NISC(内閣官房内閣サイバーセキュリティセンター)がサイバーセキュリティ普及啓発を目的に、「みんなで使おう サイバーセキュリティ・ポータルサイト」を公開しています。
サイトにある情報の1つに
”インターネットの安全・安心ハンドブックVer 5.00<中小組織向け抜粋版>”
があります。詳細は以下のリンクです(PDFファイルです)
全部で62ページのPDFから、特に重要な部分を抜き出しました。
本記事を読めば5分ほどでキモとなる部分を把握できます。
忙しい中小企業の方向けに全体の把握をさらりと実施したあとで、
企業活動を止めないための策について思い浮かべることができればうれしいです。
- 「最低限実施すべきサイバーセキュリティ対策を理解しよう」概要
- 「パスワードを守ろう、パスワードで守ろう」(P24)
- 「社内・社外のセキュリティを向上しよう」(P32)
- 「災害時の会社のために事業継続計画を作ろう」(P34)
- 「テレワークとアウトソーシングをうまく利用しよう」(P36)
- 「ファイルの共有設定や情報の公開範囲を見直そう」(P38)
- 「企業が気を付けたいサイバー攻撃を知り、情報収集に心がけよう」(P40)
- 「企業が気を付けたい乗っ取りのリスクを理解しよう」(P42)
- 「企業が気を付けたいサイバー攻撃の具体例を知ろう」(P44)
- 「取引先の監督を徹底しよう」(P51)
- ハンドブック巻末の付録資料も充実(P52)
- まとめ
「最低限実施すべきサイバーセキュリティ対策を理解しよう」概要
上記には、9つの対策を記載しています。
この9つは”サイバーセキュリティ対策9か条”として、NISCが「一般国民の誰もが最低限実施すべき対策」としてまとめたものです。
概要は上記資料に任せるとして、注意してほしいポイントをそれぞれ挙げたいと思います。
①OSやソフトウェアは常に最新の状態にしておこう
特にパソコンの基本ソフトと言われるOS(オペレーティングシステムの略です)は、機能の追加とあわせて不具合の修正も実施しています。
最近のOSは機能アップすることで、これまでできなかったことが簡単にできるツールが手に入るケースがあります。なので、積極的に最新化しましょう。
アプリが動かなくなるリスクもあることを知ろう
ただ、最新化することで動作しなくなるアプリケーションが存在します。
また、効率化のためにRPA(ロボティックプロセスオートメーションの略。ITツールで自動化できるツールです)を導入していると、見た目やレイアウトが変わって動かないケースもあります。
最新化によるデメリットも知りながら、最新化をしましょう。
②パスワードは長く複雑にして、他と使い回さないようにしよう
パスワードそのものを難しくして、たまたま入力したパスワードでログインできちゃうようなリスクを減らしましょう。
また、同じパスワードを複数のインターネットサイトで使うのは危険です。
1つが漏えいしてバレたら他のサイトにログインできます。
サイト毎に違うパスワードにしましょう。
デメリットとしては、複数のパスワードが増える程にわからなくなります。
こんなときはパスワードの記憶や記録をサポートしてくれるツールの活用を検討しましょう。
googleでの検索、chatGPTなどのAIに聞いてみましょう。
③多要素認証を利用しよう
「多要素認証」とは、2つ以上の手段を使い異なる手段でログインを複数回確認することです。
例えば、以下のようなものです。
既にあなたも使ったことがあるのではないでしょうか。
・IDとパスワード + スマホのショートメール送信される番号を入力
・IDとパスワード + Google Authenticator の6文字を入力
