情報漏洩は身近なところに
記憶媒体の紛失・置忘れに注意

情報漏洩事件のニュースは多く流れていますが、あまり身近な話では無いとお考えかもしれません。

しかし、実際に起きている事件は、「個人情報が印刷された書類を置き忘れた」「取引先の連絡先やファイルが保存されたスマートフォンを紛失した」等、とても身近な所で起こっています。

特に、仕事熱心のため自宅に仕事を持ち帰る場合や、客先での打ち合わせのために資料を持ち運ぶ際に漏洩・紛失してしまう事が多い様です。

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。


■情報持ち出しの可能性がある記憶媒体
USBメモリースティック、外付けHDD、USB接続型のその他大容量記憶媒体、SDカード、デジタルカメラ、携帯電話、スマートフォン、タブレット端末、携帯音楽プレーヤー、CD・DVD、MO、フロッピーディスク

大学生からはじめる新資格「DCA」

インターネットを安心・安全に利用するための態度や知識、技能を身に付けることを目的としたデジタルコンテンツアセッサ(以下DCA)資格制度が、2014年4月より開始されました。

DCAは、一般社団法人インターネットコンテンツ審査・監視機構(以下I-ROI)が開発した資格です。スマートフォンやタブレット端末が急速に普及していく中、必要となってくるプライバシーや情報セキュリティ等の知識を身につけられる内容になっています。

3級から1級までの段階があり、3級はユーザ向けの基礎知識、2級は特定サーバー管理者などのための実務知識、1級はコンサルタントやインストラクターを務めることができる高度な能力が認定されます。インターネットを扱う学生や社会人を対象としていますが、まずは大学から導入がはじまっています。

企業でも、SNSの公式アカウントを運営されている担当者には魅力的な資格の様に見受けられますので、社会人へ導入される日が期待されます。

・DCA(デジタルコンテンツアセッサ)
　http://www.dca-qualification.jp/
・I-ROI(一般社団法人インターネットコンテンツ審査・監視機構)
　http://www.i-roi.jp/

ISO20000

ISO 20000は、ITサービスを提供している企業が、サービスの内容やリスクを明確にすることで、ITサービスの継続的な管理、高い効率性、継続的改善を実現するための国際規格です。

企業がビジネスに関わるITサービスを有効的に運用する上で実現すべき項目をまとめた業界標準、ITサービスマネジメントを規格化した第三者認証制度のことをさします。


ISO 27001（情報セキュリティ・マネジメント）

ISO 27001は、組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格です。

情報の機密性・完全性・可用性の3つをバランスよくマネジメントすることで、企業は保有する情報資産を有効に活用することができます。

ISO27001を取得している企業は、情報セキュリティ対策について組織的に取り組まれていることを示します。

情報セキュリティ・マネジメントを実施している事で
重要な情報の取扱う業者を選定する一つの目安になるでしょう。

情報セキュリティが大切な事はよく分かっていても、どこから手をつけたらいいのか悩んでいる担当者の方も多いかと思います。
そんな時には、セミナーに足を運んだり、資格に挑戦するのも良いでしょう。

情報セキュリティ初級認定試験とは
情報セキュリティに関する知識として要求される範囲は年々広がっています。
従事する業務により、求められるスキルも多種多様となっております。しかも、こうした傾向はこれからも一層強まることは確実です。

情報セキュリティを考える上で、断片的な知識に留まらず、ＩＴが必須となっている現代を生きる上で、業種・業務を問わず全ての社員が理解を深める必要があります。

本試験は企業ニーズに即して、個人レベルで身に付けるべき概要を網羅する内容となっており、問われる知識は情報セキュリティ対策に関する基本的概念から、情報を保有する脅威と求められる対策、ソフト／ハードの両面の基本知識が問われます。
一般従業員・ユーザーレベルの情報セキュリティに関する基本を理解していることを認定します。（全日本情報学習振興協会HPより引用）

