IPAが情報流出した職員を停職3か月
幸松です。
先日、職員の私物PCからWinnyやShare経由のP2Pファイルで情報を流出させてしまったIPAから、当該職員を停職3ヶ月とし、再発防止に向けた「情報流出対策本部」を設置した旨が発表されています。
停職の3ヶ月という期間が長いか短いかは私には判断出来ませんが、今回の流出事件はIPAという、ある意味セキュリティの総本山のようなところで起こったという事もありますが、情報流出だけでなく、該当職員がかな漢字変換ソフト(ATOK?)や児童ポルノ画像をダウンロードしていたことも非常に問題だと思います。
また、対策防止策として職員の私物PCのおけるファイル交換ソフトの利用禁止とした処置についても個人的には「う~~ん」と思ってしまいます。
そもそもIPAの職員でありながらファイル交換ソフトを入れているPCに職務データを入れている事に対する認識が不十分だったことが一番の原因だと思います。
IPAの職員という事を鑑みたら、一人一人でファイル交換ソフトのインストールについては自己判断をすれば良いと思いますが、組織として私物PCへのインストール禁止というのはどうかと思います。
多くの企業で、Winny等で事件が起これば「私物でも禁止」としているところが多いですが、そもそも私物PCで仕事をしているという状況を何とかすべきではないでしょうか。
Winny系の事件があるたびに、まるでWinny自体が違法のように語られていますが問題の本質はそこではないと思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
FAX機の使い方知ってますか?
幸松です。
株式会社WOWWOWが、年末に業務連絡の過程でFAXの誤送信のため、個人情報を流出させてしまったようです。
「FAXの誤送信」という言葉だけですとケアレスミスなんだな。と判断してしまいがちですが
御社の社員の方は
「FAX機の使用方法を知っていますか?」
何をいまさらと思うかも知れませんが意外と若い社員の方はFAX機の使い方を知らない人が多いです。特に日頃メールを利用して情報をやりとりしているIT業界の若い人はFAX機を使ってFAXを送信するという行動をとることが日常業務では存在しません。
私も以前、ISO27001の審査の時に、その会社の若手(入社3年以内)の方に「FAXの送り方知ってますか?」と聞いたところある意味予想通りだったのですが、5割以上の方が「わからない」とのことでした。
上司の方は本当にビックリしていましたが、そんなもんなんです(苦笑)。
「FAXの送り方は知っていて当たり前」と思われている方(特に、30歳以上の人)が多いですが、そんな事はないですよ。
私も初めてFAXを使ったのは入社2年目の時でした。印字された面を上向けるのか下向けるのかで迷ったのを覚えています^^;
新人研修の時に電話応対だけでなく、FAX機の使い方等も教えるのをお勧めします。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2008年の脅威傾向[新規感染Webサイトは1日20,000件発生]
幸松です。
法人向けセキュリティ・アンド・コントロールソリューション会社のソフォス株式会社より、2008年(1月~11月)までの脅威傾向を取りまとめた「ソフォス セキュリティ脅威レポート 2009」が発表されたようです。
2008年の主な脅威傾向として以下の点が記載されています。
新規感染Webサイトが4.5秒毎に1件の割合で発生しているというのが、正直驚きました。
前年に比べて3倍に増えているようです。
Webが発達していって便利な世の中になっていってるのですが比例して悪意のあるWebサイトも増えていってますね。
ただ、特別に新しい対策が必要ということはないと思います。
それぞれのPCにウィルス対策ソフトやパーソナルファイアウォール等の設定、各ソフトのセキュリティパッチの適用などを確実に行うことが一番だと思います。
当り前のことを当たり前に実行する。
それだけで多くの脅威に対応することが可能です。
ちなみにソフォスレポートは、現在は英語版でのダウンロードは可能となっていますが、日本語版は2009年1月よりダウンロード可能のようです。
(私は、来月に日本語版をダウンロード予定!! 英語は・・・・)
[参考サイト]
ソフォス、2008年の脅威傾向をまとめたセキュリティ脅威レポートを発表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
IPA:漏れたら大変!個人情報
幸松です。
今週で仕事納めの会社も多いと思いますが、年末の大掃除と同様にこの時期に会社で所持している個人情報の棚卸をしてみるのも良いのでないでしょうか。
既に利用が終了していて保管の必要性がない個人情報については廃棄することも検討してみてはどうでしょうか。
今年は正月休みが1週間以上ある会社もあると思いますが、システム管理者にとっては長期休暇というのはPCのウィルス感染という心配事がありますね。
新年早々にウィルスに感染して個人情報漏洩!! という事などはないように一人一人が気をつけましょう。
[参考サイト]
IPA:漏れたら大変!個人情報
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報の廃棄時には廃棄証明をもらいましょう
幸松です。
今日の日経産業新聞1面に「中古PCに情報消去証明」という記事が出ていました。
企業や個人が使用済PCを業者に売る場合は多いと思いますが、その時に不安になるのが「情報漏えい」だと思います。
実際に、中古PCからの情報漏えいしたケースも何回かあります。
PCをはじめ携帯電話やPDA等の情報を保持したデジタル機器の廃棄時には
必ずデータを削除することを徹底する事が大事になってきます。
業者にデータの削除を依頼する場合には、廃棄証明(マニフェスト伝票)をしっかりもらうようにしましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
幸松です。
ITmedieの記事によると、米のVerizon Businessが、企業がデータ漏えいに関し抱える課題を検証して、業種ごとの所見を公開したようです。
そこで各業種に関する所見が以下のように出ています(ITmediaにより一部編集しているようです)。
金融サービス
分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。
ハイテクサービス
様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。
小売業
分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品/飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。
食品/飲料
大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア(不正ソフトウェア)を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。
ハイテクサービス(ITサービス等)では、内部要因による問題が多いが食品業界では外的要因が多いなど同じデータ漏洩というセキュリティの事故(インシデント)に対してでも全然要因が異なってますね。
これは「意外」とは全く思えません。
私自信、多くの企業様の情報セキュリティに携わってきて、やはり業種業態により大きく捉えての「特徴」というものがある事を認識しておりますので、「そうだよね」と納得できる内容です。
業種や業態、または規模によってセキュリティの対策は変わってきますので、画一的なテンプレートでは対応がなかなか上手くいかないのは当たり前のことです。
ITmedia:2億3000万件の被害レコードに基づきデータ漏えいの課題を公表
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
明日解雇されるなら機密情報を持ち出す
幸松です。
ITProの記事で、アメリカのCyber-Ark Softwareが行った企業のIT管理者300人を対象とした意識調査の結果を発表しました。
その結果によると、回答者の88%は「明日解雇されるとしたら、会社の機密情報を持ち出す」のようです。
88%と言うのは、正直ビックリしました。「ほとんどのIT管理者が機密情報を持ち出す」という結果ですよね!!