・ICカード + 指紋認証
IDとパスワードの情報が仮に盗まれても、本人しか持たないスマホのショートメールを持たない人は、認証ができないです。
不正な侵入を未然に抑止できます。
近年、手元のスマホは貴重な情報が詰まっている”玉手箱”のようになりつつあります。
盗まれないよう、置き忘れなどないよう大事に持ち歩きましょう。
④偽メールや偽サイトに騙されないように用心しよう
偽メールや偽サイトは、どうにかして利用者に開いてもらおうとします。
利用者に開いてもらいやすくする一例として、ハンドブックには
「驚くと人間は警戒心を忘れる」
を挙げています。震災などの被害の直後などに送られてくるメールには注意しましょう。
⑤メールの添付ファイルや本文中のリンクに注意しよう
送信者に覚えがないメールに添付されているファイルを安易にダブルクリックはやめましょう。
最近はメール本文にリンク先を記載してあり、それをクリックすると自動で別画面に遷移できるように工夫しているものもあります。
同様に送信者に覚えがない場合は、注意しましょう。
昔は、不審なメールは日本語に違和感があるので不審なメールと疑うことができました。
現在は翻訳機能の高度化やAIの活用により、日本語の使い方が上手な方とそん色ないレベルで不審なメール本文が作成できます。
文面の確からしさでの判断より、送信元メールの宛先に認識があるか否かで判断しましょう。
⑥スマホやPCの画面ロックを利用しよう
上記③でも挙げましたが紛失の際に画面ロックがかかっていると、中身の情報を盗まれたりクレジットカード用いた不正な買い物を防止できます。
操作する都度のロック解除は面倒ですよね。それは理解できますが、もし他者に見られたくないような情報を”玉手箱”たるスマホやパソコンに保存しているならば、ロックしましょう。
⑦大切な情報は失う前にバックアップ(複製)しよう
データは「Delete」キーを押せば消えてしまいます。
暗号化してしまうコンピュータウイルス(ランサムウエアと言われる種類のウイルス)により勝手に暗号化されてしまったら、プロに依頼しない限りはもう使えません。
万が一そうなってもいいように、バックアップを取得しましょう。
注意ポイントは、せっかくバックアップしたのに元に戻す(復元、といいます)ことができない場合があります。
そうなると元に戻せないのでバックアップファイルの存在意義がなくなります。
もとに戻す方法を事前に確認しましょう。
もしそのデータが大事なデータなのであれば、”元に戻す” 作業を訓練しましょう。
⑧外出先では紛失・盗難・のぞき見に注意しよう
紛失盗難への注意は当然ですが、のぞき見にも注意しましょう。
カメラの精度が良くなり高精度な写真が撮影できます。
遠くからの撮影も拡大すれば記載内容が明確に理解できるほどの高精度です。
のぞき見られたら困る情報は、社外で見るのは避けましょう。
⑨困ったときは1人で悩まず、まず相談しよう
上記①~⑧に書いてあることを実施しないのがいちばんなのですが、もし実施してしまった場合は「その場で作業を止めて、すぐ専門家に相談」しましょう。
企業であれば、担当部署にすぐに連絡しましょう。
そんな担当部署がなかったり、個人で周囲に詳しい人がいない場合は、ハンドブックに記載がある以下に相談しましょう。
なぜすぐに相談が必要なのでしょうか。
すぐに連絡できれば、すぐに専門家が動くことができます。
その結果、大きな被害にあわずに済みます。
動き出しが速いほどに対策に必要な時間は短くて済みます。
隠すと時間がどんどん経ってしまい大きな被害になってしまいます。
その被害の復旧のために時間とお金を使うのがいやならば、隠すより相談する勇気を持ちましょう。
