情報セキュリティ
情報セキュリティとは、「情報の機密性、完全性、可用性の維持」（JIS Q27002）と定義されています。同じような用語の「ITセキュリティ」と違う点は、デジタルデータだけを指すのではなく、紙媒体等も扱われる点です。

定義づけされている3つの要素は、「情報セキュリティの3要素」と言われています。
・機密性・・・情報が漏洩しないようにする
・完全性・・・情報を改ざんされないようにする
・可用性の維持・・・システムがダウンしないようにする

これらを維持し、情報セキュリティが保ち続ける努力が必要です。


スマートデバイス
一般的には、スマートフォンやタブレットPC、フィーチャーフォンを総称してスマートデバイスと呼びますが、明確な定義はありません。既存のコンピュータの枠にとらわれない情報機器の総称を指します。

例：iPhoneやiPad、Androidフォン、Windows phone、タブレットPC等

便利な反面、「盗難・紛失による情報漏えい」や「マルウェアやウイルスへの感染」等不安要素も高い。

・個人情報

個人情報とは、特定の個人を識別することができる情報をさします。
いくつかの情報を組み合わせれば、個人を識別・特定できる情報やデータも含まれます。
以下、代表的な個人情報。
氏名・住所・電話番号・年齢・性別勤務先（会社名）・所得
生年月日・家族構成・クレジットカード番号・病歴・犯罪歴・結婚／離婚歴


・個人情報保護法

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として制定されました。2005年4月より全面施行。

定められた個人情報の具体的な扱いについて

・個人情報を集める際には、目的を告知する
・適正な取得を行う（本人の同意を得る）
・情報を安全に取り扱う（流出や盗難、紛失を防止する）
・透明性の確保（本人が閲覧可能なこと、本人に開示可能であること、個人情報が事実と異なる場合、訂正や削除に応じる こと）

この法律が立案された背景には、パソコンやインターネットの発達によって、大量の個人情報を蓄えたり、利用可能になったことがあります。 

情報漏洩
情報漏洩とは、企業情報、行政文書、個人情報などが、盗難や不注意、管理上の問題などで外部に漏れてしまうこと。
頻繁にニュースになる「情報漏洩事件」のほとんどが、内部関係者による不注意又は不正な行為であると言われています。

パソコンの状態が最新ではないために脆弱性を突かれてしまったり、ウイルスに感染したしたり、ファイル共有ソフトを利用して外部に漏れてしまうなど、社会的に大きな問題になっています。
現在、多種のセキュリティソフト・製品がありますが、それらの主な機能は監視に重きを置き、情報漏洩の抑止を目的とした製品が多い。


ファイル共有ソフト

ファイル共有ソフトとは、インターネット上で不特定多数のユーザーとファイルのやりとりをするためのソフトです。代表的なソフトは、WinnyやShare。ファイル共有ソフトを介して、音楽、映像、ゲームソフトなどの著作物が無断でやりとりされており、著作権侵害として大きな問題となっています。


コンピュータウイルス

コンピューター ウイルスは、他人のパソコンに勝手に入り込んで動作を妨害をする小型のソフトウェアプログラムです。
画面表示を勝手に変更したり、無意味な単語や文章を表示したり、パソコン内のデータを破壊または削除する可能性があります。
ウイルスはインターネットからダウンロードしたファイルや、他人から借りたUSBメモリースティイク等を通じて感染するので容易に拡大します。

大抵は使用者の知らないうちに感染します。感染に気づかずにパソコンを使用し続けると、他のパソコンにウイルスを移す危険性もあるので注意が必要です。トロイの木馬、スパイウェア、偽装セキュリティソフト等があります。

漏洩した情報の回収と
その後の対策・改善を考える。

情報が漏洩した場合、物品であればその回収を行います。しかし、デジタルデータになると回収のみでは収まらない場合もあります。

デジタルデータはコピーされやすく、すべてを回収するのは困難です。その反面、暗号化等のセキュリティにより、悪用されずに済む可能性もあります。

紙媒体等のアナログデータは、早期に回収するとそこで情報を止められる可能性が高いが、視認性が高い事から記憶に残りやすく、また、デジタル化されている可能性もあるので注意が必要です。