もちろん、アメリカと日本で異なる点も多々あると思いますが、経営者の方は、日本でも同様のリスクを考慮しておかなければならないでしょう。
記事によると、IT管理者の持ち出そうと考えている情報は以下のようです。
IT管理者が持ち出そうと考えている情報は,最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなどが含まれる。「会社の情報を持ち出す」と答えた88%のうち約3分の1は,このパスワード・リストを持っていくとしている。
管理者権限のある人のこういった行動に対してはなかなか防ぐのが難しいですね。
ただ一人の管理者に全ての権限を集中するのではなく、複数人でお互いが牽制できるようにする等の対策を行っていくことが必要となってくると思います。
また、セキュリティ面からだけでなく、日頃から円満な労使関係を築いておくことも重要になってきます。
[参考ページ]
ITPro:大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」–米調査
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
社外で話すことでのリスク
幸松です。
最近、たまたまですが複数のお客様先で「公衆の場での会話」について話題になったので「社外での会話」について書いてみたいと思います。
たまにビジネス街のカフェでまったりとしていると近所の会社の社員の方が何名かで休憩で来る時があります。
そういった時に、「社名」や「個人名」「案件名」等を実名で話されている方がたまにおられます。
私はそういった時は、ついつい「聴いてしまう」タイプです(笑)。
会話の内容から「どこの会社のどんな役割の人なのか?」とかを想像して楽しんでたりしますが、内容によっては「おいおい、そんなディープな内容を外で言うか?」という時もあります。
どこで聞いてる人がいるかわかりませんよ。
私の聞いた実例として、電車の中でお客様の話(ちょっと愚痴が入ってる)をしていた方がいたのですが、たまたま、本当に偶然なのですが、電車の隣にお客様企業の取締役の方が乗っていたようで、後から非常にクレームを頂いたとのことです。
上記の事例は本当に極端な事例ですが、どこで誰が聞いているか分かりません。また、関係者の方がどこにいるのかもわかりません。
外で仕事の話をする時には出来るだけ実名を出さないように注意していきましょう。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
バッファローからセキュリティ重視のUSBメモリが発売
幸松です。
バッファローから、全てのデータを自動的に暗号化してフラッシュメモリに保存する、セキュリティ重視のUSBメモリが発売されました。
USBメモリの利用方法については、ISO27001/ISMSやプライバシーマークに取り組んでいる企業で「ルール」と「実運用」との間で苦戦されているのが多いケースです。
ルール上は「利用禁止」だけど、実際には「使っている」というケースです。
ルールで「利用禁止」としてしまうと、それ以降の取扱いルールとかはもちろん決めていきません(だって、禁止ですから^^;)。
でも、現場は「いやいや、使わないと仕事にならないよ」という事で「取扱ルールがない状態で」利用してしまう事がよくありますね。
そもそも会社側が利用禁止にする一番の理由は、「情報漏洩」を防ぐためというのは一番多いと思います。
そういった会社に対しては、今回のような自動的に暗号化をしてくれて、書き出しする時にも登録PCのみというUSBフラッシュメモリは一つの方法となるでしょう。
値段も結構手頃な値段ですしね。
BUFFALO:セキュリティソフトのインストール不要で、全てのデータを自動的に暗号化して保存するUSBメモリにお求めになりやすいモデルをラインアップ
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
情報流出の9割は防止できた
幸松です。
ITmediaの記事で、米Verizon Businessが発表した企業の情報流出事件に関する実態調査報告書に関しての記事がありました。
ITmedia:「情報流出の9割は防止できた」――Verizonが実態調査
その結果、情報流出の73%は外部から、18%が内部から発生していることが判明。特にビジネスパートナーが絡む流出が急増して39%に上った。
やはり、外部委託先からの流出というのは日本だけでなく海外でも数多く起っているのですね。委託先(ビジネスパートナー)を選ぶ時には、相手先がしっかとして情報管理を行っているのかを確認しなければ後でとんでもない目にあるかもしれないというのを企業はしっかりと認識すべき時代に突入してますね。
情報が流出した企業のうち59%はセキュリティポリシーと手順を定めておきながら実行していなかったなど、企業側の態勢にも問題があることが判明している。
約6割の企業が「ルールはありましたが・・・」状態になっていたということですね。やはり大事なのは「実行力」、決定したルールを従業員の一人一人に浸透させるのがいかに大事なことであるのかと言う事がわかりますね。
社内ルールは作成している企業が増えてきていますが、現場まで浸透しているのかを一度確認してみるのも大事です。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから