「情報化社会」とは、情報システムが生活や企業活動に浸透し、利用出来る社会をいいます。
電車の自動改札やカード決済、パソコンや携帯電話でのメールの送受信等コンピュータを利用した情報システムはいまや日常に欠かせません。

また、情報が物質やエネルギーと同等の価値を有し、それらを中心として機能・発展する社会のことも指します。

情報化社会へと発展した今日、コンピュータウィルスやコンピュータへの不正アクセス等、企業や組織に重大な被害を与える事件が頻繁に起こっています。また、個人情報や機密情報等の漏洩や侵害も問題となっており、セキュリティ確保の対策が進められています。

古くなったパソコンやUSBストレージを廃棄する際は、保存されていた情報がここから漏れてしまわないか注意が必要です。

パソコンに関しては、平成15年10月1日から「資源有効利用促進法」により、メーカーによる自主回収・リサイクルが義務付けられました。また、地域によっては回収や引取りを行ってくれるところもあります。

パソコンを廃棄する際には、まず、データ消去を行いましょう。

データを消去するには、データ消去用のソフトウェアを利用したり、専門業者にデータ消去サービスを依頼する等の方法があります。組織内で手順とルールを確立するとよいでしょう。

USBストレージについても、パソコンと同じようにデータ消去を行いますが、それでも不安な時は、ドリルで穴を開けたり、ハンマーで壊す等物理的に破壊してから処分してください。大切なのは、中のチップを壊す事です。また、処分する際は、中が見えないような袋に入れる等工夫を行ってから処分してください。

また、CD、DVDなどの記憶媒体については、メディア専用のシュレッダで物理的に粉砕してから処分してください。

スマートフォンは、電話機能だけではなく、持ち運びも容易な小型のパソコンといった使い方をされています。パソコンと同様にタブレットやスマートフォンは、ウイルス感染等のリスクが高まっています。
特にAndroidスマートフォンは多種多様のウイルスも発見されていますので注意が必要です。

大きさ自体は小さくてもパソコンと同じ様な使用法が出来るスマートフォンは、紛失した場合に多量の情報が漏洩し、大きなリスクがある事をしっかりと認識する事が大切です。

スマートフォンが被害にあった場合、起こりうる被害には「電話帳の流出」「GPSを用いた端末の位置情報の送信」「盗聴」など生活に密着した情報が流出する危険があります。

被害を防ぐために、スマートフォン本体に情報漏洩対策ソフト(アプリ)をダウンロードし、情報の保護を行ってください。

アプリによっては、盗難・紛失対策機能やアドレス帳情報漏洩防止機能、位置情報漏洩防止機能や画面情報流出防止機能等、様々な機能が搭載されています。

ご使用のスマートフォンに最適なアプリをダウンロードし、安全にスマートフォンをご利用ください。 

2005年より施行された個人情報保護法により、企業の情報漏洩対策の導入は大幅に進みました。 しかし、利用者のうっかりミスや誤操作などといったヒューマンエラーにより情報漏洩事故は度々起こっています。

中でも、紙媒体からの情報漏洩はいまだに大きな割合を占めています。

印刷物の放置により、個人情報・機密書類・研究資料の情報が漏洩してしまう。

また、他の印刷物へ紛れ込むなどして、大切な情報が漏洩してしまう事故が後を絶ちません。

印刷物からの情報漏洩抑止。防止するには？

1.特定のユーザーのみパソコンへログオン可能にする。

PCログオン時に本人認証を行えば、認証されたユーザー以外はPCにアクセス出来なくなり、不正に印刷される危険性が軽減されます。

2.印刷時にも、認証を導入する。

認証印刷を導入する事で、印刷物の受け取りをコントロールすることができ、印刷物の持ち去り、取り間違い、のぞき見などに起因する情報漏洩のリスクを軽減出来ます。

気軽に扱いやすい紙媒体だからこそ、まずは取り扱う量を減らし、リスクを最小限にするという点が重要になるでしょう。 

共通鍵暗号方式
暗号化と復号化で同一の鍵を設定する暗号方法のこと。
秘密鍵暗号方式とも呼ばれます。

処理速度が速く、比較的扱いが容易である。
相手先ごとに固有の鍵を作成しなければならないこと、あらかじめ安全な方法で相手に鍵を渡さなければならないことから、限られた特定の相手とのやり取りに向いています。

