中小企業における最低限の情報セキュリティ対策のしおり

0

企業(組織)における最低限の

情報セキュリティ

対策のしおり

http://www.ipa.go.jp/security/

2015年8月21日 第4版

(1)

1

はじめに

本情報セキュリティ対策のしおりは、これから情報セキュリティ対策を実施してい こうと考えている企業(組織)の経営者(運営者)、管理者、従業者の方を対象と想定 しています。 本しおりの内容は、既に理解しているとおっしゃる方には、情報セキュリティ対策 の見直し、委託先や子会社に対するセキュリティ教育のための参考資料であると 理解してください。 本しおりに関する質問・相談につきましては、isec-info@ipa.go.jp まで電子メ ールにて連絡ください。

情報

資産

情報セキュリティ対策とは

企業（組織）はセキュリティ上の脅威に取り囲まれています

それらの脅威により問題が発生するリスク（危険性）を

減らす（予防する）必要があります

守るものは情報資産

（情報および情報を管理する機器やネットワーク等）

個人・顧客・企業(組織)情報を脅威から守る

会社内の設備を脅威から守る

言い換えれば…

お客様に迷惑をかけないようにすること

それが情報セキュリティ（対策）です

2

メールについて

バックアップについて

従業者について

取引先について

事故対応について

ルールについて

診断項目

保管について

持ち出しについて

廃棄について

事務所について

パソコンについて

パスワードについて

ウイルス対策について

情報セキュリティにかかわる脅威の中で、最も深刻な情報漏えい・情報流出。ま た、コンピュータウイルス感染による情報システムの停止やデータの破壊等も顧客 からの社会的な信頼を大きく失墜することとなります。情報セキュリティ問題は経営 のリスクであり、全ての企業(組織)において取り組む必要があります。 情報セキュリティ対策の進め方は、リスク分析からスタートし、自社に合った対策 基準や実施手順を策定しますが、企業(組織)にとっては「何をすれば良いか分か らない」というのが実情ではないでしょうか。そこで IPA では、『中小企業における情 報セキュリティ対策ガイドライン』を作成し、企業(組織)におけるセキュリティ強化を 支援しています。是非ともご活用ください。

5 分でできる！

中小企業のための情報セキュリティ自社診断

企業(組織)で実施しなければいけない最低限の情報セキュリティ対策を 25 項目 に絞込みました。この項目の実施状況を点検し、パンフレットの解説編と合わせて ご覧いただくことで、以下の内容を実現します。  _{どこにどのような問題点があるのかが把握できる}  _{問題点の把握により、次のステップとして具体的な対策の道筋が見えてくる}  _{情報セキュリティ対策の強化}

3

目次 / チェックリスト

№1 保管について 重要情報を机の上に放置せず鍵付き書庫に保管 し施錠するなどのように、重要情報がみだりに 扱われないようにしていますか？ ６頁 №2 持ち出しについて 重要情報を社外へ持ち出す時はパスワードロッ クをかけるなどのように、盗難・紛失対策をし ていますか？ ９頁 №3 廃棄について （紙媒体等） 重要な書類やＣＤなどを廃棄する場合は、シュ レッダーで裁断するなどのように、重要情報が 読めなくなるような処分をしていますか？ 12 頁 №4 廃棄について （電子機器・ 電子媒体等） 重要情報の入ったパソコン・記憶媒体を廃棄す る場合は、消去ソフトを利用したり、業者に消 去を依頼するなどのように、電子データが読め なくなるような処理をしていますか？ 14 頁 №5 事務所について 事務所で見知らぬ人を見かけたら声をかけるな どのように、無許可の人の立ち入りがないよう にしていますか？ 20 頁 №6 事務所について 退社時に、机の上の備品やノートパソコンを引 き出しに片付けるなどのように、盗難防止対策 をしていますか？ 22 頁 №7 事務所について 最終退出者は事務所を施錠し退出の記録（日時、 退出者）を残すなどのように、事務所の施錠を 管理していますか？ 24 頁 №8 パソコンについて Windows Update を行うなどのように、常に ソフトウェアを安全な状態にしていますか？ 27 頁 №9 パソコンについて ファイル交換ソフト を入れないようにするな どのように、ファイルが流出する危険性が高い ソフトウェアの使用を禁止していますか？ 31 頁 №10 パソコンについて 社内外での個人パソコンの業務使用を許可制に するなどのように、業務で個人パソコンを使用 することの是非を明確にしていますか？ 34 頁 №11 パソコンについて 退社時にパソコンの電源を落とすなどのよう に、他人に使われないようにしていますか？ 37 頁 №12 パスワードについて パスワードは自分の名前を避けるなどのよう に、他人に推測されにくいものに設定していま すか？ 42 頁 №13 パスワードについて パスワードを他人が見えるような場所に貼らな いなどのように、他人にわからないように管理 していますか？ 42 頁

4

№14 パスワードについて ログイン用のパスワードを定期的に変更するな どのように、他人に見破られにくくしています か？ 42 頁 №15 ウイルス対策について パソコンにはウイルス対策ソフトを入れるなど のように、怪しいＷｅｂサイトや不審なメール を介したウイルスから、パソコンを守るための 対策をおこなっていますか？ 48 頁 №16 ウイルス対策について ウイルス対策ソフトのウイルス定義ファイルを 自動更新するなどのように、常に最新のウイル ス定義ファイルになるようにしていますか？ 57 頁 №17 メールについて 電子メールを送る前に、目視にて送信先アドレ スの確認をするなどのように、宛先の送信ミス を防ぐ仕組みを徹底していますか？ 63 頁 №18 メールについて お互いのメールアドレスを知らない複数人にメ ールを送る場合は、Bcc 機能を活用するなどの ように、メールアドレスを誤って他人に伝えて しまわないようにしていますか？ 66 頁 №19 メールについて 重要情報をメールで送る場合は、重要情報を添 付ファイルに書いてパスワード保護するなどの ように、重要情報の保護をしていますか？ 69 頁 №20 バックアップについて 重要情報のバックアップを定期的に行うなどの ように、故障や誤操作などに備えて重要情報が 消失しないような対策をしていますか？ 77 頁 №21 従業者について 採用の際に守秘義務があることを知らせるなど のように、従業者に機密を守らせていますか？ 82 頁 №22 従業者について 情報管理の大切さなどを定期的に説明するなど のように、従業者に意識付けを行っています か？ 84 頁 №23 取引先について 契約書に秘密保持（守秘義務）の項目を盛り込 むなどのように、取引先に機密を守ることを求 めていますか？ 88 頁 №24 事故対応について 重要情報の流出や紛失、盗難があった場合の対 応手順書を作成するなどのように、事故が発生 した場合に備えた準備をしていますか？ 92 頁 №25 ルールについて 情報セキュリティ対策（№1～№24 など）を会 社のルールにするなどのように、情報セキュリ ティ対策の内容を明確にしていますか？ 95 頁 合計点： 参考までに、各設問の採点は以下のとおり… ○：実施している 4 点、△：一部実施している ２点、×：実施していない/わからない ０点

5

情報(資産)の扱いは・・・

№1 保管について 重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、 重要情報がみだりに扱われないようにしていますか？ №2 持ち出しについて 重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗 難・紛失対策をしていますか？ №3 廃棄について（紙媒体等） 重要な書類やＣＤなどを廃棄する場合は、シュレッダーで裁断するなどのよ うに、重要情報が読めなくなるような処分をしていますか？ №4 廃棄について（電子機器・電子媒体等） 重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用 したり、業者に消去を依頼するなどのように、電子データが読めなくなるような 処理をしていますか？

6

情報漏えい事故を引き起こす原因の多くは、（情報の）管理ミスあるいは誤操作 によるとされています（図 1）。この管理ミスとは、会社内で情報を管理するためのセ キュリティ対策が定められているにもかかわらず、それらのルールを守らなかった り、知らなかったりするために発生するもの（管理できなかったもの）と考えられます。 さらに、誤操作はうっかりミスを含むもの、例えば封書や FAX、電子メールの誤送 信等が挙げられます。また、どんな情報媒体で情報漏えい事故が発生しているか というと、やはり紙媒体が多いようです（図 2）。紙媒体は、USB 等の可搬記録媒体 や PC 本体が情報漏えい事故の原因であった場合に比べて、漏えいする情報の量 は少ないのは確かですが、些細なミスにより事故が発生する場合が多いようです。 例えば、事務所の中の自分の机の上に放 置されたドキュメント類、これは大切な情報 （漏れてはいけない情報）ではないのでしょう か？放置された情報は、誰かに持ち去られ たり、盗み見されたりする危険性があります。 ちょっと席を外す場合も、退社時も同じです。 重要情報は机の上に放置せず鍵付き書庫に 保管するなどのように、重要情報がみだりに 扱われないようにしましょう。

№１ 保管について

重要情報を机の上に放置せず鍵付き書庫

に保管し施錠するなどのように、重要情報

がみだりに扱われないようにしていますか？

7

図 1 漏えい原因比率 （件数）

机の上に放置した情報は、誰かに持ち去られる危険にさら

されています。関係者以外が見たり触れたりできないよう、重

要情報は

放置せず

、管理および保護する必要があります。

そこで質問）

重要情報を机の上に放置せず鍵付き書庫に保管し施錠する

などのように、重要情報がみだりに扱われないようにしていま

すか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

8

9

会社内からの安易な情報の持ち出しは、情報漏えい事故を引き起こす大きな要 因となります。それらの情報を社外でウッカリ置忘れ（紛失）したり、盗難にあったり すると、それは情報漏えい事故になります。 営業活動等の社外業務で必要な情報を持ち出す際は、それらの情報が紛失・盗 難にあっても、情報漏えいに繋がらないようにするには、情報そのものが他人には 触れない、開かない、読めない状態にしておく必要があります。 紙媒体（書類等）であれば、社外では必要もなく鞄から出さない、ファイルバイン ダーやクリアファイル/ホルダー等にきちんと綴じておく、さらに鞄は体から離さない （電車やバスで空いている席や網棚に放置しない）、鞄に鍵をかける、さらに（笑え るかもしれませんが）鞄を持っているときは居眠りしないなどのような盗難・紛失対 策が必要です。

№２ 持ち出しについて

重要情報を社外へ持ち出す時はパスワード

ロックをかけるなどのように、盗難・紛失対

策をしていますか？

10

暗号化

鈴

大きなタグ

USB 可搬記憶媒体等の電子記憶媒体であれば、データの暗号化（パスワードに よるロック）、媒体をなくさないための工夫（大きなタグを付ける、ストラップを付け体 から離さない、落としてもすぐに分かるように鈴を付ける）などのような盗難・紛失対 策さらには、紙媒体と同じように、それらを入れた鞄の扱いに注意する必要があり ます（例えば、飲み会には持っていかないほうが無難です）。 パソコン（ノートブックＰＣ、ネットブックＰＣ、タブレットＰＣ、スマートフォン等のモ バイル機器）に情報を格納した状態で持ち出す場合は、それらの情報が漏えいし ないために、パソコンを推測さ れにくいパスワードで保護（ロ グインパスワードの設定や BIOS パスワードロック＊１_）した り、格納された情報や内蔵さ れた HDD（ハードディスクドライ ブ）を丸ごと暗号化したりする ことで、他人にパソコンの中身 が開けない（見えない）ように する必要があります。 *1) BIOS パスワードロック パソコンを起動する際にパスワー ドによるロックをかけるもので、マザ ーボート単位にロックされます。パソ コンそのものを勝手に使わせないという意味では意味がありますが、このロックを掛けていても内 蔵 HDD はロックされないので、内蔵 HDD を直接取り出された場合は、その内容を外部から参照 することができます。安全性を考えるなら、HDD 丸ごとの暗号化をするほうが無難です。 ところで、情報の持ち出しに関しては、『そもそも持ち出していいの？』が基本で す。安易な持ち出しを防止するためには、情報の持ち出しを管理する必要がありま す。例えば、「情報を持ち出す際は、上長の許可が必要である」とか、「持ち出す情 報の記録をきちんととる」などのような、持ち出し管理が重要です。

11

ここで、持ち出し情報をとることのもう一つの利点を紹介します。 万が一、持ち出した情報を紛失した場合、どんな情報がなくなったのかすぐに明 確にすることができるので、事故後の対応が早くできます。まぁ、事故を起こさない のが原則ですが… 最近では、携帯電話を業務に利用する場合が多いようですが、携帯電話の中に も重要な（他人に漏れてはいけない）情報が入っているでしょう。そこで、携帯電話 は暗証番号によるセキュリティロ ックをお奨めします。しかし、この セキュリティロックは結構面倒な ものです。その面倒が嫌な人に は、キャリア等が用意するリモー トロックサービスの存在を覚えて おいてください。これは、携帯電 話をなくした、あるいは盗まれた 際に、リモート（携帯電話から離 れたところ）からセキュリティロッ クをかけることのできるサービスです。

重要情報を社外に持ち出す場合、思わぬ盗難にあったり、う

っかり紛失したりすることがあります。携帯電話やパソコンの起

動やデータファイルに

パスワード

を設定するなどの対策を事前

に行っておけば、盗難・紛失時に情報を簡単に見られないよう

にすることができます。

そこで質問）

重要情報を社外へ持ち出す時はパスワードロックをかけるな

どのように、盗難・紛失対策をしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

12

重要書類はシュレッダーで裁断!!

溶解･焼却処分をするなら処分業者ときちんと契約!!

廃棄書類は手が離れるまで管理、放置は厳禁!!

できれば鍵の掛かるロッカーへ・・・

一般のゴミ収集は、どうなるか分からない!!

持ち出した書類やデータが一番危ない!!安易に廃棄しない!!

重要な情報が記載された書類（CD などに格納された電子書類も含む）を廃棄処 分にする際どのようなことに気をつけていますか？「№1 保管について」でも紹介し たように、情報漏えい事故での漏えい媒 体・経路では紙媒体がトップです。安易な 廃棄を行ったがために、重要な情報が漏 えいすることは、うっかりミスでは済まされ ないことです。 あなたは、重要な情報が記載された書 類を、机の横の（一般ゴミ用の）ゴミ箱に 捨てていませんか？ 重要情報が記載された書類をゴミ箱に そのまま捨てると、関係者以外の目に触れてしまい、重大な漏えい事故を引き起こ すことがあります。重要情報を破棄する場合は、シュレッダーを利用するなど、情報 が漏れない対策が必要です。 そこで、廃棄についての注意事項 その１

№３ 廃棄について（紙媒体等）

重要な書類やＣＤなどを廃棄する場合は、

シュレッダーで裁断するなどのように、重要

情報が読めなくなるような処分をしていま

すか？

13

最近では、CD や DVD、FD（フロッピーディスク）や MO（光磁気ディスク）、さらに は SD（メモリーカード）やＵＳＢメモリまで直接裁断できるメディア専用のシュレッダ ー（メディア・シュレッダー）も登場しています。

（ちょっとした疑問ネタ）

SD カードの SD って Secure Digital の略って言われることがあるけど、何が Secure なのか考え てみたら、標準サイズの SD カードには誤消去防止スイッチ（上書き防止スイッチ）があるのを思 い出した。このせいかなぁ？これは、ウイルス感染も防げるので便利なんだけどなぁ… 細かく裁断することで、 これらの媒体の安易な廃 棄により発生する情報漏 えいを、未然に防止するこ とができます!!

そこで質問）

重要な書類やＣＤなどを廃棄する場合は、シュレッダーで裁

断するなどのように、重要情報が読めなくなるような処分をし

ていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

14

今まで業務に利用していたパソコンや外付けＨＤＤ（ハードディスク装置）、各種 の外部記憶媒体（CD/DVD/FD/MO/SD/USB メモリ/磁気テープ等）は、不要にな って廃棄する際には、格納（記録）されたデータ（情報）をきちんと消去しておく必要 があります。 消えないファイル？ 通常、これらの電子機器等を使用する際は、ファイルの削 除機能を利用することが多かったと思います。例えば、パソ コンのハードディスク上の不要になったファイルを削除する 場合は、パソコンのＯＳ（オペレーティングシステム）に用意さ れたファイル削除（機能）を実施していたはずです。 しかしながら、この機能は見ため上でファイルを削除（ファ イルが何処に記録されていたかの情報のみ消去）する機能 で、（パソコン上の機能では使えない状態ですが、）物理的に はファイル内のデータはそのままの形で残っている場合がほ とんどです（ゴミ箱の話ではありませんので注意してくださ い）。これは、記憶媒体の寿命を延ばしたり、削除機能の効 率や見ため上の処理速度を高めたりするために、このような 仕様になっています（通常の使用環境では特に問題は発生 しません）。 こういった、見た目上削除されたファイルは、専用のファイ ル復元ソフトを利用すると、ファイルの記録位置が他のファイ ルによって使われない（上書き利用されない）限り、元の形で 復元することができます。つまり、見た目上は存在しないファ

№４ 廃棄について（電子機器・電子媒体等）

重要情報の入ったパソコン・記憶媒体を廃

棄する場合は、消去ソフトを利用したり、業

者に消去を依頼するなどのように、電子デ

ータが読めなくなるような処理をしていま

すか？

15

イルが、ファイル復元ソフトを利用（一般的には特殊な操作です）することで、復活し てしまう場合があるということです。 結果、廃棄されたパソコンのハードディスクドライブ（HDD）や、フロッピーデスク （FD）や光磁気ディスク（MO）、フラッシュメモリ（不揮発性半導体メモリ）などから消 したはずのファイル（データ）が流出（漏えい）する危険性があるわけです。 特に、USB メモリやメモリカードに代表されるフラッシュメモリは、容量の割に価 格が安くなっているため、多くの方が利用していますが、安易な利用・操作がアダと なる危険性を多く含んでいることを忘れてはなりません。 蛇足ですが… 【フラッシュメモリの危険性】 機動性、格納性に優れたフラッシュメモリは、それらの貸し借りが行われた時点 で、大きな危険性を含んでいます。 友人・知人さらには業務上での同僚や顧客間で、USB メモリを貸し借りすること があると思いますが、これは大変危険な行為です。USB メモリを貸す際に、記録さ れたデータをファイルの削除機能等で削除して貸し借りをしたとしても、借りた人に 悪意があれば、記録されたファイル（データ）を復元されてしまう危険性があるわけ です（一般的なフォーマットでは解消されない問題：前述のファイルの削除機能と同 じ問題で、特にフラッシュメモリでは寿命問題[後述]があるので深刻です）。 例えば、デジタルカメラのメモリカードを貸し借りした場合、過去に記録されてい た(他人には見せたくない)写真が、借りた人に勝手 に復元されて、インターネット上に暴露されたら… よくある芸能人の流出画像などはこういったものか ら流出したものと考えられます…とても厄介な問題 へ発展することになります。 また、業務活動で顧客にデータを受け渡しする 際に、他の顧客との情報交換に利用されたことの ある USB メモリ等を利用した場合、最悪の場合は 以前の顧客との交換情報が他の顧客に漏れてし まう危険性があります。

16

ＦＤは分解して中身をはさみで切る!!

ＣＤ/DVD は折り曲げて割る!!

ＵＳＢメモリ等のフラッシュメモリ、パソコン用のＨＤＤもファイ

ルの削除では不十分!! 消去ソフトを使うか、壊して捨てる!!

専門業者に頼むのもあり!!

FAX やコピー機も要注意!! 捨てる時は専門業者に・・・

デジタルカメラ、携帯電話も要注意!!

この問題を解決する方法は二つ、一つ目は USB メモリの貸し借りはしない方法、二 つ目はデータの自動暗号化のできる暗号化 USB メモリを利用す ることです。暗号化されたファイル(データ)は、暗号キー（鍵）を変 更することで、ファイル復元ソフトでもファイルを復元できなくす ることができます（逆に言うと復元したくてもできません）。そう いった意味では、業務で使用するなら自動暗号化機能のつい た暗号化 USB メモリを使うことをお奨めします。ただし、正しい 管理と運用が必要なので注意してください。 フラッシュメモリの寿命問題 フラッシュメモリは不揮発性半導体メモリと呼ばれ、内部は無数のスイッチの塊 です。このスイッチが ON/OFF の状態で情報が記録されますが、このスイッチは開 け閉めによる回数の寿命があります。そのため、フラッシュメモリではこのスイッチ がなるべく開閉されないようにデータを記録する構造になっており、同じスイッチを 連続して使わないなど、記録場所が上書きされる確率が低い記録媒体と言えます。 結果、ファイルの復元可能性が高い記憶媒体となっています。 本題に戻ります。 パソコンや CD・USB メモリなどの記憶媒体に保存された情報は、「ファイル削除」 などの操作をしても、復元ツール等を用いて情報を取り出すことが可能です。重要 情報の入ったパソコンや記憶媒体を廃棄する場合は、消去ソフトウェアを利用する など、情報を確実に消去する措置が必要です。 そこで、廃棄についての注意事項 その２ 今ではあまり使われなくなったフロッピーディスク（FD）ですが、情報が漏れない ように確実に廃棄するには、中身の記録媒体部分を読めないようにする必要があ ります。FD のシャッター部分を開けて、記録媒体を傷つけるか、外装を分解して、 記録媒体部分をハサミで切るのが無難です。

