物理的なセキュリティ対策

ひとくちに情報漏洩対策といっても、暗号化等によるデジタル面の対策と、管理カメラや入退室管理による物理的な対策があります。

物理的なセキュリティ対策の例としては、監視カメラ、機器や媒体などの持込・持出禁止、入退室管理、部屋や重要資料棚の施錠、ICカードや生体認証による個人識別等、様々な対策があります。

これらは、実際に物品の持出しを防ぐ意味と、心理的な抑止効果を高める働きを行います。組織内外を問わず、人間による 情報を持ち出そうという気を起こさせない事が大切です。

組織内の人のセキュリティ意識を高めることで、オフィス全体のセキュリティを高めることにつながります。組織における日常のセキュリティの確保につとめましょう。

 日本ネットワークセキュリティ協会(JNSA)の調査によると、USBメモリをはじめとした「USB等可搬記録媒体」を経路とし、多くの個人情報が流出しています。

さらには、スマートフォン・タブレットパソコン等のスマートデバイスが、新たな「大容量記憶メディア」として広まっていますが、十分な対策を施せていない組織が多いのが現状です。SDカード内蔵のデジタルカメラにも注意が必要です。

持ち運びが安易で多くのデータが保存出来、便利な反面、私物のスマートデバイスは管理がしづらく、ユーザー任せになり把握が行えません。

仮に、顧客情報が大量に入ったスマートフォンを紛失した場合、重大な漏洩事件になる可能性が大きいのです。

対策として、私物のデジカメやスマートデバイス使用を禁止する。
更に、対策をユーザー任せにしないために、パソコンに接続しても読み込めない様、セキュリティソフトの導入を推奨します。

情報漏洩事件が起こってしまう前に、ユーザー任せの状況をやめ、不正使用が起こらない様クライアントパソコンを管理下に置き対策を行ってください。

JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html

パソコンの画面に、「○個のウイルスが検知されました」「ハードディスク内にエラーが見つかりました」といった偽の警告画面が表示され、解決するために有償版の製品を購入させる手口の「偽セキュリティ対策ソフト」型ウイルスの情報が多く出回っています。

これらは、有償のセキュリティソフトを購入させる様に見せ掛け、クレジットカードの情報や個人情報を盗んだり、更にはパソコンが正常に動作しなくなる様に悪さをするおそれがあります。

このようなウイルスに感染しないために、OSやウイルス対策ソフト、Flash Player、Adobe Readerといった各種プログラムを最新状態に保つように心がけてください。

それと、使用しているウイルス対策ソフトの正式名称を確認し、日頃どのようにウイルスチェックをしているのか把握してください。把握していることで、警告やエラー画面が出た場合、それが正規の対策ソフトからの情報なのか、それとも偽の対策ソフトなのか判別が行えます。

また、万が一に備えて重要なデータを定期的にバックアップしてください。ウイルス感染に限らず、パソコンの故障にも備える事が出来ます。

USBメモリを介したウイルス感染や情報漏洩は、問題にはなるものの後を絶つ事がありません。更には、大容量化と低価格化が進み、どの組織でもかなりの割合で使用されていると思われます。

USBメモリそのものは、データの保存や受け渡しを簡単に行える便利な機器ではありますが、複数のパソコン間を行き来する機会が多く、取り扱いには注意が必要です。

情報漏洩対策のために、パスワード保護やデータの暗号化を備えた高セキュリティな製品も数多く提供されるようになりました。これらの機能は、紛失や盗難による情報漏洩を防ぐ重要な役割を担っています。

このように高セキュリティなUSBメモリもありますが、盗難・紛失に対して有効ではあっても、勝手に持ち込まれたUSBメモリによる漏洩は防ぐことが出来ません。

パソコン側にもセキュリティソフトウェアを導入し、管理者やパソコンのユーザーが、USBメモリについて 使用許可・禁止、特定のもののみ使用可能といった制御を行える仕組みが必要になります。

