組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編⑤

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.火消しはしづらい世の中になりましたね

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、私の性格は限りなく白に近い灰色、埼玉県出身・森田昇です。はい、第1位様です。

3連覇達成なのにあまり話題にならないのは、あの結婚宣言のせいですねぇ。
まぁその結婚宣言も、その後の「このハゲー!」やら「訃報」やらで、世間一般的にはニュースソースとしての価値がなくなってきたのかもしれません。

ワイドショーはそっちばかりですし。
とはいえですよ、所謂その界隈ではまだまだ火はついたまま、炎上したままなのです。

昔と違ってあらゆる情報を共有でき、またSNSの発達で誰でも自分の意見を発信できる世の中ですから、一度炎上した案件はなかなか鎮火されないですよね。
ということで、BtoB業態の中小企業の経営者層が炎上に巻き込まれないよう、これからも情報セキュリティにかこつけて情報管理の大切さと、万が一の情報漏えい時の対策に役立つコンテンツを数多くご提供していこうと思います。

あ、情報漏えい時の対策といえば、つい最近メルカリから個人情報が流出してしまいましたね。
5万人以上の個人情報が漏えいした可能性があるとのことでしたが、問題が発覚してからの対応が早くて好感が持てましたね。

特にいいなぁと思った点が、時系列で問題発生から対策完了まで一気にすべて発表していること、件数や情報を詳細に開示していること、原因も客観的に説明していること、です。
これだけの情報量を一気に開示、格好いい。過去の炎上案件は、情報を小出しにすることで火に油を注いでいくスタイルなのか?みたいなツッコミどころ満載のプレスリリースやマスコミ発表を、とにかく段階的に、でしたからねぇ。
私、企業にとってマイナスなニュースを鎮火というか、炎上させないためには下記の3点が必要だと思うのです。
曰く、

1.とにもかくにも素早い対応!その時点での情報はすべてご開帳!

2.判明している情報は隠さず開示!というかそれ以上のポロリもありで!

3.そこまでやるの?と顧客が引くくらいの再発防止策の提示! キャー!何見せてるのよこの変態!


と、婦女子に罵られるような文面でいきなり〆な感じになってしまいましたが、炎上防止に少しでも役立てれば、と。
燃える前に鎮火、大事。火がつかないのが一番ですけど、情報セキュリティって必ず1度は失敗しますから、そのダメージをぜひ最小限に。
って、失敗は必然、と言っちゃまずいですね専門家なのに。はぃ。これらの発言、炎上しないよね?



2.今回のテーマは?

それでは、本題のコンテンツについてです。
新連載第5回目のテーマは、まだ終わらんよ「情報セキュリティ 10大脅威 2017 (2)組織編⑤」です。

シリーズものとして、今週もまた「情報セキュリティ 10大脅威」からですよ。
メルカリの個人情報漏えいもYahoo!トップを飾りましたからねぇ。

いつか自分の名前が犯罪以外でYahoo!トップに載らないかしら?と妄想していますが、まずはSEO対策しなくてもこれらの記事がYahoo!検索トップに表示されるよう、良質な記事をどんどん提供していきますよ!
おれたちの戦いはこれからだ!あ、第1回目と同じく資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編⑤として、内部不正による情報漏えいとそれに伴う業務停止についてはお話できればと思います。
順位でいう第5位ですね。

外部攻撃ならまだあきらめというか致し方なしと思えますけど、内部不正による情報漏えいはちょっとかなり絶対に不快、というか悲しくなりますからね。
しっかり対策していきましょう!あ、ついでに内部通報制度もどこかの役所と違いしっかり運用していきましょう!と時事ネタをしっかりフォロー。

組織編

3.「内部不正による情報漏えいとそれに伴う業務停止」とは?


組織内部の職員や元職員による、情報の不正な持ち出しなどの不正行為が起きています。不正に持ち出した情報の紛失により、情報漏えいにつながるケースがあります。

内部不正を防ぐには、制約や罰則を設けるといった管理的な対策に加えて、PCやネットワーク、ファイルなどに適切なアクセス権限の設定やログの収集・管理などの技術的な対策を取り、不正行為を防止するとともに、検知と追求が可能な環境であることを職員に周知する必要があります。
よくニュースになるのは、名簿業者に個人情報を売るために従業員・職員が故意に内部情報を持ち出して大問題、ですね。

その他には、社内規則を守らずに自宅で業務したいとデータを持ち出したら、自宅PCがウィルス感染して流出、などもよくあるインシデント発生案件ですね。
P2Pソフトで流出、もよくありました。そうそう、会社のノートPCを入れた鞄を電車の網棚に忘れた、は以前私の勤めていた会社でもありましたよ昔。

それ以来、会社のPCのセキュリティが劇的に厳しくなりましてね、PCはすべて机にチェーンロック、USB差込口は物理閉鎖、借りるUSBは指紋認証でノートPCは暗号化ツールで内部HDD暗号済、みたいな感じに。
まぁ紛失には悪意ないので内部不正ではありませんが、企業や組織の信用が失墜して場合によっては補償や賠償まで求められますから、内部不正と同様に怖いですねぇ。



4.では、対策はどのように?


ここではですね、やはり何で内部不正が起きてしまうのか、その原因を考えないといけないですよね。
IPA曰く、

組織一丸の推進体制



えぇ、会社組織として原因をしっかり分析して、積極的に対策を考えないと!です。
発生原因とその対策は、主に以下の3点。


1.職場環境や処遇の不満

業務の不満・給料の不満・評価の不満からの復讐や、個人的な利益の享受、というのが最大の原因ですね。
これを防ぐには、気持ちよくお仕事できる環境をあらゆる面で整備するインターナルマーケティングが一番なのでしょうけど、取り敢えずは情報取扱ポリシー作成と周知徹底、機密保護の誓約書ですね。
文面で悩んだらぜひ専門家へ!ここにもいますよ!

2.アクセス権限の不適切な付与

必要以上にアクセス権限が付与されていると、つい色々な機密ファイルを覗きたくなる、という人間の探究心が最大の原因ですね。
これを防ぐには、アカウントやアクセス権限の管理、暗号化などが一番なのでしょうけど、取り敢えずは秘密情報の把握と体制の整備からやっていきましょう。
現状把握で悩んだらぜひ専門家へ!ここにも!


3.システム操作記録と監視の未実施


ログ取ってないから、不正アクセスに気づかないだろうヒヒヒ、と高をくくって様々なサーバなどの社内PCや社外WEBサイトにアクセスしたくなる、という人間の心の弱さが最大の原因ですね。
これを防ぐには、システムの捜査記録の取得や監視などが一番なのでしょうけど、取り敢えずはログ取得からやっていきましょう。
社内でアダルトサイトを閲覧されるのに悩んでいたらぜひ専門家へ!じゃないか。てへペロ。

とまぁ、IPAの資料を基に、原因とその対策を3案提示しましたけど。
実は、真の対策って一つだけだと思うのです私。
つまり、

情報セキュリティの教育を実施すること!

何度も何度も教育を行って、従業員の方々に自覚を芽生えさせる、です。
最低でも年に1回は実施することをオススメします。何でしたら、この連載を社員全員に読ませて頂ければ、とも思い。
情報セキュリティの教育のためです!と言われたら著作権放棄しますよ喜んで!ぜひ印刷しちゃってください。

本サイトのアクセス数も増加して本原稿の依頼者も喜ぶ、まさにWIN-WIN。そして私も嬉しいと三方良し、であります。
ん?著作権は本原稿の依頼者に帰属なのかな?まぁいいや。

退職するときに顧客情報を持っていく、ダメ絶対と思いつつ、誓約書は書いているのでしょうけど、やはり自覚を持たせるのが遠回りのようで一番の近道なのですよと教育を諭しつつ、
次回も引き続き組織編について実例をもとに説明していこうと思います。
ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、宝塚記念のサトノクラウン、完勝でしたね。
やや時計のかかる馬場、キタサンブラックという目標がすぐ隣に、皆勝ちに行ったからハイペースで前崩れ、と好走条件がかなり揃ったとはいえ、もともとヨーロッパで現在一番強いと言われているハイランドリールに香港で勝った実力馬ですからね、
その実力を余すところなく見せつけた強い勝ち方でした。

前走の大阪杯では調整失敗した、と陣営も認めていましたからね。実力を発揮できる状態と環境であれば相当強い、と。
それに距離が2,200mと伸びたのが良かったかと。もはや2,000mでは短いみたいですね。

うん、大阪杯の惨敗は気にしなくて良かった、という結論でした。今後はどこに向かうのか未定らしいですが、好走条件さえ揃えば海外遠征でも十分やれるのは香港で証明していますから、とても楽しみです。
しかしレースは大変面白かったですね。騎手の皆さん今までキタサンブラックに楽に先手を取られてペース握られてきた反省をしたのですかね?というまさかの逃げ馬番手の馬。
しかもペースが緩む地点で先行馬を突っつくデムーロの好騎乗!あれで加速ラップになって前が壊滅する要因になりましたからね。

いやぁ各騎手が勝ちに行く競馬って本当、色んな意味でドキドキして面白い!
ちなみに馬券はキタサンブラックから無抵抗に終わりました。

やはり天皇賞(春)の疲れだよなぁ、先手取れなかったし、引っ掛かるし、直線であんなに沈むのだから故障を心配しちゃいましたよ。
無事で良かった…。海外遠征はなくなったみたいですが、まだ勝ってない天皇賞(秋)と有馬記念目指しそうですから、それはそれで面白いぞ、と前向きな総括にて春競馬これにて終了。致し方なし。






関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