「パスワードを守ろう、パスワードで守ろう」(P24)
パスワード、と聞いたらどんな文字を思い浮かべるでしょうか。
英字と数字と記号を組み合わせたxx桁の文字列、でしょうか。
ハンドブックには “3種類のパスワード” と層別して紹介しています。
1.PINコード
スマホのロック解除時や銀行のパスワードなど、通常4~6桁以上の数字だけで構成されることが多い
2.ログインパスワード
パソコンやWebサイトのログイン時に利用。冒頭のように複雑な文字を使う
3.暗号キー
ファイルや通信内容を暗号化/復号化するための暗号鍵として用いられる
(1)なぜ、PINコードはこんなに短くてシンプルでいいのか
間違えたときの厳しい制限とセットで不正利用できないようにしているためです。
スマホの「PINコード」の場合は、数回間違うと一定時間「PINコード」を入力できないようになります。
さらに「10回間違えば以降PINコード入力不可にする(ロック)」「場合によっては機器を初期化する(ワイプ)」ことで、簡単だからとすべてのパターンを試してみる不正操作(「総当たり攻撃」、と言います)を不可能にします。
さらに、厳しいキャッシュカードなどでは、3回間違うと以降カードが利用できなくなりますが、これも同じ考え方です。
(2)なぜ、暗号キーは3種類のパスワードの中でいちばん長くて複雑なのか
暗号キーは、ログインの認証のためではなく、暗号化されたものを解読(復号化、といいます)するために使われるので、単独で世界に1つである必要があるからです。
さらには、コンピュータなどで復号化を自動処理を試みたとしても非常に時間がかかるなど、悪意を持った人が「これはムリだ」とあきらめる程に時間がかかってしまうレベルに難しくある必要があります。
(3)パスワードを破る攻撃を知ろう
(1)で紹介した「総当たり攻撃」のほかにも、いくつか紹介されています。
アナログですが、確実にパスワードを知る方法は従来からある方法「盗み見」や「のぞき見」です。
・PINコードは複数回間違えたらロックがかかるような仕組みではなりますが、文字数
が少ないので盗み見されると、すぐに記憶できます。
・パスワードも通信を盗み見されて文字列がバレてしまうと、複数回間違うことなくロ
グインできてしまいます。
・暗号キーの文字自体は記憶は困難でしょうが、暗号キーのファイル自体を盗まれてし
まうと簡単に復号できます(家のカギを盗まれたら、その家に簡単に入ることができ
るようなものです。)
(4)パスワードを管理する方法4パターン
パスワードの保管方法として、以下の4種類とそのメリットデメリットをハンドブック内で紹介しています。
具体的な種類は、
・紙のノートに記録する
・スマホアプリを使う
・外付けHDDにバックアップ
・クラウドなど、別の記憶装置へバックアップ
それぞれのメリットデメリットが書いてあります。
大事なのが「データの管理者」が “クラウドなど、別の記憶装置へバックアップ” だけは本人とは限らない点です。
クラウドへのパスワードを記録したファイルを保管するのは、とても便利です。
しかし、クラウドのデータ管理は自分自身の手から離れてしまいます。
もし、コンピュータウイルスによる外部流出や、設定ミスにより全世界から参照できる状態になってしまうと全世界に拡散する可能性があります。
自らの重要なデータを他者の操作でバラまかれてしまう可能性を理解したうえで、それの防御できる策を講じてクラウドを利用しましょう。
「社内・社外のセキュリティを向上しよう」(P32)
個人的に好きになったパワーフレーズから始まります。
セキュリティ施策を実施して負のコストを発生させない
「負のコスト」とは何でしょう?