個人情報漏洩対策は大丈夫ですか？

大切なお客様の個人情報を守りたい。
個人情報や重要な社内文書など守らなければならない情報は日々増えるばかりです。
お客様の信頼を得るために、対策を施しましょう。

情報が漏洩する原因は、利用者のうっかりミスや誤操作などといったヒューマンエラーによる事故が多く、8割を占めています。

内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事です。まずは、大切なデータが保存されているパソコンを守る事から考えましょう。

まずは、パソコンへのログイン方法を見直してください。ID・パスワードを設定されてない方もいらっしゃるかもしれませんが、セキュリティのために、ID・パスワードの登録をおすすめします。

さらにセキュリティをアップさせるため、ICカード認証や、生体認証(手のひら静脈認証、指紋認証、顔認証)等を導入してもよいでしょう。

従来のID・パスワードの入力方法に、複製や改ざんが出来ないICカードや生体認証方法を追加導入する事により、第三者の不正なパソコン利用を防ぐことが出来ます。

JNSA2012年情報セキュリティインシデントに関する調査
http://www.jnsa.org/result/incident/2012.html

対策：データの暗号化で解決

USBメモリーが第三者の手に渡ってしまうと、保存してある情報が漏洩する可能性があります。 ですが、データを暗号化しておけば、万が一紛失や盗難にあっても、USB内のファイルを閲覧する事はできません。

下図は、弊社の情報漏洩対策ソフト「発見伝Select」を使用し、暗号化を施した場合。
※使用するUSBは、市販のUSBメモリで対応可能です。(SONY,TOSHIBA,ELECOM,BUFFALO 等)

発見伝Select ver3.1.0からは、USBストレージ(USBスティックや外付けHDD)にデータをコピーする際、強制的に暗号化され格納されますので、更に高セキュリティで安心です。

ウイルス(不正プログラム)に感染したUSBメモリをPCに接続すると、ウイルス(不正プログラム)が自動的に起動し、接続した瞬間にウイルス自身をコピーして、自動実行ファイル「autorun.inf」を作成します。
そして感染PCに別のUSBメモリを挿すとまた...と次々に感染が引き起こされてしまいます。

 対策：自動起動(オートラン)の無効化で解決

データのやりとりで便利なUSBストレージも、複数のPCで共用しているとウイルス感染が心配です。

USBストレージ(CD・DVDを含む)接続時の自動起動(オートラン)を無効化し、「マルウェア」からのウイルス感染を防ぐ対策を行ってください。

情報漏洩の多くは組織内に原因がある
情報を大切に扱う等、意識することが重要


IT技術が発達し、パソコンでファイル作成・データ管理が出来るようになったことは、私たちの業務に大きなメリットをもたらしてくれました。

しかし、それは大きな脅威でもあります。
パソコンの中にある重要なファイルも、コピー＆ペーストで簡単に複製することが出来ます。これは便利な反面、よく考えるととても危険な事です。

個人情報に限らず、組織外に漏れてはならない情報は数多く存在しています。これらの情報をいかに安全に管理するかは、大きな課題の1つでしょう。


情報漏洩の原因の多くは、内部に原因があります。
原因の大部分は操作ミスや紛失といった過失によるものです。

過失によるものは、そこで活動する人の意識を向上させる事で防いでいけます。

過去に他社で起きた事例等をもとに、自分たちには何が出来るかを考える事。また、普段取り扱っている情報が、とても重要なものである事を再認識する機会を設けるのもよいでしょう。

情報漏洩事件は、対岸の火事ではなく、自分たちの身に起きるかもしれないという意識を持つ事が情報漏洩対策の大きな一歩となります。

ライフメディアのスマートフォンに関する調査の結果によると、スマートフォンの利用者は全体の53％で、半数を超えました(2014/4/9現在)。

スマートフォンは、従来の電話としての使用に加え、持ち歩き可能な便利な情報端末として利用されています。
パソコンと同じようにwebサイトが参照出来たり、オンラインで利用出来る多様なアプリ(アプリケーション)もあります。持ち運びに便利な小さなパソコンとも言えます。