漏洩してしまった情報は、流出し続ける可能性があります。回収後も、漏洩した情報がどこかで公開されていないか定期的に調査する必要があるでしょう。

・紙媒体等のアナログデータは早期に回収し、原因となったFAX誤送信や廃棄処理手順、印刷物の管理方法を徹底する。
・メール誤送信の予防策や、デジタル情報のセキュリティソフト等の導入等、パソコン利用におけるセキュリティポリシーの策定・改善を行う。

（もし個人情報が漏洩したら、個人情報が漏洩した場合の対策、
情報漏洩の事実確認には、操作ログが重要な手掛かりに、
情報漏洩が起こったら、顧客や取引先へ情報公開を  　参照 ）

情報がどのようにして漏洩してしまったのか、
公開する範囲を決定し、漏洩の事実を伝える。

日頃、しっかりと情報管理を行っていても、情報漏洩が発生してしまう可能性があります。
（もし個人情報が漏洩したら、個人情報が漏洩した場合の対策、
情報漏洩の事実確認には、操作ログが重要な手掛かりに 　参照 ）

情報漏洩が発生してしまったら、顧客や取引先、関係者へ漏洩の事実を伝えて下さい。














この時点では、原因が特定されていないかもしれませんが、原因を調査中である事も含めて、情報漏洩の事実を伝える事が大切です。この報告・連絡で、被害の拡大や二次被害を最小限に抑えられるかもしれませんので、早めの連絡を心がけて下さい。

また、状況に応じて、情報を開示していく事もとても重要です。

情報漏洩が発覚したら。
インシデントを明確にし、事実確認を行う。

個人情報漏洩が発覚し、その報告がもたらされた後、責任者は速やかに事実確認を行います。
（もし個人情報が漏洩したら、個人情報が漏洩した場合の対策　参照 ）

・どの情報が漏洩したのか（書類名やファイル名、枚数、個数、情報量）
・いつ情報が漏洩したのか（情報漏洩した日付を明確にする）
・どこにあった情報がどこから漏洩しどこで発見されたか等を明確にする
・情報漏洩の原因を究明する
・情報漏洩を起こした人物を特定する
・個人情報の内容や件数を確実に把握する

個人情報が漏洩した場合、
まず行う事は責任者(担当者)の決定。


個人情報漏洩が発覚し、その報告がもたらされた後(もし個人情報が漏洩したら 参照)、
組織だって動くために、まずは責任者の決定を行う必要があります。

対策：情報漏洩責任者(担当者)の決定

・漏洩事件の関係者・関係組織の特定
・関係組織から事件解決に必要な人材を選定
・対策プランを立てる
・漏洩に対する対策と担当者・時期など役割分担を行う

責任者と、その他関係者・関係組織との役割分担が決定したら、次は情報が「いつ」「どこから」漏洩したのか事実確認を行う段階に入ります。

情報漏洩対策何をしたら良いのか。
すでに対策済だが、更に何をしたらと悩んだら
診断サイトでベンチマークを行ってみる。

これから本格的に情報漏洩対策を施したいとお考えの方。
すでに対策は行っているが、さらに充実させたいなど、これから何を行ったら良いのかお悩みの方は、診断サイトのベンチマークで診断を行えば、現在の状況が把握でき、これから何をしたらよいのか方向性が見出しやすくなります。


IPAの情報セキュリティ対策ベンチマークは、
設問に答えるだけで、
自社のセキュリティレベルを他社との比較で診断することのできるシステムです。


　・IPA 独立行政法人情報処理推進機構セキュリティセンター
　　組織の情報セキュリティ対策自己診断テスト
　　
　【情報セキュリティ対策ベンチマーク】
　　http://www.ipa.go.jp/security/benchmark/index.html

情報漏洩は印刷物から・・・

2005年より施行された個人情報保護法により、企業の情報漏洩対策の導入は大幅に進みました。 しかし、個人情報の漏洩事故は頻繁に起こっています。

原因は、利用者のうっかりミスや誤操作などといったヒューマンエラーによる事故。
中でも、紙媒体からの情報漏洩が大きな割合を占めています。

印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまう。 また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。