ハンドブックでは “お仕事で1円も稼げない” 利益を生まないコストと定義しています。
セキュリティの場合、何もしなくても業務が回るから後回しにしがち+備えをおろそかにしがち、
ではないでしょうか。
備えをしなかったために発生し、そのリカバリのために多大な労力やお金を割くことは、負のコストとなります。
具体例として
・ウイルス感染してしまい、その駆除のウイルススキャンに数時間要す
・ウイルス感染したマシンがサイバー攻撃に使われて、一日聴取された
・ウェブサイトが改ざん。そのリカバリやメンテナンスに数時間要す
・クラウドサーバからデータが流出。取引先に丸一日お詫び行脚 です。
負のコストがあるならば、正のコストもあります。
正のコストとしての紹介ではないですが、”業務を遂行する上で支払わなければいけないコスト”です。サイバーセキュリティは負のコストの発生を予期して備え、負のコストによる業績の下振れを抑止/または低減できる効果があります。
加えて、セキュリティ対策をすることでより生産性が高くなる働き方へのシフトを提案しています。
一例がリモートワークです。
セキュリティ対策を行い、リモートワークができる環境を整えることで、移動時間をお金を稼ぐ時間にシフトできます。
また、最近のクラウド環境を経由して提供されるサービスの多様化により、「社内でITシステムを持って自社メンバだけで保守運用しないといけない」ケースは減少傾向です。
総務省の令和2年版情報通信白書内のデータによると、クラウドサービスを一部でも利用している企業の割合は、年々増加傾向です。
令和2年の断面で6割を超える企業がクラウドサービスの利用経験あり。です。
さらに、ITシステムの保守運用を外部のプロに任せることで、自社メンバはお金を稼ぐ業務を行うことができます。
クラウド利用によるリスク対策は必要ですが、対策をしてクラウド活用し、自社には存在しないプロに任せましょう。
「災害時の会社のために事業継続計画を作ろう」(P34)
事業継続計画とは
「災害やサイバー攻撃など、自身がコントロールできないことで大きな被害にあったとしても、お金を稼ぐ業務をいかに早く再開できるかのプロセスをあらかじめ決めましょう」
です。
例えば大雨や大地震などで住んでいる地域や働く場所がいきなり停電したら、次はどう動きますか?
あらかじめ決めていないと、茫然としてその場に立ちすくんで、思いつくままに動いてしまうことになりかねません。
事前に決めていて、さらに訓練などでどう動くかを予め認知しておくことで、次のアクションがスムーズになります。
避難訓練が良例だと思います。
デジタルの環境では、クラウドに環境があることで災害に強い環境になると言われています。
物理的なシステムやサーバがある建物が停電になると、その仕組みは使えません。
しかし、クラウド上にあれば通信環境と手許で操作するパソコンがあれば継続できます。
便利な災害時のクラウド利用ですが、そのタイミングだからこそ注意すべき点を3点挙げています。
・不特定多数が使用しているパソコンは、攻撃者が触れている可能性もある。
IDやパスワードなどの重要な情報は入力しない
・災害時には、暗号化していない無線Wifiが各所で設置される。データの盗聴リスクがある
・業務で利用する個人端末が攻撃されたとき、個人の情報に加え企業の情報も漏えいする可能性がある
ガイドラインは「事業継続計画には人が不在になるケースを想定し計画立案しよう」提案しています。
システムの管理者のみが知る情報が多ければ多いほど、そのシステム管理者が来社できなかったりケガするなど不在となった場合のリスクが大きいです。
例えば、パスワードをシステム管理者しか知らない場合。大事なシステムにログインできないです。
対策として、重要な情報を1人ではなく複数が知る状態にすることを提案しています。
システムの管理者に加えて副管理者を任命し、複数人で大事な情報を知っておくことです。
本章の最後をガイドラインは以下のように締めくくっています。
すべては「想定外」にならない想像力がものをいいます
事業継続計画を立案する際、あらゆる条件を含めて作ろうとすると大変な労力が必要です。
まずは高リスクな災害やサイバー攻撃を対象に、事業継続計画を作成しましょう。
その際は「高リスクな災害やサイバー攻撃」と前提を置いて計画を立案しています。
大事なのは、無意識な前提を減らすことです。
前提を置いて検討することは全く悪いことではありません。
前提を置いたのか、無意識に結果論として前提をおいていたか、はプロセスが全く異なります。
前提を意識的における人は、想像ができている人です。
想像できずに思い込みでや解釈で立案した計画は、出来上がりが全く異なります。
無意識な前提が覆ったときに人は「想定外」の3文字を使います。
前提を置いている人は、その前提が覆ることは「想定内」にできます。
事業継続計画を立案する場合は「想定内」を増やす必要があります。
想定内を増やすには、定期的に計画を見直して前提を重ねていくことで実現します。
全てを最初から想定することは困難です。
時間をかけて、複数人で計画を見直しながら、計画はブラッシュアップされるのです。
「テレワークとアウトソーシングをうまく利用しよう」(P36)
この章では、BYOD(Bring Your Own Device:あなたが持つパソコンやスマートフォンを業務に利用すること)と、アウトソーシングについて説明しています。
(1)「私物の端末を社内のネットワークにつなぐ」BYOD。本当に大丈夫?