携帯電話やUSBストレージ、ノートパソコンと同様に、スマートフォンも盗難･紛失に備えたセキュリティ対策が必要です。

まずは、セキュリティロックをかける。
重要な情報を保存しない。保存するならば、データの暗号化対策（アプリ）を行う。

携帯電話やモバイルパソコンと同じように、遠隔で出来る強制ロックやデータの強制消去サービス、位置情報の確認サービスといったアプリケーションの利用も効果的です。

スマートフォン自体を持ち出さない、データを保存しないのが一番効果的ではありますが、組織での業務活動にあわせて、定められているセキュリティ・ポリシーに沿って利用を行ってください。


スマホ利用者が半数を超える、スマートフォンに関する調査
http://research.lifemedia.jp/2014/04/140409_smartphone.html

情報漏洩は内部から

情報漏洩の原因は、不正アクセス等の外部要因ではなく、内部の人間による持出し、操作ミスなど内部要因が多くを占めています。
重要データは、社外に「持ち出せない」仕組みづくりに取り組む必要があります。

デジタル化されたデータは、様々なルートで社外に流出する危険性があります。
データをメールに添付して送信。印刷して持出し。ファイルをコピーしUSBメモリーの様な外部メディアに保存したが紛失。

また、データを共有する人も臨時職員や海外現地社員、派遣社員等様々です。

出来る限りリスクを排除するために、書類の持出し禁止やUSBストレージの使用禁止等、組織にあったセキュリティポリシーを策定してください。

　　【情報セキュリティポリシー】例
　　1.CD・DVDの使用禁止
　　2.メモリカード(SD、メモリースティック)の使用禁止
　　3.携帯電話、スマートフォンの持込禁止
　　4.USBストレージの使用禁止
　　5.ファイルをメールで送信する際は暗号化を施す
　　6.プリンタはネットワークプリンタのみ(ローカルは禁止)
　　7.webの閲覧制限
　　8.管理のための操作ログ取得
　　9.ウイルス対策
　 10.書類の持ち出し禁止
 　11.書類破棄時はシュレッダー裁断(破砕)を義務化
 　12.入退室管理
 　13.IDパスワード等、個人権限の貸借禁止

実際に情報漏洩が起こりやすいケースの紹介です。

■Case
※USBストレージ(USBメモリ、ポータブルハードディスク)から漏洩

職員が私物USBメモリに診療情報を入れて病院外に持ち出し、紛失。パスワードの設定やデータの暗号化がなされていなかったため情報が漏れてしまった。


●解決・防止策
組織内でUSBメモリやポータブルハードディスクによるデータの持ち出しを禁止する。

ただし、業務上必要な場合は、データの暗号化を施してからの持ち出しを原則とし、万が一に備えて情報を読み取られないようにする。



上記のケースは、業務に熱心な方や繁忙期に起こりやすい事例です。

USBストレージを全て使用禁止に出来れば漏洩も防げますが、
業務に支障が出る場合もあるでしょう。

どうしても持ち出しが必要な時のために、
あらかじめ持ち出しの手続きや管理方法をセキュリティポリシーで決めておく。

また、もしも紛失した時のためにファイル暗号化を行う等、
何重にも防止策を施しておく必要があります。

様々なパスワード・認証方法

ワンタイムパスワード
一度しか使用できない使い捨てのパスワードのこと。
毎回異なるパスワードにする事により、パスワードの漏洩によるリスクに対処できます。モバイル端末でのセキュリティ対策に利用される事が多い。


シングルサインオン
ユーザーが一度認証を受けると、許可されている全ての機能を利用出来るようになる仕組みのこと。
シングルサインオンは、認証を簡単にする事でユーザーの負担軽減が行えます。
しかし、漏洩した時の被害が大きいので、厳重な認証機能である事が求められます。


バイオメトリクス認証(生体認証)
指紋や手形、眼球の虹彩、声紋、手の甲の静脈パターンなどの身体的特徴によって本人確認を行う認証方式のこと。
単純な暗証番号やパスワードなどに比べ、認証システムをだましにくい方式であるため、関心が高まっている。その人の生物学的特徴で識別するため、コピーする事も、盗難・紛失、置き忘れる危険性がない。
しかし、コストや正確性(指紋認証：濡れている場合、怪我をしている場合等)に課題が残る。

