企業からの情報漏えいが止まりません。
昨年終わりからマイナンバー制度も導入され、ますます情報セキュリティの重要性が増してきました。
しかし、多くの中小企業にとって売上に結びつかないだろうセキュリティ機器にかけられる経費は限られています。
「情報セキュリティスペシャリスト」として中小企業に必要なセキュリティについて何回かに分けて書いてみたいと思います。
まず、情報セキュリティの脅威とは何か?ですが、「情報セキュリティ10大脅威」というものがIPA(情報処理推進機構)から発表されています。
https://www.ipa.go.jp/security/vuln/10threats2015.html
それによると
第1位 インターネットバンキングやクレジットカード情報の不正利用
第2位 内部不正による情報漏えい
第3位 標的型攻撃による諜報活動
第4位 ウェブサービスへの不正ログイン
第5位 ウェブサービスからの顧客情報の窃取
第6位 ハッカー集団によるサイバーテロ
第7位 ウェブサイトの改ざん
第8位 インターネット基盤技術の悪用
第9位 脆弱性公表に伴う攻撃
第10位 悪意のあるスマートフォンアプリ
となっています。
第1位のインターネットバンキングやクレジットカードの不正利用は個人・法人を問わず重要な問題です。
対策としては、
・一般的なウイルス対策ソフトの導入、
・銀行が提供する銀行取引に関わるウイルス対策ソフトの導入、
・インストールされているアプリケーションを常に最新バージョンに更新する
の3点です。
一般的なウイルス対策ソフトとは、ウイルスバスターやESET、Norton、マカフィーなどのソフトです。メールに添付されたファイルやインターネットからダウンロードしたファイルをチェックします。
次の銀行取引に関わるウイルス対策ソフトとは、銀行のホームページから無料でダウンロードできるソフトです。一般的なものとは違い、ネットバンキングの通信時に限り動作するようになっていて、主に不正な通信を監視、遮断します。
最後のアプリケーションを常に最新バージョンに更新することもとても大切です。PDFリーダーやFlash、JAVAなどのアプリケーションには脆弱性と呼ばれるセキュリティ上の不備があります。新しく発見されると修正されますが、その修正を適用しない状態が長く続くと悪意のある第三者に利用されます。
この不正には、UTM(統合脅威管理)はほとんど役に立ちません。
アプリケーションが最新バージョンになっているかの確認にはログ収集管理ソフトも役に立ちますが、IPAからのバージョンチェッカーソフトを利用することもできます。
JRE版 http://jvndb.jvn.jp/apis/myjvn/vccheck.html
.NET Framework版 http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html
IPAの下記ページを参考にして、日常のPC利用時に注意してもらうことも大切です。
https://www.ipa.go.jp/security/measures/everyday.html
第2位の内部不正による情報漏えいはベネッセの事件の後も散発的に続いています。
中小企業では情報漏えいしても発覚しないことも多く、またその社会的責任も大きくないと考えられていることから、情報漏えい対策は非常に遅れていました。
しかしマイナンバー制度の導入に伴いしっかりとした対策が求められるようになっています。
情報漏えい対策は、まずセキュリティポリシーの策定から始まります。
正しい役割分担とアクセス権の設定、アクセス時間の制限に加え、操作ログを収集管理することで、不正が起きる芽を摘むことが大切です。
不正できない環境作りと不正をしたらばれてしまうという意識付けの両方で不正をしようという気持ちにさせないことが一番です。
セキュリティポリシーと言っても難しく考える必要はありません。
PCを使う人にやるべきこととやってはいけないことを周知徹底してもらうだけでも効果が見込めます。
それに加えてログ収集管理ソフトで不正をしてもばれるということを理解してもらえばさらに効果が増すでしょう。
次回は第3位~の事案について書いていきます。
コメントをお書きください