情報を取扱うのは「人」である
幸松です。
日立システム様の情報セキュリティブログで「USBメモリの安全な取扱いについて」という記事が公開されていました。
USBメモリの安全な取扱いについて個人の対策についてと企業の対策についてと分けて記述されており基本的な事柄なんで非常に参考になると思います。
また、最終的には従業員のセキュリティ意識の向上が組織の情報セキュリティにとっては非常に重要な事が改めて強調されています。
私も先日、情報セキュリティのセミナーをさせていただく機会があったのですが、同じことを強調しました。
いくらシステム面でがんじがらめにしばっても最後は「人」です。
ルール外のことが起こった時に、適切に対応が取れるかどうかは従業員の意識にかかってきます。
システムはあくまでも「ツール」であり、会社の規則もあくまでも「ルール」です。
それらを運用するのは、当り前ですが「人」です。
情報を取扱うのは「人」であることを認識して、ISO27001/ISMSやプライバシーマーク等の仕組み作りに取りかかりましょう。
[参考ページ]日立システム情報セキュリティブログ:USBメモリの安全な取扱いについて
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
USBメモリ色々
幸松です。
最近ではUSBメモリの利用を禁止している会社が増えてきましたが、色々と特徴のあるUSBメモリが続々と発売されています。
まず、私も利用しているカード型のUSBメモリですが、カード型の良いところは財布等に入れて持ち運べることですね。鞄のポケットやジャケットのポケットに入れていると、どうしても紛失の可能性が高くなるような気がしますしね。
[ITmedia]32Gバイトを名刺入れに“収納” 薄さ3ミリのカード型USBメモリ
32Gなんですね。私が使用しているのは数年前に購入したもので2Gです。
当時は2Gでも大容量だったのですが(苦笑)
次に、防水タイプのUSBメモリも発売されています。
どこにでもUSBメモリを持ち歩くという人には便利なアイテムだと思います。もちろん、どこにでも持ち歩くメモリに会社の機密情報等は絶対に保管するのはNGですが、写真データ等を持ち歩いている人にとっては重宝すると思います。
[ITmedia]Netbookにも――「洗濯しても大丈夫」なUSBメモリに64Gバイト版
こちらも大容量の64Gですね。すごいですね!!
メモリの価格もだいぶ下がってきているのが実感できます。
最後に、リーズナブルに6000円で16GのUSBメモリです。1万円以下で16G・・・・・・・
[ITmedia]アイ・オー、6000円で16GバイトのUSBメモリ
私が初めて買ったPCのHDD容量は2Gでした。
遠い昔のようですが、まだ10数年前のことなんですが・・・・
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
指紋認証に辛い季節?
幸松です。
最近は指紋認証機能が付いた製品が多く出てきましたね。
代表的なものに携帯電話やUSBメモリがあります。PCの起動時に指紋認証をしていることもあります。
少し前よりかは指紋認証の精度はかなり向上していますが、冬の乾燥する時期はやはり大変なようです。
私もそうなのですが、「手荒れ」のために指紋認証で認識できない場合が増えてくるシーズン(?)です。
ちなみに私は携帯電話で指紋認証機能を使っているのですが、手荒れが激しい時期には10数回チャレンジしてやっと認証されるという事がザラでした(苦笑)。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IPA:ウイルス感染の危険と隣り合わせの状況を知ろう!
幸松です。
IPAから「コンピュータウイルス・不正アクセスの届出状況[12月分および2008年年間]について」が公表されています。
2008年のウィルスの傾向として以下の3点が挙げられています。
1.PDF ファイルや Word ファイルでも感染
2.有名な企業や組織のウェブサイトが改ざんされ、それを見ただけでウイルス感染
3.USB メモリを介してパソコンにウイルス感染
このブログでも以前に述べていますが、昨年はUSBメモリを介したウィルス感染が本当に多くなったようです。
幸いにもLRMのクライアント様ではウィルス感染の報告はありませんが、もちろん、LRMもありませんが^^
段々とウィルス感染の手口も多岐に渡って、また、巧妙になってきてますね。
対策としてはIPAのページにも書かれていますが、基本的なことがら(ウィルス対策ソフトやセキュリティパッチの更新等)をしっかりとすることです。
こういった活動をしているIPAでも、職員の私物PCのウィルス感染から情報流出が起こっています。
今週から業務を開始している会社が多いと思いますが、ウィルス対策ソフトの定義ファイルが最新版になっているか等の確認をお勧めします。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2008年の脅威傾向[新規感染Webサイトは1日20,000件発生]
幸松です。
法人向けセキュリティ・アンド・コントロールソリューション会社のソフォス株式会社より、2008年(1月~11月)までの脅威傾向を取りまとめた「ソフォス セキュリティ脅威レポート 2009」が発表されたようです。
2008年の主な脅威傾向として以下の点が記載されています。
新規感染Webサイトが4.5秒毎に1件の割合で発生しているというのが、正直驚きました。
前年に比べて3倍に増えているようです。
Webが発達していって便利な世の中になっていってるのですが比例して悪意のあるWebサイトも増えていってますね。
ただ、特別に新しい対策が必要ということはないと思います。
それぞれのPCにウィルス対策ソフトやパーソナルファイアウォール等の設定、各ソフトのセキュリティパッチの適用などを確実に行うことが一番だと思います。
当り前のことを当たり前に実行する。
それだけで多くの脅威に対応することが可能です。
ちなみにソフォスレポートは、現在は英語版でのダウンロードは可能となっていますが、日本語版は2009年1月よりダウンロード可能のようです。
(私は、来月に日本語版をダウンロード予定!! 英語は・・・・)
[参考サイト]
ソフォス、2008年の脅威傾向をまとめたセキュリティ脅威レポートを発表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IIJがインターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
幸松です。
IIJ(株式会社インターネットイニシアティブ)より「Internet Infrastructure Review」という技術レポートが創刊されました。
このレポートはPDFでもダウンロード可能ですし、冊子として定期的に配送してもらうことも可能です。
インターネットの基盤技術に関する最新の技術動向や、セキュリティ情報を配信してようですのでセキュリティ担当の方やシステム担当、ISO27001の担当者の方は読んでおいて損はないと思います。
弊社でも購読申込みをしております。
IIJのような技術力のある会社からこういったレポートが無償で出されるのは非常に嬉しいですね。
インターネットの基盤技術もセキュリティ技術も日々進化していってますので
なかなかウォッチングするのも難しいですが、冊子で送ってきてくれると
ある意味、外部から強制的に情報を仕入れる事が出来ますので
忙しい方には、よりお勧めだと思います。
[参考サイト]
IIJ:Internet Infrastructure Review(定期発行技術レポート)
ITmedia:インターネットセキュリティの傾向と対策を発信する技術レポート誌を創刊
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
プライバシーマークでも携帯電話の規定は必須なのか?