情報セキュリティ初級
http://www.joho-gakushu.or.jp/isb/

インターネットサービス利用から、情報漏洩が発生した例

紛失・盗難、不正アクセス等、情報漏洩の経路はいくつも考えられます。
最近では、便利なインターネットサービスを利用する事で起きる情報漏洩も出てきました。

Googe社のインターネットサービス「Googleグループ」や「Facebook」に代表されるSNSを利用する際、公開の範囲が不適切で情報が漏れてしまう事故が発生しています。


以下はIPA(独立行政法人情報処理推進機構)からの呼びかけです。
複数人と共有でき便利なインターネットサービスは魅力的ですが、今一度、公開範囲の見直しを行い情報が流出していないか確認を行ってください。

IPA「 インターネットサービス利用時の情報公開範囲の設定に注意！ 」
http://www.ipa.go.jp/security/txt/2013/10outline.html

情報セキュリティ対策における人的対策とは

人的なセキュリティ対策とは、ルールやポリシーを作成し、それを運用する人に対して啓発、教育、訓練等を行いリスクの発生を最小限に抑える事を指します。

具体的な方法としては、社内規定やプライバシーポリシーを策定し、また、何のために対策が必要かという理解を持てるような機会を設けるのが一般的です。

■具体例
・不正行為・不正開示の防止
・セキュリティポリシーの策定
・社員教育の実施
・情報取り扱い時のルールを設定
・メール使用やWeb閲覧時の基本的な心構えの教育
・情報漏洩が発生した場合の対応を設定

情報セキュリティに関する教育は、全社員(派遣社員、アルバイトを含む)を対象とします。これは、情報セキュリティに関する規定の周知徹底のためです。
年初や配属変更時等、区切りとなる時期に行うのが良いでしょう。

情報セキュリティ対策における技術的対策とは

技術的対策とは、情報資産をウイルスや不正アクセスから保護するため、ウイルス対策や暗号化等ハードウェアとソフトウェアの両方から行なうセキュリティ対策をさします。

技術的対策は非常に効果がありますが、技術の進歩により新たな抜け道を発見されたり、未対応であったりと他の対策に比べ頻繁な見直しが必要とされます。

■具体例
・パソコンへのログインID・パスワードの管理
・ファイアウォールの設定
・侵入検知システムの導入
・ウイルス対策ソフトの導入
・認証システム
・外部媒体への書き込み禁止
・ログ管理
・web閲覧制限
・アクセス権限の管理

「技術的対策」という言葉から難しく聞こえますが、パスワードを付箋にメモしてモニターに貼らないことや、実行形式のファイル（.exe）が添付されたメールの送受信の禁止等、一度は聞いた事のあるような例もこの技術的対策にあたります。
難しいと敬遠せず、少しずつ取り入れるよう工夫してください。

情報セキュリティ対策には、いくつかの対策があります。
一般には、物理的対策、技術的対策、人的対策の3つです。

物理的セキュリティ対策とは

情報漏洩対策として、最初に必要と思われるのが物理的なセキュリティ対策です。

媒体や機器が「盗難」「紛失」（「壊れる」）といった事象に備えます。

よく耳にする言葉に変換すると、「防犯」「入退室管理」「ドアや棚の施錠」「監視カメラ」といった日頃の業務で何気なく行っている事が物理的なセキュリティ対策にあたります。

■具体例
・入退の日付、時刻を記録する。
・IDカード等の認証システムの導入。
・暗証番号錠、ICカード、生体認証等の施錠管理。
・社員、訪問者の証明書等を常時表示する。
・重要な部屋・場所(セキュリティエリア)への立ち入りは、必要最小限にする。

セキュリティエリアというと、施錠が必要な部屋といった厳重なイメージもありますが、実際には、ここから部外者立ち入り禁止といった区切っただけのスペースでも問題ありません。ただ、その場合には目線より高いパーテーションを設置する等の工夫を行ってください。

物理的セキュリティは、設備の導入が必要になる面もあり費用負担のある場合も多いですが、少しの工夫で現状より高セキュリティな環境へと変更する事が出来ます。ぜひ、身の回りをもう一度見直してみてください。

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
8月のお題は「流出」と「台風」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく　ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る　　件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html

情報漏洩の原因は、内部の人間による持出しや操作ミスなど内部要因が多くを占めています。　

デジタル化されたデータは、USBによる持ち出しやメールへの添付、印刷物の持ち帰り等、様々なルートで社外に流出する危険性があります。

出来る限りリスクを排除するために、書類の持出し禁止やUSBストレージの使用禁止等、組織にあったセキュリティポリシーを策定してください。

　【情報セキュリティポリシー】例
　　1.CD・DVDの使用禁止
　　2.メモリカード(SD、メモリースティック)の使用禁止
　　3.携帯電話、スマートフォンの持込禁止
　　4.USBストレージの使用禁止
　　5.ファイルをメールで送信する際は暗号化を施す
　　6.プリンタはネットワークプリンタのみ(ローカルは禁止)
　　7.webの閲覧制限
　　8.管理のための操作ログ取得
　　9.ウイルス対策
　 10.書類の持ち出し禁止
 　11.書類破棄時はシュレッダー裁断(破砕)を義務化
 　12.入退室管理
 　13.IDパスワード等、個人権限の貸借禁止

知っておきたい情報セキュリティ
「理解度セルフチェック」

NPO日本ネットワークセキュリティ協会様が「理解度セルフチェック」を提供しています。

情報セキュリティ理解度セルフチェックとは？
今日、パソコンやインターネットは社会の至るところに浸透し、私たちの生活になくてはならないものとなってきています。

一方で、利用者がコンピュータウイルスに感染したり、不正アクセスやプライバシー侵害等の脅威に直面する危険性も増してきています。

安全・安心にインターネットを利用するためには、技術面の対策だけではなく、利用者一人一人が情報セキュリティについて理解を深めることが不可欠になっていると言えます。
こうした状況をふまえ、情報セキュリティの理解度を確認していただけるよう、情報セキュリティに関する知識を自己診断できるセルフチェックサイトを開設いたしました。（「理解度セルフチェックサイト」より引用）


IT技術が発達し、パソコンでファイル作成・データ管理が出来るようになったことは、私たちに大きなメリットをもたらしてくれましたが、ITを取り巻く環境も大きく変化する中、情報漏洩を防ぐためには何が必要なのか普段から意識する事が大切です。


理解度セルフチェック（NPO日本ネットワークセキュリティ協会）
http://slb.jnsa.org/slbm/
理解度セルフチェック 管理者機能付（NPO日本ネットワークセキュリティ協会）
http://slb.jnsa.org/eslb/

スマートフォンやタブレット端末が
ビジネスシーンへ浸透し始めました。

パソコンは、セキュリティポリシーによって社外持出し不可と定められているケースが多く見受けられますが、持ち歩く事を前提としてつくられたタブレット端末や電話機能のついているスマートフォンは、持ち出し、持ち込みともに自由なのが現状となっています。

持ち運びも容易で便利な反面、紛失・盗難といったリスクに常にさらされています。
大きさ自体は小さくても、パソコンと同じ様な使用法が出来るスマートデバイス(スマートフォン、タブレット端末)は、多量の情報を蓄積しているのです。紛失した場合のリスクが大きい事を、しっかりと認識する事が大切です。

対策としては、持ち歩くデバイスですから、情報を社内から持ち出さない(スマートデバイスには保存しない)様にする。もしくは、持ち出しても第三者には読み取られないように対策を行う必要があります。

「スマートデバイス制御機能」もしくは「WPD機器制御機能」や、デバイス自体にログインする際に高度なログイン方法を必要とする、ファイル自体に暗号化をかける等、それぞれに適した対応を模索し、検討しましょう。

