情報セキュリティ トピックス
<もくじ>
1)ハンドブックの主な内容
2)まず確認したいポイント
3)内部不正による情報漏えい対策の考え方
~違反や乱れを放置しない~
1.秘密情報の保護ハンドブック
2月8日、経済産業省は、企業が情報漏えいを防ぐための対策例をまとめた「秘密情報の保護ハンドブック ~企業価値向上に向けて~」を公表しました。
▼経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」
経済産業省の「営業秘密管理の実態に関する調査研究」によると、企業の情報管理実態については、大企業の約40%、企業全体のおよそ15%が「自社の営業秘密の漏えいがあった若しくはそのおそれがあった」しており、漏えいがないと回答した企業の中でも、3割は漏えいの事実等について適切な把握などを実施しておらず、実際の漏えいはさらに高いと推測しています。また、企業の秘密情報の管理についても十分ではなく、実際に営業秘密の漏えい防止策について、企業全体の約35%、中小企業の約40%が「取り組んでいない」と回答しています。
本ハンドブックでは、経営者をはじめ、従業者が秘密情報の管理を行う際の参考となるよう、秘密情報として取り扱うことを決定する際の考え方、具体的な漏えい防止対策、取引先などの秘密情報の侵害防止策、万が一情報の漏えいが起こってしまった時の対応方法等が紹介されており、自社の不備やリスクをあらためて見直す際に参考すべき点は多いと言えます。
昨年の情報セキュリティにおける重大なトピックは100万件を越える年金情報流出事故で、外部からのサイバー攻撃によるものでしたが、一方で、最近発生した市職員による大量の(市民全員分の)個人情報持ち出しや退職者による機密情報の持ち出しなど内部不正に起因した情報漏えいが後を絶たないのも事実です。
(1)ハンドブックの主な内容
<自社の秘密情報の漏えい対策>
- 保有する情報をどのように洗い出し、その情報をどのように評価するのか。
- 秘密として保持する情報と、そうでない情報を分ける際の考え方。
- 情報漏えい対策は、闇雲に実施するのでは非効率。犯罪心理学等を参考にして、誰を対象とし、何を目的とするかに整理して対策を紹介。
<5つの「対策の目的」>
- 秘密情報に「近寄りにくくする」・・・アクセス権の限定、施錠管理等。
- 秘密情報の「持出しを困難にする」・・・私物USBメモリ等の利用禁止等。
- 漏えいが「見つかりやすい環境づくり」・・・レイアウトの工夫、防犯カメラの設置等。
- 「秘密情報と思わなかったという事態を避ける」・・・マル秘表示、ルール周知等。
- 社員の「やる気を高める」・・・ワークライフバランス、社内コミュニケーション等。
<他社から意図せず訴えられないために>
- 保有する情報は、自社の独自情報と立証できるようにしておく。
- 転職者の受入れ、共同研究開発など、他社とのトラブルが起きやすい場面ごとに対応策を紹介・・・前職での契約関係の確認、他社情報の分離保管など
<もしも情報漏えいが発生した時の対応>
- 情報漏えいの兆候をいち早く把握するための留意点。
- 情報漏えいが確認された時の初動対応…社内調査、証拠保全。
(2)まず確認したいポイント
本ガイドブックでも触れられていますが、重要情報へのアクセス制限や管理はあらためて確認しておきたいポイントです。アクセス制限及び特権ID等の適切な付与及び無効化等の確実な措置は、企業・組織にとって当然実施されているものと思われがちです。しかし、企業・組織においてITシステムが規模を拡大しているなかで、サーバ台数の増加や、ルーター、セキュリティ・アプライアンスなどの管理者用アカウントの管理は一層煩雑になっており、それに伴い記録上では削除されたことになっているのに当該アカウントが有効であったりするなどの現実があります。
実際の企業の現場では、情報システムの運用において「特権IDを共有で利用している」、「特権ID利用の申請ルールが徹底されていない」、「申請なしに権限を与えてしまう」、「証跡不足により、誰が・いつ・何をしたか特定できない」、「退職者、異動者のID削除漏れが多い」といった諸問題が、「重要情報を容易に持ち出せるということ」、「持ち出しても誰も気づかない環境を提供していること」と同一であるということを認識する必要があります。
この特権IDやシステム管理者権限の悪用は、情報セキュリティ関係の制度が整っているとされている組織・企業でも起こり得るため、盲点になっているということです。
重要情報が不正に持ち出されないためにも、複数のシステム管理者による相互監視、又は少なくともシステム管理を更に監督する管理監督者や上司の存在が重要になってきます。これは、組織の大小にかかわらず、情報システム運用上不可欠であるといえ、特に不正な情報持ち出しについては、性善説に基づいた管理では全く実効性がありません。自社の運用と現状を踏まえたうえで、危険要因となり得る下記項目についてはあらためて確認いただきたい箇所です。
- 重要データへアクセス権を持つものに対する権限管理を定期的または不定期に実施しているか。(例えば、正社員と非正社員ではメンタリティ、会社や業務に対する忠誠心も異なることを念頭に置いた権限設定の見直しも必要である)
- 定期的・不定期的に重要データにアクセスする者の登録をおこなう作業担当者が適当であることを充分審査し、その者だけが登録等の作業をおこなえるようにしているか。
- 人事異動や人員の交代(派遣含む)後もアクセスできる状況にしていないか。
- 出退勤のルールや残業等の業務実施に伴う労務管理状況を見直しているか。(休日に一人ないし特定グループで作業している環境にないか、といった作業モニタリングの実施)
- 従業員ごとの誓約書等の提出状況・内容を確認しているか。
(3)内部不正による情報漏えい対策の考え方~違反や乱れを放置しない~
本ガイドブックでは、企業内における従業員による意図的な持ち出しや、コミュニケーションのあり方についても取り上げられています。情報漏えい時や緊急事態体制についての細部は今後のレポートで取り上げたいと思いますが、セキュリティ体制の、とりわけ、内部不正による情報漏えい事故防止のための対策としては、IT関連ソフトウェアや機器の導入などに依存した対処療法に陥りがちですが、「個人の視点」に基づく計画・実施と「組織の視点」による継続的な運用の双方もまた必要不可欠です。個人的な視点とは、人間をよく知り、当事者の視点で捉えるということです。例えば高額の借金を抱え、その返済に追われる状況に追い込まれた人間は、強いストレスを抱えて、それから逃れるために、あるいは、直接的に横領などの内部不正に至ることがあります。過大なフラストレーションやストレス、ネガティブな感情が膨らむことで人は不正を起こし得るということはよく知られています。こういったリスクに対する対策の検討、実施に際しては、人は組織や社会における地位によらず「つい魔がさす」ことがあるということをまず認識する必要があります。
例えば過大な業務量・作業負荷や無理な作業スケジュールを強いることは、集中力や注意力を低下させ、その結果として、単純ミスや社内規則・ルールを逸脱した情報の持ち出し行為を誘発しやすいと言えます。特に見過ごされたり、放置されがちな業務情報の持ち帰りなどは、預けている機密情報や顧客情報が、いつ、どういった手段や攻撃で流出してもおかしくない状況に置かれていることであり、その重要性の認識が欠落している状況にあります。ルールに違反した情報の持ち出しを防止するためには、業務量や負荷の適正化を保つことも重要な要素です。
このような視点を欠いた対策は、効果が思うほどに上がらないことが考えられるばかりか、関係者の負担やコスト負荷を徒に増大させることにつながり、正にそのことによって、新たなルールの逸脱や別の髙地の不正を招く要因となるおそれもあります。
組織の視点とは、不正・違反防止に対する組織的な取り組みということです。「不正はどんな人間でも起こしうる」「不正は組織や環境に誘発される」という基本認識のもと、不正を生まない(あるいは、不正の端緒を早期に発見できる)組織環境の構築や取り組みが求められます。組織内におけるコンプライアンス違反が「放置」されていると、そこにいる従業員は、社内規定や上司の指示・命令をタテマエ的であると認知し、信頼感や社内モラルの低下につながり、不正を誘発する要因となり得ます。したがって、以下の項目に対する定期、不定期のチェック・警鐘が必要です。
- 小さな怠慢やミスが放置されている。
- 周囲(上司・同僚等)が注意しない(もしくはできない)。
- 小さな怠慢・ミスは許されるとの誤った認識が共有され、抵抗感がなくなる(習慣化)。
- また、認識していても、ここまで許されるなら、「もう少し散乱・破損しても大丈夫だろう」と自分で勝手にこじつける心理が働く(合理化・自己正当化)。
- 違反や怠慢が放置されることにより、従業員同士で相互に注意しあわない(相互けん制が効かない)ことで、信頼感やモラルの低下が常態化する。
最も基本的な部分ではありますが、遠隔地や個々の現場においても、決められた組織のルールがローカルルール化しないよう小さな怠慢やミスでも見て見ぬふりをせず、注意できる環境を構築すること、例えば、風通しの良さといった良好な職場環境の醸成が急務であるといえます。怠慢や違反を放置しない、あるいは、相互けん制という意味では、見通しのきかない場所をなくすということも不正抑止には非常に重要だと言えます。
2.最近のトピックス
◆独立行政法人 情報処理推進機構「不正アプリによる「スマホ乗っ取り」についてIPAが啓発映像を公開
1月12日、独立行政法人 情報処理推進機構(IPA)は、不正アプリによる「スマートフォン乗っ取り」の脅威と対策を解説する動画を、YouTube上の「IPA Channel」にて公開しました。これは、不正アプリをインストールさせるための手口や被害に遭わないためのポイントを、デモ実演を交え説明する約6分間の動画です。
不正アプリにスマホを乗っ取られないためのポイントとして、動画では、「アプリは信頼できる公式マーケットからしか入手しない」「インストール前の確認画面で、不自然なアクセス許可を求めるアプリは利用しない」ことを挙げています。
◆スプラッシュデータ「Announcing Our Worst Passwords of 2015」
1月19日、米スプラッシュデータ社は、2015年版の「破られやすいパスワード(Worst Passwords)」のランキングを発表しました。このランキングは、インターネットユーザーが使用するパスワードに「よく使われている文字列」を毎年発表しているものです。
これによると、ワースト1は、2013年、2014年につづき「123456」で第2位は「password」でした。この順位は昨年と変わらず、また、同社が年次ランキングを集計するようになった2011年版以降、この2つが常にトップを占め続けています。
3位は「12345678」、4位はキーボード配列そのままの「qwerty」、5位は「12345」でした。また、「123456789」(6位)などの数字の単純な羅列や、「football」(7位)、「baseball」(10位)など好きなスポーツをパスワードにしたもの、「starwars」(25位)といった流行を反映した文字列もランクインしています。
重要情報を守るためにファイアウォールやアンチウイルスを導入して外部の脅威に対抗することは、企業にとってもはや当たり前の施策となっていますが、それでも情報漏えい事件が頻繁に発生することからも分かるように、今のセキュリティ対策は必ずしも万全ではありません。とりわけ大きな課題と言えるのが、ID・パスワードによる認証システムのあり方です。内部ネットワークがいくら堅牢な仕組みで守られていても、ID・パスワードが流出し、悪意のある攻撃者が”なりすまし”によってシステムに不正にアクセスしたり、オフィスに侵入したりすれば、機密情報はいとも簡単に漏えいしてしまいます。IDカードのような”物理的な鍵”を使ったとしても、貸与や紛失、窃盗、複製などによる”なりすまし”の危険を払拭することはできません。
パスワードの安全性を高めるためには、「わかりやすい単語や数字の並びを避ける」「長くする」「数字・アルファベット・記号を組み合わる」ことが安全性を高めるために重要となります。また、定期的なパスワードを変更も大切で、パスワード自動作成ツールや管理ツールを利用するのが有効です。
ただ、ID・パスワードについては運用側にも問題があります。よくある「パスワードの使い回し」やIDカード等の部署内での共有は、危険であると認知されているものの、その数多くが利便性とのトレードオフから放置されているのが現状です。(パスワードとして意味をなしていない)こうした課題を解決するためには、複数の認証方式を組み合わせるということも一つの手段です。
現在の認証方式として「パスワードなどによる記憶認証」「IDカードなどの持ち物による認証」、そして「静脈や虹彩、指紋などによる生体認証」が挙げられます。それらを組み合わせることは、セキュリティ強度の向上において有効な手段だと言えます。
◆一般社団法人JPCERTコーディネーションセンター「ネットワークに接続されたシステム・機器の設定には注意を」
1月22日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、「ネットワークに接続されたシステム・機器の設定には注意を」という注意喚起を公開しました。
これは、ネットワーク接続機能を備えたWebカメラや複合機などの機器が、インターネット経由で遠隔の第三者から意図せずアクセスされる事例が相次いで報じられていることを受けたものです。JPCERT/CCは、意図しない第三者からのアクセスに対する代表的な事例として、「ネットワークカメラ」「複合機」「データベースシステム」を挙げ、自組織で利用しているシステムや機器のソフトウェアやファームウェアなどのアップデートを行うことや、インターネットに接続しているシステム・機器のセキュリティに関する設定が意図したものになっているかの確認を行うことを推奨しています。
一部報道によると、世界各地の防犯カメラ映像をリアルタイムでのぞき見できる海外サイトが登場しているとのことです。日本国内のカメラとみられる約4300台分の映像も公開されているとのことです。機器が第三者に乗っ取られることを想定している利用者がほとんどのなか、知識のない人が利用しても危険のないよう、メーカー側が設計の段階で対策を講ずべきだといえます。
3.最近の個人情報漏えい事故(2016年1月)
下記の表は、先月1月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 県教育委員会 | 書類紛失 | 卒業生45人分と保護者の氏名、住所、就職先などが記入された生徒指導要録 | 誤って焼却処分した可能性 |
| 2 | 家電量販店 | 誤記載 | 29人分の住所とは異なる顧客の氏名と会員番号 | |
| 3 | 市 | 紙紛失 | 生徒や教職員の氏名や電話番号113件分を記した紙 | 緊急連絡先として財布にしまっていた |
| 4 | 市 | 携帯電話紛失 | 国勢調査員8人を含む12人分の名簿を撮影した画像 | 職員が市内商業施設で携帯電話を紛失し、その後、本体は見つかりましたが、中のSDカードを抜き取られていた |
| 5 | 市 | 誤送付 | 税額控除申請書144人分で、住所や氏名、電話番号、生年月日など | |
| 6 | 市 | 書類紛失 | 「火災調査書」と、救助の活動概要が記載された「救助出場報告書」などで、当該書類には、氏名や住所、職業、財産状況 | 誤廃棄の可能性 |
| 7 | 地方銀行 | 名簿紛失 | 口座を開設した顧客約500人分の氏名、年齢、住所、預金残高などが記載された名簿 | 集会所のベンチに置き忘れ一時的に紛失 |
| 8 | 調剤薬局 | PC盗難 | 患者名と医療機関名などが記録 | |
| 9 | 市 | 誤送付 | 受験票を送付した94人のうち92人に対し、他人の受験票を送付 | 表計算ソフトで並び替えた際に、氏名と住所のずれが生じたのが原因 |
| 10 | 水道局 | 書類紛失 | 契約者1人分の名前や住所 | |
| 11 | 農協 | 書類盗難 | 顧客の氏名や住所などが記載された書類やノート | 車上荒らしで鞄ごと盗難 |
| 12 | コンビニエンスストア | 振込票盗難 | 料金収納の払込票38件。氏名のみ、または氏名と住所が記載 | |
| 13 | 医療法人 | 持ち出し | 利用者の氏名や住所、電話番号、IDのほか、緊急連絡先の氏名や続柄、電話番号、通所開始日など | 元職員がUSBメモリに複製した可能性 |
| 14 | 市立小学校 | USBメモリ紛失 | 児童14人分の通知表所見の下書き | |
| 15 | 県 | 書類紛失 | 子供254人分の氏名など個人情報を記載した書類 | 溶解処理されているはずのものが、道路に散在 |
| 16 | セキュリティ会社 | 不正アクセス | 3859社分の社名、担当者名、メールアドレス、電話番号、住所の5項目 | 顧客企業リストの一部を不正アクセスにより窃取したとして、同社に対して金銭を要求する恐喝未遂 |
| 17 | 国立大学 | 不正アクセス | 在学中の全学生1万8046人と、1997年度以降の全卒業生9万4579人の氏名や住所、生年月日などの個人情報に加え、就職支援を行う対象企業1662社の企業名や人事担当者名などの情報 | |
| 18 | 携帯電話キャリア | 不正転送 | 契約者情報を管理するシステムを悪用し、女性客の携帯電話の設定を勝手に変更 | |
| 19 | 電器 | 誤設定 | アプリ開発者371人分の氏名やメールアドレス、登録日時、登録用途、会社名 | 一時的にインターネット経由で閲覧可能な状態 |
| 20 | 独立行政法人 | 誤設定 | 全学生965人分の名簿 | 約3年半にわたりインターネット上で閲覧できる状態 |
| 21 | 県 | 不正アクセス | 約1万人分の生年月日や電話番号などの個人情報 | 個人情報からIDとパスワードを推測し、女性アイドルらが使っているSNSに不正にアクセスしてメールなどをのぞき見 |
| 22 | 厚生局 | 誤設定 | 年金事務所に年金記録の訂正を申し立てた55人の氏名、生年月日、住所、基礎年金番号などの個人情報 | |
| 23 | 市立小学校 | ハードディスク紛失 | 児童98人の氏名と通知表所見の下書き | |
| 24 | ディーラー | メール誤送信 | 顧客情報1229件を顧客102人に誤ってメールで送信する | |
| 25 | 県 | 書類紛失 | 211世帯分の個人情報が記載された書類 | 車上荒らし |
| 26 | 地方銀行 | 帳票紛失 | 氏名や口座番号、取引金額、取引日などの記載された帳票 | 誤廃棄の可能性 |
| 27 | 国税局 | 誤送付 | 別人の氏名と住所が記された所得税の確定申告書類 |
「16」は、セキュリティ製品ベンダーが今年1月に不正アクセスを受けて顧客企業の情報を窃取されたと発表したものです。(最大で3859社分について、会社名、担当者名、メールアドレス、電話番号、住所の5項目が漏洩)
本件発覚の経緯は、同社に対して「顧客リストを窃取した。要求額の金銭を支払わなければ情報を公開する」と匿名の封書が届いたことに端を発して、調査した結果判明したものとのことです。
PCやサーバーを操作不能にしたり、端末内に保存されている文書ファイルや写真・動画などを開けなくして、復旧と引き替えに金銭を要求するランサムウェア(身代金要求ウイルス)は、中でも特に注意すべき脅威です。2015年末にSNSを中心に話題になった通称「vvvウイルス」も従来から確認されていたランサムウェアの一種でした。ランサムウェアの中には、法執行機関を名乗って「逮捕」や「罰金」などのキーワードで脅して利用者を従わせる手口なども確認されています。
2016年は、ランサムウェアなどのウイルスを用いたネット詐欺の深刻化が予想されると同時に、個人や企業の「評判を落とす情報」の公開を材料に脅迫する「ネット恐喝」の横行が予想されます。したがって、個人情報やプライバシーに関わる情報のネット上での管理についてより一層慎重になる必要があると言えるでしょう。
1月5日、独立行政法人 情報処理推進機構(IPA)は、「2016年1月の呼びかけ」を公開し、ランサムウェア感染被害に備え、定期的なバックアップを行うことの重要性を訴えています。
▼独立行政法人 情報処理推進機構「2016年1月の呼びかけ」
ランサムウェアの感染経路には、大きく「メールからの感染」「Webサイトからの感染」があり、いずれの場合も、Webブラウザーやソフトウェアなどの脆弱性を悪用し、閲覧しただけで自動的にランサムウェアをインストールするドライブバイダウンロードの手口が用いられます。ランサムウェアの被害に遭うと、ファイルが暗号化され開けなくなってしまいます。暗号化されたファイルの復元は困難なことから、IPAでは、個人、組織を問わず、被害を軽減する対策として、定期的なバックアップ取得の重要性を訴えています。保存するデータに応じてバックアップ先を使い分け、バックアップに使用する装置や媒体はバックアップ時のみパソコンと接続することや、バックアップから正常に復元できることを定期的に確認するといった注意点を挙げています。
不正アクセス等によるデータ損失から復旧する手立てとして最も重要かつ一般的な方法は、定期的なバックアップです。それぞれの企業や組織では、ウイルスに感染しないような手段を講じるだけではなく、万が一に備えてファイルのバックアップを取っておくことが重要です。その際に留意しなければならないのは、パソコン本体とネットワークでつながっていない場所でファイルを保管することです。身代金要求型のウイルスは、感染パソコンから見えるバックアップ先のファイルすべて暗号化してしまう可能性があるからです。
経営者やシステムの管理者はもちろん、企業や組織に所属するすべての人が、この機会に「社内のファイルが全て読めなくなったら何が起きるか」をまずは想像し、その大切さを真に理解したうえで、バックアップ体制について再点検していただきたいところです。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
