情報漏えい時の危機対応(4)
2018.03.20総合研究部 上席研究員 佐藤栄俊
1.情報漏えい時の危機対応(その4)
情報漏えい対策の不備が原因で、重要な情報が漏えいしてしまった場合、企業は賠償金を支払うだけでなく、失った信頼やイメージの回復に努めなければなりません。起こってしまった事故への対応を迅速に行い、同様の事故が二度と起こらないよう、情報漏えい対策の徹底的な見直しと改善策を実施する必要があります。そのために、情報漏えい対策のどこに不備があったかの検証、原因の追及と社内体制の整備をおこないます。
1.再発防止に向けた対応
情報セキュリティ上の再発防止の観点は、「防止」「検知」「対応」の3つに分けられます。防止とは、ファイアウォールなどによる不正アクセスの防止や、従業員の相互の牽制による不正行為の防止などを指します。検知は、モニタリングや事後の検査や監査などを指します。対応は、検知の結果をもとにおこなわれる復旧・回復、追跡、対策の見直しなどになります。
情報セキュリティ上の再発防止とは、「防止」だけでなく、検知と対応の機能も備えたバランスの取れた対策が必要になります。検知する機能がなければ、防止ができたかどうか確認することはできませんし、検知できるからこそ、対応できるようになります。つまり、この3つは補完関係や相互依存関係になります。この防止、検知、対応の3つがそろって効果的な再発防止の対策となります。
情報セキュリティ上の再発防止は、組織および技術の側面から原因に応じた対策を選択してくことになります。事故発生時、今発生している悪影響を取り除くために暫定的な対策を迅速に展開しつつ、併行して恒久的な対策を検討して実行に移していくのが現実的です。
また、事故発生時の対策を検討する際には、専門のコンサルタントやセキュリティベンダーに相談や見積りを依頼することになるでしょう。その際、事故を起こして間もない企業は、自社内で専門的な知見を有していない場合も多く、ベンダーなどが勧める高価な対策機器やサービスをいわれるままに導入してしまいたくなるものです。しかし、今一度、事故の原因に本当に有効なものであるかどうか、客観的な目で判断し、投資効果の高いセキュリティ機器やサービスを選択する冷静な視点も必要になります。具体的には、自社が保有する情報資産と、それを利用する社内システム・ネットワークに対してリスク分析を実施することが重要となります。脅威を想定し、策定したシナリオに基づいて何の対策を打つためにどのような製品が有効なのかを検討することが肝要です。さらには、技術的なセキュリティ機器を導入する際には、自社システム・ネットワークに対してそのまま導入することだけでなく、自社の業務も含めて情報システム・ネットワークを整理・集約することの可能性についてあらためて検討することが重要です。想定に基づいてセキュリティ対策を実施する場合、多様な脅威に対抗するためには各種セキュリティ対策製品を組み合わせて多層的な防御策を検討することになります。ただ、一口にセキュリティ対策製品といっても、その目的、対処できる攻撃、保護対象とするシステム・ネットワークの階層が製品によって異なり、搭載する機能もさまざまです。それらのセキュリティ機器は、高機能で、付加価値が高い製品ほど高価になってくるため、セキュリティ機器の導入に際しては、自社のシステム・ネットワークにそのまま導入することを前提とせず、その前提の見直しも含めて検討することが、再発防止にかかる費用対効果を最適化することに繋がるといえます。
2.技術的な対策
事故原因の分析、追求を行うことと同時に、OS・ミドルウェア・Webアプリケーション・ネットワークなどに、技術的な対策を施すことも必要となります。対策により被害を未然に防げる場合があるだけでなく、事故後の原因追究にかかるコストを削減できる、インシデント発生から検知までの時間を短縮できるといったメリットもあります。以下に、よく利用される対策の例を示します。
●脆弱性診断
Webアプリケーションなどに対し、ソースコードの分析や擬似的な攻撃を行うことで、脆弱性の有無や安全性を検証するサービスのことです。開発途中に意図せず空いてしまったセキュリティホールを見つけることができ、診断結果を元に対策を取ることで、SQLインジェクション(※1)、XSS(クロスサイトスクリプティング)(※2)、CSRF(クロスサイトリクエストフォージェリ)(※3)などによる被害を防ぐことができます。
SQLインジェクションとは、 操作にSQLと呼ばれる言語を用いるタイプのデータベースを使用するアプリケーションに対し、 その入力に本来入力としては使われることが想定されていないSQL文を挿入すること(injection – インジェクション)で、 データベースに不正な操作を加える攻撃方法のことです。SQLインジェクションに対する脆弱性は、 ユーザーの入力をデータベースへの問い合わせの一部として使用するアプリケーションにおいて、 入力された値のチェックやSQL文のメタ文字(特殊な意味を持つ文字)のエスケープ(メタ文字として処理されないよう適切な文字列に置換すること)を行っていなかったり、 それらが不十分であったりする場合等に発生します。 このような場合、 データベースに問い合わせる命令文の中に不適切な文字列が含まれるような入力を与えると、 データベースを利用しているプログラムに不正な動作をさせることが可能となってしまいます。
(※2)クロスサイトスクリプティング(XSS)
XSSとは、Webサイトの脆弱性を利用した攻撃手法の一種で、入力フォームなどから悪意あるスクリプトを挿入して、該当ページを閲覧したブラウザ上でそのスクリプトを実行させる手法のことです。XSSの脆弱性を利用すると、任意の命令や閲覧者のWebブラウザ上で実行させたり、HTMLを表示させたりすることができ、これにより、改変したページを閲覧させたり、入力情報を第三者のもとへ送信させるように仕組んだりといった操作も可能になります。XSSは、掲示板の入力欄は検索ボックスといった、ユーザーからの入力を受け付ける機能において、特殊文字のエスケープなどが適切に行われていない場合などに悪用可能となります。もともとはWebサイトを横断して実行させることが可能であるという点が特徴とされていましたが、最近ではWebサイトを横断可能であるかどうかを問わず、サイトに任意にスクリプトを挿入させて実行できる脆弱性を広く指します。また、ユーザーを騙して誘導し、悪意あるコードをユーザー自身に入力させる手法は、「セルフXSS」と呼ばれています。
(※3) クロスサイトリクエストフォージェリー(CSRF)
CSRFとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を行わせる手法です。他のWebサイト攻撃手法であるXSSとは異なり、正規ユーザが本来想定されている操作を行ったかのようにリクエストを発生させることができます(リクエストの偽造:Request Forgery)。CSRFによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものがあります。CSRFを防ぐための対策としては、リクエストが正しい画面遷移を経て送信されているかをチェックしたり、リクエストを受け付ける前に確認画面をはさむといった方法があります。前者の方法では、画面を識別するために外部からは予測不可能な使い捨てIDを発行し画面遷移をチェックしたり、簡易にはリファラ情報を照合するなどの手法が用いられます。後者の方法では、確認画面で再度パスワードを入力させたり、CAPTCHAと呼ばれる画像として表示した文字をユーザに判読させ入力させるなどの手法が用いられます。
(1)IDS/IPS
IDSとは「Intrusion Detection System」の略で、不正なパケットやデータの侵入を検知し、管理者へ通知する「不正侵入検知システム」のことです。ネットワーク上に流れるパケットを監視するネットワーク型と、サーバ上のログや受信データを監視するホスト型の二種類があります。
IPSは「Intrusion Prevention System」の略で、IDSと同様に不正データの侵入を検知するだけでなく、「防御」する仕組みも備えています。
IDSやIPSは、外部からの侵入だけでなく、内部からの不正な流出も検知することができます。したがって、内部不正の検出・防止にも役立ちます。
(2)ファイアウォール
データの出入口である「ポート」を制御することで、インターネットなどの外部ネットワークからの侵入をブロックする仕組みです。外部からの通信は許可済みのもの以外すべてブロックし、内部ネットワークを起点とした通信と、その戻りの通信は許可するというスタイルを取ります。ただし、ファイアウォールがチェックするのは送信元と送信先のIPアドレスやポート番号のみであり、データの中身まではチェックしません。そのため、許可された送信元から不正なデータが侵入してしまう等の恐れがあります。それを防ぐためには、ファイアウォールと併せてIDSやIPSを設置する必要性が出てきます。
(3)サンドボックス
サンドボックスとは、セキュリティ製品などに搭載されている仕組みで、他のシステムやデータと隔離された実行環境を指します。マルウェアと疑われるプログラムなどをサンドボックス上で実行し、ふるまいを確認することで、他のシステムやデータに影響を及ぼすことなく、不正なプログラムかどうかを検知できます。
対象プログラムの実際のふるまいを検証するため、従来のパターンマッチングによる検証とは異なり、ゼロデイ攻撃を防ぐことも可能です。しかし近年、このサンドボックスを回避するマルウェアも確認されているため、注意が必要です。
(4)WAF
「Web Application Firewall」の略で、その名の通り、Webアプリケーションに特化したファイアウォールを指します。通常のファイアウォールと異なる点は、通信の中身をチェックすることです。Webアプリケーション上で入力されたデータなど、ブラウザとのデータのやりとりをパターンマッチングで検証し、不正な通信を検出します。Webアプリケーションの脆弱性を突いた攻撃(XSS、SQLインジェクション、CSRFなど)を防御することにより、不正アクセス、サイトの改ざん、情報の流出などを防ぐことが可能です。
(5)ファイルの暗号化
重要な情報が保存されたファイルなどを暗号化ソフトによって暗号化することで、もしファイルが流出してしまった場合でも、中身の漏えいを防ぐことができます。暗号化というと難しい印象を受けますが、暗号化ソフトには、ファイルの見た目に影響を及ぼさず、通常と変わらない操作感で利用できるものも多くあります。
(6)ログの管理
サーバのアクセスログ、アプリケーションの実行ログなど、必要なログを適切に保存、管理することで、情報漏えい後の原因究明に役立ちます。ログファイルを読み解く場合、複数のファイルを読み合わせて時系列を追っていくことが多いため、どこにどのログが保存されているのかをきちんと管理することと、日付形式やIDなどの出力内容を精査し、統一することが重要です。「ログは保存しているが、どこにあるのか分からない」、「フォーマットがバラバラで読み解けない」というのはよくある話ですが、情報漏えい防止の観点からはあってはならないことです。
(7)ソフトウェアの更新
利用しているソフトウェアを常に最新に更新することで、ソフトウェア提供元が対策済みの攻撃を防ぐことができます。「攻撃者は常に最新の攻撃を仕掛けてくるので、対策済みの攻撃など防いでも無意味ではないか」と思いがちですが、そうではありません。実際のところ、更新パッチを適用していれば防げた被害は多くあると言われています。簡単なことですが、身近なところからしっかり対策をすることが重要です。
3.運用上の対策
(1)運用上の特に問題とすべき点
情報漏えいを防止するための対策を検討した場合、重要情報へのアクセス権限やいわゆる特権IDの管理が重要になります。
特権IDとは、システム設定の変更、ユーザーアカウントの新規作成や更新・抹消、アプリケーションのインストール、ファイル内容の閲覧などを唯一おこなえる特別な権限を持つIDです。具体的には、UNIXやLinuxなら「root」、Windowsなら「administrator」といったIDで、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能になります。
この特権IDが悪用されると、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能である以上、システム設定の不正変更やマルウェア等の不正情報取得ツールのインストール、そして機密情報へのアクセスや持ち出しまであらゆる形態の不正行為が可能になるのです。コンピューターウィルスや不正アクセスにより、特権ID情報の取得を行おうとするハッカーたちの狙いも正にここにあります。
アクセス制限及び特権IDなどの適切な付与及び無効化等の確実な措置は、企業・組織にとって当然実施されていると思われがちです。しかし、企業・組織においてITシステムが規模を拡大しているなかで、サーバ仮想化によるサーバ台数の増加、ルーター、ファイアウォールなどを設定するための管理者用アカウントの管理は一層煩雑になっており、それに伴い記録上では削除されたことになっているのに当該アカウントが有効であったりするなどの現実があります。
実際の企業の現場では、情報システムの運用において「特権IDを共有で利用している」、「特権ID利用の申請ルールが徹底されていない」、「申請なしに権限を与えてしまう」、「証跡不足により、誰が・いつ・何をしたか特定できない」、「退職者、異動者のID削除漏れが多い」といった諸問題が、重要情報を容易に持ち出せるということ、持ち出しても誰も気づかない環境を提供していることと同一であるということを認識する必要があります。
この特権IDやシステム管理者権限の悪用は、情報セキュリティ関係の制度が整っているとされている組織・企業でも起こり得るため、盲点になっていることをあらためて認識していただきたいと思います。
重要情報が不正に持ち出されないためにも、複数のシステム管理者による相互監視、又は少なくともシステム管理を更に監督する管理監督者や所属長の存在が重要になります。これは、組織の大小にかかわらず、情報システム運用上不可欠であるといえます。特に不正な情報持ち出しについては、性善説に基づいた管理では全く実効性は確保できません。自社の運用と現状を踏まえたうえで、危険要因となり得る下記項目についてはあらためて確認いただきたい重要なポイントとなります。
- 重要データへアクセス権を持つものに対する権限管理を定期的に実施しているか。
(例えば、正社員と非正社員ではメンタリティ、会社や業務に対する忠誠心も異なることを念頭に置いた権限設定の見直しも必要) - 定期的に重要データにアクセスする者の登録をおこなう作業担当者が適切であることを充分審査し、その者だけが登録等の作業をおこなえるようにしているか。
- 人事異動や人員の交代(派遣含む)後もアクセスできる状況にしていないか。
- 出退勤のルールや残業等の業務実施に伴う労務管理状況を見直しているか。(休日に一人ないし特定グループで作業している環境にないか、といった作業モニタリングの実施)
- 従業員ごとの誓約書等の提出状況・内容を確認しているか。
(2)過失による情報漏えい
企業・組織における情報漏えいの要因は、USBメモリ等の記憶媒体の紛失や従業員のデータ持ち出し、紙媒体紛失等の内部要因によるものが依然として多くの割合を占めています。特に従業員による持ち出しによる情報漏えいは、明文化されたルールがあるにも関わらず、日常的にルールを逸脱する行為の「自己正当化」「ルールに対する規範意識の麻痺」がその背景にあると考えられます。厳密にルールに照らせば正しくないという認識を持ちつつも、提出期限や納期などのやむに止まれぬ事情から、「作業・仕事を早く終わらせたい」という現実的な要請があり、その行為を日常的な行為として、いわば実務慣行として定着化していくことになります。そうしたルール違反の感覚が希薄化(「麻痺」)し、次第に一般化・標準化され、ローカルルールとして「正当化」されてしまう状況が、頻発する情報漏えいの背景にあると考えられます。
禁止されているはずの記録媒体の持ち出しや、情報の複製等の行為の「常態化(ルールの逸脱が日常化してしまう)」が、結果的には車上窃盗の被害や紛失、不正アクセスによる情報漏えいなどを発生させています。
これらの行為は、当事者自身には、会社に損失を与えようなどという悪意や企図はないものの、ローカルルール(本来のルールが変形し現場だけで運用されているルール)により運用されたり、管理要件が不明確となっている領域に対して、組織や業務環境が都合のよいルールの解釈を許してしまっている(統制環境に問題がある)結果と捉えることができます(内部統制システムとしての脆弱性)。
このような現実の背景には、実際の現場では、社内ルールなどの厳守よりも、契約上の納期の厳守の方が優先されてしまう実態があります。ルール設定当初は情報漏えい防止のために、冗長化された手続きやチェックも必要であるとしていたものが、業務効率優先の組織運営のために形骸化し、自宅や社外への情報の持ち出しといった行為がなし崩し的に行われ、最終的にはそのルール逸脱のやり方が新たなローカルルールとして形成されてしまっていると考えられます。ましてや、各組織でリストラや人員整理が進められていれば、一人ひとりに掛かる業務負担は当然重くなり、効率性を求めるあまり、ルールの形骸化やローカルルール化に拍車がかかりやすくなるといえます。
その上、本来はルールの適正な運用を管理すべき上司や所属長が業務効率や売上げ向上のために(そして、部下の業務効率という「自己正当化」のために)、日常的なルール逸脱が黙認されることによって、職場全体の情報漏えいリスクに対する認識が希薄化し、個々のリスク感覚も麻痺するという悪循環に陥ってしまいます。さらに、自宅での業務を推奨・命令する場合に至ると、仕事とプライベートの区別もつきにくく、いわばプライベートの延長線で、緊張感が緩んだ状態で業務が実施されやすく、情報漏えいリスクは一層高まることになります。
【悪意のないルール違反への対策】
情報漏えいにかかる事故に限らず、ルール違反は(そもそもルールを知らない場合を除けば)本質的には意図的な行為です。人は、「人」の特性上、不遵守行為による”損失と利益”を天秤にかけ、見込まれる損失より利益(「楽」ができるという本人にとってのメリットも含む)が上回ると判断する場合には、違反に手を染めてしまいます。組織・企業としては、「人」の心理や行動に関する理解を深めた上での、環境面での対策を検討する必要があります。
- 業務量や負荷の適正化
- 作業指示の明確化
- 個人の姿勢や価値観
過大な業務量・作業負荷や無理な作業スケジュールを強いることは、集中力や注意力を散漫にさせ、その結果として、単純ミスや社内規則・ルールを逸脱した情報の持ち出し行為を誘発しやすくなります。ルールに違反した情報の持ち出しを防止するためには、業務量や負荷の適正化を保つことがまずもって大切です。もともと、マニュアル化された作業や繰り返し作業には、人によって得手不得手がありますが、それ以外にも、多くの人に共通して不得手な作業があります。それは、時間的プレッシャーのかかる作業、注意が分散する作業、安閑と多忙が混在する監視作業などです。これらは、今のところ、タイムシフトや適材配置などを工夫し、対処せざるを得ません。
また、作業の効率化や省略の誘惑にかられやすくなるし、単純ミスによる漏えいのリスクも増すことから、そのような作業遂行上のリスクも予め認識しておくことがより重要となります。
さらに、情報の持ち出しについては、基準を曖昧にせず、その情報が漏えいしたリスクを想定・勘案し、明確にした上で厳格にルールを設定し運用することが重要です。情報を持ち出していなければ漏えいしなかったと推察される事例が散見されており、情報は決まった場所で取り扱い、そこ以外には持ち出さないという意識を徹底させるのが大前提ですから、これを厳守できるような作業環境の整備・構築が不可欠です(私物の持込み禁止エリアでの作業、バックチェックの実施などの「行動」制限がその中心となります)。
不明確な作業指示やあいまいな作業手順は、確認の省略や情報の持ち出しなどの判断ミス・ルール逸脱を誘発することになります。機密情報や個人情報を取り扱う業務は、社員だけではなく派遣社員や臨時雇用者が担当することも念頭において、対策を検討しなければなりません。対策としては、まず、作業のルールや手順自体が本当に作業の実態に整合したものであることを確認した上で、具体的で明確なルールを策定することです。特に、作業者が適切な判断を下し、必要な確認手順を省略せずに実施できるよう、ルールや手順の意味、目的を明示し、確実に理解させる必要があります。逆に、日常的な逸脱や軽微な手順の変更を黙認する風潮や手順の変更・逸脱等があっても、周囲や管理者が発覚しにくい状況は、ルール逸脱を助長すると考えられます。
なお、個人情報の取り扱いに関する法律の基本事項や組織としての対応方針は、常に、関係者全員に周知徹底し続けることが重要です。情報漏えい事故に関する基本的な教育や意識啓発は、一過性のものとせず、定期的に実施することで浸透が図られることになります。
情報漏えいに関する事故・トラブルについても、社内の事例や他社事例を交えて、その事故に至るまでのプロセスや結果的に被った損害を周知することが効果的です。漏えい、事故事例の収集・分析といった取り組みは、翻って自社の状況と照らし合わせることを通じて、日常の業務の中に潜在化するリスクを発見する端緒となり、組織として情報を共有し活かし、実態に適合した解決策を見出すことに繋がると思われます。
個人の姿勢や価値観を会社の方針に沿ったものとしていく取り組みは、組織内での悪意ある行動や利己的な目的行為を促進もするし、防止にもつながります。後者の防止に資する日常業務への取り組み姿勢や組織への帰属意識といった観念は、教育や訓練によって一朝一夕で定着するものではありません。しかしながら、現実には組織内の人事異動や人事評価によりこの観念が正されもするし、歪みもします。多くの事例はこの歪みにより発生しており、企業の対策として、継続的な意識啓発や多様な事例を通して、この観念が歪まないような教育を実施していくしかありません。
個人情報や機密情報を取り扱う作業者には、技能だけではなく、作業方法や作業手順を遵守する能力、それ以上に重要情報を取り扱うこと自体の意味を深慮できるセンスと能力が必要とされているため、作業者の適正をチェックし、十分な意識を持った要員の選定が重要な対策となります。
(3)違反や乱れを放置しない
情報漏えい事故防止のための対策としては、IT関連ソフトウェアや機器の導入による対処療法に陥りがちな側面もありますが、「個人の視点」に基づく計画・実施と「組織の視点」による継続的な運用の双方が必要不可欠です。
個人的な視点とは、人間をよく知り、当事者の視点で捉えることです。たとえば、内部不正による情報の持ち出しなどを想定した場合、高額の借金を抱え、その返済に追われる状況に追い込まれた人間は、強いストレスを抱えて、それから逃れるために、横領などの内部不正に至ることがあります。過大なフラストレーションやストレス、ネガティブな感情が膨らむことで人は不正を起こし得るということです。対策の検討、実施に際しては、人は組織や社会における地位によらず「つい魔がさす」ことがあるということを認識し、業務実態との整合を図り、当事者が意義を理解し主体的に取り組むことが必須となります。この視点を欠いた対策は、効果が薄いばかりか、関係者の負担を徒に増大させることにつながり、新たなルール逸脱や不正を招く要因となるおそれもあります。
組織の視点とは、不正・違反防止に対する組織的な取り組みです。「不正はどんな人間でも起こしうる」「不正は組織や環境に誘発される」という基本認識のもと、不正を生まない組織環境の構築や取り組みが求められます。組織内におけるコンプライアンス違反が「放置」されていると、そこにいる従業員は、社内規定や上司の指示・命令をタテマエ的であると認知し、信頼感や社内モラルの低下につながり、不正を誘発する要因となり得ます。したがって、以下の項目に対する定期的なチェック・警鐘が必要です。
