような怪しいメールには注意する
・いつもと違うログイン画面には注意する
・銀行口座を定期的に確認する

参照:平成25年中の不正アクセス行為の発生状況等の公表について
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf


【警視庁】 
・不正アクセス
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku34.htm

・ネットバンキングに係る不正アクセス被害の防止対策について
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku428.htm




プライバシーポリシー / プライバシーマーク

2014/06/03 17:39

プライバシーポリシー
プライバシーポリシー (privacy policy) とは、 インターネットのウェブサイトにおいて、収集した個人情報をどのように取り扱うのか(保護、もしくは一定条件の元に利用するのか)などを、サイトの管理者が定めた規範のこと。個人情報保護方針などともいう。
また、個人情報保護法において、「利用目的」「第三者提供」「保有個人データに関する事」の規制があり、利用者から個人情報を収集し、利用する際には、一定の事項について公表することが義務づけられています。


プライバシーマーク
プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定し、その証として"プライバシーマーク"の使用を認める制度で、次の目的を持っています。
・消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること。
・適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること。

プライバシーマーク制度 http://privacymark.jp/


なりすまし / SSL

2014/06/02 17:53

なりすまし
なりすましとは、他人の振りをして行動する事です。
ネット上での「なりすまし」は、他人のユーザーIDやパスワードを利用して、悪意ある行動を行う事を指します。

例えば、オンラインショッピングなどで、他人の振りをして勝手に買い物を行ったり、不正アクセスが行われる事もあります。本来なら、その人しか見れない機密情報を持ち出したり、更にはその人に原因があるように見せかけ、損害が請求されるおそれもあります。
なりすましを防ぐためにも、自分のIDやパスワードは厳重な管理を行う必要があります。


SSL(Secure Socket Layer)
SSLとは、インターネット上でデータを暗号化して送受信するプロトコル(通信手順)の一つです。
インターネットで使われているデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業秘密などを安全に送受信することができます。

近年、オンラインショッピングが増えていますが、同時にハッカーなどのネット犯罪の危険も高まっています。

安全に使用出来るようセキュリティ対策を施した事を示す、SSL証明書を取得しているウェブサイトも多くあります。
SSL証明書は、ウェブサイトの情報・送信情報の暗号化に必要な鍵・証明書発行者の署名データ(ネット上の実印のようなもの)を持った電子証明書です。
オンラインショッピングサイトに記載されている事が多いので機会があれば確認してみるのも良いでしょう。





情報セキュリティ / スマートデバイス

2014/05/30 18:13

情報セキュリティ
情報セキュリティとは、「情報の機密性、完全性、可用性の維持」(JIS Q27002)と定義されています。同じような用語の「ITセキュリティ」と違う点は、デジタルデータだけを指すのではなく、紙媒体等も扱われる点です。

定義づけされている3つの要素は、「情報セキュリティの3要素」と言われています。
・機密性・・・情報が漏洩しないようにする
・完全性・・・情報を改ざんされないようにする
・可用性の維持・・・システムがダウンしないようにする

これらを維持し、情報セキュリティが保ち続ける努力が必要です。


スマートデバイス

一般的には、スマートフォンやタブレットPC、フィーチャーフォンを総称してスマートデバイスと呼びますが、明確な定義はありません。既存のコンピュータの枠にとらわれない情報機器の総称を指します。

例:iPhoneやiPad、Androidフォン、Windows phone、タブレットPC等

便利な反面、「盗難・紛失による情報漏えい」や「マルウェアやウイルスへの感染」等不安要素も高い。


個人情報 / 個人情報保護法

2014/05/29 18:10

個人情報

個人情報とは、特定の個人を識別することができる情報をさします。
いくつかの情報を組み合わせれば、個人を識別・特定できる情報やデータも含まれます。
以下、代表的な個人情報。
氏名・住所・電話番号・年齢・性別勤務先(会社名)・所得
生年月日・家族構成・クレジットカード番号・病歴・犯罪歴・結婚/離婚歴


個人情報保護法

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として制定されました。2005年4月より全面施行。

定められた個人情報の具体的な扱いについて

・個人情報を集める際には、目的を告知する
・適正な取得を行う(本人の同意を得る)
・情報を安全に取り扱う(流出や盗難、紛失を防止する)
・透明性の確保(本人が閲覧可能なこと、本人に開示可能であること、個人情報が事実と異なる場合、訂正や削除に応じる こと)

この法律が立案された背景には、パソコンやインターネットの発達によって、大量の個人情報を蓄えたり、利用可能になったことがあります。 


情報漏洩 / ファイル共有ソフト / コンピュータウイルス とは

2014/05/28 18:15

情報漏洩
情報漏洩とは、企業情報、行政文書、個人情報などが、盗難や不注意、管理上の問題などで外部に漏れてしまうこと。
頻繁にニュースになる「情報漏洩事件」のほとんどが、内部関係者による不注意又は不正な行為であると言われています。

パソコンの状態が最新ではないために脆弱性を突かれてしまったり、ウイルスに感染したしたり、ファイル共有ソフトを利用して外部に漏れてしまうなど、社会的に大きな問題になっています。
現在、多種のセキュリティソフト・製品がありますが、それらの主な機能は監視に重きを置き、情報漏洩の抑止を目的とした製品が多い。


ファイル共有ソフト

ファイル共有ソフトとは、インターネット上で不特定多数のユーザーとファイルのやりとりをするためのソフトです。代表的なソフトは、WinnyやShare。ファイル共有ソフトを介して、音楽、映像、ゲームソフトなどの著作物が無断でやりとりされており、著作権侵害として大きな問題となっています。


コンピュータウイルス

コンピューター ウイルスは、他人のパソコンに勝手に入り込んで動作を妨害をする小型のソフトウェアプログラムです。
画面表示を勝手に変更したり、無意味な単語や文章を表示したり、パソコン内のデータを破壊または削除する可能性があります。
ウイルスはインターネットからダウンロードしたファイルや、他人から借りたUSBメモリースティイク等を通じて感染するので容易に拡大します。

大抵は使用者の知らないうちに感染します。感染に気づかずにパソコンを使用し続けると、他のパソコンにウイルスを移す危険性もあるので注意が必要です。トロイの木馬、スパイウェア、偽装セキュリティソフト等があります。




情報漏洩の拡散を防ぐ

2014/05/27 17:24

漏洩した情報の回収と
その後の対策・改善を考える。


情報が漏洩した場合、物品であればその回収を行います。しかし、デジタルデータになると回収のみでは収まらない場合もあります。

デジタルデータはコピーされやすく、すべてを回収するのは困難です。その反面、暗号化等のセキュリティにより、悪用されずに済む可能性もあります。

紙媒体等のアナログデータは、早期に回収するとそこで情報を止められる可能性が高いが、視認性が高い事から記憶に残りやすく、また、デジタル化されている可能性もあるので注意が必要です。

漏洩してしまった情報は、流出し続ける可能性があります。回収後も、漏洩した情報がどこかで公開されていないか定期的に調査する必要があるでしょう。

・紙媒体等のアナログデータは早期に回収し、原因となったFAX誤送信や廃棄処理手順、印刷物の管理方法を徹底する。
・メール誤送信の予防策や、デジタル情報のセキュリティソフト等の導入等、パソコン利用におけるセキュリティポリシーの策定・改善を行う。

もし個人情報が漏洩したら個人情報が漏洩した場合の対策
情報漏洩の事実確認には、操作ログが重要な手掛かりに
情報漏洩が起こったら、顧客や取引先へ情報公開を   参照 )

hakken23.jpg




情報漏洩が起こったら、顧客や取引先へ情報公開を

2014/05/26 17:37

情報がどのようにして漏洩してしまったのか、
公開する範囲を決定し、漏洩の事実を伝える。


日頃、しっかりと情報管理を行っていても、情報漏洩が発生してしまう可能性があります。
もし個人情報が漏洩したら個人情報が漏洩した場合の対策
情報漏洩の事実確認には、操作ログが重要な手掛かりに  参照 )

情報漏洩が発生してしまったら、顧客や取引先、関係者へ漏洩の事実を伝えて下さい。

hakken22.gif












この時点では、原因が特定されていないかもしれませんが、原因を調査中である事も含めて、情報漏洩の事実を伝える事が大切です。この報告・連絡で、被害の拡大や二次被害を最小限に抑えられるかもしれませんので、早めの連絡を心がけて下さい。

また、状況に応じて、情報を開示していく事もとても重要です。





情報漏洩の事実確認には、操作ログが重要な手掛かりに

2014/05/23 17:22

情報漏洩が発覚したら。
インシデントを明確にし、事実確認を行う。

個人情報漏洩が発覚し、その報告がもたらされた後、責任者は速やかに事実確認を行います。
もし個人情報が漏洩したら個人情報が漏洩した場合の対策 参照 )