共通鍵暗号には、大きく「ブロック暗号」と「ストリーム暗号」に分けられます。


公開鍵暗号方式
暗号化と復号化で、異なる鍵を設定する暗号方法のこと。

公開鍵暗号方式では、"暗号文を作成する鍵"と"暗号文を元に戻す鍵"の2つの異なる鍵のペアを作成する必要があります。

暗号化と復号化を同じ鍵で行う共通鍵暗号方式に比べ、数学的処理が多いため、処理時間を多く必要とする場合があります。

相手が複数でも、秘密鍵は1つなので広範囲の相手とのやり取りに向いています。

基本的な情報漏洩対策は、普段から意識する事
 
日頃から出来る、何も特別な道具や設定がいらない情報漏洩対策です。
 
 ・社内で知らない人を見かけたら声をかける。
社内への立ち入り制限は行われていますか？
日頃見かけたことのない人がいたら声をかける等、関係者以外の立ち入りが無いよう確認しあいましょう。情報を盗まれてしまう恐れがあります。
 
 
・退社時や長時間席を離れる時は、机の上を片付ける。
ノートパソコンや書類・ファイル等は、 重要な情報が入っている可能性が高く、また持ち運びがしやすい事から盗難や紛失の恐れがあります。

特に、紙媒体の紛失・置忘れによる情報漏洩が数多く報告されています。
 
デスクから長時間離れる場合は、机の上のものを引き出しにしまう等、大切な情報を守りましょう。中でも重要な情報は鍵付の場所に保管する等、一目で見たり手に取ったり出来ない状態に保護する等工夫を行ってください。
 

情報漏洩を起こさない様に対策出来る事は、情報の取り扱いに関して社内のルールがあるのならばそれに従う事。もし、ルールや体制が無いとしても、それが個人情報や会社の大切な情報に当たらないか判断し、取り扱いに気をつける事。普段から意識する事が大切です。 

情報リテラシーとはコンピュータやネットワークを活用して、情報・データを管理、活用するための知識や能力のことを指します。

主に、コンピュータやソフト等の操作能力を指す事が多い。

近年は、インターネットの利用によりコンピューターから多くの情報を手に入れられる事から、目的にあった情報の検索・収集・整理等、情報の取り扱いに対する知識や能力が必要とされています。このような能力も含めて、情報リテラシー、またはコンピュータリテラシーと呼ばれることもあります。

本来、リテラシーとは「識字力＝言葉を正しく読み書き出来る能力」を指しますが、現代では、情報リテラシーをはじめメディアリテラシーやコンピュータリテラシーといった新しいリテラシーがあると考えられるようになっています。

個人情報取扱事業者とは

個人情報保護法における個人情報取扱事業者とは、5,000件以上の個人情報を持つ情報データベースを事業として利用する事業者と定義されています。また、個人情報とは、氏名、生年月日、住所等のデータによって特定の個人を識別できる情報を指します。

ただし、国の機関や地方公共団体、独立行政法人等、その他政令で定められた者は除外されます。取り扱う個人情報が5,000件以下の小規模事業者についても、個人情報取扱事業者には入りません。


個人情報保護法では、以下の様に個人情報取扱事業者に対して義務付けています。

・利用目的の明確化
　個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて取り扱ってはならない。

・利用目的の通知・公表
　個人情報を取得する場合には、利用目的を通知・公表しなければならない。利用目的に変更があった場合も通知・公表をしなければならない。

・個人情報の管理
　個人データを安全に管理し、従業者や委託先も監督しなければならない。

・第三者供与
　あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
 
・本人の関与
　本人の求めに応じて、そのデータの開示・訂正・利用停止を行わなければならない。
　個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。


個人情報の関心が高まる中、法律の有無に関わらず、名誉や財産やプライバシーの問題につながる個人情報を如何に守るのか真剣に考える事が求められています。

持ち運びに便利なUSBデバイス(USBスティック,USB外付けHDD)に加え、
スマートフォンやタブレット端末からの情報漏洩も問題になっています。

USBデバイスの利用制限を行っている企業は多いと思いますが、スマートフォンの制限はまだ見落としがちです。

スマートフォンはUSBを利用して接続するので、USBデバイス制限でブロックが掛かるように思われますが、接続されたパソコンが、スマートフォンをUSBデバイスとしてではなく「WPD（Windows Portable Devices）」として認識する場合があります。

これでは、USBデバイスの接続制限を行っていても、WPDとして認識されてしまっているため、スマートフォンへのファイルのやり取りが行えてしまいます。

情報の持ち出しを防ぐために、まずは、スマートフォンのパソコンへの接続を禁止してください。
次に、もし接続された場合でも情報の持ち出しを防止するために、従来のUSBデバイスの接続制限に加え、WPD（Windows Portable Devices）の制限も行う必要があります。

外付デバイスを経由して情報が漏洩しない様、USBデバイスの制限に加えWPDの制限も行われているか担当者の方はご注意・ご確認ください。

※WPD（Windows Portable Devices）・・・
　携帯電話、デジタルカメラや携帯音楽プレーヤーなどのポータブルデバイスを指します。

データの暗号化はなぜ必要なのか。
大切な情報を読み取らせないため。

パソコンやUSBストレージ(USBスティック、外付けHDD）の社外への持ち出しは、当然情報漏洩のリスクがつきものです。

しかし、業務上データの持ち出しが必要な状況は多少なりとも発生します。

万が一、持ち出したデータが盗難や紛失に遭い第三者に渡ってしまっても、暗号化されていれば読み取られる危険性が格段に低くなります。暗号化は、重要なデータを保護するために必要な対策なのです。

これから導入をお考えの方には、ユーザーの負担が少ない データ持ち出し時自動暗号化機能や、自動パスワード発行機能の付いたソフトがおすすめです。万が一に備え、日頃から持ち運ぶデータは暗号化を行えいましょう。

ログの取得は、情報漏洩事件が発生した場合の原因究明や事後の対策への重要な手がかりとなります。また日常では、情報持ち出しの抑止力として働きます。

個人情報保護法が2003年に成立し、様々な情報漏洩対策が行われる様になりました。
それに伴い、セキュリティ管理の対象は広くなり、状況を取得・確認出来るログ(通信・操作記録)が重要視されています。

デジタル化されたデータは、様々なルートで社外に流出する危険性があります。
データをメールに添付して送信。印刷して持出し。ファイルをコピーしUSBメモリーの様な外部メディアに保存したが紛失。


ログを取得していると、情報漏洩に至ったその時、どのような操作が行われていたのか、何が起こっていたのかなど、被害状況や影響範囲の調査が行えます。

必要なログの種類や保存期間等、組織内で検討し適切なログ取得を行って下さい。
ログ収集を周知する事で、内部からの情報持ち出しの抑止力にもなりますので、この点からも情報漏洩対策の1つになります。

パソコン救急の日

毎月9日は、セキュリティソフトで知られるトレンドマイクロ株式会社が設定したパソコン救急の日です。パソコンユーザーに月1回以上のセキュリティチェックを促すのを目的に定められました。

コンピュータウィルスは、コンピュータに被害をもたらす不正なプログラムの一種です。

コンピュータ内に保存されているファイルを破壊・改変したり、他のコンピュータにも感染させたりといった挙動を行います。最近問題になっているのは、遠隔操作を可能とした悪質なウイルスです。

ウイルスは悪質なサイト等で配布されたり、メールに添付されていたり、USBメモリースティックに潜んでいたりと、様々な経路でコンピュータに侵入してきます。

悪質なサイトに接続する可能性のある迷惑メールに注意する、不審なメールの添付ファイルを開かないなどの対策を行ってください。

ウイルスに感染しないために
・ウイルス対策ソフトを導入する。
・ソフトウェアを最新の状態にする。更新する。
・怪しいサイトやメールに注意する。

情報セキュリティ EXPO【秋】が
2014/10/29(水) ～ 31(金)に幕張メッセで開催されます。

情報セキュリティEXPO（IST）は、情報セキュリティ対策のあらゆる製品が一堂に出展する専門展です。
毎年多数の企業の各企業のリスク・セキュリティ 管理部門、情報システム部門、経営・経営企画部門、監査部門、法務部門の責任者ならびに担当者が来場し、出展企業と活発な商談・受注を行っています。

■出展社の対象製品・サービス

• 不正侵入、標的型攻撃対策
• 情報漏えい・内部アクセス対策
• IT資産管理
• 認証・暗号化
• コンサルティング
• 物理的セキュリティ
• 詐欺、改ざん、盗聴対策
• モバイルセキュリティ

(情報セキュリティ EXPO【秋】サイトより引用)


情報セキュリティ EXPO【秋】
http://www.ist-expo.jp/ja/Home_AKI/

【会期】2014年 10月29日(水)～10月31日(金) 10：00～18：00
【会場】幕張メッセ

【同時開催】

• 第5回 クラウド コンピューティングEXPO【秋】
• 第4回 情報セキュリティEXPO【秋】
• 第4回 Web&モバイル マーケティング EXPO【秋】
• 第4回 スマートフォン&モバイルEXPO【秋】
• 第3回 データセンター構築運用展【秋】
• 第3回 ビッグデータ活用展【秋】
• 第2回 通販ソリューション展【秋】

日本ネットワークセキュリティ協会が毎月行っている「せきゅり亭」。

「今月のお題」を使ったセキュリティに関する作品を募集しています。
9月のお題は「危機管理」と「月」です。

川柳、標語、ダジャレなどセキュリティにちなんだ作品を投稿してみませんか。
サイトからは、過去作品も読めます。

投稿方法 は以下。
 ・ツイッターでつぶやく　ハッシュタグ「#JNSAせきゅり亭」
・JNSAに送る　　件名「JNSAせきゅり亭」

NPO 日本ネットワークセキュリティ協会
せきゅり亭
http://www.jnsa.org/update/senryu.html

不正アクセス
不正アクセスとは、利用する権限を与えられていないコンピュータに、不正に接続する事をさします。
コンピュータ内への侵入(侵入行為)や、持ち主に代わって利用したりする(なりすまし行為)事も不正アクセスに含みます。
不正アクセスによる被害が急増した事を背景に、不正アクセス禁止法が施行されました。

アクセス権限
コンピュータのユーザー（利用者）に与えられた、プログラムの実行や、ファイル・フォルダの閲覧、追加、変更、削除などをできる権限のこと。
企業や組織などでは、データの重要性に応じて、ユーザーによって異なるアクセス権限を設定したりします。また、管理者ユーザーはすべてのユーザーに影響を与えるような変更を行える権限を持ちます。
       
ファイル共有ソフト
ファイル共有ソフトとは、インターネットを通じて、複数の利用者でファイルのやり取りや共有を可能にしたソフトウェアをさします。ファイル交換ソフトとも呼ばれています。利用者にとっては便利なソフトですが、映画や音楽等違法なファイルがやり取りされ、著作権を侵害される用途に使われる事が多いため、大きな社会問題のひとつとなっています。


   
   
 

デジカメやスマートデバイス(タブレット端末やスマートフォン)
本来の用途に加え、記憶メディアとして便利ですが、情報漏洩のリスクが懸念されます。


■制御したいデバイス例



日本ネットワークセキュリティ協会(JNSA)の調査によると、
「USB等可搬記録媒体」からの情報流出が全体の4分の１を占めています。

この「USB等可搬記録媒体」の中には、デジカメやスマートフォンも含まれます。
USBストレージは制限していても、デジカメやスマートフォンに関してセキュリティポリシーを策定しているところはまだ少ないのではないでしょうか。

社内での使用を禁止するだけでは各自の判断任せになりますので、スマートデバイスも制御できるソフトの導入を検討しましょう。特に、スマートフォンやタブレット端末は便利な分、情報漏洩のリスクも大きくなりますので早急に対応を行ってください。

情報漏洩事件が起こってしまう前に、企業の技術や顧客情報を守る管理体制を整えましょう。

参考：
■日本ネットワークセキュリティ協会(JNSA) 2012年
個人情報漏えいインシデントの調査結果に基づく最近のインシデント傾向について
http://www.jnsa.org/seminar/nsf/2014/data/NSF2014_A3_ootani.pdf

スマートフォンにも
情報漏洩対策アプリの導入を

スマートフォンは、電話機能だけではなく、持ち運びも容易な小型のパソコンといった使い方をされています。

企業によっては、社内への持込やパソコンへの接続を禁止する等 セキュリティポリシーが定められているところもありますが、特に定めのない企業では、多量の情報を蓄積できる便利なデバイスとして使用されているのが現状です。

大きさ自体は小さくてもパソコンと同じ様な使用法が出来るスマートフォンは、紛失した場合に多量の情報が漏洩し、大きなリスクがある事をしっかりと認識する事が大切です。

スマートフォンからの情報漏洩を防ぐには、そもそも重要な情報を保存しない事が一番ですが、持ち運び用のデバイスとして使用されている場合には、スマートフォン本体に情報漏洩対策ソフト(アプリ)をダウンロードし、情報の保護を行う必要があります。

アプリによっては、端末情報漏洩防止機能やアドレス帳情報漏洩防止機能、位置情報漏洩防止機能や画面情報流出防止機能等、様々な機能が搭載されています。

ご使用のスマートフォンに最適なアプリをダウンロードし、安全にスマートフォンをご利用ください。