17

CD や DVD に関しては、割ってしまうのが基本ですが、メディアシュレッダー等で 裁断（破砕）する方法もあります。もっと手頃な方法としては、読み取りができないよ うに媒体に傷をつける方法もありますが、注意が必要なのは、どちらの面を傷つけ るかです。よく誤解されるのですが、キラキラしている面を傷付ける人がいますが、 これは間違いです、この面は分厚いコーティングが施してありますから、付けられ た傷を専用の装置で研磨することで、読み取りが可能となります。したがって、傷を 付けるのは、一般にレーベル面と呼ばれるレーベルが書かれている面となります。 このレーベルの裏側に記録媒体があるので、基礎の素材が出るほどの傷（反対が 透けるほどの傷）をつけることで、読み取りができなくなります。 USB メモリ等のフラッシュメモリやパソコン用の HDD（ハードディスクドライブ）は、 ファイルの削除機能では完全に消去できないので、専用のデータ消去ソフトを利用 するか、機器を壊して（例えばドリルで HDD に穴をあける等）捨てることになります。 いずれにしても、自分たちで実施するだけでなく、専門の業者に依頼する方法もあ ります。これらの消去（あるいは業者）がいい加減だと、こんな事故につながる場合 もあります。 FAX やコピー機を廃棄する場合も注意が必要です。最近のこれらの機器は、処 理性能を向上させるために、内蔵メモリをもっており、FAX 送信やコピーを行う際に、 こちらの面に 傷をつける 2009 年 6 月のニュース記事 ガーナで販売されていた中古 HDD から米国(企業)の機密情報が発見された  _{世界の電子廃棄物事情を調査していたジャーナリスト・チームが、ゴミの} 山から情報セキュリティ問題を掘り当てた  _{米国企業の機密文書（国防情報）を発見}  廃棄業者(委託先)のデータ消去が不十分→盗難→部品販売 一方国内では、2010 年 1 月のニュース記事 ネット落札のＰＣに顧客情報、買い取り求め恐喝未遂容疑  ネットオークションで落札した PC の HDD から企業の情報が消去されてい なかった  _{落札者は、買い取りを求めて企業を恐喝しようとした}

18

それらのデータをメモリに記憶します。このメモリの内容から情報漏えいする危険 性があるので、廃棄する場合は専門の業者に依頼し、メモリの内容を完全に消去 してから廃棄してください。 当然のことですが、デジタルカメラや携帯電話も同様に、廃棄の際は注意が必 要です。内蔵メモリのデータを消去できる自信がない場合は、安易にオークション 等に出品するのではなく、専門業者に廃棄を依頼することをお奨めします。

そこで質問）

重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消

去ソフトを利用したり、業者に消去を依頼するなどのように、

電子データが読めなくなるような処理をしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

19

事務所では・・・

№5 事務所について 事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の 立ち入りがないようにしていますか？ №6 事務所について 退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのよう に、盗難防止対策をしていますか？ №7 事務所について 最終退出者は事務所を施錠し退出の記録（日時、退出者）を残すなどのよう に、事務所の施錠を管理していますか？

20

事務所そのもののセキュリティの話です。 誰でも気安く入ってこられる事務所は良いですか？ でも、大事な情報が盗まれる危険まで犯す価値があ るのでしょうか？ 事務所の中に見知らぬ人がいることは、セキュリティ 上問題があることを、事務所で業務を行う人は、当たり 前のこととして認識していなければなりません。事務所 の中を整理整頓していても、大事な情報がそこに存在 することは確かです。これらの情報が、見ず知らずの人 に勝手に盗み見されたり、持ち出されたりすることはあってはなりません。 事務所を訪問された方が誰なのかを明確にすること は、業務上でも必要なことです。訪問記録に記入しても らう、名刺をいただく、あるいは声を掛けることによって、 その誰かによって行われるかも知れない不正な行為を 抑止することができるかもしれませ ん。 また、事務所への訪問者を一 人事務所に残すことは、面識があ るなしに係わらず情報漏えいや盗 難の危険があります。このような 場合は、訪問者にも一度事務所 から退室いただく必要がありま す。

№5 事務所について

事務所で見知らぬ人を見かけたら声をかけ

るなどのように、無許可の人の立ち入りがな

いようにしていますか？

21

さらに、忘れてはいけないこととして、 事務所の清掃やメンテナンスを外部業 者に依頼する場合も同じです。それらの 作業者のみが事務所内に残る状況を 作り出すことは危険です。 こういった作業には、事務所内の従 業者が立ち会うのが妥当でしょう。 事務所に入ってきてもあまり違和感のない人たちは… 清掃の作業者さん 空調などのメンテナンス作業者さん 宅急便やバイク便等の輸送会社の作業者さん 保険等の外交員さん 消防点検の作業者さん など でも、見慣れた人あるいは違和感のない人にも注意が必要です。

関係者以外の社内の立ち入りを制限しなければ情報を盗み

取られる危険性があります。特にサーバや書庫・金庫などの近

くには無許可の人が近づいたり、操作できないようにしましょ

う。

そこで質問）

事務所で見知らぬ人を見かけたら声をかけるなどのように、

無許可の人の立ち入りがないようにしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

22

「従業者がすべて帰った事務所は施錠する」が当たり前ですが、事務所の中の 机の上に、安易に持ち出せるような備品やノートパソコンを放置しておくことは、と ても危険です。万が一、事務所の施錠を忘れてしまい、事務所荒らしに遭えば、机 の上等に放置された、こういったものが盗み出されるのは当然のことです。 特に、機動性（持ち運びやすさ）を重視したノートパソコンは、盗まれやすいだけ でなく、格納された大事な情報が流出する危険性も持っています。 これは夜に限った話ではありません。昼間、ちょ っと事務所を空けたすきに、ノートパソコンが盗難に 遭う話は良く聞きます。席を外す度に、ノートパソコ ンを机の中やロッカーにしまうのは厄介です。そこ で重宝するのが、ワイヤーロックです。 事務所内で使うノートパソコンは、ワイヤーロック で机などに縛り付けておくことで、盗難防止となりま す。 しかし、夜間は別です。夜間に事務所に侵入する ような泥棒の場合、ワイヤーロック程度の仕掛けを壊すのは、人 目さえなければ簡単なことです。いわゆる ワイヤーカッター等で簡単に切断すること ができるからです。そこで重要なのが、従 業者が退社した夜間などは、こういった備 品やノートパソコンを（鍵の掛る）机の引き 出しや（鍵の掛る）ロッカーに片付ける（直 接目に触れないようにする）ことで、盗難 防止となるわけです。

№6 事務所について

退社時に、机の上の備品やノートパソコンを

引き出しに片付けるなどのように、盗難防

止対策をしていますか？

23

ノートパソコンや携帯電話、USB メモリは持ち運びでき利便

性が高い反面、盗難の危険性も高いものです。退社時には引

き出し等に保管しましょう。

そこで質問）

退社時に、机の上の備品やノートパソコンを引き出しに片付

けるなどのように、盗難防止対策をしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

24

「従業者がすべて帰った事務所は施錠する」が当たり前ですが、誰が鍵を掛ける のか決まっていない場合は厄介です。事務所の施錠忘れにより、事務所荒らしに 遭うこともあるからです。 では、鍵の掛け忘れを防ぐ方法はないのでし ょうか？ 一つの回答が、事務所の退出記録を実施する ことです。事務所の最終退出者が、退出する際 の記録を残すことで、事務所を空ける場合の手 続きを明確にすれば、その記録する行為（行動） から、施錠し忘れを防止することができるでしょ う。 では、退出時の記録とはどんなものがあるでし ょうか？ 例えば… 日付 退出時間と退出者名 机の上に大事な書類は･･･チェック パソコン（モニターも）の電源チェック コピー機やシュレッダーの電源チェック 消灯チェック 施錠チェック

№7 事務所について

最終退出者は事務所を施錠し退出の記録

（日時、退出者）を残すなどのように、事務

所の施錠を管理していますか？

25

こういった記録をとることで、しなければいけないことを理解し、実施することがで きるようになります。

最終退出者と退出時間の記録を残すことは、最終退出者に

よる施錠の責任意識を向上することにも役立ちます。施錠と

記録の管理をしましょう。

そこで質問）

最終退出者は事務所を施錠し退出の記録（日時、退出者）

を残すなどのように、事務所の施錠を管理していますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

26

パソコンは・・・

№8 パソコンについて Windows Update を行うなどのように、常にソフトウェアを安全な状態にしてい ますか？ №9 パソコンについて ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する 危険性が高いソフトウェアの使用を禁止していますか？ №10 パソコンについて 社内外での個人パソコンの業務使用を許可制にするなどのように、業務で 個人パソコンを使用することの是非を明確にしていますか？ №11 パソコンについて 退社時にパソコンの電源を落とすなどのように、他人に使われないようにし ていますか？

27

Windows Update とは、Microsoft 社の Windows OS を利用しているパソコンに対 して、定期的（通常 1 ヶ月に 1 度）に OS（オペレーティングシステム：パソコンが基本 動作するために必要なシステム）および関連する Microsoft 社の提供するアプリケ ーションソフトウェア（Microsoft Office：Excel、Word、Internet Explorer 等）のバグ修 正、バージョンアップ等の更新プログラムを提供するサービスです。特に、OS やア プリケーションが持つセキュリティ上の問題点（プログラムの欠陥や仕様上の問題 点）を修正するセキュリティ更新は、パソコンを安全に利用するためには必須のも のなので、速やかな適用が必要です。 Microsoft 社以外の OS を利用しているパソコンの場合も、OS の提供元から定期 的あるいは随時にセキュリティ更新が提供されています。Windows OS 以外を利用 している場合も、こういった更新の提供が、パソコンを安全に利用するためには必 須のものなので、速やかな適用が必要です。 ちなみに、ここに挙げたセキュリティ上問題となる問題点を、情報セキュリティ対 策の分野では、セキュリティホールとか脆弱性（ぜいじゃくせい）と呼んでいます。こ の脆弱性を悪用されると、パソコンが遠隔（リモート）操作で乗っ取られたり、コンピ ュータウイルスに感染させられたりしてしまう危険性があります。こういった脆弱性

№8 パソコンについて

Windows Update を行うなどのように、

常にソフトウェアを安全な状態にしています

か？

最新の状態に

更新しました!!

28

に関する情報は、OS やアプリケーションを提供する開発元（ベンダー）や配布元が 情報発信していますが、IPA でも JVN（Japan Vulnerability Notes：脆弱性対策情報 ポータルサイト）を通じて情報発信しています（参考情報を参照されたい）。 最近では、Microsoft 社を含む OS やアプリケーションのベンダーでは、OS やアプ リケーションの脆弱性を解消するためのセキュリティ更新を自動的に適用する設定 やボタン（クリック）ひとつで更新を適用する方法を推奨しています。こういった設定 をパソコン上で実施することで、パソコンをより安全に利用することができるので、 利用している OS やアプリケーションの設定がどうなっているか、あるいは最新の状 態であるか確認することをお勧めします（JVN でも利用者の多いアプリケーション等 のバージョンが最新であるかチェックするためのツールを提供しています：参考情 報を参照されたい）。 蛇足（ウンチク）ネタ その 1：Windows Update はいつ公開されるのか？

Microsoft の Windows(Microsoft) Update は、日本では 毎月 1 回、第 2 火曜日の翌日の水曜日（第 2 水曜日では ありません）に公開されます。これは、米国での英語版の Windows Update の公開が米国時間の第 2 火曜日に実施 されるためです。どうでもいい情報ですが、ウンチクとし て覚えておくとよいかもしれません。 その 2：リモートでコードが実行される？

Microsoft の Windows(Microsoft) Update では、脆弱性の影響として「リモートで コードが実行される」といった表現がされる場合があります。これは、不正なプロ グラムによって脆弱性が悪用され、プログラムに組み込 まれた不正な(パソコン利用者にとって不利益となる)処 理が実行されることです。この不正なプログラムが、パソ コンの外から配布（送り込まれて）されているので、「リモ ートでコードが実行される」と表現しています。例えば、利 用者に隠れて、利用者がパソコンを起動するたびに動作 するプログラムを仕込んだり、利用者の大切な情報を盗 み出すプログラムが仕込まれたりします。最悪の場合は、OS そのものを破壊さ れる場合もあります。コンピュータウイルスが悪用する場合もあり、脆弱性を悪用 してウイルスに感染させる処理が実行されます。「リモートでコードが実行される」 という表現は、英文の Remote Code Execution から訳されたものです。

29

＜参考情報＞

JVN （Japan Vulnerability Notes：脆弱性対策情報ポータルサイト）

http://jvn.jp/

MyJVN （脆弱性対策情報収集ツール、バージョンチェッカ、セキュリティ設定チェ ッカ）

http://jvndb.jvn.jp/apis/myjvn/

30

セキュリティホールと呼ばれる安全上の欠陥を放置している

と、それを悪用したウイルスに感染してしまう危険性がありま

す。お使いのソフトウェアには、修正プログラムを適用するもし

くは最新版を利用するようにしましょう。

そこで質問）

Windows Update を行うなどのように、常にソフトウェアを

安全な状態にしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

31

図 ファイル交換ソフトから情報流出する仕組み ファイル交換ソフトを介した情報漏えい事故は後を絶ちません。何故こういった 事故が起きるのでしょうか？ もともとは、ファイル交換ソフトはインターネットを通じて情報交換をしたい人たち によって作成されました。情報(ファイル)交換がスムーズに行えるように、いろいろ な技術を駆使して構築されました。ところが、こういった便利な機能は、利用者によ っては当初の意図とは違った利用方法を見つけ出します。結果、さまざまな悪意の ある情報（ファイル）や、本来は著作権等で守られたファイルが流通するようになり ました。悪意のあるファイルには、利用者のパソコン上にあるさまざまな情報(ファイ ル)を利用者に黙ってファイル交換ネットワーク上にさらしてしまうものが現れました。 これが、暴露ウイルスと呼ばれるコンピュータウイルスです。

№9 パソコンについて

ファイル交換ソフト を入れないようにする

などのように、ファイルが流出する危険性が

高いソフトウェアの使用を禁止しています

か？

32

調査によれば、ファイル交換ネットワーク上の多くのファイルが悪意のあるもので あると言われています。これらの悪意のあるファイルは、利用者を騙すさまざまな 工夫がされており、利用者が誤って実行してしまうとパソコンに感染します。そうい った理由で、ファイル交換ソフトは情報（ファイル）が流出する危険性の高いソフトウ ェアといわれています。 このようなソフトウェアを、例えば業務で使う会社のパソコンに入れて（インストー ル）して利用していると、自分の意思でないにしろ暴露ウイルスに感染して、会社の 重要な機密情報がネットワーク上に流出する危険性があります。 ファイル交換ソフトを介した情報流失事故では、話題性の高いものもあり、それら が報道されることにより、いっそう情報が拡散するといった弊害もあるようです。 例えば、 ＜参考情報＞ Winny による情報漏えいを防止するために http://www.ipa.go.jp/security/topics/20060310_winny.html そのため、会社内で使うと危ないソフトウェア（アプリケーション）の代表格として ファイル交換ソフトが挙げられています。しかしながら、それだけが危ないものでは ありません。 業務に無関係なソフト、誰も保障してくれないフリーソフト、私物ソフトなども、  _{脆弱性対策ができない（サポートされていない）}  _{情報を盗んだり、壊したりする不正なプログラムが入っているかもしれない（偽} ウイルス対策ソフトなど） などの理由で危ないソフトウェアといえます。 原発情報流出 警察の捜査資料が流出 銀行の預金者情報が流出 病院から患者の手術情報が流出 自衛隊の機密情報が流出 オンラインショッピングの顧客情報が流出 証券取引所のシステム情報が流出 空港の保安情報が流出 企業から顧客情報が流出 等

33

こういった、危ないソフトウェアは少なくとも会社内の業務に使うパソコンには入 れないようにしましょう。また、何らかの理由で、会社の重要な情報を自宅等のパソ コンで利用しなければならない場合は、自宅のパソコンでもこういったソフトウェア を入れない必要があります。普段何もないから大丈夫は間違いです。いつ何時悪 意のある処理が実行されるかわからないという自覚を持って重要な情報を取り扱う ようにしましょう。それが、事故を起こさないための鉄則となります。 自宅のパソコンの場合、注意しなければいけないのは、自分は危ないソフトウェ アを使っていないと信じていても、家族の誰かが利用している可能性です。自宅の パソコンは会社の管理下にはないのですから、その使い方などは家族の間で話し 合っておく必要もあります。家族の誰かがファイル交換ソフトを使っていたら、間違 っても会社の大事な情報は、同じパソコンで利用してはいけません。