印刷物からの情報漏洩抑止。どのように防ぐ？

1.パソコン本体について、認証されたユーザーのみログオン可能にする。

まずは、大切なデータが保存されているPCを守ります。 
PCログオン時に本人認証を行えば、認証されたユーザー以外はPCにアクセス出来なくなり、不正に印刷される危険性が軽減されます。

2.印刷時にも、認証を導入する。

認証印刷を導入する事で、印刷物の受け取りをコントロールすることができ、印刷物の持ち去り、取り間違い、のぞき見などに起因する情報漏洩のリスクを軽減出来ます。

認証印刷を利用する際は、ユーザーに負担がかからないようICカード等を鍵にするのがおすすめです。

情報漏洩対策で守るべきとされる情報資産。
どのような情報を情報資産に位置づけるのか。

企業の資産とは、業務の過程で生み出される価値あるものをさします。

資産には、不動産や製品など、形として現されるものもあれば、、顧客情報・技術情報・財務情報など、明確な形をとらないものもあります。
これらの情報の事を情報資産と呼び、それが外部に漏れる事の無い様、守る必要があります。

情報資産の価値は、単に金銭的価値としてだけではなく、ブランドや企業のイメージなど、企業そのものの根幹を成します。

企業には、日々、多くの情報資産が蓄積されます。
それらは、パソコン、USBメモリーをはじめとする記録媒体、紙媒体、または人の記憶など、さまざまな形態をとり増え続けます。ITの普及と進歩に伴い、情報資産の価値は、ますます高まっていくでしょう。

企業においては、情報管理担当者だけでなく、情報を扱う一人ひとりが、情報セキュリティに対する知識を持つことが大切になってきます。

USBストレージ(USBメモリ、外付けハードディスク)からの
ウイルス感染事例が良く見受けられます。

USBメモリは、取扱が簡単でデータの保存・移動などに便利な事から、色々な場面で気軽に利用されています。

しかし、紛失による情報漏洩や、USBメモリからウイルスに感染する被害も増えています。

「ウイルスに感染しているUSBメモリをパソコンに接続して、感染」を繰り返す事により、被害が拡大していきます。


多くのウイルスは、感染したUSBメモリをパソコンに接続すると自動的に実行されます。
そして、パソコン内にウイルスがコピーされ、そのウイルスを自動実行させるための不正なファイルを作成し、アカウントを盗んだり、パソコンを遠隔操作したり、様々な活動をする事が確認されています。

もっとも簡単な対策法は、USBメモリをパソコンに接続しても、自動的に起動しないようにオートラン機能(自動起動)を無効化する事です。

Windowsであれば、「コントロールパネル」から自動再生についての項目を探し、「自動再生を使う」のチェックを外すか、導入しているセキュリティソフトがあれば、「オートラン無効化」機能を使用して下さい。

自分のパソコンだけではなく、周りのパソコンも一緒に守っていけるよう対策を行う必要があります。

IPA独立行政法人情報処理推進機構開催の
「情報セキュリティ標語・ポスター・4コマ漫画コンクール」受賞作品

このコンクールは、作品の制作を通して、情報モラル・情報セキュリティについて考える機会を設けるのが狙いのようですが、大人が見ても納得の力作ぞろいです。


当たり前のようで忘れがちになる
情報セキュリティの心構えを思い出させてくれます。

優秀賞「おもいこみ　僕は安全　それ危険」
優秀賞「ネットの海　最後の番人　私の心」

■IPA独立行政法人情報処理推進機構
第９回IPA情報セキュリティ標語・ポスター・４コマ漫画コンクール2013
https://www.ipa.go.jp/security/event/hyogo/2013/


2014年度の受付もすでに始まっているようです。
学生さんの瑞々しい感性から出来上がる作品が、今から楽しみです。

■第10回の開催について
2014年4月1日より受付開始
【基本テーマ】
　①携帯電話（スマートフォンを含む）　②パスワード　③個人情報　④ルール　
　⑤マナー　⑥パソコン　⑦ウイルス　⑧ネットトラブル　⑨チェーンメール　⑩著作権
http://www.ipa.go.jp/files/000035716.pdf

安全に情報を保存したい。
USBメモリからのウイルス感染を防ぎたい。
持ち運び時も考え、暗号化を行いたい。

年々、パソコン上で扱うデータの量や種類が増えUSBストレージ(USBメモリースティック、外付けハードディスク)を使用する機会が増しています。
便利な反面、ウイルスへの感染や、紛失・盗難にあった場合の情報漏洩が心配になります。


今回は、情報漏洩対策に優れた「セキュリティーUSBメモリ」の紹介です。

USBメモリーを紛失して企業機密や個人情報が流出してしまったとか、ウイルスに感染したUSBメモリを介して、他のパソコンへも被害を広げてしまった、という話はよく聞きます。

そういった不安を軽減させるため、様々なセキュリティー機能が搭載された「セキュリティーUSBメモリ」が発売されています。

搭載されている代表的な機能は以下のようなもの。

・暗号化機能付きセキュリティーUSBメモリ
・ウイルスチェック機能付き
・不正使用防止のパスワード認証付き

こうしたセキュリティに優れたUSBメモリはとても便利ですが、その分一般のUSBメモリに比べ高めの値段となっております。導入の際は、十分な予算の確保が必要となってきます。

今回は、実際に情報漏洩が起こりやすいケースの紹介です。


■Case
漏洩の有無・範囲が分からない。
共用で使用しているパソコンに重要ファイルを保存し、1週間放置してしまった。
後から気づいて削除したが、その間、重要ファイルが持ち出されたかどうか分からなくて心配だ・・・。

パソコンには、操作ログが確認出来るソフトを導入して下さい。

操作ログでは、ファイル移動、コピー、削除、ファイル名の変更などが確認出来ると良いでしょう。

このログをもとに、重要ファイルが持ち出されていないか、コピーして別の名前に置き換わっていないか、確認する事が出来ます。

もし、ファイルが持ち出されていたら、持ち出した日時、どこにファイルが移動されたのかを確認し、持ち出した人物やファイルの保管場所の特定を行って下さい。



ログの取得は、事故の原因究明や情報持ち出しの抑止力、
事後の対策への重要な手がかりとなります。

情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えるとても貴重な資料です。

情報漏洩の起こる状況をイメージする。
守りたい情報は何か特定する。
誰から(どこから)守るのか想定する。
情報が漏洩してしまった場合の対応を考える。


情報漏洩対策を行いたいが、何から手をつければ良いのかお悩みの方は多いのではないでしょうか。そんな時には、５つのＷで考えると対策が立てやすくなります。

まるで文法の授業の様ですが、5つのWとは、Who（誰が）What（何を）When（いつ）Where（どこ）Why（なぜ）を指します。この要素を使用し、情報漏洩の起こる状況をイメージしてみましょう。



誰から守るのか？

「社外」への漏洩に対して対策を行うのか、それとも「社内」からの持ち出しを防ぐ対策を行うのかによっても方法は異なります。いくつかの事件を仮定してみましょう。


守りたいものは何？

重要な「技術(機密)情報」や「顧客(個人)情報」。
どこに保管されているのか。どこまで守ればよいのか判断します。
また、情報漏洩した場合与える影響の大きさや、漏洩が起こりそうな頻度等を考慮した基準を決めておくと、後から追加したい場合や見直し時に役に立ちます。


起きてしまったらどうする？

上記で仮定した事件に対して、予防策やその後の対応をイメージしてみて下さい。
何を行えば防げたのか、ｆなぜ流出してしまったのかの確認、情報をいかにすれば回収できるのか、どの程度の費用がかかるのか、イメージを行ってください。

まずは、上記でイメージした事件に対しての予防策や、事件が起きてしまった場合のマニュアル作成を行うと良いでしょう。

暗号化ファイルは更に強固に出来る。
従来のUSBメモリーが使用出来、高い費用対効果。
内部犯行に備えて導入したいソフト。


USBメモリーが盗難にあったり紛失した場合、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性は格段に低くなります。

