50
重要情報をメールで送る場合は、電子メールの本文ん書き 込まず、文書ファイルなどに記載してパスワードで保護した後、
メールに添付します。パスワードはその電子メールには書き込 まず、電話等の別の手段で通知することが必要です。
そこで質問)
重要情報をメールで送る時は重要情報を添付ファイルに書 いてパスワード保護するなどのように、重要情報の保護をして いますか?
○:実施している 4 点
△:一部実施している 2 点
×:実施していない 0 点
51
企業・組織の業務環境において、パソコンを使うためのネットワーク環境を構築 する場合、昔ながらの LAN ケーブルを事務所内に張り巡らすような有線ネットワー ク(有線 LAN)ではなく、無線ネットワーク(無線 LAN)が増加傾向にあるようです。そ の背景は、コスト面や性能問題(低価格・高性能)だけでなく、見た目の美しさや取 り回しが楽であるといった部分もあるようです。
しかしながら、こういった環境の場合、安全性の問題は忘れてはなりません。有 線であれば問題が発生しなかった環境でも、無線にしたとたん厄介なセキュリティ 問題が発生します。それが、盗聴と不正使用の問題です。
無線による通信の場合、電波が届く範囲であれば誰でもその通信に接続できる 可能性があります。
№9 無線 LAN のセキュリティ対策
無線 LAN を利用する時は強固な暗号化を
必ず利用するなどのように、無線 LAN を安
全に使うための対策をしていますか?
52
一般的には、無線 LAN の通信機器の設定が緩いと、だれでもその通信機器に接 続できてしまいます。さらに、無線 LAN で通信に利用される電波を、通信を傍受で きる専用機器等で傍受するか、あるいは同じ無線 LAN 機器に接続したパソコンを 使って、他の利用者の通信を傍受することができたりします。この場合、通信が平 文で行われているなら情報はダダ漏れということになります。
そこで、重要になってくるのが通信を暗号化することです。自分たちの業務環境 において無線 LAN を設置するのであれば、通信機器が利用できる最強の暗号化 設定をお勧めします。
具体的な対策等について詳しい話は、以下の資料を参考にしてください。
(対策のしおりシリーズ)
http://www.ipa.go.jp/security/antivirus/shiori.html
無線 LAN<危険回避>対策のしおり
無線 LAN を利用する際に、セキュリティ設定をきちん と行わないと、他人に悪用されて勝手に利用されたり、
なりすまし行為が行われたり、同じネットワーク上にあ る情報が抜き取られたりする危険性があります。本冊 子では知っておくべきセキュリティ上の脅威と対策をわ かりやすく紹介します。
暗号化による <情報漏えい>対策のしおり
大切な情報が漏えいすることを防止する有効な手段 の一つに暗号化があります。本冊子では暗号化が行 われる背景、様々な場面で使われる暗号化のしくみと 注意事項についてわかりやすく紹介します。
さて、自分たちの業務環境での無線 LAN の話をしましたが、続きがあります。
53
便利な無線 LAN の環境に慣れてしますと、企業・組織の外でも同じようにパソ コン等の通信機器が業務に使えないかと思うようになり
ます。実際に、企業・組織が用意したモバイル機器や、
利用者自身が BYOD として業務に利用する通信機器を、
外部の Wi-Fi スポット(無線 LAN 環境)経由で利用する 場合が多くなってきます。こういった環境では、利用者 自身が意識してセキュリティ対策を確認あるいは実施 する必要があります。詳細は、前述の資料にも記載して いますが、ポイントだけ以下に示しておきます。
《外部の Wi-Fi スポットでのセキュリティ対策のポイント》
自分たちで管理していない街中の Wi-Fi スポットを利用する場合は、そこが公 の場であることを認識し、重要な情報の送受信は控えましょう
公の場で秘密の相談はしませんよね…
そもそも、その Wi-Fi スポットは情報を盗みだすための悪意のあるスポッ トかもしれませんし、通信キャリアから有償で提供される Wi-Fi スポットを 騙る偽 Wi-Fi スポット(利用者 ID とパスワードを盗まれる可能性がありま す)かもしれません…
必要ならば、自分たちで用意したプライベートネットワーク(VPN)等を利用し、
無線 LAN に依存しない強固な暗号化通信を利用しましょう
Wi-Fi スポットに設定された暗号化通信は、あくまで皆さんの通信機器と Wi-Fi スポットのアクセスポイントとの間の通信が暗号化されるだけです。
この暗号化は、利用者を特定するためだけのものと考えた方が無難です から…
もしも利用中の通信機器(パソコン等)でフォルダやファイルのネットワーク共 有の設定をしている場合は、街中の Wi-Fi スポットやビジネスホテルでの Wi-Fi スポット(有線 LAN でも同じですが)では、共有設定を解除しておきましょ う(知らない人に情報が共有される危険性があります)
54
適切なセキュリティ設定がされていない無線 LAN は、通信内 容を読み取られたり、不正に接続されて犯罪行為に悪用され たりする被害を受ける可能性があります。無線 LAN の盗聴対 策や無断使用を防止するようにセキュリティ設定をしましょう。
そこで質問)
無線 LAN を利用する時は強固な暗号化を必ず利用するなど のように、無線 LAN を安全に使うための対策をしています か?
○:実施している 4 点
△:一部実施している 2 点
×:実施していない 0 点
55
業務を遂行する上で、インターネットの利用はかかせない状況になってきていま す。世の中にはいろいろな情報を提供したり、サービスとして便利な機能を提供し たり、ネットで買い物ができるようなサービスもあったり…業務だけでなく個人的な 利用でも便利になってきています。
ところで、そういったウェブサイトの中には、悪意を持って利用者のパソコンにウ イルスを感染させたり、パソコンそのものを乗っ取ったり、パソコン上の個人が管理 する情報を盗み出したりする仕掛けが施されたものもあります。
このようなサイトを業務端末からアクセスできないような制御(特定の条件に引っ かかるウェブサイトは参照を禁止する[ウェブフィルタリング]等)をすることが必要に なってきています。当然、業務に支障をきたすような制限は避けなければならない ので、企業・組織の中でルール作りが必要になるわけです。
インターネットを介したトラブルということでは、
業務端末でウェブサイトを閲覧する場合に不必 要に情報を書き込まないようすることが重要です。
また、業務端末で個人的な SNS などを利用する のは避けましょう。不必要な書き込みから情報が 漏えいする危険性があります。それでも SNS を 利用する必要があるならば、不必要な情報の書 き込みには気をつけましょう。
情報入力が可能なウェブサイトや SNS(ソーシャルネットワークサービス)、各種の 掲示板やブログサイトを利用する際には、それらのサイトやサービスの安全性につ いてセキュリティ意識を持って対応することをお勧めします。
№10 インターネットを介したトラブル防止
業務端末でウェブサイトの閲覧や SNS への
書き込みに関するルールを決めておくなど
のように、インターネットを介したトラブルへ
の対策をしていますか?
56
こういった話について…
例えば、新入社員が業務を遂行するにあたって、自分がどんな仕事に就いたか を友人に報告するために、その業務内容を個人のブログに掲載してしまうようなこ とがないように、企業・組織においては、業務端末によるウェブサイトの閲覧や SNS への書き込みに関する明確なルールを作って周知徹底することが重要です。
当然のことですが、個人端末で個人用の SNS 等への書き込みについても、守秘 義務が適用されることを明確にしておく必要もあります(「№19 守秘義務等の従業 員への徹底」を確認してください)し、利用者が不適切な書き込みをした結果、いわ ゆるお祭り騒ぎ(炎上)になり、閲覧者に本人特定された場合は、とばっちりのような ことで、利用者の勤務する企業・組織まで風評被害が及ぶこともあります。
このあたりも踏まえたルール作りが必要になるでしょう。
悪意のあるウェブサイトやセキュリティ上の問題があるウェブ サイトを閲覧することでウイルス感染することがあります。ま た、SNS や掲示板へ悪ふざけた投稿や秘密情報の意図せぬ掲 載で会社に被害を及ぼすことがあります。業務でのインターネ ットの使用を制限する仕組みやルールにより、被害を防止する ことが必要です。
そこで質問)
業務端末でウェブサイトの閲覧や SNS への書き込みに関す るルールを決めておくなどのように、インターネットを介したト ラブルへの対策をしていますか?
○:実施している 4 点
△:一部実施している 2 点
×:実施していない 0 点
57
企業(組織)内のIT化が進み、いろいろな情報が電子データとなってきています。
これらの電子データの中には、企業(組織)活動にとって重要なものもあるでしょう。
この電子データの入ったパソコンや記憶媒体(装置)が何らかの理由で使えなくな ったら、どうしますか?
企業(組織)内にあるパソコンや記憶媒体は、絶対に壊れないと考えている方も 多いことでしょう。確かになかなか壊れません。でも、コンピュータウイルスに感染し たり、机の上から床に落下させたり、ノートパソコンの前で飲んでいた飲み物をパソ コンにかけてしまったり、耐用年数を過ぎてしまったハードディスク装置が異音をた てて止まってしまったとか、いろいろな原因で壊れることがあるわけです。
もっと厄介なのは、利用者が誤って消してしまったとか、別のデータで上書きして しまったとか、うっかりミスや誤操作によって業務に必要なデータを消失させる可能 性です。