企業や組織においては、たった一人の不注意が、ウイルスへの感染や情報漏えいといった脅威につながることもあります。社員・職員の一人一人が、情報セキュリティ対策の必要性を理解し、自覚をもって取り組むことが必要です。
所属する企業や組織において、情報セキュリティポリシーが策定されている場合には、以下の内容も参照しながら、企業や組織の情報セキュリティポリシーに従ってください。
情報セキュリティの5ヵ条
IPA(独立行政法人情報処理推進機構)で公開している 情報セキュリティ5ヵ条 というものがあります。情報セキュリティの基本的な部分が列挙されていますので、一読してください。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
ソフトウェアの情報セキュリティ対策
OS、Webブラウザ、Officeアプリケーションなどのソフトウェアには、時間の経過とともに、脆弱性(ぜいじゃくせい)と呼ばれる不具合が発見されることがあります。
脆弱性を放置していると、ウイルス対策ソフトを入れて、最新版のウイルス検知用データに更新しても、ウイルスに感染したり、ウイルス付きの電子メールを他の人に送ってしまったり、悪意のあるホームページを見ただけでパソコンの中のシステムが破壊されてしまったりすることがあります。
脆弱性は、プログラムの不具合や設計ミスなどに起因するものですが、それらを修正するための修正プログラムがメーカーから配布されています。最近は、修正プログラムの有無を定期的に確認したり、自動的に適用するための 自動アップデート機能 が導入されることが増えてきました。このような自動アップデート機能を利用すると、修正プログラムの適用を忘れてしまうことがなくなります。自動アップデート機能を利用できる場合には、「アップデートの準備ができました」などのメッセージが表示されるため、そのメッセージをクリックして、画面上の指示に従ってアップデートしてください。
また、情報セキュリティ対策としては、企業や組織で許可されていないソフトウェアをパソコンにインストールしないことも重要です。インターネットなどからダウンロードできるソフトウェアの中には、悪意のあるプログラムが含まれているものや、脆弱性が存在しているものがあります。業務の都合上、許可されていないソフトウェアをインストールする必要がある場合は、事前に、情報セキュリティ担当に相談し、許可を得てからインストールするようにしてください。
安全にソフトウェアを利用するには
- OS・ソフトウェアの修正プログラムは必ず適用する
- 自動アップデートが提供されている場合は、できるだけ利用する
- 企業や組織で許可されていないソフトウェアはインストールしない
ウイルス対策
自分のパソコンや社内のネットワークを防御するためには、ウイルスへの適切な対策が必要です。最近のウイルスは、電子メールをプレビューしたり、Webブラウザでホームページを閲覧したりするだけで感染するなど、多様かつ巧妙なものが多く、以前に比べて被害の深刻度や被害を受ける範囲が拡大しています。
ウイルス感染の予防対策としては、OSやソフトウェアを更新して最新の状態に保つことが大切です。併せて、ウイルス対策ソフトをインストールし、ウイルス検知用データを常に最新のものに更新しておくことも大切です。
世の中の情報や、企業・組織でのウイルスに関する連絡に注意を払ってください。怪しい電子メールが届いた場合は、開かずに、情報セキュリティ担当へ連絡するようにしてください。
ここで挙げたウイルス対策を十分に実施していたとしても感染してしまうことがあります。ウイルスは、日々新しいものが出回っており、それをOSのアップデートやウイルス対策ソフトで見つけられないことがあるからです。(ゼロティ攻撃と言います)
もし、ウイルスに感染してしまった場合は、パソコンのLANケーブルを抜く、無線LANのスイッチを切るなどの方法で、社内のネットワークからパソコンを切り離すことを心がけてください。ネットワークにつながったままにしていると、企業や組織全体にウイルスを蔓延させてしまうこともあるためです。その上で社内の情報セキュリティ担当へ連絡しましょう。
ウイルスに感染しないようにするには
- OS・ソフトウェアを更新して最新の状態に保つ
- セキュリティソフトをインストールして有効にする
- セキュリティソフトの検知用データを更新して最新の状態に保つ
- 怪しい電子メールが届いたら、開かずに、情報セキュリティ担当へ連絡する
- 業務と関係ないWebサイトへアクセスしない
- Webブラウザの通知を許可するように表示された場合は、安易に許可しない
- USBなどの記憶媒体を安易に接続しない
- 無料の無線LANに接続しない
ウイルスに感染してしまったら
- 有線接続していた場合は、LANケーブルを抜く(ネットワークから切り離す)
- 無線接続していた場合は、無線機能を停止する(Wi-Fiを無効にする)
- 状況を確認するために、電源はOFFにしない(シャットダウンしない)
- 情報セキュリティ担当へ連絡する
安全なパスワード管理
企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。
- 推測されにくいパスワードにする
- 他人の目に触れないよう適切な方法で保管する
- パスワードの使い回しはしない
- パスワードの定期的な変更は不要
- Webブラウザのパスワードマネージャー 又は パスワード管理ツール を使用する
(ソフトウエアの信頼性やツール自体のパスワードには注意) - SMS、メールアドレスなどを使った多要素認証が使用できる場合は使用する
- 所属する企業や組織の情報セキュリティポリシーで規程されている場合は、その指示に従う
パスワード解析(クラッキング)されるまでの時間
| 8文字 | 10文字 | 12文字 | |
| 小文字のみ | 即時 | 1時間 | 3週間 |
| 最低1文字の大文字 | 22分 | 1カ月 | 300年 |
| 最低1文字の大文字+数字 | 1時間 | 7カ月 | 2,000年 |
| 最低1文字の大文字+数字+記号 | 8時間 | 5年 | 34,000年 |
電子メールの誤送信
電子メールは、企業や組織において、日常的にもっとも利用するツールのひとつですが、宛先アドレスの間違いや、宛先欄の使い方の誤りといったミスによる情報漏えいが頻繁に発生しています。
宛先アドレスを誤って入力してしまう原因の1つとして、オートコンプリートと呼ばれる自動補完機能によるアドレスの誤入力があります。オートコンプリートは、文字入力を補助する機能の一つで、過去の入力履歴を参照して次の入力内容を予想し、候補を表示してくれます。電子メールでは、メールアドレスの先頭の部分を入力するだけで自動的に全部の文字列が入力される便利な機能です。しかし、この機能で表示されたメールアドレスをよく確認せず、間違った宛先を指定して送信してしまうというケースがあるので、注意が必要です。
また、宛先欄の「TO」「CC」「BCC」の使い方の誤りによる情報漏えいがあります。電子メールの宛先欄には、以下の3つの種類がありますが、機能を理解して、用途に応じて使い分けてください。
| 宛先欄の種類 | 機能と用途 |
| TO | メールを送る主体の相手先のメールアドレスを入力します |
| CC | カーボン・コピー(Carbon Copy)の略です TOの相手に送ったメールを、他の人にも送りたい場合に使用します 送られたメールには、TOとCCに入力されたメールアドレスが表示されます |
| BCC | ブラインド・カーボン・コピー(Blind Carbon Copy)の略です TOの相手に送ったメールを、他の人にも送りたいが、誰に送ったのか表示されないようにしたい場合に使用します 送られたメールには、TOとCCに入力されたメールアドレスが表示されますが、BCCに入力されたメールアドレスは表示されません メールを送る全員に、誰にメールを送ったのか表示させないようにする場合は、BCCだけにメールアドレスを入力して送信します |
標的型攻撃メール対策
標的型攻撃メールとは、特定の組織から重要な情報を盗むことを目的として、巧妙に作り込まれたウイルス付きのメールのことです。
たった1人の社員や職員が、標的型攻撃メールの添付ファイルを開封したり、リンクをクリックしただけでも、情報を盗み出すウイルスに感染して拡散され、機密情報の漏えいや、ファイルが暗号化されて、身代金を要求される事態に陥ることがあります。
特に、標的型攻撃メールのウイルスは、ウイルス対策ソフトでは検出されないものが多いため感染に気づきにくく、知らぬ間に被害が拡大しているケースがあり、深刻な問題となっています。
標的型攻撃メールの文面は、業務でやりとりしているメールの送信者、よく使われているメールの件名、宛先、内容、添付ファイルの形式、署名などを真似て、受信側をだまそうとするものが主流です。一見して不審な点があまりなく、気がつきにくいのが特徴ですが、メールの件名や内容に「緊急」や「重要」など、受信側の興味を引いたり、読まなければならないと思わせたりするような細工がされています。
IPA:Emotet(エモテット)攻撃の手口より
標的型攻撃メールであることを見抜くには、最近のメールのやりとりなどから判断をすることが重要です。たとえば、最近やりとりがなかったのに突然メールが届いた、最近のやりとりの内容と全く脈絡のない内容のメールが届いた、などの場合は注意が必要です。疑わしいメールを受け取った場合は、リンクURL や 添付ファイルは開かずに、情報セキュリティ担当へ相談しましょう。メールの送信元に確認の電話をすることが、真偽を見分ける有効な手段の場合もあります。
最近のメールソフトでは、送信者のメールアドレスを正規のドメインに詐称して送られてきた場合、「ドメイン認証されていないメール」と注意表示される機能があります。不審なメールかどうか判断する手がかりになりますので、表示されるメッセージに注意してください。
悪意あるホームページ
インターネットには様々なホームページが公開されていますが、それらの中には個人情報を収集することや、いやがらせが目的のものもあります。また、ホームページによっては、閲覧しただけで、ウイルスに感染したり、パソコンを破壊されたりしてしまうものもあります。
心がけなければならないのは、悪意を持ったホームページが存在するということを認識し、怪しいホームページはできるだけ開かないようにしてください。
このようなホームページの被害を受けないために、OSやWebブラウザなどを最新の状態にしておくことが重要です。セキュリティソフトも利用するようにしてください。
ホームページにアクセスした時に、Webブラウザの通知を許可する と表示された場合は、特に注意してください。通知を許可すると、Webブラウザの起動中に偽の通知が表示され、クリックすると不審なサイトに誘導さます。サポート詐欺と呼ばれるものは、このパターンが多いです。
バックアップ
安全にパソコンを利用するためには、定期的なバックアップが不可欠です。ワープロソフトや表計算ソフトなどで作成したドキュメントファイルだけでなく、送信した電子メールや受信した電子メール、よく利用するホームページのURLなどの情報も、必要に応じてバックアップしておかなければなりません。
バックアップには、ファイルサーバ(NAS)、インターネット上のオンラインストレージ、外付けのハードディスク(SSD)、USBメモリ、CD-R・DVDなどの外部の記憶媒体を利用する方法があります。
バックアップは「取りっ放し」ではなく、定期的に復元方法を確認しましょう。バックアップがきちんと取れているかの確認にもなります。
外部の記憶媒体にバックアップされた情報は、たとえ個人のパソコン内の情報だからといって外に持ち出したり、机の上に放置してはいけません。企業・組織にとって重要な情報が含まれる場合がありますので、鍵のかかる場所に保管するなど、適切な保管方法をとってください。
最近は機密情報や個人情報の漏えいを防止するために、個人による外部の記憶媒体の利用を禁止または制限している企業が増えてきています。バックアップ用に外部の記憶媒体を利用する場合には、事前に、情報セキュリティ担当に相談するか、情報セキュリティポリシーを確認してから行うようにしてください。
安全な無線LANの利用
無線LANは、ネットワークケーブルの取り回しが不要で、レイアウトの変更が容易であることから、オフィスにおいても導入が進んでいます。また、公衆無線LANサービスも普及し、駅や空港、カフェやレストランなどでも利用できるようになっています。
無線LANは、電波を利用する通信であるという性質上、他人から通信内容を盗聴される危険性があります。特に、公共の場で誰でもアクセスできる無線LAN(Free Wi-Fi)の場合には、無線LAN自体が悪意ある第三者により設置されている可能性もあるので、信頼できるものかどうか確認してからアクセスするようにしてください。
Free Wi-fiには繋げないことがベストですが、やむを得ず繋げる場合は、VPN接続(Virtual Private Network)を使って、通信を暗号化してください。
無線LANの利用にあたっては、社内や組織内で定められた情報セキュリティポリシーを遵守するようにしましょう。
破棄するパソコンやメディアからの情報漏えい
企業や組織の重要情報が漏洩するのは、ネットワーク経由とは限りません。パソコンを廃棄したり、他人に譲渡したりする場合、搭載されているハードディスクやメディアから情報が漏えいする可能性があります。
中古のパソコンに前の所有者が利用しているデータがそのまま残されていたという事例だけでなく、企業で利用していた形跡のある中古のパソコンを意図的に購入して、そこに保存されているデータを探し出すといった方法で、機密情報を入手する手口も行われています。
特に注意が必要なのは、保存されているデータを削除したり、ハードディスクをフォーマットしただけで、パソコンを処分してしまう場合です。画面上でデータが消えているように見えても、実際にはハードディスク上にデータが残されたままになっていることがあり、特殊なソフトウェアを利用することで、削除したはずのファイルを復元することが可能です。
不要になったパソコンのハードディスクの処理方法には、以下のとおりです。
- データ消去用のソフトウェアを利用する
- 信用できる専門業者のデータ消去サービスを利用する
- パソコンのハードディスクを取り出して、ディスクを物理的に破壊する
- 暗号化し、復号に必要な鍵を廃棄して読み出し不能にする
CD-ROM、CD-R、DVD、USBメモリ、SDメモリカードといった記憶媒体や、外付けのハードディスクなどを廃棄する場合も、同様の処理をしなければなりません。パソコンを修理する場合にも、作成したドキュメントや電子メールなどのデータを廃棄してから依頼するようにしましょう。
社内や組織内で定められた情報セキュリティポリシーに廃棄の規定が定められている場合は、その指示に従ってください。組織内に情報セキュリティ担当がいる場合には、パソコンを廃棄する前に、不明な点や廃棄方法を相談するようにしてください。
リモートワークで業務用端末を利用する場合の対策
コロナ禍で、リモートワークの普及が進み、自宅や外出先でも業務用のノートパソコンやタブレット端末を利用するケースが増えてきています。しかし、外部に持ち出した業務用端末の情報セキュリティ対策を怠っていたがために、情報漏えいを起こしてしまった事例が多数報告されています。
外部にノートパソコンなどを持ち出す場合は、電車内などへの置き忘れによる紛失や盗難、自宅や外出先でインターネットに接続したことによるウイルス感染などのリスクがあります。これらのリスクを軽減するためには、次のような対策が必要です。
- 業務用端末が入った鞄を電車の網棚などに置かない、目を離さない
- 持ち運ぶ必要のない機密情報、個人情報は保存しない
- 推測されにくいログインパスワードを設定する
- 持ち出し用の端末にパスワードを書いた紙などを貼り付けない
- ハードディスクを暗号化して利用する
- 持ち出し用の端末も、ソフトウェアの更新やセキュリティソフトの導入・更新などのメンテナンスを適切に行う
- Free Wi-Fiには繋がない、繋ぐ場合はVPN接続で通信を暗号化する
リモートワークにおけるネットワーク側のセキュリティ対策として、VPN接続(Virtual Private Network)もよく使われるようになりました。VPN接続は、端末から企業内までの通信を丸ごと暗号化して、外部からの侵入や盗聴を防ぎ、外部でも企業内と同等のネットワーク環境が使えるようにするものです。但し、接続する端末がウイルスに感染していたり、接続先のVPN機器からの侵入を許してしまうと、甚大な被害が発生してしまう可能性があります。
最近では、パソコンを使用せずに、サーバ上の仮想環境でパソコン環境を稼働させ、入力・表示などの最低限の機能に絞った シンクライアント端末 を使ってアクセスする方法も増えてきました。端末内に重要な情報が保存されないので、機密性が高まり、ソフトウェアのメンテナンスも情報セキュリティ担当が一元的に管理することができます。
スマートフォンを業務で利用する機会も増えています。スマートフォンは携帯電話と比較すると、紛失・盗難にあった時の影響範囲が格段に大きくなります。常に持ち歩く、どこかに置いたまま放置しないなど、紛失・盗難のリスクを最小限にするよう努めましょう。
紛失した場合に備え、GPS機能を使ってスマートフォンの位置を検索したり、遠隔操作で端末のロックや内部データのロックや消去を行うことができるようにしておきましょう。
持ち運び可能なメディアや機器を利用する上での注意事項
取引先とのデータのやり取りにUSBメモリを利用するケースが増えました。USBメモリは、パソコンのUSB端子に接続するだけで手軽に利用でき、多くの利用者に支持されています。
しかし、小さくて持ち運びが楽であるため、紛失してしまう危険性が高いという点に注意しなければなりません。また、データをそのままメディアに記録していた場合、紛失時にメディア内の情報が漏えいする危険性が非常に高くなります。もちろん、このことは外付けハードディスク、CD、DVDなど、持ち運び可能なメディア全般について言えることです。
また、持ち運び可能なメディアが、自宅や外出先のパソコンからウイルス感染し、会社内のネットワークに感染を広げてしまう危険性も考えられます。これらのリスクを軽減するためには、次のような対策をしてください。
- 持ち運ぶ必要のない機密情報、個人情報は保存しない
- ファイルは暗号化して保存する
- セキュリティ機能つきのUSBメモリや外付けハードディスクを利用する
- パソコンの設定を変更して自動再生機能を停止し、ファイルを開く前にウイルスチェックを行う
- 個人所有のUSBメモリや持ち主の分からないUSBメモリを使用しない
最近は機密情報や個人情報の漏えいを防止するため、個人による外部の記憶媒体の利用を禁止または制限している企業が増えてきています。外部の記憶媒体を利用する場合は、事前に、情報セキュリティ担当に相談するか、情報セキュリティポリシーをよく確認してから行うようにしてください。
ソーシャルエンジニアリングの対策
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。
最近では、特定の組織を狙った標的型攻撃メールで、ソーシャルエンジニアリングの手法が用いられることが多くなっています。
ユーザー名やパスワードが漏えいするということは、組織全体のセキュリティを脅かすということをきちんと認識して、ソーシャルエンジニアリングに対する適切な対策を心がけるようにしましょう。
| 入手方法 | 説明 |
| 電話でパスワードを聞き出す | 昔からある代表的な方法です。何らかの方法でユーザ名を入手したら、その利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりします。逆に管理者になりすまして、利用者にパスワードを確認するといったこともあります。これらの対策としては、電話ではパスワードなどの重要な情報を伝えないというルールを決めておくしかありません。 |
| 肩越しにキー入力を見る (ショルダハッキング) | パスワードなどの重要な情報を入力しているところを、後ろから近づいて、覗き見る方法です。肩越しに覗くことから、ショルダ(shoulder=肩)ハッキングと呼ばれています。外出先で注意するのは当然ですが、たとえオフィス内であっても、パスワードやクレジットカードの番号など、重要な情報を入力する際は、周りに注意してください。 |
| ごみ箱を漁る (トラッシング) | 外部からネットワークに侵入する際に 事前の情報収集 として行われることが多いのがトラッシングです。ごみ箱に捨てられた資料(紙や記憶媒体)から、サーバやルータなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザ名やパスワードといった情報を探し出します。これらの対策としては、紙や記憶媒体にある情報を読み取られることがないよう、シュレッダーにかけたり、破壊するなど破棄方法にも注意が必要です。 |
クラウドサービス利用時の注意事項
最近、企業や組織において、社内の情報資産をクラウドサービスに預けるという利用が進んでいます。
一方で、利用者のIDやパスワードなどのアカウント情報の管理不備や、アクセス権設定の間違いなどが原因で、不正アクセスによる情報漏えいなどの事故が多く発生しています。
クラウドサービスでは、誰もがどこからでも情報にアクセスしやすいことが利点ですが、場合によってはこのことがセキュリティ上の脅威にもなり得ます。正しい利用者のみが、許可された操作が行えるように、アカウントの管理には細心の注意が必要です。
また、クラウドサービスでは、データの保存場所がどの範囲の対象者からアクセス可能かを意識する必要があります。仮に外部に公開しているクラウドサーバに、公開するための情報に交じって、公開する予定ではなかったデータまで掲載してしまったとしたら、情報漏えいの事故となります。
さらに、クラウドサービスでは、業者側での障害や運用の不備などが原因で、システム上に保存したデータが消えてしまったり、サービス自体が使えなくなってしまったりという事態も発生しています。クラウドサービスでは、保存したデータの保証までは行っていません。
万が一、クラウドサービスで障害が発生し、データが消えてしまった場合のことも想定し、データのバックアップを取得しておく必要があります。また、サービスが使えなくなった時のために、代替の手段やサービスを用意しておくことも検討してください。
組織のルールや情報セキュリティポリシーを遵守し、公開範囲を意識した設定の仕方を確認した上で、適切に利用するようにしましょう。組織が利用を認めていないサービスを勝手に利用することは、重大な事故を招く恐れがあるので厳に慎みましょう。
SNS利用時の注意点
SNSでは、好きなことや意見が似ている人同士が繋がりやすくなっています。価値観の近い人達と簡単に交流できること自体は、SNSなどがもたらす大きなメリットのひとつです。
一方で、SNSには、過去に参照した情報を元に、好みの情報が表示されやすくなる仕組みが組み込まれています。好みでない情報に接しづらくなる状態のことを フィルターバブル と言います。
「世界中の色々な人と繋がっているはず」と思い込んで、似た価値観の意見ばかりを見聞きし続けると「世の中のほとんどの人が同じ意見を持っている」と感じるかもしれません。このような現象を エコーチェンバー現象(閉じた小部屋で音が反響する現象)と言います。
このような状態でSNSで情報を発信することは大変危険です。同じ考えの人は、実は少ないのかもしれません。
初めは個人の不用意な発言だったとしても、他の利用者から集中的な非難を浴び続けていると、個人情報を特定する人物が現れ、個人だけでなく、所属する企業や組織に非難の矛先が向かう可能性もあります。自分を守るためにも、所属する企業や組織を守るためにも、情報の発信には十分に注意してください。SNSを使用した情報発信を行う場合には、企業や組織の情報セキュリティポリシーに従い、以下のようなことに留意してください。
- 個人としてSNSを利用する場合の留意点
- 日々の仕事のあれこれを、個人のSNSで発信しない(良い事も、悪い事も)
- アカウントを乗っ取られないよう、IDやパスワードの適切な管理を行う
- 利用するサービスの規約を遵守する
- SNSは匿名のように見えて匿名ではない、責任感を持って発信する
- 業務としてSNSを利用する場合の留意点
- 企業や組織を代表するものとしての自覚を持つ
- 企業や組織のブランドイメージを損なう発言をしない(他社の事でも)
- アカウントを乗っ取られないよう、IDやパスワードの適切な管理を行う
- 利用するサービスの規約を遵守する
- 障害やメンテナンスなどで、サービスが利用できない時の運用を決めておく
- 炎上した時の報告ルートと対応方法について、事前に検討しておく