情報漏洩が起こると
どのような費用が発生するのか。

情報漏洩事件が起こると、弁護士費用や謝罪会見・広告等が必要になります。もし、損害賠償が発生した場合は、1件あたりの額が小さくとも被害者の数によっては多額の費用となります。

また、技術情報が漏洩した場合、類似品の発生からくる売り上げ減少、株価下落等も考えられます。

日本商工会議所では、会員事業者に向けて「情報漏えい賠償責任保険制度」があります。平成17年4月に「個人情報保護法」が施行されたことに伴い、商工会議所会員事業者の法への対策支援および負担軽減を目的につくられました。

漏洩が起こらないのが一番ですが、万が一に備え保険の確認も必要かもしれません。

個人情報漏えい賠償責任保険制度
http://www.jcci.or.jp/hoken/kojin.html

パソコンやUSBストレージが盗難にあったり紛失した場合
暗号化されていれば読み取られる危険性低くなる。

パソコンやUSBストレージ(USBスティック、外付けHDD）の社外への持ち出しは、当然情報漏洩のリスクがつきものです。しかし、業務上データの持ち出しが必要な状況は発生します。

パソコンやUSBストレージが盗難にあったり紛失した場合による情報漏洩は、社員それぞれの注意や頑張りだけでは防げません。

万が一、持ち出したデータが第三者に渡っても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

また、暗号化時にパスワードを設定する場合は、アルファベットと数字や記号などを混合し、簡単には推測できない複雑なパスワードを設定して下さい。他人には一見、理解出来ない文字列にしたり、忘れにくい文章を設定するのも良いでしょう。

これから導入をお考えの方には、データ持ち出し時に、自動で暗号化やパスワードの設定が行われるものがユーザーの負担も少ないのでおすすめです。万が一に備え、データの暗号化を行える体制を整えましょう。 

NRI セキュアテクノロジーズ株式会社様が
情報セキュリティに興味がある学生を対象に、「SANS NETWARS Tournament 2014」を開催します。

SANS NETWARS Tournament 2014とは、
最先端の情報セキュリティのトピックと世界基準のセキュリティトレーニングを体感してもらい、また、情報セキュリティへの関心を深めてもらうことを目的としたイベントです。

■開催日時： 2014年8月30日（土）10:00～20:00、31日（日）10:00～17:00
  　　　　  （2日間とも参加いただく必要があります。）
■開催場所：秋葉原UDX ギャラリーNEXT 外部リンク （秋葉原UDX 4F）
■実施内容 ： 情報セキュリティに関するトレーニング（1日目）
   　　　　　 NETWARSトーナメント（2日目）
■参加資格： 情報セキュリティに興味がある学生
■参加費： 無料
■募集人数： 100名（予定数。応募者多数の場合は抽選となります）   
■特典 1： NETWARSトーナメントで優秀な成績をおさめられた方3名を11月開催「SANS Tokyo 2014 外部リンク」で実施するトレーニングに招待します。
■特典 2： NETWARSトーナメント優勝者には、JNSA主催のSECCON 2014 外部リンク全国大会の出場権を提供します。


NRI セキュアテクノロジーズ株式会社
SANS NETWARS Tournament 2014
http://www.nri-secure.co.jp/event/2014/netwars.html

タブレット端末やスマートフォンは
便利だが、情報漏洩のリスクが大きい。

情報漏洩の約8割は内部に原因があります。

USBスティック等は制限していても、
デジカメやスマートフォン、タブレット端末に関しての対策はどうでしょうか。

セキュリティポリシーとして使用を禁止するだけでは、各自の判断任せになります。
内部からの情報漏洩を防ぐには、まずは簡単に情報を持ち出せなくする事が大切です。可能ならば、デジカメやスマートフォンといったスマートデバイスも制御できるソフトの導入を検討しましょう。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整える必要があります。


※デジカメやスマートデバイスを
　制御する設定は、デフォルトの状態では出来ません。
　「スマートデバイス制御機能」、もしくは「WPD機器制御機能」を持ったセキュリティソフトを導入してください。


参考：
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf