10,000 円8,000 円 - IRUCAA@TDC : 平成17年度試験問題作成とセキュリティの確保に関するワークショップ報告書

6,000 円 5,000 円 5,000 円 3,000 円 3,000 円 300 円 1 円 1 円

クレジットカード利用者個人情報（カード番号付）

高校・大学・高専・専門学校同窓会名簿（

H16年版）

サラ金多重債務者個人情報

学会名簿、県人会名簿、企業社員録・公務職員録・教職員録（

H16年版）

小・中学校同窓会名簿（

H16年版）

有料出会い系サイト頻繁アクセス者メールアドレスサラ金借金優良返済者個人情報

サラ金融資申し込み者個人情報大手企業社員名刺（

1枚）

大手企業社員メールアドレス（

10件）

個人情報に付けられた価格

個人情報が悪用される架空請求

個人情報が悪用される架空請求電報（例）電報（例）

不気味な弔電として届けられる例がある。

突然の電報失礼いたします︒

はじめまして︑こちらは債権回収業者○○○○と申します︒この度︑貴方様への債権回収を依頼されました︒これより

強制回収

という形で︑こちらも積極的に動かさせていただきます︒お身

内の方︑ご友人の方︑ご近所の方と︑その方々の勤務先の方︑これより何かとご迷惑をお掛けすることになるかと思いますが︑ご了承下さい︒こちらの取り立ては少々手荒かと思いますが︑ご協力願います︒また︑すぐに返済の意思のある方︵当社とのトラブルを避けたい方︶は︑大至急連絡下さい︒返済

の意思のない方は近いうちに︑この電報の意味をご理解いただけるかと思います︒あしからず︒

○○○○回収執行部

電話番号○○○・○○○○・○○○○ 突然の電報失礼いたします︒はじめまして︑こちらは債権回収業者○○○○と申します︒この度︑貴方様への債権回収を依頼されました︒これより

強制回収

という形で︑こちらも積極的に動かさせていただきます︒お身

内の方︑ご友人の方︑ご近所の方と︑その方々の勤務先の方︑これより何かとご迷惑をお掛けすることになるか

と思いますが︑ご了承下さい︒こちらの取り立ては少々手荒かと思いますが︑

ご協力願います︒また︑すぐに返済の意思のある方︵当社とのトラブルを避けたい方︶は︑大至急連絡下さい︒返済の意思のない方は近いうちに︑この電報の意味をご理解いただけるかと思います︒あしからず︒

○○○○回収執行部電話番号○○○・○○○○・○○○○

彼らは、相手の信用失墜を横目で見る愉快犯、

もしくは情報を横流して利益を得ている・・・かも。

外部の輩外部の輩

インターネットインターネット

ウィルス

クラッカー 内部の輩内部の輩

個人情報を狙う様々な脅威

＜

＜情報漏洩事件・情報漏洩事件・事故事故＞＞

3

２００Ｘ年Ｙ月Ｚ日 ２００Ｘ年Ｙ月Ｚ日 ＸＸ化粧品

ＸＸ化粧品 社員のパソコンが盗難社員のパソコンが盗難 機密情報が入っていた

機密情報が入っていた

２００４年３月Ｘ日 ２００４年３月Ｘ日 ＸＸ自動車

ＸＸ自動車 未発表の自動車の写真が雑誌上に未発表の自動車の写真が雑誌上に 掲載された

掲載された

明らかに内部犯行だと思われる（従業員）

２００４年３月２９日 ２００４年３月２９日

ＸＸ警察の捜査関係データがネット上に流出 ＸＸ警察の捜査関係データがネット上に流出 ファイル交換ソフト「

ファイル交換ソフト「WinnyWinnyウィルス」によるものとウィルス」によるものと 思われる

思われる

ＸＸ庁の機密情報が、開発委託会社の関連会社経由 ＸＸ庁の機密情報が、開発委託会社の関連会社経由 で情報が漏洩（アルバイト）

で情報が漏洩（アルバイト）

機密情報

機密情報漏洩事件

2004年02月24日

ＸＸ通信業者から流出したという451万人分の個人情報が入ったDVDが手元にある、とＸＸ通信業者を脅して数十億円を要求していた男が逮捕された。DVDは押収されたのが、

そこに入っていた個人情報は本物。

情報流出ルートの特定はできず！！

ＸＸ通信業者、4５１万人分の個人情報流出

ＸＸ通販業者で個人情報流出

2004年03月10日

通販業界大手のＸＸの顧客データ流出問題で、同社は流出時期を９８年７〜９月とみていることが分かった。また、ＸＸ社長はテレビなどによる販売活動の自粛。

ＸＸ社長の説明によると、情報が流出した９４年７月〜９８年７月の顧客１４８人のうち最終購買履歴は９８年７月で、同年９月の顧客データ更新は毎日新聞が照会したリストには反映されていなかった。

有名な個人情報漏洩事件

2004年07月07日

Ｓ学院大学にてノート型パソコン 1台が紛失。

このパソコンには学生の個人情報が格納されていた。

大学はこの事実をテレビ、新聞等に公表するとともに、全学生及び保護者に対し報告と謝罪を行った。

また、「学生個人データの安全管理措置に関するガイドライン」を策定し、

全職員に徹底させる旨の文書を配布した。

Ｓ学院大学、パソコン紛失

身近な個人情報漏洩事件

＜

＜情報はどこから漏洩したのか？＞＞

情報はどこから漏洩したのか？

外部からの浸入

外部からの浸入内部犯行で漏洩内部犯行で漏洩

機密情報

学生名簿 研究データ

メールによる 持出

印刷による 持出

破棄ＰＣから の抜き取り

派遣者の データ参照 ﾏｼﾝ・ﾒﾃﾞｨｱ

の持ち出し

認証のないﾏｼﾝ 機密保管文書

の参照 機密保管文書

の参照

ノートの 紛失･盗難 情報はどこから漏洩したのか？

4

どのように情報が漏洩したのか？

こんなこと、日常の業務でありませんか？

どのように情報が漏洩したのか？

こんなこと、日常の業務でありませんか？

そのほかにも そのほかにも･･････ １１

パソコンは何時もつけっ放し誰でも覗ける状態で 昼食に出かけている。

関係者と名乗る人が外出先から電話で 緊急なのでパスワードを教えて欲し い と言われたのですぐ対応した。

インターネットからダウンロードしたソフトなど を勝手にインストールしている。

机には書類や郵便物が山済み、離席時も 重要情報が置きっ放しになっている。

裏紙をコピー用紙として再利用 しているが、中には重要書類も 混じっている。

そのほかにも そのほかにも･･････ ２２

＜

＜身の回りの再確認身の回りの再確認＞＞

無防備な環境下になっていませんか？

鍵がかからない

片付けられない書類

控えているパスワ−ド Password Password

スクリ−ンセ−バが かからないモニタ−

出力した帳票

身の回りの再確認

5

＜実践事例

＜実践事例＞＞

2008/8/15

印刷ログ管理によるセキュリティ対策 印刷ログ管理によるセキュリティ対策

AM ８：３０出社 AM ８：３５

文書破棄文書破棄 ログイン (ログアウト)

文書管理 印刷

PM５：３５退社保管、活用

暗号化

２.

入室外出退室

ログ収集

電子ドキュメントのセキュリティ管理を実現したい

セキュリティ付き セキュリティ付きPDFPDFの活用の活用

４

^※

不正侵入を防止するには？

ICカードによる入退室管理カードによる入退室管理

１

^※

社外へのｅメール送信による情報漏洩を抑止したい

ｅメール全文保存 ｅメール全文保存

インターネットの利用を制限してセキュリティを強化したい WebWebアクセスのログ管理アクセスのログ管理

２

^※

３

^※

ＰＣの盗難・紛失による情報漏洩を防ぐには？

モバイル モバイルPCPCの安全対策の安全対策

５

^※

外出・退社時の机上の書類整理とＰＣ管理を徹底

クリアデスク・クリアスクリーン クリアデスク・クリアスクリーン

効果的、効率的なセキュリティ教育を実施するには？

-Learning

によるセキュリティ教育によるセキュリティ教育

セキュリティルール遵守を日常管理に定着させるには？

セキュリティセルフチェックの実施 セキュリティセルフチェックの実施

コピー・プリント出力による紙ドキュメントからの情報漏洩を防ぐには？

紙ドキュメントの安全、環境に配慮した処理方法とは？

機密区分に応じた最終処理ルール 機密区分に応じた最終処理ルール

６

^※

７

^※

８

^※

９

^※

１０

^※

印刷ログ管理によるセキュリティ対策 印刷ログ管理によるセキュリティ対策

実践事例：

日常業務におけるセキュリティ強化への取組み

導入前 （困りごと・ニーズ）

導入後 （導入効果）

導入した仕組み

・入退室時のログを活用し、出退勤管理システムと連携が図れるようになり、勤怠入力の業務削減と管理強化が図れた

・ＩＣカ−ドを利用したＰＣセキュリティの強化、ＭＦＰのドキュメント出力の制御によるセキュリティの強化を連動します

ここがポイント 今後の展開

・社員証の携帯は実施しているが、入退出のチェックが仕組みとして定着していない

・ＩＴ／Ｓに携わるビジネスをしている会社としてセキュリティ対策が要求されている

・許可の無い部外者のオフィスへの入室が防止でき、

入退室セキュリティの強化が図れた

・各居室の入退室の記録管理が行えるようになった

概要企業の情報セキュリティ対策の重要性が一層高まっており、情報漏洩対策の一環として社屋統合・移転を機に入退室セキュリティシステムを導入し対策強化を実現した

非接触型ＩＣカード

【入退出管理システム】

認証確認時点で サーバに入退出者情 報（カード情報）

と入退出時間 を記録

認証サーバ

※ 認証装置

各扉毎の入退出 許可者の管理

（非接触型）

認証装置にＩＣカード をかざすだけで認証可能

１．ＩＣカードによる入退出管理

概要

導入 前（困りごと・ニーズ）

導入 後（導入効果）

導入した仕組み

シングルユーザIDへの一本化と参照したURLの追跡調査ができる（抑止が働く）

ここがポイント 今後の展開

Ｗｅｂの業務利用の普及により、適正利用の為の対応が急務となった

・必要な人にだけ WWWを利用する仕組み

・誰がいつどのURLを参照したか管理できる仕組み

・Webからウイルス感染を防御し,社内に蔓延させない

・仕事外に関係無いWebを参照しないよう、抑止したい

・必要な人だけによるWeb適正利用

・必要に応じて誰がどの URLを参照したか、管理者へ情報提供できる

・ウイルスチェックサーバにより、ウイルス感染の防止ができた

・禁止ＵＲＬの制御によるマナー対策が図れた

・利用者はＷＷＷ利用申請と共に誓約書に署名

・上司は業務上Ｗｅｂアクセスを必要と認めた人のみ認可

（シングルユーザIDによる認証者のみのログイン）

・ユーザID、日時、URL毎のログ情報管理

・ウィルス感染ファイルの隔離

・業務に不要なURLへのアクセス制御

ユーザ情報

⑤ログイン

インターネットインターネットＷＷＷ利用申請

③承認

④承認通知

ディレクトリ

（ＬＤＡＰ）

①WWW 利用申請

＆誓約書

②承認依頼利用者

Ｗｅｂ利用の認証制、ログ管理、ウイルス防御などによるＷｅｂの適正利用を図る

ウイルスチエック

誰がどのURLを参照したかの集計・分析Ｐｒｏｘｙログ管理

２．Ｗｅｂアクセスのログ管理

導入前 （困りごと・ニーズ）

導入後 （導入効果）

導入した仕組み

・メールの添付ファイル容量制限を行うことでメールサーバーや全文保存ディスクの急激な増加と大量情報の漏洩リスクを低減

・メール内容のキーワードチェックの実施

・メールの機密レベルチェック機能の導入（外部送信時は上司アドレス指定、社外秘メールはe-Mailアドレス指定不可）

ここがポイント 今後の展開

・ｅメールによる情報漏洩リスクの低減やメール内容の解釈違いによるトラブルなどのコンプライアンス面での対策が必要

（ＦｒｏｍＴｏと件名だけのログだけでは情報不足）

・マナー面や相手先メールサーバーへの影響から、大容量ファイルの送信は控えたい

・送信メールの全内容を保存することで、牽制効果とビジネストラブル時の追跡チェックが可能になった

・無料Ｗｅｂメールサイトをアクセス禁止にすることで漏洩の抜け道を遮断

・大容量ファイルのＵＲＬリンク転送機能により、相手先のメールサーバーの負担軽減などマナー向上に貢献

（ＵＲＬリンクとＩＤ・パスワードは別メールで通知）

概要社外へのｅメール送信データの全文保存と大容量ファイル交換の仕組みを構築することで、

メールによるトラブルやコンプライアンス問題の防止を実現

全文保存サーバー

クライアント

データセンター

大容量ファイルはU R L リンクで送受信

送信メール内容の 全文保存 インターネット

Dominoサーバー

URL イントラネット メールＧ／Ｗサーバー

３．eメール全文保存

導入前 （困りごと・ニーズ）

導入後 （導入効果）

導入した仕組み

・権限設定に使い慣れたグループウエアのユーザ情報（個人・グループ）が使えるので、確実で違和感の

無い制御が行える

・社外とのやり取りに対する展開

・Officeドキュメントを変換することなく管理できるソリューションの検討

ここがポイント 今後の展開

・グループウエア（Notes）に保存されるドキュメントファイルはローカル保存や印刷の権限制御をする

ことが出来ない

・これらのドキュメントファイルがメール・プリントアウトによって第三者に渡ってしまう危険が有る

・万一に備えて、機密文書を誰が参照や印刷を行ったのかが追跡出来る様にしておきたい

・印刷のセキュリティもコントロール出来るので、

紙の利便性を犠牲にすることなくセキュリティ保全を実現

・同一サーバーで通常のＰＤＦ変換処理も出来るので、

ＰＤＦ作成ソフトのライセンスも削減

概要 MicroSoft Officeなどのドキュメントファイルの参照や印刷の権限管理を行うことで、メールや印刷物による機密文書の外部流出防止を実現

セキュリティ サーバ

セキュリティポリシー クライアント

プリンタ ポリシー確認 ポリシー確認

②参照・印刷の可否 ③印刷の 制御 NotesDB

OK 表示 OK

NG コピー NG

OK（「極秘と出力者を表示」） NG 印刷

課長職のグループ部長職のグループ

権限

①PDF化＆

ポリシーのセット ログ収集ログ収集

秘配布

S/PDF

４．セキュリティ付きＰＤＦの活用

ドキュメント内 IRUCAA@TDC : 平成17年度試験問題作成とセキュリティの確保に関するワークショップ報告書 (ページ 80-89)