・どの情報が漏洩したのか(書類名やファイル名、枚数、個数、情報量)
・いつ情報が漏洩したのか(情報漏洩した日付を明確にする)
・どこにあった情報がどこから漏洩しどこで発見されたか等を明確にする
・情報漏洩の原因を究明する
・情報漏洩を起こした人物を特定する
・個人情報の内容や件数を確実に把握する
hakken21.gif


























事実確認には、パソコンの操作ログの取得が、事故の原因究明や事後の対策への重要な手がかりとなります。

情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えるとても貴重な資料です。




個人情報が漏洩した場合の対策

2014/05/22 17:39

個人情報が漏洩した場合、
まず行う事は責任者(担当者)の決定。



個人情報漏洩が発覚し、その報告がもたらされた後(もし個人情報が漏洩したら 参照)、
組織だって動くために、まずは責任者の決定を行う必要があります。

対策:情報漏洩責任者(担当者)の決定

・漏洩事件の関係者・関係組織の特定
・関係組織から事件解決に必要な人材を選定
・対策プランを立てる
・漏洩に対する対策と担当者・時期など役割分担を行う

hakken20.gif責任者と、その他関係者・関係組織との役割分担が決定したら、次は情報が「いつ」「どこから」漏洩したのか事実確認を行う段階に入ります。




情報漏洩対策、どこから手をつけたらいいのか?

2014/05/21 18:18

情報漏洩対策何をしたら良いのか。
すでに対策済だが、更に何をしたらと悩んだら
診断サイトでベンチマークを行ってみる。


これから本格的に情報漏洩対策を施したいとお考えの方。
すでに対策は行っているが、さらに充実させたいなど、これから何を行ったら良いのかお悩みの方は、診断サイトのベンチマークで診断を行えば、現在の状況が把握でき、これから何をしたらよいのか方向性が見出しやすくなります。


IPAの情報セキュリティ対策ベンチマークは、
設問に答えるだけで、
自社のセキュリティレベルを他社との比較で診断することのできるシステムです。


 ・IPA 独立行政法人情報処理推進機構セキュリティセンター
  組織の情報セキュリティ対策自己診断テスト
  
 【情報セキュリティ対策ベンチマーク】
  http://www.ipa.go.jp/security/benchmark/index.html





どこから情報が漏洩するのか

2014/05/20 18:14

情報漏洩は印刷物から・・・

2005年より施行された個人情報保護法により、企業の情報漏洩対策の導入は大幅に進みました。 しかし、個人情報の漏洩事故は頻繁に起こっています。

原因は、利用者のうっかりミスや誤操作などといったヒューマンエラーによる事故。
中でも、紙媒体からの情報漏洩が大きな割合を占めています。

印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまう。 また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。


印刷物からの情報漏洩抑止。どのように防ぐ?

1.パソコン本体について、認証されたユーザーのみログオン可能にする。

まずは、大切なデータが保存されているPCを守ります。 
PCログオン時に本人認証を行えば、認証されたユーザー以外はPCにアクセス出来なくなり、不正に印刷される危険性が軽減されます。

2.印刷時にも、認証を導入する。

認証印刷を導入する事で、印刷物の受け取りをコントロールすることができ、印刷物の持ち去り、取り間違い、のぞき見などに起因する情報漏洩のリスクを軽減出来ます。

認証印刷を利用する際は、ユーザーに負担がかからないようICカード等を鍵にするのがおすすめです。






守るべき情報資産とは

2014/05/19 17:22

情報漏洩対策で守るべきとされる情報資産。
どのような情報を情報資産に位置づけるのか。


企業の資産とは、業務の過程で生み出される価値あるものをさします。

資産には、不動産や製品など、形として現されるものもあれば、、顧客情報・技術情報・財務情報など、明確な形をとらないものもあります。
これらの情報の事を情報資産と呼び、それが外部に漏れる事の無い様、守る必要があります。

情報資産の価値は、単に金銭的価値としてだけではなく、ブランドや企業のイメージなど、企業そのものの根幹を成します。

企業には、日々、多くの情報資産が蓄積されます。
それらは、パソコン、USBメモリーをはじめとする記録媒体、紙媒体、または人の記憶など、さまざまな形態をとり増え続けます。ITの普及と進歩に伴い、情報資産の価値は、ますます高まっていくでしょう。

企業においては、情報管理担当者だけでなく、情報を扱う一人ひとりが、情報セキュリティに対する知識を持つことが大切になってきます。


便利なUSBメモリは、ウイルス感染源になっているかも

2014/05/16 17:34

USBストレージ(USBメモリ、外付けハードディスク)からの
ウイルス感染事例が良く見受けられます。


USBメモリは、取扱が簡単でデータの保存・移動などに便利な事から、色々な場面で気軽に利用されています。

しかし、紛失による情報漏洩や、USBメモリからウイルスに感染する被害も増えています。

「ウイルスに感染しているUSBメモリをパソコンに接続して、感染」を繰り返す事により、被害が拡大していきます。


多くのウイルスは、感染したUSBメモリをパソコンに接続すると自動的に実行されます。
そして、パソコン内にウイルスがコピーされ、そのウイルスを自動実行させるための不正なファイルを作成し、アカウントを盗んだり、パソコンを遠隔操作したり、様々な活動をする事が確認されています。

もっとも簡単な対策法は、USBメモリをパソコンに接続しても、自動的に起動しないようにオートラン機能(自動起動)を無効化する事です。

Windowsであれば、「コントロールパネル」から自動再生についての項目を探し、「自動再生を使う」のチェックを外すか、導入しているセキュリティソフトがあれば、「オートラン無効化」機能を使用して下さい。

自分のパソコンだけではなく、周りのパソコンも一緒に守っていけるよう対策を行う必要があります。


情報モラル・情報セキュリティについて考える

2014/05/15 17:46

IPA独立行政法人情報処理推進機構開催の
「情報セキュリティ標語・ポスター・4コマ漫画コンクール」受賞作品


このコンクールは、作品の制作を通して、情報モラル・情報セキュリティについて考える機会を設けるのが狙いのようですが、大人が見ても納得の力作ぞろいです。


当たり前のようで忘れがちになる
情報セキュリティの心構えを思い出させてくれます。

優秀賞「おもいこみ 僕は安全 それ危険」
優秀賞「ネットの海 最後の番人 私の心」

■IPA独立行政法人情報処理推進機構
第9回IPA情報セキュリティ標語・ポスター・4コマ漫画コンクール2013
https://www.ipa.go.jp/security/event/hyogo/2013/


2014年度の受付もすでに始まっているようです。
学生さんの瑞々しい感性から出来上がる作品が、今から楽しみです。

■第10回の開催について
2014年4月1日より受付開始
【基本テーマ】
 ①携帯電話(スマートフォンを含む) ②パスワード ③個人情報 ④ルール 
 ⑤マナー ⑥パソコン ⑦ウイルス ⑧ネットトラブル ⑨チェーンメール ⑩著作権
http://www.ipa.go.jp/files/000035716.pdf


情報漏洩対策に優れたセキュリティーUSBメモリ

2014/05/14 18:07

安全に情報を保存したい。
USBメモリからのウイルス感染を防ぎたい。
持ち運び時も考え、暗号化を行いたい。


年々、パソコン上で扱うデータの量や種類が増えUSBストレージ(USBメモリースティック、外付けハードディスク)を使用する機会が増しています。
便利な反面、ウイルスへの感染や、紛失・盗難にあった場合の情報漏洩が心配になります。


今回は、情報漏洩対策に優れた「セキュリティーUSBメモリ」の紹介です。

USBメモリーを紛失して企業機密や個人情報が流出してしまったとか、ウイルスに感染したUSBメモリを介して、他のパソコンへも被害を広げてしまった、という話はよく聞きます。

そういった不安を軽減させるため、様々なセキュリティー機能が搭載された「セキュリティーUSBメモリ」が発売されています。

搭載されている代表的な機能は以下のようなもの。

・暗号化機能付きセキュリティーUSBメモリ
・ウイルスチェック機能付き
・不正使用防止のパスワード認証付き

こうしたセキュリティに優れたUSBメモリはとても便利ですが、その分一般のUSBメモリに比べ高めの値段となっております。導入の際は、十分な予算の確保が必要となってきます。




情報漏洩の有無・範囲が分からない

2014/05/13 17:41

今回は、実際に情報漏洩が起こりやすいケースの紹介です。


■Case 漏洩の有無・範囲が分からない。
共用で使用しているパソコンに重要ファイルを保存し、1週間放置してしまった。
後から気づいて削除したが、その間、重要ファイルが持ち出されたかどうか分からなくて心配だ・・・。

sec_20140513.png

パソコンには、操作ログが確認出来るソフトを導入して下さい。

操作ログでは、ファイル移動、コピー、削除、ファイル名の変更などが確認出来ると良いでしょう。

このログをもとに、重要ファイルが持ち出されていないか、コピーして別の名前に置き換わっていないか、確認する事が出来ます。

もし、ファイルが持ち出されていたら、持ち出した日時、どこにファイルが移動されたのかを確認し、持ち出した人物やファイルの保管場所の特定を行って下さい。



ログの取得は、事故の原因究明や情報持ち出しの抑止力、
事後の対策への重要な手がかりとなります。

情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えるとても貴重な資料です。



事件を仮定し、情報漏洩対策を考える

2014/05/12 17:29

情報漏洩の起こる状況をイメージする。
守りたい情報は何か特定する。
誰から(どこから)守るのか想定する。
情報が漏洩してしまった場合の対応を考える。



情報漏洩対策を行いたいが、何から手をつければ良いのかお悩みの方は多いのではないでしょうか。そんな時には、5つのWで考えると対策が立てやすくなります。

まるで文法の授業の様ですが、5つのWとは、Who(誰が)What(何を)When(いつ)Where(どこ)Why(なぜ)を指します。この要素を使用し、情報漏洩の起こる状況をイメージしてみましょう。



誰から守るのか?

「社外」への漏洩に対して対策を行うのか、それとも「社内」からの持ち出しを防ぐ対策を行うのかによっても方法は異なります。いくつかの事件を仮定してみましょう。


守りたいものは何?


重要な「技術(機密)情報」や「顧客(個人)情報」。
どこに保管されているのか。どこまで守ればよいのか判断します。
また、情報漏洩した場合与える影響の大きさや、漏洩が起こりそうな頻度等を考慮した基準を決めておくと、後から追加したい場合や見直し時に役に立ちます。


起きてしまったらどうする?

上記で仮定した事件に対して、予防策やその後の対応をイメージしてみて下さい。
何を行えば防げたのか、fなぜ流出してしまったのかの確認、情報をいかにすれば回収できるのか、どの程度の費用がかかるのか、イメージを行ってください。

まずは、上記でイメージした事件に対しての予防策や、事件が起きてしまった場合のマニュアル作成を行うと良いでしょう。


内部犯行に有効な暗号化機能を備えたソフト

2014/05/09 18:19

暗号化ファイルは更に強固に出来る。
従来のUSBメモリーが使用出来、高い費用対効果。
内部犯行に備えて導入したいソフト。



USBメモリーが盗難にあったり紛失した場合、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性は格段に低くなります。

更に、内部の人間による不正な持ち出しにも備えたい場合、暗号化したファイルが他所では復号化出来ない様なソフトの導入も検討も必要になってきます。


内部犯行を防ぐため、ぜひとも抑えておきたい機能は以下2点。

■同じソフトをインストール済みの端末でも、
 復号するキーが異なっていれば
復号化することが出来ない。

■市販のUSBメモリーを利用出来、費用負担を抑えられる。



情報漏洩対策ソフト「発見伝Select ver3.1.0」+OCS Service(オプション機能)で実現出来ます。
http://www.cca-co.jp/service/select-ver310.html


使用方法はシンプルで、USBメモリーにコピーしたファイルが自動的に暗号化されます。パスワードも8桁で自動生成されるため、煩わしさがありません。

自動暗号化されたファイルが、別のパソコンで復号化されてしまっては意味がありません。同じソフトがインストールされていても、復号するキー(セキュアパスキー)が異なっていれば復号化が行えません。
jidou_angouka.gifまた、市販の安価なUSBをそのまま使用出来るので、暗号化機能つきのUSBメモリーに入れ替える場合と比べ、導入時の費用負担が抑えられます。

「発見伝Select ver3.1.0」+OCS Service は、暗号化したファイルが他所では復号化出来ないため、不注意でUSBメモリーを紛失した場合、故意に内部から情報を持ち出した場合のどちらにも有効なコストパフォーマンスに優れたソフトです。




もし個人情報が漏洩したら

2014/05/08 17:45

インシデント発生の報告パターンについて

個人情報の漏洩が発生した場合、速やかに対処する必要がありますが
いざ事件が起きた時、誰からどのようにして報告がもたらされるのでしょうか。

大きくわけて、以下の様なパターンが考えられます。

■情報漏洩を起こした本人からの報告
■組織内部からのサーバーログや管理等などによる証拠による報告
■情報が漏洩した関係者、又は本人からの報告


内部から報告があった場合、外部から報告があった場合、
それぞれどの様に対応するか、マニュアルや対策方法の制定を行ってください。

hakken19.gif




デジカメやスマートデバイスの情報漏洩対策

2014/05/07 18:10

デジカメやスマートデバイス(タブレット端末やスマートフォン)。
記憶メディアとしても便利だが、情報漏洩のリスクが大きい。


日本ネットワークセキュリティ協会(JNSA)の調査によると、
「USB等可搬記録媒体」からの情報流出が全体の4分の1を占めています。

この「USB等可搬記録媒体」の中には、デジカメやスマートフォンも含まれます。

USBスティック等は制限していても、
デジカメやスマートフォンに関して対策は行われているでしょうか。

社内での使用を禁止するだけでは各自の判断任せになりますので、
スマートデバイスも制御できるソフトの導入を検討しましょう。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整える必要があります。


※デジカメやスマートデバイスを
 制御する設定は、デフォルトの状態では出来ません。
 「スマートデバイス制御機能」、もしくは「WPD機器制御機能」を持ったセキュリティソフトを導入してください。


参考:
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf



Internet Explorer 欠陥修正プログラムの配布

2014/05/02 19:31

マイクロソフト(Microsoft)社は、ブラウザ「インターネット・エクスプローラー(Internet Explorer,IE)」にセキュリティ上の脆弱性が見つかった問題解決のため、欠陥修正プログラムの配布を行っています。これは、4月9日にサポートを終了した「WindowsXP」にも対応されています。

欠陥修正プログラムは、「Windows Updata」の自動設定を行っていれば、ユーザー側で対応する必要はないそうですが、手動での対応も可能となっています。

今回の件を機会に、日頃使用しているものや環境について一度見直してみるのも良いかもしれません。

■Windows Update 利用の手順
http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx

■マイクロソフト セキュリティ アドバイザリ
https://technet.microsoft.com/ja-jp/library/security/ms14-021




データ持ち出し時のセキュリティ対策

2014/05/01 18:21

暗号化はどうして必要なのか。
社外へデータを持ち出す際に必要なセキュリティ対策。

sec_20140418.gifのサムネール画像
パソコンやUSBストレージ(USBスティック、外付けHDD)の社外への持ち出しは、当然情報漏洩のリスクがつきものです。しかし、業務上データの持ち出しが必要な状況は発生します。

パソコンやUSBストレージが盗難にあったり紛失した場合による情報漏洩は、社員それぞれの注意や頑張りだけでは防げません。

万が一、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

これから導入をお考えの方には、データ持ち出し時に、自動で暗号化やパスワードの設定が行われるものがユーザーの負担も少ないのでおすすめです。万が一に備え、データの暗号化を行える体制を整えましょう。




Internet Explorer以外の代替ブラウザを

2014/04/30 18:34

マイクロソフト(Microsoft)社製のブラウザ「インターネット・エクスプローラー(Internet Explorer,IE)」に、セキュリティ上の脆弱性があると、アメリカ米国土安全保障省が警告しています。

この脆弱性を悪用することで、ユーザーのふりをして任意のwebサイトへ誘導したり、プログラムコードを実行する事が可能になるという。

脆弱性が修正されるための更新プログラムが発表されるまでは、別のブラウザを使用する方が良いでしょう。

■マイクロソフト セキュリティ アドバイザリ
 https://technet.microsoft.com/ja-jp/library/security/2963983



■代表的な代替ブラウザ
・Google Chrome
 http://www.google.co.jp/intl/ja/chrome/browser/ 
・firefox
 http://www.mozilla.org/ja/firefox/new/ 
・Opera
 http://www.opera.com/ja/computer/windows


重要度を増すログの取得

2014/04/28 17:33

ログの取得は、事故の原因究明や情報持ち出しの抑止力、
事後の対策への重要な手がかりとなります。


個人情報保護法が2003年に成立し、様々な情報漏洩対策が行われる様になりました。
それに伴い、セキュリティ管理の対象は広くなり、状況を取得・確認出来るログ(通信・操作記録)が重要視されています。