BYODのメリット・デメリットについて、ハンドブックには以下を挙げています。
メリット
・利用者は、使い慣れた端末を使い効率的に業務ができる
・企業は端末を購入配布する費用が削減できる
デメリット:
・端末に認証情報や業務情報が残る可能性
・利用者の利用端末のセキュリティ設定は、企業が準備する端末のそれと違うので、対応できていないことによる”穴”というか”スキ” ができる
過去「私物のパソコンを業務に使ってはいけない」と聞いた方も多いのではないでしょうか。
BYODはそれの正反対です。
私物のパソコンを業務に使いましょう、ですから。
BYODが普及したからといって、私物を利用することによるリスクは今も変わりません。
こっそり会社のデータを自身のパソコンに入れて持ち帰ったり、コンピュータウイルスを社内に持ち込んでしまうリスクは今も起こりえます。
ただ、技術の進歩がリスクを低減してくれています。例えば次の3例です。
1)仮想技術の進歩により、パソコン本体の中に小さなパソコン利用環境のようなものを準備できるようになりました。
小さなパソコンの中に接続できるルートは1つに絞り、それ以外からはデータを参照できないようにしたり操作できないようにしたりすることで、不正な操作やコンピュータウィルスからデータが漏えいするリスクを低減できています。
2)インターネットが安価かつ大容量のデータを無線で転送できるようになったことから、操作ログを端末だけでなくインターネット上に保管できるようになりました。
これにより不正な操作を行ったことを遠隔で気づける土台ができました。
更に、AIの進化により、”不審な操作をしていそうだ” の確率が高いと計算→警告になりました。
3)社内のネットワーク上で不審な通信を検知したら、警告を通知したり遮断したりする技術が発達しました。
これまでは端末1台ずつが自身のセキュリティを守る、な対策である程度は防御できていましたが、標的型攻撃やランサムウエアなどの新たな攻撃手法が広がるにつれ、それだけでは防御や検知が難しくなりました。
ウイルスを検知する際に有効な「パターンマッチング」と言われる、プログラムの中に似た文字列の並びを気づく方法では最新化が間に合わないほど、多様かつスピーディーに進化するようになりました。
ここでもAI技術の進化と組合わせて、不審な通信の確率を試算することができるようになりました。
BYODは、実際にやってみるとすごく便利です。リスクを正しく理解して使ってみましょう。
(2)インターネット利用前提のアウトソーシングには、チャンスがいっぱい
インターネットは世界中誰とでもつながっています。
つまり、世界中のプロと接する機会があります。
もし、あなたが苦手なことやできないことも、誰かにお願いすれば(=アウトソース)得意な人がすごく上手にアウトプットしてくれます。
もちろんタダではないですし、アウトプットの対価をお支払いする必要があるでしょう。
それでも苦手なことをイヤイヤやってミスして落ち込むよりは、精神的にもすごく有益です。
また地方在住の方にとって、インターネットがある世界でアウトソースを提供する側になることは非常に有益です。
都市部の単価が高額な仕事を地方にいながら受託できる可能性があるからです。
インターネットがなかった時代、都市部の仕事は現地訪問できる都市部周辺に在住する人々に限定されていました。
リモートワークの普及もあって今ではフルリモート(一回も出社しなくてもいい!)で地方に住みながら都心部の仕事を行う方も出てきました。
都市部で普通のくらしができるお給料をいただけるなら、地方ではきっといい暮らしできるでしょう。
更に、外国語が苦にならない方は、世界中の方々がアウトソースしてくれるお客様になりえます。
今後人口減が進んでいく日本に比べて、数倍もの規模のお仕事やニーズが世界中にあります。
その世界と会話しながらビジネスできると、日本にはない非常に成長性が高い有益な市場にアクセスできるようになります。
以上の例のようにインターネットがある環境は、世界中にあなた自身をアピールして売り込んでいける環境であり、ビジネスにとって非常に大事ではないでしょうか。
サイバー攻撃による脅威を理由に、インターネットを使わない。これは世界の市場から目を背けることになりかねません。
そうならぬようセキュリティ対策をしっかり行って、やりたいことに注力することが最終的にご自身とビジネスの成長につながります。
セキュリティ対策もアウトソースできるんです。
今の時代ほど、アウトソースできるパターンや種類が豊富な時代はないと思います。
セキュリティもその1つです。
知って活用してご自身が得意なことに注力できるようになりましょう。そうなればきっと生活が豊かに変わります。
「ファイルの共有設定や情報の公開範囲を見直そう」(P38)
本章では主に2点を見直そう、と提案しています。
(1)”共有” できるレベルに応じて公開範囲を見直しましょう
共有レベルは、
①参照のみ
②変更ができる
③ファイルそのものを作ったり削除ができる
の3つのレベルに大きく分けられます。
①のレベルでいいのに③のレベルで設定した結果、トラブルに発展するケースは多いです。
「いつのまにか共有ファイルが消えた!」
と共有しているファイルを探し回った経験がありませんか?
複数人で扱うファイルは誰かのミスで移動されたり誤って削除されたりします。
バックアップがあればまだ復元できます。しかし、
ない場合は最初から作成をやり直さないといけないケースもあります。
データだけでなくIT機器の共有についてもハンドブックで紹介しています。
会社規模が大きくなるほど、社内ネットワーク上に接続する複合機やネットワーク機器そのものを共用で利用します。
共用で利用する機器の設定が誰かに書き換えられてしまうと最悪の場合、使用できなくなります。
そうならないよう書き換えることができる権限は事前に決めましょう。
その権限を持つ人が、書き換えることができるIDやパスワードを知るようにしましょう。
手間かもしれませんが、このひと手間が不用意なトラブル発生を抑止できます。
(2)公開範囲の初期設定を必ずチェックして見直しましょう。
インターネットは全世界とつながっています。
クラウドサービスの初期設定によっては、
初期設定=世界公開
となっているサービスがあります。例えばSNS。
資料を保存する前に現在の設定を確認しましょう。
公開したことを後悔しても遅いです
「企業が気を付けたいサイバー攻撃を知り、情報収集に心がけよう」(P40)
冒頭の二文はとても大事だと思いました。原文ママに以下に掲載します。
「敵を知り己を知れば百戦危うからず」という孫子の諺(ことわざ)がありますが、サイバーセキュリティ上、危うい状況に陥らないためには、自らのセキュリティ環境が脅威にきちんと対応できてるか知り、また、攻撃者の手口を知ることが重要です。知らないことが、サイバー攻撃による被害がなくならない本質でもあるのです。
知れば構えができます。
その「知る」方法として、導入しているセキュリティソフトやOSの会社からの発信や、政府機関の発信に注目するよう提案しています。
上記の情報をもっと効率的に収集する方法として、RSSやSNSの活用も提案しています。
RSSとは、”Really Simple Syndication” の単語の頭文字3文字です。
データの保管するルールの1つでこの形式で保管されていると、この形式のファイルを巡回しながら自動で情報を取得するツールが1つにまとめて表示してくれます。
便利なのは、必要な情報を探しに行く必要なく、気づけば手許に集約された状態で参照できる点です。情報収集に必要な手間を減らせるのではないでしょうか。
「企業が気を付けたい乗っ取りのリスクを理解しよう」(P42)
ビジネスは、多くの企業がつながることで成り立っています。
どこかが分断されるとつながる企業すべてに影響がでます。
このことをよく知っているサイバー攻撃者は、セキュリティ対策が手薄なところを狙います。
“手薄なところ”としてハンドブックは2例を紹介しています。
(1)大企業ではなく、中小企業を狙います。
自動車産業を例にすると、部品が1つでも車を生産する工場に届かなければ車を作ることができない。と言われます。
車を生産する工場がハイレベルなサイバー攻撃対策をしようとも、車に必要な部品を製造する工場がサイバー攻撃の被害にあって部品を製造できなくなれば、車を生産する工場は車をつくれなくなり生産がストップします。
(2)いわゆる先進国ではなく、途上国を狙います。
先進国はサイバー攻撃の被害リスクにさらされる機会が多く、サイバー攻撃を防御する最新技術を活用したりしてリスクを大幅に減らしています。
途上国はそれほどの攻撃をまだ受けていない可能性があり、過去にサイバー被害にあった経験を持つ人も少ないです。そのスキを狙い攻撃します。
注意してほしいことは、
リスクは外部から攻撃されるだけではないです。内部犯行によるリスクもあります。
いくら外部の攻撃を対策しても、内部犯行で簡単に機密データを持ち出せたり、誤って不審なメールに添付しているダブルクリックしたことでウイルスが侵入できたりします。
さらに、外部流出した情報レベルによっては、他社からの訴訟リスクや企業活動が縮小したりします。
内部犯行ができてしまう環境ではないか?
と、自身が属する企業や団体の環境を批判的に見てみましょう。
気づいたリスクは、早期に対処することで大規模な内部犯行を事前に抑止できます。
「企業が気を付けたいサイバー攻撃の具体例を知ろう」(P44)
最近の事例より、本ハンドブックで8例の攻撃を挙げています。
詳細はぜひハンドブックを読んでほしいです。
具体的には以下です。いくつご存じですか?
・標的型メール攻撃
・フィッシング攻撃
・不正アクセス
・不正送金
・ランサムウエア
・ウェブサービスへの不正ログイン
・Webサイトの改ざんやSNSの乗っ取り
・DDoS攻撃
上記のような外部からの攻撃に備え、組織内のメンバに対する情報モラルの教育を行いましょう。
知らないことを知る状態にすることも大事です。
どれほど最新で内部犯行ができないような仕組みを導入しても、組織内のメンバがその仕組みが想定していない使い方をすることで、情報は漏えいできてしまう可能性があります。
また、故意ではなくともミスにより漏えいにつながる場合もあります。
人が行う以上は必ずミス・悪意を持った操作をとめることはできません。
しかし、仕組みと教育とをセットで行うことで発生リスクを大幅に減らすことはできます。
お金がない場合は、教育に頼るしかないのが現状でしょう。
それでも攻撃を知り、その対策を関係者が理解して行動することでリスクは大幅に減らせます。
お金がないから、とあきらめる必要はありません。
できることを駆使して安全にインターネットを使いましょう。
「取引先の監督を徹底しよう」(P51)
最後の章です。
自社だけではできない仕事を他社/他者に代理で実施いただく(委託)する場面はあると思います。
その他社/者に委託する選定タイミングで、情報セキュリティ対策できる会社/人かを確認しましょう。
委託先の方々は、あなたと同じセキュリティ意識ではないです。
委託先の会社も自社と同じレベルのセキュリティ対策を実施できているとは限りません。
委託先が情報を漏えいしてしまい、委託した会社や自治体が謝罪するシーン。
見たことありますよね。
委託したあなたが謝罪する側になる可能性もあります。
自社が持っている個人データの取扱を利用目的の達成に必要な範囲内において委託し、それに伴って取引先に当該個人データを提供する場合には、委託先を監督する義務があります。
具体的な実施事項として、ハンドブックに4点挙げられています。
(1)プライバシーマーク取得など、きちんと個人情報を取り扱える能力のある業者を選定すること
(2)取扱の内容を契約書に明記すること
(3)契約の内容が守られているか定期的に監査すること
(4)業務委託先が外国設置のサーバーで顧客データを取り扱う場合は、どのような安全管理措置が講じられているかについて明示して監査すること
“プライバシーマーク”について、詳しくご存じない方は、以下をご参照いただけますでしょうか。
ハンドブック巻末の付録資料も充実(P52)
本編は以上ですが、巻末に付録として4種類を紹介されています。
知っているだけで悩んだり検討したりする時間が大幅に短縮できます。
一部の付録を読んだ所感も交えてご紹介します。
(1)サイバー攻撃を受けた場合①(情報関係機関への相談や届け出)
サイバー攻撃の被害をうけたら、どこに連絡しましょう?
代表的なものとしてIPAによる「情報セキュリティ安心相談窓口」をハンドブックに挙げています。
さらに、標的型メールには特化した「標的型サイバー攻撃特別相談窓口」も掲載されています。
加えて、地域の商工会議所がサイバー攻撃対応支援サービスの一環として、有料の相談窓口を設けている場合もありますので、地域の商工会議所が提供するサービスも調べてみましょう。
(2)サイバー攻撃を受けた場合②(警察機関の相談や届け出)
サイバー攻撃の被害を受けた場合、警察にも相談や通報したりできます。
もし被害にあったり、不正アクセスなどに該当する事案を発見したら、お住まいの都道府県の連絡先を確認し相談しましょう。
都道府県警察本部にサイバー犯罪相談窓口があります。
(3)IPAが取り組むさまざまな中小企業向けセキュリティ対策支援
IPAとは、独立行政法人情報処理推進機構の略です。
情報セキュリティだけでなく、国家資格の情報処理技術者試験を推進するなど、国内のデジタル化に必要な人材育成やガイドラインを多く発信している団体です。
セキュリティ対策の発信について3点を挙げています。
1)中小企業の情報セキュリティ対策ガイドライン
本ガイドラインが作成された目的は、ハンドブックで以下のように記載されています。原文ママに以下にご紹介します。
この対策ガイドラインは、中小企業の経営者に対し、対策の必要性に気づいてもらい、サイバーセキュリティ対策に全く取り組んでいない状態から、徐々にステップアップし、しっかりとした社内ルールと体制を作って組織的なサイバーセキュリティのマネジメント体制を構築する道筋を提供することを目的に編集されています。
本ガイドラインは無償で電子ファイル版が公開されています(印刷版は有償)。
一般的に技術的な話が全面に表現されるので、一般的に難しくなりがちなセキュリティ関連の資料ですが、本資料はできる限り平易にかつ、最低限これだけは!な部分にフォーカスして描いています。
加えて、本ガイドラインの付録として、”情報セキュリティ5ケ条”や”5分でできる!情報セキュリティ自社診断”、”情報セキュリティ関連規定のサンプル”など、多忙な方々にの負担を減らしながらも、サイバー攻撃の被害にあわないように実施してほしいことの優先度をつけて公開しています。
全てをイチから作り専門業者に相談するのは時間とお金をたくさん要します。うまく活用しましょう。
(4)中小企業がもっとクラウドサービスを利用しやすく!
認定情報処理支援機関(スマートSMEサポーター)という認定制度があります。
ハンドブックでは、以下のように定義しています。
経済産業省の外局である中小企業庁が運営する、中小企業の IT 活用を支援する IT ベ
ンダーなどを中小企業等経営強化法に基づいて「情報処理支援機関」として認定する
中小企業庁が申請に基づき、チェックポイントを確認の上で認定します。認定されると、中小企業庁が特設サイトで公開します。以下のページで企業の検索が可能です。
まとめ
読んでいただいているあなたが、何か1つでも新たな気づきや参考になるテーマがあれば幸いです。
1つでも対策しセキュリティリスクを減らしましょう。
コメント