- 小さな怠慢やミスが放置されている。
- 周囲(上司・同僚等)が注意しない(もしくはできない)
- 小さな怠慢・ミスは許されるとの誤った認識が共有され、抵抗感がなくなる(習慣化)。
- また、認識していても、ここまで許されるなら、「もう少し散乱・破損しても大丈夫だろう」と自分で勝手にこじつける心理が働く(合理化)。
- 違反や怠慢が放置されることにより、従業員同士で相互に注意しあわないことで、信頼感やモラルの低下が常態化する。)
最も基本的な部分となりますが、遠隔地や個々の現場においても、ローカルルール化しないよう小さな怠慢やミスでも見て見ぬふりをせず、注意できる環境を構築すること、例えば、風通しの良さといった良好な職場環境の醸成が求められます。怠慢や違反を放置しない、見通しのきかない場所をなくすということもミスやルールの逸脱、不正抑止には非常に重要なのです。
社員、幹部含めた各個人が、個人レベルで情報漏えいに対する危機意識や認識に欠けているため情報漏えい事案が頻発すると言ってしまえば、それまでです。しかし、企業・組織として情報漏えいリスクを極小化するためには、個人の「自己正当化」を許してしまう会社側にも社風的な脆弱性があるのだと認識し、そのような作業環境の改善、さらには、当事者が一生懸命に業務に取り組む過程での情報の持ち出しや複製による流出が、例えば納期を守れなかったとき以上に、結果的には組織に、より甚大な被害を与えてしまう可能性があること、企業・組織としては後者を重要なリスクとみなしていることを発信し、周知し続けるしかありません。従業員等に悪意はないとしても、またバレないとの思い込みについても、ルール違反である以上、その結果を認識した上での行為であることに違いはありません。
情報漏えいを防止するためには、発生の多様な要因・動機を分析・整理しつつ、外部メディアの接続禁止や機密情報資料の管理強化といった物理的・技術的安全管理措置の観点はもちろんのこと、そもそもの現行のルールの存在の周知(社員教育)とさらなる明確化、管理職によるルール遵守状況の確認徹底、規制や対策の穴への継続的対処といった人的・組織的な管理措置の観点まで、総合的に進めていく必要があります。
2.最近のトピックス
◆マイクロソフト「オンラインリスクとその影響に関する最新調査」
マイクロソフト社は、オンラインリスクとその影響に関する最新の調査結果「Digital Civility Index(DCI)」を発表しました。本調査は、日本を含む23カ国の13歳から17歳のネットユーザーと、18歳から74歳のネットユーザーを対象にしたものです。
調査では、「ネットいじめ」「個人の名誉毀損」「差別行為」など20の項目をオンラインリスクとして定義しています。グローバルで最も多いオンラインリスクは「迷惑な接触」で、回答者の41%が「オンラインで他者から望んでいない接触を受けた」と結果が得られています。次に多いリスクは「詐欺行為」で、こちらは回答者の27%が経験しているという結果が得られています。日本のオンラインリスクの経験数は、世界平均(65ポイント)よりも28ポイント低い37ポイントとなり、調査対象の23カ国中、最も低い数値となっています。
本調査のオンラインリスクの1つである「ネットいじめ」は、英語圏においては「Cyber bullying(サイバーいじめ)」と呼ばれ、国際的にも深刻な社会問題と捉えられています。日本でも特に問題視すべき事項であり、「ネットいじめ」が行われる時間と場所が比較的限定されていた従来型のいじめと違い、昼夜問わずいじめが継続する傾向があり、その分、被害者の精神的なストレスは大きなものになります。
また、その範囲が学校にとどまらずネットワーク上に拡散してしまう、いじめの痕跡がいつまでもインターネット上に残り続けるといった特徴もあり、被害者にもたらす影響は従来のいじめと同等かそれ以上に深刻といえるでしょう。インターネット上でのいじめは、掲示板やブログを利用した不特定多数が閲覧するサービスの特徴を活かした「匿名による特定個人への誹謗中傷」「特定の個人情報掲載」「特定個人へのなりすまし」があげられます。
また、メールを利用した匿名による脅迫メッセージ(死ね。うざい、消えろ等)送付やSNSを利用した特定の人の投稿にだけ「いいね」しない、「シェア」しない。あるいは、いじめの暴力シーンなどを動画で撮影し「シェア」する。さらには、いじめ対象の本人になりすまし、猥褻な行動を投稿する等といった悪質なものまであります。
学校裏サイト等を代表とするネットいじめへの対策手法としては、青少年や保護者へのネットリテラシーの啓蒙活動の活発化やサイトの監視、サイト閲覧をブロックするURLフィルタリングがありますが、それが本質的な対策とはいえない部分もあります。
青少年の有害サイト問題は、大人のサイト利用問題の状況にも大きく影響を受けています。多くの学校非公式サイトが一般の大型掲示板のスレッドの構成部分という形をとる可能性もあります。インターネットの匿名性を利用して子供のふりをして子供向けサイトに書き込む大人の存在、モラル無視で青少年を金儲けのターゲットにしている悪徳業者の存在という社会的背景も見逃せません。
特に、特定学校裏サイト等に張られているネット広告の中には、ネット風俗など青少年健全育成の従来の基準からすれば、有害な宣伝・広告が多く確認できます。青少年向け雑誌などマスメディアにおける有害広告問題と同様の視点で、青少年向け受発信メディアとしての学校非公式サイトにおける広告問題を捉えていく必要があります。
青少年のネットや、学校裏サイト利用に関する問題点は、この種のサイトの提供業者や不適切広告出稿業者などの存在等、社会や大人のモラルに直結しています。企業においても、自社広告の出向先サイトのチェックや想定外の広告利用のされ方などに対し、常に目を光らせていなければなりませんし、悪質企業を退出させるアイデアも考えていかなければなりません。
◆警察庁「「Eternalblue」又は「Doublepulsar」を悪用した攻撃活動等と考えられるアクセスの増加等について」
警察庁は、2月14日、「「@police」」の中で『「Eternalblue」又は「Doublepulsar」を悪用した攻撃活動等と考えられるアクセスの増加等について』と題するレポートを公開しました。警察庁では、昨年4月以降、「Eternalblue」「Doublepulsar」をはじめとする複数の攻撃ツールに関するパケットを継続して観測しています。その結果、これらのツールと思われる特徴的なSMB(ファイル共有プロトコル)パケットを継続して観測したとしています。
昨年5月には世界各国でランサムウェア「WannaCry」の被害が報告されましたが、感染活動に特徴的な手法を追跡調査したところ、以下のことがわかったとしています。
(1)「WannaCry」もしくはその亜種による感染活動は未だに継続していること
(2)2017年12月以降は、「Eternalblue」「Doublepulsar」を用いたWindowsの脆弱性(「MS17-010」)を悪用する攻撃も行われていること
警察庁では、Windows OSの脆弱性を修正したパッチを適用し、OSを最新の状態を保つことや、「MS17-010」を適用していない機器をインターネットに接続していた場合は、すでに攻撃を受けている可能性があることを考慮し、不正なプロセスや通信等が存在しないかを確認するといった対策を推奨しています。
昨年の「WannaCry(ワナクライ)」と呼ばれるマルウェアは、約2週間で世界中に大きな感染被害をもたらしました。この「WannaCry」に対しては、世界中のインターネットセキュリティ会社やソフトウェア会社が一丸となり、このプログラムの仕組みについての解明や、ソフトウェアの修正プログラムの配布といった安全対策を急ピッチで進めましたが、未だその脅威は継続していることを認識する必要があります。安全対策は既に多くパソコンや企業のサーバに実施されていますが、現時点で被害が収まったとは言えないということです。マルウェアは時間が経過して効果が弱まると、安全対策がされた抜け穴とは別の抜け穴をターゲットにして被害を及ぼすことができる”亜種”と呼ばれる新たなプログラムを作り出したり、「WannaCry」と同じように”身代金”を要求する悪質なプログラムを拡散させる”模倣犯”が登場することで、被害がさらに拡大することがあります。
サイバー攻撃などの被害を受けやすい企業の特徴として、IT環境の未整備、セキュリティアップデートの適用管理が不十分、ウィルス対策ソフトの利用が限定的、PC機器等の持ち出しや持ち込みの管理が未実施、事故対応体制が未整備などITガバナンスが十分ではない組織であると考えられます。
事業者は、取るべき対策を整理するとともに今回の攻撃を踏み台にした次なる攻撃を想定し、警戒レベルを上げて、システム面・オペレーション面双方での多層的な防御策の導入、役職員の意識高揚など早急な取り組みが求められます。
◆トレンドマイクロ「2017 年は「セキュリティの常識を覆すサイバー犯罪の転換期」
2月27日、トレンドマイクロ社は、2017年の国内外における脅威動向を分析した「2017年年間セキュリティラウンドアップ:『セキュリティの常識を覆すサイバー犯罪の転換期』」を発表しました。
2017年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられ、ランサムウェアの攻撃総数は、2017年は6億件と2016年(10億件)から減少しているものの、ランサムウェアがサイバー犯罪者にとっての「ビジネス」として完全に定着したとしています。
利用者のコンピューティングリソースを不正に乗っ取り、仮想通貨の「発掘」を行う「コインマイナー」の検出台数は国内外で過去最大規模を記録しています。ランサムウェアをはじめとするサイバー攻撃は、仮想通貨ウォレットなどの認証情報を標的に加え始め、仮想通貨取引所サイトを直接狙う攻撃も発生しています。
そして、日本では、2017年は「ビジネスメール詐欺元年」とも呼ぶべき年としており、昨年12月には国内初となる大企業における被害事例が公表されるなど、転換期を迎えたサイバー犯罪によって、これまでの常識を覆すような被害が発生していると同社は指摘しています。
ビジネスメール詐欺については、FBIによると、13年10月~16年6月に世界で2万2千件以上、約31億ドルの被害があったとされます。正に、企業版「振り込め詐欺」として、世界的に被害が拡大する中、既に日本企業にとっても看過できない脅威となっています。
警察庁は、ビジネスメール詐欺について、「犯罪者が実際の取引先や自社の経営者層等になりすまし、メールを使って振込先口座の変更を指示するなどして、犯罪者が指定する銀行口座へお金を振り込ませようとする」ものであり、具体的な例として、以下を紹介しています。
警察庁「ビジネスメール詐欺に注意!」
- 犯罪者が取引先の担当者等になりすまして、「財務調査が入っており、従来の口座が使用できない」、「従来の口座が不正取引に使用され、凍結されてしまった」、「技術的な問題が発生しており、従来の口座が使用できない」など様々な理由をつけて、メールで振込先口座の変更を指示する
- 犯罪者が経営者層等になりすまして、「極秘の買収案件で、資金が支給必要になった」などの理由で、指定する口座への入金を指示した上、さらに、「緊急かつ内密に送金してほしい」などと付け加えて、担当者のみに判断させ、詐欺であることが発覚するのを防ごうとする
【被害防止策】
- 送金に関するメールを受信した際には、送信元とされている取引先担当者や経営者層に対し、電話やFAXなどのメール以外の方法で送金内容について確認。ただし、メールに記載されている電話番号などの連絡先は偽装されている可能性があるため、名刺や自分のアドレス帳などに載っている連絡先を使う
- 特に送金先の変更や緊急の送金に関するメールを受理した場合は、そのメールの送信元メールアドレスをよく確認する。本来のメールアドレスによく似たメールアドレスに偽装されている場合がある。また、メール内容もよく吟味し、指示されている内容に不自然なところがないか、よく確認する
- 犯罪者はタイミング良く振込先の変更に関するメールを送付したり、メールの体裁も本物と同じように作成するなど、事前に何らかの方法(コンピュータ・ウイルス等)により、普段のメールのやりとりを盗み見ているのではないかと考えられている。よって、日頃からコンピュータ・ウイルスへの感染を防ぐ対策をしておく必要がある
- 動画サイト等のウェブサイト閲覧時には不審な広告バナーやダイアログボックス等をクリックしない
- 知っている人や企業等からのメールであっても、内容をよく確認して、心当たりのない内容であれば不用意に添付ファイルを開いたり、リンクをクリックしたりしないように注意する
- コンピュータ・ウイルス対策として、OSやウイルス対策ソフトは随時更新を実施して最新の状態を維持する
- 犯罪者はメールアカウントを乗っ取ってメールサーバへ不正アクセスし、普段のメールのやりとりを盗み見ている可能性もある。よって、メールアカウントには複雑なパスワードを設定する、他のサイトで利用しているものと同じパスワードの使い回しをしないなどの不正アクセス対策も重要
- ある社員がメールの不審点に気づいて、ビジネスメール詐欺の被害を食い止めたとしても、犯罪者は社内の他の社員も同じ手口で騙そうとしてくる可能性もある。社内での情報共有体制を整え、不審なメールや犯罪の手口等の情報を集約し、会社全体でのセキュリティを高める必要がある
- ビジネスメール詐欺は、技術的な対策や人の注意だけで「騙し」を完全に防ぐことは極めて困難な一方、実際の攻撃からは、注意すれば不審な点に気づくであろうこともうかがえます。典型的な手口を知ることや、訓練等を通じて情報を取り扱う「人」の注意力を高めつつ、送金前のチェック体制や認証態勢を強化するなど、多層的な防御態勢の強化に努めることが肝要だといえます。
◆情報処理推進機構「サイバー情報共有イニシアティブ(J-CSIP) 運用状況」
1月26日、独立行政法人 情報処理推進機構(IPA)は、サイバー攻撃に関する情報共有と早期対応を目的とした官民による組織「サイバー情報共有イニシアティブ(J-CSIP)」の、2017年10月?12月の運用状況を報告しました。同期間に、J-CSIP参加企業からIPAに対して、サイバー攻撃に関する情報提供が1,930件ありました。このうち、標的型攻撃メールと見なされたのは164件で、さらに、そのうちの156件は、プラント関連事業者を狙う攻撃メールでした。これは、プラント等の設備や部品の供給事業者に対し、実在すると思われる開発プロジェクトや事業者をかたり、見積もり等を依頼する内容の偽メールで、IPAでは「短期間で多岐にわたる文面のバリエーションを確認している」と言及。特定の標的に執拗に攻撃が繰り返されていることが確認されました。
標的型攻撃を受けた場合、特定の個人やグループを対象とした巧妙なメールが送られてくることから、攻撃メールの開封率をゼロにすることは困難であり、かつ今までのアンチウィルスソフトだけでは検出が困難、といった厄介なものになります。とはいえ、アンチウィルスソフトや脆弱性に対応したパッチがまったく無力というわけではありません。
従って、日頃からアンチウィルスソフトやOS、パッケージアプリケーションソフトのアップデートをきちんとしておくことがまずもって重要です。「最新のパッチを当てる」、「各種アプリケーションを最新バージョンにしておく」「適切なものを使う」、などを組織的に運用、管理しておく体制が必要です。
3.最近の個人情報漏えい事故(2018年1月、2月)
下記の表は、今年1月と2月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 |
発生原因 |
対象 |
備考 |
|
---|---|---|---|---|
1 | 不動産 | メール誤送信 | 顧客12名のメールアドレス | |
2 | 児童相談所 | 書類 | 児童1名の氏名、生年月日等が記載された文書 | パソコンを保守委託業者に渡す際、当該文書が挟まれたノートパソコンを渡してしまった |
3 | 福祉事業 | メール誤送信 | メールアドレス59件 | 誤って宛先に設定 |
4 | 府 | 書類紛失 | 3名分の氏名、生年月日、携帯番号等 | |
5 | 福祉局 | 誤送付 | 通知書73件 | 一部送付データの組み合わせを誤って設定したため |
6 | 市立小学校 | USBメモリ紛失 | 児童33人分の氏名等 | 私物のUSBを使用 |
7 | 電力 | 書類紛失 | 損害賠償請求者の「戸籍謄本」などを含む、23人分の個人情報が記載された書類 | |
8 | 総合病院v | USBメモリ紛失 | ||
9 | 不動産 | メール誤送信 | メールアドレス357件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
10 | ガス | 書類紛失 | クレジットカードリーダや領収書などを含む、11件分の名字、法人名、領収書内訳 | |
11 | 県 | メール誤送信 | 1名の氏名、住所等 | ファイの誤添付 |
12 | 診療所 | FAX誤送信 | 氏名、生年月日等が記載された処方箋10名分 | 当該処方箋を送信する際、番号入力を誤り、関係のない者に誤送信 |
13 | ドラッグストア | 書類紛失 | 氏名、住所等が記載されたポイントカードの申込書およそ2000件 | 当該書類を運搬する委託業者が外部に置き忘れてしまい、紛失 |
14 | 大学病院 | 書類紛失 | 患者3名の氏名、性別等 | 医師が帰宅途中にカバンごと紛失 |
15 | 県 | 書類紛失 | 氏名等が記載された水道使用量のお知らせ12枚 | |
16 | 県 | FAX誤送信 | 地権者および他の相続人16名の個人情報 | 番号入力をあやまったため |
17 | 市 | 書類紛失 | 3名分の氏名、住所等が記載された保育料の口座振替申込票1枚 | 申込者から振替が開始されないとの連絡を受け、紛失が発覚 |
18 | 法務局 | USBメモリ紛失 | 土地を所有する1893人分の名前、住所等 | 委託先の測量士が業務のため持ち出した際に紛失 |
19 | 支援学校 | メール誤送信 | 保護者76名分のメールアドレス | 「Bcc」で送信すべき所を誤って「Cc」で送信 |
20 | 私立大学 | USBメモリ紛失 | 学生1070名の氏名、成績等 | |
21 | 交通 | メール誤送信 | 顧客75名のメールアドレス | 「Bcc」で送信すべきところを誤って「To」で送信 |
22 | Web制作 | 携帯電話紛失 | 取引先の氏名、電話番号およそ60件 | |
23 | 市立小学校 | USBメモリ紛失 | 児童5名の氏名等 | 誤廃棄の可能性 |
24 | 区 | メール誤送信 | 168名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
25 | 市立大学 | メール誤送信 | 58名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
26 | 県立高校 | メール誤送信 | 56名のメールアドレス | 「Bcc」で送信すべき所を誤って「To」で送信 |
27 | ガス | 書類紛失 | 顧客の氏名が記入された工事代金の領収書の控え669件 | 誤廃棄の可能性 |
28 | 私立大学 | メール誤送信 | 入学予定者1318名に新年度の行事予定のお知らせメール | 「Bcc」で送信すべき所を誤って「To」で送信 |
29 | 市 | 誤送付 | 生年月日等が記載された予防接種に係る予診票 | 誤って別の対象者の予診票を同封 |
30 | 協同組合 | 書類紛失 | 水道利用者38名の氏名、住所等が記載された資料 | |
31 | 大学病院 | 書類紛失 | 患者4人の氏名や性別、年齢、手術日時、術者、助手、術式などが記載された手術記録の写し | 忘年会へ出席した際、写しや財布を入れた鞄を荷物置き場へ置いたが、終了後に鞄がなくなっていた |
32 | 県 | 誤公開 | 氏名や住所、電話番号など14人分の個人情報 | プログラムのミス |
33 | 商社 | 不正アクセス | 氏名や住所、電話番号、性別、メールアドレス、ID、パスワードなど、会員7万3829人分の個人情報 | |
34 | 障害福祉 | 誤送付 | 受給者の氏名や受給者番号、給付内容などが記載された通知書約1000件 | 誤って別のサービス利用者へ送付 |
35 | レンタカー | 事務所荒らし | 345人分の貸渡伝票で、借受人または運転者の氏名や住所、連絡先電話番号、携帯電話番号、運転免許証番号など | 施錠されたキャビネットごと持ち去られた |
36 | 電力 | 書類紛失 | 請求者が送付した戸籍謄本3件のほか、「全部事項証明」1件、「役場火災による除籍謄抄本再製不能証明書」1件を紛失したもので、23人分の氏名や本籍、生年月日など | |
37 | 都 | メール誤送信 | 服務事故における被処分者などの氏名や性別、年齢、所属のほか、処分や措置、指導の程度や事故の概要など1538件の個人情報 | |
38 | 出版社 | 不正アクセス | 脆弱性を突かれ、2013年11月12日から2017年8月18日までに会員登録した最大9万3014人分の氏名やメールアドレス、ユーザーIDなど個人情報 | |
39 | 府 | 書類紛失 | 担当者の氏名と携帯電話番号のほか、動物取扱責任者の生年月日と、実務に従事した事業所名および従事期間など、3人分の個人情報 | 誤廃棄の可能性 |
40 | 大学病院 | メール誤送信 | メールアドレス213件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
41 | 市 | メール誤送信 | 18事業者31人分のメールアドレス | 委託先によるメール誤送信 |
42 | 水道企業団 | 不正利用 | 職務上入手した個人情報を使用し、連絡を取った | 停職4カ月の懲戒処分を実施。また指導監督が不十分だったとして、担当所長を戒告、担当所長補佐兼係長を文書訓告とした |
43 | 通販 | 不正アクセス | 顧客のクレジットカード情報最大335件で氏名やカード番号、有効期限、セキュリティコード | |
44 | 県立大学 | 不正アクセス | 学生106人の氏名や学籍番号、メールアドレス、成績情報、進路先のほか、教職員23人のメールアドレスや職員番号、所属、学外関係者39人の住所とメールアドレスなどの個人情報 | 教員が私的に利用しているメールアカウントが海外から不正アクセスを受けていたことが判明。端末に不調があることから調査を行ったところ問題が判明した。 |
45 | 大学病院 | 書類紛失 | 患者3人の氏名や性別など | |
46 | 通販 | 不正アクセス | ショップ運営者の個人情報最大7万7385件で、氏名や法人名、住所、電話番号、生年月日、メールアドレス、ログインID、ハッシュ化済みのパスワードなど | |
47 | 保育園 | 紛失 | 園児の氏名や生年月日、アレルギー食品のほか、保護者の連絡先、かかりつけの病院名とその連絡先、保育園名とその連絡先など | 災害発生時に備えて散歩などに携帯している「ビブス」6人分を紛失 |
48 | 協同組合 | メール誤送信 | メールアドレス74件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
49 | 配送 | 書類紛失 | 顧客の姓、住所、性別、年代など | |
50 | 通販 | 不正アクセス | クレジットカード情報最大821件で、クレジットカードの名義やカード番号、有効期限、セキュリティコード | |
51 | 町 | 意図的な漏えい | ドメスティックバイオレンス(DV)被害者の住所を、外部へ漏えい | 配偶者や恋人による暴力、いわゆる「ドメスティックバイオレンス」の被害を受けたとして、加害者に居場所を知られないため、個人情報の閲覧制限措置を申し出ていた被害者の住所を外部へ漏えい |
52 | 府立高校 | USBメモリ紛失 | 生徒および卒業生の校内外での活動を撮影した写真498枚分のデータ | |
53 | 電鉄 | USBメモリ紛失 | 氏名や住所、電話番号など含むプレゼントの当選者リストや、氏名や住所、電話番号のほか学校名や年齢、メールアドレスなど含むコンテスト応募者のリストなど、822件の顧客情報が保存。そのほか、そのほか、グループ会社や団体の従業員の氏名、住所、電話番号など7128件を含めると、あわせて9184件の個人情報 | |
54 | 保証協会 | メール誤送信 | メールアドレス48件 | |
55 | ガラスメーカー | メール誤送信 | 日本語版メール426件、英語版メール180件 | 信先を誤って「CC」に設定 |
56 | 府立高校 | 書類紛失 | 社会入門」を履修している1年生114人および「社会と情報」を履修している1年生36人の氏名とクラス、出席番号、出欠状況など | |
57 | 金融 | 書類紛失 | 氏名や住所、電話番号などが記載されたクレジットカード申込書と付属書類36人分。また19人分の付属書類 | 書類を搬送していた際、書類が落下 |
58 | 県立高校 | メール誤送信 | メールアドレス56件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
59 | 区 | メール誤送信 | メールアドレス168件 | 「Bcc」で送信すべき所を誤って「To」で送信 |
60 | 不動産 | 不正保管 | 顧客情報や業務書類など約2万6000件で、ストレージ上に保存されていたのは、顧客の資金計画書や見積書、建築図面、土地売買契約書、重要事項説明書、メールのやり取りなど業務書類のほか、事業計画書、同社保有の物件データ、住宅地図、分譲物件の広告やパンフレットなど | データを第三者に提供する目的で不正にアップロードし、持ち出そうとしていたとして、同社では同従業員を懲戒解雇。警察に相談しており、今後は不正競争防止法違反により刑事告訴など措置を講じるとしている。また今回の問題にあたり、記者会見前日に同社役員2名が飲食店で飲酒していたほか、会見翌日にゴルフを行っていたことが調査により判明。両取締役から辞任の申し出があり、了承したという。 |
61 | 市立中学校 | メール誤送信 | メールアドレス180件 | |
62 | 市 | 誤送付 | 2908人のうち19人に対し、異なる接種対象者の氏名や生年月日、性別が記載された予診票を送付 | |
63 | 車メーカー | 不正アクセス | 同社にカタログを請求した顧客に関する2万3151件のメールアドレスで、同じデータベースには、氏名や住所、電話番号、性別、生年月日、職業、年収、所有車情報、希望車種、購入予定、販売店名などが含まれていた |
企業では4月になると新入社員を迎える時期になり、社内業務のレクチャーやOJTなどが活発になるのではないでしょうか。そのような中、是非とも新人研修の中に取り入れて欲しいものがあります。人為的なミスによる情報漏えい事故が増え続ける中、社会人として一人ひとりがパソコンやメールなどの利用に関するマナーやセキュリティ対策を意識することは今や欠かせません。今回、新入社員に最低限のセキュリティの基本教育を知ってもらうべき代表的な項目をいくつかご紹介します。
(1)ウィルス対策ソフトへの誤解
よくある勘違いの1つとして、自分のパソコンはウィルス対策ソフトを導入しているから大丈夫という考えは、重大な被害に繋がるケースもあります。ウィルス対策ソフトは、インストールしただけでは十分ではありません。マルウェア感染予防のためには、定義ファイルを常に最新の状態に保つことが必要です。一般的なウィルス対策ソフトは、初期状態で定義ファイルの自動アップデートや定期的なウィルススキャン、そしてファイルアクセスを常時監視するリアルタイムスキャンの自動実行が有効になっています。この設定を自分の判断で変更すると、定義ファイルのアップデートやリアルタイムスキャンの自動実行が無効になってしまい、ウィルス対策ソフトとしての用をなさなくなってしまう可能性があります。社員には無断でセキュリティの変更はしないように伝えておくことが重要です。また、ウィルス対策ソフトの有効期限が切れると、定義ファイルのアップデートが行われなくなります。期限切れのウィルス対策ソフトを使い続けていないかどうかもチェックが必要です。
(2)怪しいメールの添付ファイルやリンク先
企業であれば、社内や取引先、そしてお客様などにはメールでのやり取りは欠かせませんが、このメールを悪用し、通常の業務やお客様からの内容に見せかけつつ、リンクへのクリックを誘導する「なりすましメール」によって、ウィルス感染を引き起こす可能性があります。対処策として、「何かおかしい」「いつもと違う」といった端緒(兆候)を感じ取ることが重要で、日頃から社員一人ひとりがセキュリティへの関心と知識を持つことが、未然に防ぐポイントとなります。どんなに教育や訓練を行ったとしても、100%防げるものではなく、確実に見抜くということは不可能です。
ただ、見知らぬ人から送付された電子メールや、知っている人(企業)が送信者として表示されているが本文の書きぶりなどに不審な点がある電子メールに添付されたファイルは、不用意に開くことはせず、情報セキュリティ担当者に相談するなど慎重に対応しましょう。特に添付ファイルの拡張子が”.exe”の場合(実行ファイル、自己解凍形式のファイルなど)は注意が必要です。ファイルを開く操作によってプログラムが実行され、自身でマルウェアをインストールしてしまうからです。
(3)フリーソフトウェアの利用
便利そうだからという理由で、システム管理者や情報セキュリティ担当者等に無許可でソフトウェアをインストールするのは大変危険です。通常、企業におけるソフトウェア管理というと、ライセンスの管理に注目が集まりがちですが、脆弱性対策も非常に重要です。ライセンス料の発生しない無償のツールであるからという理由でシステム管理者に無断でソフトウェアをインストールすると、そのソフトウェアの脆弱性を突く攻撃を受けた場合、対策が後手に回ったり、原因の究明が遅れてしまったりする原因になってしまいます。
ソフトウェアは、最初にインストールした状態でずっと使い続けられるものではなく、セキュリティ上の脆弱性への対応のためのアップデートや修正プログラムの適用等のメンテナンスを継続しながら使うものです。無断でインストールされたソフトウェアは、企業の管理プロセスの対象外となり、結果的に、利用している PC がマルウェアに感染する原因となってしまう可能性があります。
(4)離席する場合のパソコンへの対処
作業中のパソコンの画面をそのままにし、席を離れてはいけません。席を離れている間に、機密情報にアクセスされたり、マルウェアがインストールされたりする危険性があります。特にオフィス内に外部の人間が頻繁に出入りするような場所では注意が必要です。
よく、○分間無操作だとパスワード付スクリーンセーバが起動する設定もありますが、その間にも外部から不正アクセスは可能です。必ず離席時は各自でロックをかけるようにし、長時間の離席にはシャットダウンする習慣をつけましょう。
(5)USBメモリなどの記憶媒体の持ち出し
自宅での作業や取引先とのデータ受け渡しのために、USB メモリなどにデータを保存して社外に持ち出したいこともあるでしょう。しかしながら、社外に持ち出された USB メモリなどが紛失や盗難に遭うリスクはゼロではありませんので、情報漏えいの可能性が否定できません。組織で決められたデータの持ち出しやデータ消去のポリシーを理解し、不用意な外部記録メディアの利用は控えましょう。
万が一、USB メモリなどが紛失、盗難に遭ったとしても、その内容が暗号化されていれば、情報漏えいのリスクを低減させることができます。現在、そのような機能を搭載した USBメモリも市販されています。暗号化のパスフレーズも、解読のリスクを下げるため十分な長さで数字、記号を含めた強度の高いものを設定してください。USB メモリなど外部記録メディアを利用する場合には、ウィルス対策ソフトのリアルタイムスキャンを利用したり、自動実行機能を無効にしたりするなどの対策を講じてください。
また、携帯型音楽プレーヤーやデジタルカメラ、ビデオカメラなどのデジタル機器経由でマルウェアに感染する事例もあります。管理状態が定かでないこれら機器を許可なく会社の PC に接続しないようにしましょう。
(6)安易なパスワードの使いまわし
ログインパスワードは、なるべく長い文字列とし、他人に推測されにくいようにしましょう。短いパスワードや安易なパスワードは、総当たり攻撃(ブルートフォース攻撃:機械的な処理により可能な組み合わせすべてを試す攻撃方法)で割り出されてしまう可能性があります。また、辞書に載っているような一般的な単語の組み合わせでは、辞書データを使った攻撃(辞書攻撃)で簡単に割り出されてしまいます。総当たり攻撃を回避するためにパスワードを定期的に変更する運用が効果的であるとする見解もありますが、定期的にパスワードを変更するとなると、ついつい覚えやすい簡単なパスワードを設定するようになりがちです。そのような事態は本末転倒といわざるを得ません。
また、ノート PC などの外部へ持ち出す機器の取り扱いについては十分に注意してください。ノート PC が紛失や盗難に遭った場合、たとえログインパスワードなどを設定していたとしても、攻撃ツールなどによる総当たり攻撃や辞書攻撃などによってパスワードが破られ、結果として内部に保存していた機密情報などが流出する危険性があります。このような事態を想定し、外部へ持ち出す機器には機密情報などを保存せず、やむを得ず保存する場合は個別に暗号化するようにしましょう。
なお、ユーザー認証のための ID やパスワードを Web ブラウザに記憶させる機能については、記憶させた ID やパスワードを窃取するマルウェアも存在していますので、リスクを十分に考慮した上で使用してください。
(7)業務中の不必要なWebサイトの閲覧
昨今の攻撃者は、不正なプログラムを仕込んだ Web サイトを使って、閲覧したユーザーのPC をマルウェアに感染させ、PC 内から個人情報やアカウント情報、クレジットカード情報などを窃取して利益を得たり、他の攻撃のために悪用したりしようとしています。かつては、攻撃者が別に用意した独自サイトに閲覧者を誘導する攻撃も多かったのですが、昨今は、正規の著名なニュースサイトや企業のサイトを改ざんし、攻撃のプラットフォームに使用するようになっており、怪しいサイトに注意するというレベルでは回避が難しくなっています。このような攻撃を回避するための絶対的な対策はなく、攻撃に遭う可能性を低くするために、不必要な Web サイトの閲覧を控えるというのも一つの手段となります。
マルウェア感染等が発生した場合には、閲覧したサイトの履歴等を調査して、マルウェア配付サイトの閲覧の有無等を調査することが必要になります。著名なニュースサイトや企業の製品情報サイトを閲覧する場合であっても、悪意のあるプログラムが埋め込まれている可能性がゼロではないことを認識し、休み時間であっても、業務上、閲覧の必要性を説明することができないサイトは閲覧しないようにしましょう。
システム管理者が予期し得ないような(業務上の必要性がない)サイトの閲覧は、組織としてのセキュリティ対策の網からこぼれてしまう可能性が高くなります。
一部では、職員が外部の Web サイトへアクセスすることを制限したり、許可されていないWebサイトにアクセスした際に警告を表示したりする仕組みを導入している企業があります。これは、悪意のあるプログラムが埋め込まれているような危険なWebサイトの閲覧について警告を表示し、ユーザーの PC がマルウェアに感染しないようにするためものです。許可無く警告を無視して閲覧したり、警告を表示するサービスを無効化するといったことはしないようにしましょう。
(8)個人のスマートフォン利用について
スマートフォンの急速な普及に伴い、多くの新入社員がスマートフォンを友人、知人とのコミュニケーションなどに活用していると思います。企業活動においても、スマートフォンを利用する動きが広がっており、昨今のスマートフォンの高機能、高性能化の流れも受けて、多くの企業活動のシーンにおいてスマートフォンが活用されるようになってきました。
なかには今後業務等へのスマートフォンの利用を考えている方もいるかもしれませんが、スマートフォンの利用については十分な注意が必要です。昨今のスマートフォンは高機能化の結果、PC と同程度の作業を行えるものも出てきており、スマートフォンに契約書や顧客リストなどの機密情報を保存して、外出先で編集・閲覧するシーンやメモ代わりに会議内容が書かれたホワイトボードを撮影するといったシーンも出てくると思います。そういった用途で使用しているスマートフォンを紛失したり、マルウェア感染や盗難の被害を受けたりした場合は、企業にとって重要な機密情報が外部に漏えいしてしまうことになります。私用で使っている分には、盗難や紛失などの問題が発生しても、個人の責任の範囲で対処すればよかったのですが、業務で利用するスマートフォンの盗難、紛失は企業の機密情報の漏えいなどにつながり、結果として企業に損害や影響を与える可能性があります。
このため、個人所有のスマートフォンを業務で利用する際は、事前に上司やシステム管理部門の許可を得た上で、スマートフォンの利用に関する規定やガイドラインに従って利用しましょう。もし、利用規定がない場合は、上司や先輩にスマートフォンを利用することを報告し、利用方法や注意点についてきちんと確認した上で利用するようにしましょう。
(9)SNSの利用や書き込み
業務時間内に業務と関係のないブログの書き込みを行うことは禁止されている場合が多いと思いますが、業務時間外であっても、仕事の内容や取引先に関する情報をブログやTwitter や Facebook などの SNS で公開することは控えましょう。SNS もユーザー数が数十万、数百万という単位になれば、もはや不特定多数の者が見ている公開サイトと同じものだという認識が必要です。ブログや SNS などに業務その他の企業活動に関する話が投稿されていると、その企業の情報管理の在り方が問われることにもなります。また、それらの情報を第三者が閲覧して、不正な目的(なりすましメールの送付等)のために利用する可能性があります。同様に、スマートフォンのカメラでむやみに社内を撮影したり、その写真を SNS に掲載したりしないようにしましょう。撮影者が気付いていないところで、撮影してはいけない機密事項が写っているかもしれません。
(10)外出先での会話
情報漏えいは、ウィルスやPCの紛失だけで起きるわけではありません。外出先での何気ない会話が取引先に聞かれていた、顧客との打ち合わせの後、打ち合わせが終わった開放感からエレベーターの中で口をついた軽口が顧客の同僚に聞かれていて顧客に伝わってしまうなど、人を介した情報漏えいも多く発生します。
自社の情報が漏えいしてしまえば取引が不利になりますし、顧客の情報を漏らしてしまえば顧客から信頼を失い、長期にわたってビジネスに影響をもたらしかねません。外出先での会話には注意しましょう。
基本的には外出中は常に情報漏えいに注意すべきですが、特に不特定多数が周りにいる場所(電車、バス、駅、空港、喫茶店、レストランなど)、顧客の関係者が多数いる可能性が高い場所(顧客のオフィス内、顧客のオフィス近辺の飲食店など)では特に要注意です。
自社オフィスが共用ビルの場合は共用箇所の会話も注意が必要です。特に喫煙コーナーではついつい機密情報や同僚の話を口にしたくなりますが、そこはしっかりと我慢しましょう。「壁に耳あり、障子に目あり」ということわざがあるとおり、外出先でのビジネスの会話は注意することに越したことはありません。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556