近年増加している情報漏洩事件に対処する際、不正アクセス・不正行為を発見するためログを追跡するのは必要不可欠です。

情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えるからです。

必要なログの種類や保存期間等、組織内で検討し適切なログ取得を行って下さい。
ログ収集を周知する事で、内部からの情報持ち出しの抑止力にもなりますので、この点からも情報漏洩対策の1つになります。

select33.gif


パソコンログイン時のセキュリティについて

2014/04/25 19:15

sec_20140425.jpgパソコンへのログイン方法としては、ID・パスワードの入力が一般的な方法です。

設定されてない方もいらっしゃるかもしれませんが、セキュリティのために、ID・パスワードの登録をおすすめします。

近年、情報管理の重要性が浸透するにつれ、パソコンのログインに対して、更に高いセキュリティが求められるようになってきました。

その流れを受け、セキュリティをアップさせるため新たに導入されているものに、ICカード認証や、生体認証(手のひら静脈認証、指紋認証、顔認証)等があります。

従来のID・パスワードの入力方法に、複製や改ざんが出来ないICカードや生体認証方法を追加導入する事により、第三者の不正なパソコン利用を防ぐことが出来るようになりました。

セキュリティ意識が低くなりがちな社内用パソコンにもしっかりと対策を施し、安全な環境を作り出しましょう。


パスワードは少しの工夫でセキュリティアップ

2014/04/24 17:58

sec_20140424.jpg手軽にできる対策の1つ。
パスワードを設定を見直そう。


パソコンにパスワードを設定していますか?
パスワード無しのままでは、当然情報が取り放題ですから、きちんとパスワードを設定し、侵入されないようロックして下さい。
これを設定しておけば、他人に勝手にパソコンを操作される心配はありません。

パスワードの設定・管理はどうしていますか?
生年月日やaaaaの様な連続した文字等、単純なパスワードでは簡単に侵入されてしまいます。
アルファベットと数字や記号などを混合し、簡単には推測できない複雑なパスワードを設定して下さい。

他人には一見、理解出来ない文字列にしたり、忘れにくい文章を設定するのも良いでしょう。パスワードの強度を確認出来るサイトもありますので、確認をおすすめします。

【Microsoftパスワードチェッカー】
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

その他、パスワードを使いまわさないこと、定期的に変更する事も重要です。




日常習慣で出来る情報漏洩対策

2014/04/23 19:29

sec_20140423.jpg 一番はじめにできる。
 基本的な情報漏洩対策は、日常の習慣から。

 
 日頃から出来る、何も特別な道具や設定がいらない情報漏洩対策です。
 
 
 ・社内で知らない人を見かけたら話しかける、声をかける。
社内への立ち入りが制限されていないと、情報を盗まれてしまう恐れがあります。
日頃見かけたことのない人がいたら声をかける等、関係者以外の立ち入りが無いよう確認しあいましょう。
 
 
・退社時や長時間席を離れる時は、机の上を片付ける。
ノートパソコンや書類・ファイル等は、 重要な情報が入っている可能性が高く、また持ち運びがしやすい事から盗難や紛失の恐れがあります。
 
デスクから長時間離れる場合は、机の上のものを引き出しにしまう等、大切な情報を守りましょう。中でも重要な情報は鍵付の場所に保管する等、一目で見たり手に取ったり出来ない状態に保護すると良いでしょう。
 

どちらもとても基本的な事ですが、このような習慣をつけるだけで出来る情報漏洩対策もあります。




身近なスマートフォンや携帯音楽プレーヤー、制限していますか?

2014/04/23 10:53

前回に引き続き、実際に情報漏洩が起こりやすいケースの紹介です。
sec_20140421.gif
■Case
※スマートフォンや携帯音楽プレーヤー(WPD:Windows Portable Devices)から漏洩

営業先へのデータ受け渡しのため、
個人所有のスマートフォンを使用して
業務上必要な顧客情報の受け渡しを行った。

しかし、スマートフォンがウイルスに感染していたため情報が流出!
データのコピーもスマートフォンに残ったままで心配・・・。

●解決策
まずは、社内でスマートフォンや
携帯音楽プレーヤーの使用を原則として禁止してください。

しかし、営業職の方をはじめ、
どうしてもスマートフォンの持ち込みが必要な場合が出てきます。

そこで、職場で使用されているパソコンに新しい設定を施します。
社内でスマートフォンや携帯音楽プレーヤーが
使用出来ない様に新たに設定を付け加えれば、
情報持ち出しを抑止でき、よりセキュアな環境を保てます。

※スマートフォンや携帯音楽プレーヤー等を
 接続不可にする設定はデフォルトの状態では出来ません。
 「WPD機器制御機能」を持ったセキュリティソフトを導入してください。



USBストレージを置き忘れた!

2014/04/23 10:47

今回は、実際に情報漏洩が起こりやすいケースの紹介です。
sec_20140418.gifのサムネール画像
■Case
※USBストレージ(USBメモリ、ポータブルハードディスク)から漏洩

大事な企画書を自宅で作成するために、やむなく重要なファイルを持ち出したが、データを保存していたUSBストレージを電車に置き忘れ紛失してしまった。

●解決策
社内でUSBストレージによるデータの持ち出しを禁止する。

ただし、業務上必要な場合は、 例外として、許可されたUSBストレージのみ使用可能とする。
更に、USBストレージ内のファイルを暗号化する事で、情報が読み取られる事を防ぐ。 上記のケースは、業務に熱心な方こそ起こしやすい事例かと思います。 USBストレージを全て使用禁止に出来れば漏洩も防げますが、 業務に支障が出る場合もあるでしょう。 どうしても持ち出しが必要な時のために、 あらかじめ持ち出しの手続きや管理方法を決めておく。 また、もしも紛失した時のためにファイル暗号化を行う等、 何重にも防止策を施しておく必要があります。

【情報持ち出しの悩みは「発見伝Select ver3.1.0」で解決!】

情報漏洩対策ソフト「発見伝!」

データのやりとりで便利なUSBストレージこそ、情報漏洩が心配です。

弊社の「発見伝Select ver3.1.t」なら、USBストレージを介して起こる様々な情報漏洩問題を対策出来ます。

→ 情報持ち出しの悩みは「発見伝Select_ver3.1.0」で解決!





情報漏洩はどこから?

2014/04/23 10:14

情報漏洩のほとんどは、誤操作や設定ミス、
内部の人間による情報持ち出しなど内部要因が占めています。

内部から漏洩する場合の原因や経路はどのようなものなのか。


まずは、紙媒体の持ち出し。
データを印刷、もしくはコピーしての持ち出し。
紙媒体は、従業員や関連業者からの漏洩が多く見られます。


また、わざわざ印刷しなくても、データ自体を持ち出す事も出来ます。

データを持ち運べるアイテムも、
USBストレージ(USBメモリ、外付けHDD)、スマートフォン、デジタルカメラ、
CD・DVD、SDカード、メモリースティック等、様々な種類があります。

stop03.gif

これらを不正に持ち出したり、 もしくは外出先での紛失や盗難にあう事で、 情報漏洩と繋がってしまう可能性があります。 特に記録メディアから情報が漏洩した場合は、 紙の情報に比べ何倍もの量の情報が流出したと考えても良いでしょう。 情報漏洩の原因のほとんどは、外部からではなく、内部から起こるものです。 原因が内部にある事を認識すると、漏洩防止の対策が見えてくることでしょう。



情報漏洩による影響

2014/04/23 09:41

近年報道される情報漏洩事件。

情報漏洩対策についての認識が高まり、
企業や個人の間でも取り組みが進んでいます。

しかし、情報漏洩に関する事件は頻繁に報じられているのが実情です。
情報漏洩が起こった場合、どのような状況になるのか。 ビジネスシーンにおいて、情報漏洩にさらされる情報としては、「技術(機密)情報」「顧客(個人)情報」が上げられます。 技術の漏洩は、企業の重要資産である技術そのものやノウハウが流出する事により、類似品の発生からくる売り上げ減少、株価下落等を引き起こし、顧客情報の漏洩は、損害賠償(慰謝料)の支払い等が発生します。損害賠償は、1件あたりの額が小さくとも、被害者の数によって大きな費用となります。 また、影響はそれだけに留まらず、社会的信用やイメージのダウンへとつながります。 情報漏洩対策は、単に技術や情報を守るだけではなく、企業そのものを守る事でもあります。
sec_20140416.gif
 



情報管理の重要性。情報漏洩を防ぐために。

2014/04/16 09:33

年々高まる情報管理の重要性と、 増加する情報漏洩事件。
情報漏洩を防ぐために、今こそ対策を!

情報漏洩(じょうほうろうえい)とは、
内部の機密情報などが外部に漏れてしまうことを言います。

ほとんどの情報は、パソコンにて作成・保存を行なうため利便性が向上しました
が、その分情報漏洩する危険性も高まりました。

情報漏洩の原因のほとんどは、誤操作や設定ミス、内部の人間による情報持ち出
しなど内部要因が占めています。

sec_20140415.gif

情報漏洩がどのようにして起きているかを知ることは、自分自身が情報漏洩を起 こさないために役立ちます。 情報を持ち出すのに便利なCDやUSBストレージ、スマートフォンなど、ITを取り 巻く環境も大きく変化する中、情報漏洩を防ぐためには何が必要なのか考える必 要があります。




このページの上部へ