幸松です。
先日、プライバシーマークの2006年版への更新対応を支援させて頂いているお客様との打ち合わせで携帯電話に関する社内規程を検討してきました。
そのお客様は、プライバシーマークの現地審査で「社内での携帯電話の扱いに関する規定がない」と指摘を受けてしまいました。
確かに、最近では携帯電話の紛失事故や、携帯電話の紛失事故から情報の漏えい事件に繋がることもよく聞きます。
対応はしないよりかはした方が良いでしょう。
しかしです。携帯電話はまだまだ会社支給ではなく私物を使っている人の割合が高いです。
その際に会社側が社内規定として求められる内容は非常に限られていています。
そこの部分でお客様とは結構深い議論を重ねました。
経営者は「出来るだけルール化したい」、従業員は「私物なので、ルール化されたくない」という思いがありますので、その両者の思いと、セキュリティ、業務効率等を考えて、そこの会社の今のベストな案を「現状の規定」として制定していきます。
あくまでも「現状のベストな案」としての規定です。
出来もしない「理想案」を規定して、絵に描いた餅になってもダメですし、現状のままで「セキュリティのリスクを抱えたまま」の規定でもNGです。
少しでもお客様のセキュリティレベルや業務品質が向上できるような規定になるように提案していきます。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
ミニPCに最適なセキュリティソフト
幸松です。
パソコン雑誌等では1年のうち必ず1回は見かける、セキュリティソフトの比較がITmdiaでされています。
今回は「ミニPC」に最適なセキュリティソフトということで、ミニPCに特化している特集です。
前に読んだ雑誌ではミニPCとは、一般的にディスプレイのサイズが10インチ以下のPCを指すと記載されていたと記憶しています(斜め読みだったので、間違っていたらごめんなさい)。
そういったモバイルに特化したセカンドPC的な位置付のPCに対してのセキュイティソフトを以下の6つから比較しています。
* ノートン・インターネットセキュリティ2008
* マカフィー・トータルプロテクション with サイトアドバイザプラス
* ウイルスバスター2008
* カスペルスキーインターネットセキュリティ7.0
* G DATA TotalCare
* ESET Smart Security
上記4つのソフトは既に「定番」と言われてるソフトですね。特にノートン、マカフィー、ウィルスバスターの3つは御三家的な位置付でセキュリティソフトの大定番となっているソフトです。
今回はそれら以外にも検索エンジンを2つ搭載するG DATA TotalCareや、キヤノンITソリューションズから出ているESET Smart Securityも選ばれています。
ミニPCの購入を考えられている方は、一度参考として見てみるのも悪くないと思います。
[参考ページ]
ITmedia:初心者向けから上級者用まで、使いやすいセキュリティソフトはどれ?
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
ウイルス対策ソフトの決め手はお値段?
幸松です。
皆さんは会社や自宅のPCにウィルス対策ソフト(ワクチンソフトと言われたり、呼び名は色々あります)をインストールして、定義ファイルをしっかりと更新していますか?
ITmediaの記事によると、ウィルス対策ソフトの導入状況は以下のようであるようです。
ウイルス対策ソフト導入状況は、「無料版製品」が31.1%で最多となった。次いで、「本年度版のダウンロード製品」(26.4%)「本年度版のパッケージ製品」(19.8%)「PC購入時のバンドル製品」(15.0%)となった。一方、「未導入」の回答が7.0%あった。
■PC導入時のバンドル製品
バンドル製品を使い続けてる方は私の周りでも多くいます。バンドル製品の場合に気を付けて頂きたいので、「更新」をしっかりすることです。
バンドル製品はある一定期間(1年未満の場合が多いです)しか、定義ファイルの更新が出来ません。その後は更新の手続きをしなければなりません(要は、お金を払わないとダメです)。
それを知らずに、PCを買った時にウィルス対策ソフトは入ってたから大丈夫だよと思ってる人が何名かおりました。
しっかりと更新の手続きをしましょう。
■未導入
7%という数字は私は非常に大きいと思います。
%だけで見ると少ないと思ってしまう数字かも分かりませんが、台数で出すとかなりの台数のPCがウィルス対策ソフトを未導入ということになります。
ネットに接続しているPCは必ずウィルス対策をして下さい。
KINGSOFTのインターネットセキュリティUのように無料で使用できる製品もあります。
個人利用の方でしたらインターネットセキュリティU以外でもAVGの Anti-Virus FreeEdition等のソフトも無料で利用できます。
[参考ページ]
ITmedia:ウイルス対策ソフトの決め手はお値段? アイシェアが調査
KINGSOFT:インターネットセキュリティU
AVG:AVG Anti-Virus Free Edition 8.0
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから