情報セキュリティとは、情報の安全を守ることです。
企業秘密や個人情報を守ったり、その情報を扱う情報システムを守ります。
<個人で出来ること>
- 怪しいメールのリンクやファイルを開かない
- 怪しいサイトで個人情報を入力しない
- 怪しいFreeWi-Fiに繋げない(PC・スマホ)
- 日々の仕事のあれこれを、個人のSNSで発信しない
<企業・組織で取り組むこと>
- 企業の秘密情報や顧客の個人情報を不正アクセスから守る環境を作る
- 雷や火災などの自然災害に備える
情報セキュリティ10大脅威(2024)
| 「個人」向け脅威(五十音順) | 初選出年 | 10大脅威での取り扱い (2016年以降) |
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
| クレジットカード情報の不正利用 | 2016年 | 9年連続9回目 |
| スマホ決済の不正利用 | 2020年 | 5年連続5回目 |
| 偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
| 順位 | 変動 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
| 1 | → | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | → | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | ↑ | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | ↓ | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | ↑ | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | ↑ | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | ↑ | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ↓ | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | ↓ | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | → | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
社員・職員全般の情報セキュリティ
企業や組織においては、たった一人の不注意が、ウイルスへの感染や情報漏えい といった脅威につながることもあります。社員・職員の一人一人が、情報セキュリティ対策の必要性を理解し、自覚をもって取り組むことが必要です。
所属する企業や組織において、情報セキュリティポリシーが策定されている場合には、以下の内容も参照しながら、企業や組織の情報セキュリティポリシーに従ってください。
- 情報セキュリティの5ヵ条
- ソフトウェアの情報セキュリティ対策
- ウィルス対策
- 安全なパスワード管理
- 電子メールの誤送信
- 標的型攻撃メール対策
- 悪意あるホームページ
- バックアップ
- 安全な無線LANの利用
- 破棄するパソコンやメディアからの情報漏えい
- リモートワークで業務用端末を利用する場合の対策
- 持ち運び可能なメディアや機器を利用する上での危険性と対策
- ソーシャルエンジニアリンクの対策
- クラウドサービス利用時の注意事項
- SNS利用時の注意点
経営層の情報セキュリティ
企業や組織にとって、情報セキュリティ対策は、重要な経営課題のひとつです。
情報セキュリティ対策には、組織全体の基本方針の策定や、適切な投資が必要であり、経営層の意志決定が欠かせません。経営層には、自分たちの組織にはどのような情報資産があり、どのようなリスクがあるかを把握した上で、自ら率先して情報セキュリティ対策の指揮を執ることが求められます。
ここでは、経営層のための情報セキュリティ対策として、情報セキュリティ対策の必要性、情報セキュリティマネジメントの考え方、個人情報を取り扱う企業としての責務などについて説明します。
- 情報セキュリティの概念
- セキュリティ事故と企業活動への影響
- サイバー攻撃の糸口
- 情報セキュリティ対策の体制
- 情報セキュリティマネジメント
- 個人情報取扱事業者の責務
- 漏えい等発生時の報告の義務化
- 最新の情報セキュリティ対策
- 最新の情報セキュリティの脅威に注意を払う
情報セキュリティ担当の情報セキュリティ
情報セキュリティ担当は、情報セキュリティポリシーで定めた事項が組織全体で実際に実行されるように、情報システムの管理・運用や、社員・職員に対する教育・監督を適切に行う必要があります。
情報通信技術の進歩は早く、企業・組織の情報資産を脅かす新しい脅威が次々に登場しています。情報セキュリティ担当には、これらの脅威について情報を収集し、必要に応じて組織幹部や外部の専門家とも連携しながら、継続的に組織全体の情報セキュリティ体制を見直していく役割も期待されています。
所属する企業や組織において、情報セキュリティポリシーが策定されている場合には、その内容を元にして情報セキュリティ対策を進めるようにしてください。
情報セキュリティ担当の情報セキュリティ
- ソフトウェアの更新
- ウィルス対策
- ネットワークの防御
- 不正アクセスによる被害と対策
- リモートワークで業務用端末を利用する場合の対策
- SQLインジェクションへの対策
- 標準的攻撃への対策
- 安全な無線LAN利用の管理
- ユーザ権限とユーザ認証の管理
- バックアップの推奨
- セキュリティ診断
- ログの適切な取得と保管
- サポート期間が終了するソフトウェアに注意
- 防御モデルの解説
- 情報セキュリティポリシーの導入と運用
- ソーシャルエンジニアリングの対策
- クラウドサービスを利用する際の情報セキュリティ対策
- SNSを利用する際の情報セキュリティ対策
- 社員の不正による被害と対策
- 破棄するパソコンやメディアからの情報漏洩
- 持ち運び可能な記憶媒体や機器を利用する上での危険性と対策
- サーバの設置と管理
- 機器障害への対策
事故・被害の事例
適切な情報セキュリティ対策を実施していないと、どんな問題が起きる可能性があるのでしょうか?ここでは、実際に起こった事故・被害をもとにした事例を紹介します。
- 事例1:資料請求の入力情報が漏えいした
- 事例2:ホームページが書き換えられた
- 事例3:顧客のメールアドレスが漏洩
- 事例4:他人のIDで不正にオンライン株取引
- 事例5:中古パソコンによるデータの漏洩
- 事例6:情報セキュリティ対策は万全だったはずなのに・・・
- 事例7:ファイル共有ソフトが原因で・・・
- 事例8:SQLインジェクションでサーバの情報が・・・
- 事例9:標的型攻撃で、企業の重要情報が・・・
- 事例10:自分の名前で勝手に書き込みが・・・
- 事例11:公式アカウントが乗っ取られた
- 事例12:有名サイトからダウンロードしたはずなのに・・・
- 事例13:クラウドサービスに預けていた重要データが消えた
- 事例14:メールをやり取りした相手からのメールなのに
- 事例15:「パソコンがウイルス感染した」と表示される
- 事例16:SNS型投資詐欺・ロマンス詐欺・詐欺広告