注目が集まるDLP（Data Leak Prevention）

DLPとは、Data Leak Preventionの略で、「機密情報そのものを守る」「情報そのものを、システムとしてブロックする」という仕組みを指します。

近年、データの暗号化やパソコンの操作ログを収集・管理する事で情報漏洩を防ぐツールの導入が進んできています。これらの機能は、確かに情報漏洩対策になるのですが、内部の情報を扱う権利を持つ人物に対しては、十分な効果が得られません。

では、どうすれば情報漏洩に対する根本的な対策ができるのか？
DLPは、機密情報の流出を事前に止めることを目的としています。

先に、特定のファイルや特定のキーワードを持つファイルを重要ファイルとして位置づけます。
その重要ファイルが、メール送信やUSBメモリーへのコピーを行われない様に設定をし、情報の流出を防ぎます。外部へと持ち出されない様に行う事前の対策になります。

情報漏洩で目立つ紙媒体
取り扱う量を減らす事からはじめてみよう

「JNSA2012年情報セキュリティインシデントに関する調査」によると、情報漏洩は紙媒体紙経路が多い。印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまったり、 また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。

まずは、紙媒体の利用や紙自体の量を見直してみましょう。
不要なコピーやプリントアウトを削減したり、今まで配布していた資料を電子化するのも良いでしょう。

また、紙媒体の利用状況をログとして残すのも良いでしょう。
プリンタを使用する際、「誰が」「どのファイルを」「いつ」印刷したかといった情報をログとして記録し管理に役立てる事が出来ます。記録が残る事により、心理的な抑止効果も働き、無駄な印刷を削減したり、用紙の使用量を抑えることができます。

気軽に扱いやすい紙媒体だからこそ、まずは取り扱う量を減らし、リスクを最小限にするという点が重要になるでしょう。

情報漏洩は身近なところに
紙媒体の紛失・置忘れが多い

情報漏洩事件のニュースといえば、「データベースに不正アクセス-会員情報漏洩」「ファイル共有ソフト使用で情報が流出」とか、「サイトのセキュリティをついて個人情報を盗難」と言った内容が多く、『あまり関係の無い話だな』とお考えかもしれません。

しかし、実際に多く起きている事件は、「個人情報が印刷された書類を置き忘れた」「取引先とのファイルが入ったUSBを紛失した」等、とても身近な所で起こっています。

特に、自宅に仕事を持ち帰って作業をする仕事熱心な方や、客先での打ち合わせのために資料を持ち運ぶ際に漏洩・紛失してしまう事が多いのです。

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。

組織内部のセキュリティ対策が不可欠
情報漏洩を防ぐには、内部セキュリティの強化が必要

5月15日～6月15日は情報通信月間。

後り1週間ほどになりましたが、5月15日～6月15日は情報通信月間です。

情報通信の普及・進行を図ることを目的に、郵政省(現在の総務省)が、第1次情報通信改革がスタートした1985年に、6月1日～15日の「テレコム旬間」として制定。
その後、1995年に5月15日～6月15日の「情報通信月間」に改められました。

この期間中、情報通信の役割と重要性を広くアピールするため、全国各地で様々な行事が開催されています。
内容は放送施設の見学からスマートフォン利活用セミナーや最新のクラウド環境におけるセキュリティ課題等、多岐に渡ります。

・情報通信月間
　http://www.jtgkn.com/
・平成26年度 情報通信月間参加行事（沖縄）
　http://www.jtgkn.com/2014_hp/itiran26/13_okinawa.htm

ウイルスに感染しないために

・ウイルス対策ソフトを導入する。
・ソフトウェアを最新の状態にする。更新する。
・怪しいサイトやメールに注意する。

ウイルスは悪質なサイト等で配布されたり、メールに添付されていたり、USBメモリースティックに潜んでいたりと、様々な経路でコンピュータに侵入してきます。

悪質なサイトに接続する可能性のある迷惑メールに注意する、不審なメールの添付ファイルを開かないなどの対策を行ってください。

最近は、無料のウイルス対策ソフトのように見せかけ、ウイルスをインストールさせる被害が増えています。

代表的な手段は、サイトを閲覧していると「あなたのコンピュータはウイルスに感染しています」といったメッセージを表示し、偽のウイルス対策ソフトをインストールさせる方法です。
不用意にリンク先をクリックしたり、ソフトをダウンロードしないようご注意下さい。