更に、内部の人間による不正な持ち出しにも備えたい場合、暗号化したファイルが他所では復号化出来ない様なソフトの導入も検討も必要になってきます。


内部犯行を防ぐため、ぜひとも抑えておきたい機能は以下2点。

■同じソフトをインストール済みの端末でも、
　復号するキーが異なっていれば復号化することが出来ない。

■市販のUSBメモリーを利用出来、費用負担を抑えられる。


情報漏洩対策ソフト「発見伝Select ver3.1.0」＋OCS Service（オプション機能）で実現出来ます。
http://www.cca-co.jp/service/select-ver310.html


使用方法はシンプルで、USBメモリーにコピーしたファイルが自動的に暗号化されます。パスワードも8桁で自動生成されるため、煩わしさがありません。

自動暗号化されたファイルが、別のパソコンで復号化されてしまっては意味がありません。同じソフトがインストールされていても、復号するキー(セキュアパスキー)が異なっていれば復号化が行えません。
また、市販の安価なUSBをそのまま使用出来るので、暗号化機能つきのUSBメモリーに入れ替える場合と比べ、導入時の費用負担が抑えられます。

「発見伝Select ver3.1.0」＋OCS Service は、暗号化したファイルが他所では復号化出来ないため、不注意でUSBメモリーを紛失した場合、故意に内部から情報を持ち出した場合のどちらにも有効なコストパフォーマンスに優れたソフトです。

インシデント発生の報告パターンについて

個人情報の漏洩が発生した場合、速やかに対処する必要がありますが
いざ事件が起きた時、誰からどのようにして報告がもたらされるのでしょうか。

大きくわけて、以下の様なパターンが考えられます。

■情報漏洩を起こした本人からの報告
■組織内部からのサーバーログや管理等などによる証拠による報告
■情報が漏洩した関係者、又は本人からの報告

内部から報告があった場合、外部から報告があった場合、
それぞれどの様に対応するか、マニュアルや対策方法の制定を行ってください。

デジカメやスマートデバイス(タブレット端末やスマートフォン)。
記憶メディアとしても便利だが、情報漏洩のリスクが大きい。

日本ネットワークセキュリティ協会(JNSA)の調査によると、
「USB等可搬記録媒体」からの情報流出が全体の4分の１を占めています。

この「USB等可搬記録媒体」の中には、デジカメやスマートフォンも含まれます。

USBスティック等は制限していても、
デジカメやスマートフォンに関して対策は行われているでしょうか。

社内での使用を禁止するだけでは各自の判断任せになりますので、
スマートデバイスも制御できるソフトの導入を検討しましょう。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整える必要があります。


※デジカメやスマートデバイスを
　制御する設定は、デフォルトの状態では出来ません。
　「スマートデバイス制御機能」、もしくは「WPD機器制御機能」を持ったセキュリティソフトを導入してください。


参考：
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf

マイクロソフト（Microsoft）社は、ブラウザ「インターネット・エクスプローラー（Internet Explorer,IE）」にセキュリティ上の脆弱性が見つかった問題解決のため、欠陥修正プログラムの配布を行っています。これは、4月9日にサポートを終了した「WindowsXP」にも対応されています。

欠陥修正プログラムは、「Windows Updata」の自動設定を行っていれば、ユーザー側で対応する必要はないそうですが、手動での対応も可能となっています。

今回の件を機会に、日頃使用しているものや環境について一度見直してみるのも良いかもしれません。

■Windows Update 利用の手順
http://www.microsoft.com/ja-jp/security/pc-security/j_musteps.aspx

■マイクロソフト セキュリティ アドバイザリ
https://technet.microsoft.com/ja-jp/library/security/ms14-021

暗号化はどうして必要なのか。
社外へデータを持ち出す際に必要なセキュリティ対策。

パソコンやUSBストレージ(USBスティック、外付けHDD）の社外への持ち出しは、当然情報漏洩のリスクがつきものです。しかし、業務上データの持ち出しが必要な状況は発生します。

パソコンやUSBストレージが盗難にあったり紛失した場合による情報漏洩は、社員それぞれの注意や頑張りだけでは防げません。

万が一、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

これから導入をお考えの方には、データ持ち出し時に、自動で暗号化やパスワードの設定が行われるものがユーザーの負担も少ないのでおすすめです。万が一に備え、データの暗号化を行える体制を整えましょう。