ウイルス対策ソフト
コンピュータをウイルスから防御・検出・除去するためのソフトウェアのこと。
「アンチウイルスソフト」「ワクチンソフト」などとも呼ばれています。
コンピュータに侵入したウイルスを検出・駆除したり、電子メールなどで送受信されるファイルをスキャンして、ウイルスが含まれていないかチェックします。

代表的なウイルス対策ソフト：
Norton Security、ウイルスバスター、カスペルスキー、ESET等

近年被害が深刻になっている「不正アクセス」
利用者のパスワードの設定や管理の甘さにつけ込んだ手口がほとんど

近年被害が深刻になっている「不正アクセス」。
正規のアクセス権を持たない人が、ソフトウェアの不具合などを悪用してアクセス権を取得し、不正にコンピュータを利用する、あるいは試みることを不正アクセスと言います。

警視庁発表によると、平成25年の不正アクセス行為の発生状況は認知件数が2,951件(前年より1,700件増加)。
そのうち、インターネットバンキングの不正送金は1,325件で、手口は利用者のパスワードの設定や管理の甘さにつけ込んだものがほとんどでした。


個人で出来る対策としては、以下の項目があげられます。
自分だけは大丈夫という考えは捨て、もしかしたら？という意識を持って下さい。

・OSやソフトを常に最新の状態に保つ
・ウイルス対策ソフトを最新の状態にする
・銀行からのログインやパスワードを求められるような怪しいメールには注意する
・いつもと違うログイン画面には注意する
・銀行口座を定期的に確認する

参照：平成25年中の不正アクセス行為の発生状況等の公表について
http://www.npa.go.jp/cyber/statics/h25/pdf040.pdf


【警視庁】　
・不正アクセス
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku34.htm

・ネットバンキングに係る不正アクセス被害の防止対策について
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku428.htm

プライバシーポリシー
プライバシーポリシー (privacy policy) とは、 インターネットのウェブサイトにおいて、収集した個人情報をどのように取り扱うのか（保護、もしくは一定条件の元に利用するのか）などを、サイトの管理者が定めた規範のこと。個人情報保護方針などともいう。
また、個人情報保護法において、「利用目的」「第三者提供」「保有個人データに関する事」の規制があり、利用者から個人情報を収集し、利用する際には、一定の事項について公表することが義務づけられています。


プライバシーマーク
プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定し、その証として"プライバシーマーク"の使用を認める制度で、次の目的を持っています。
・消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること。
・適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること。

プライバシーマーク制度 http://privacymark.jp/

なりすまし
なりすましとは、他人の振りをして行動する事です。
ネット上での「なりすまし」は、他人のユーザーIDやパスワードを利用して、悪意ある行動を行う事を指します。

例えば、オンラインショッピングなどで、他人の振りをして勝手に買い物を行ったり、不正アクセスが行われる事もあります。本来なら、その人しか見れない機密情報を持ち出したり、更にはその人に原因があるように見せかけ、損害が請求されるおそれもあります。
なりすましを防ぐためにも、自分のIDやパスワードは厳重な管理を行う必要があります。


SSL(Secure Socket Layer)
SSLとは、インターネット上でデータを暗号化して送受信するプロトコル(通信手順)の一つです。
インターネットで使われているデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業秘密などを安全に送受信することができます。

近年、オンラインショッピングが増えていますが、同時にハッカーなどのネット犯罪の危険も高まっています。

安全に使用出来るようセキュリティ対策を施した事を示す、SSL証明書を取得しているウェブサイトも多くあります。
SSL証明書は、ウェブサイトの情報・送信情報の暗号化に必要な鍵・証明書発行者の署名データ（ネット上の実印のようなもの）を持った電子証明書です。
オンラインショッピングサイトに記載されている事が多いので機会があれば確認してみるのも良いでしょう。