ファイル交換ソフトによる情報漏えいは、依然として多数確

認されています。 Winny や Share などは危険なプログラムの

代表例です。

そこで質問）

ファイル交換ソフトを入れないようにするなどのように、ファ

イルが流出する危険性が高いソフトウェアの使用を禁止してい

ますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

34

私物パソコンは

企業として管理できない

会社内の業務を行うにあたって、個人のパソコン（私物パソコン）を利用していま せんか？会社内の業務で使うパソコンと私物パソコンでは、通常はそれらのパソコ ンの動作環境が違います。 私物パソコンにおいては、会社内で決められたパソコ ンのセキュリティ対策が実際できない場合があります。 例えば、指定されたセキュリティ対策ソフトが動作してい ないとか、データの暗号化やバックアップの問題や、利 用可能な電子メールなど、いろいろな面で会社内の業 務パソコンとは違ったものとなります。このような私物パ ソコンを業務に利用した場合、予測不能なセキュリティ 事故が発生する危険性があります。 私物パソコンの場合は、№９で説明したファイル交換ソフ トが家族の手によってインストールされ、利用されている可 能性もあります。さらに、業務利用後のパソコンで利用した データを削除し忘れたことが、将来のデータ流出につながる 可能性もあります。 と考えてください。 こういった危険を回避するためには、業務で利用するパソコンは、会社で用意し、 会社の管理下で利用されるべきです。 しかしながら、諸般の事由により、私物パソコンを利用しなければならない場合も あるかもしれません。その際は、私物パソコンの利用を会社が把握し、必要に応じ

№10 パソコンについて

社内外での個人パソコンの業務使用を許可

制にするなどのように、業務で個人パソコン

を使用することの是非を明確にしています

か？

35

許可制にするなど対応が必要です。当然、会社が許可できるパソコンは、会社が 用意できるパソコンと同レベルあるいはそれ以上のセキュリティ対策（とりわけ情報 漏えい対策）が施されていることを確認する必要があります。とりわけ、会社内の重 要な情報が社外に持ち出される危険性が高いことを意識し、利用方法(運用方法) も明確にしておく必要があるでしょう。 例えばの決まりごととして、本しおりでも解説しているような… などの確認を行う必要があるでしょう。 *2) 電子メール環境 №９でも解説したように、業務に無関係なソフトや私物のソフトを利用するのは、業務としての 利用には適しません。例えば、私用の電子メールの場合通常はフリーメールや個人で契約して いるプロバイダーのメール環境を利用するでしょう。しかし、そういった電子メール環境では、送受 信したメールがどのように管理されているか、あるいは途中で傍受されないか個人が判断するこ とはできません。どこのメールサーバで誰に管理されているのか不明なわけですから。さらに、安 易な認証を設定している場合は、なりすましの被害にあう場合もあります。自分たちが管理して いる、あるいは会社として契約関係にある電子メール環境を利用することが安全性を高めること につながります。 *3) リモートアクセス環境 最近では、インターネットを通じてリモート(遠隔地)から会社の IT 環境に接続することができま す。特に接続するパソコンでは何も処理をせず、会社内のデータやアプリケーション環境を利用 することで、接続したパソコンに大事なデータを保存しなくとも処理ができます。こういったリモート 接続環境を利用することで、遠隔地でもセキュアな利用ができる場合があります。しかしながら、 接続の度に利用する認証設定（パスワードなどの認証基盤）が弱いと、知らないうちに成りすまし 被害にあう場合もあるので注意が必要です。 OS や利用しているアプリケーションの脆弱性は解消されている(№８) 業務が利用するデータあるいは業務処理そのものに悪影響が出る可能性 のあるアプリケーションなどのソフトの利用禁止（インストール禁止）(№９) セキュリティ対策ソフトを正しく利用している(詳細は後述：№１５～１６) 業務としての処理を行った場合は、利用した業務データ等を不必要に保存 せず、速やかに削除（できれば完全消去）する（№４） 会社が用意した電子メール環境＊２_{やリモートアクセス環境}＊３_{以外、あるい} は会社が用意した記憶媒体以外を利用したデータの受け渡しは行わない パソコンそのものの利用制限ができるログインパスワードの設定や、記憶さ れた大事な情報は暗号化するなどのセキュリティ対策(情報漏えい対策)が 施されている（№１１～１４）

36

新しい業務形態を作り出す携帯端末？

最近では、携帯電話やスマートフォン、さらには iPad (Apple)や Kindle (Amazon)のような電子書籍

リーダに代表されるメディアタブレットな どの携帯端末（デバイス）を業務に利用 する場合も増えてきているようです。 お客様に即座に情報を提示したり、商品のプレゼンテー ションを行ったり、出先でもインターネットを通じて情報収集 を行ったり･･･ こういった携帯端末も会 社内の大事なデータを持 ち出したり処理したりする ことがあるのであれば、当然のことですが会社が 用意すべきものとなります。しかしながら、私物パ ソコンと同じように私物の携帯端末を利用するので あれば、会社としてはこれらの携帯端末についても登録制･許可制などの管理を行 う必要があるでしょう。

個人パソコンと業務パソコンが明確に区分されていない場

合、管理が行き届かないため、セキュリティを確保することは難

しくなります。個人パソコンと業務パソコンは明確に区分し、目

的外利用をしないようにしてください。

そこで質問）

社内外での個人パソコンの業務使用を許可制にするなどの

ように、業務で個人パソコンを使用することの是非を明確にし

ていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

37

事務所内や業務作業場所でのパソコンの利用を行う場合、常にパソコンの前で 仕事をしているわけではないと思われます。昼休みやちょっとした休憩時間など、 パソコンの前から離れるタイミングがあるでしょう。このとき、パソコンがログインさ れ、そのまま利用可能な状態であれば、パソコン内のありとあらゆる情報が誰にで も見えたり、取り出すことができたりする状態にあるといえます。 誰にでも即座に利用できる状態のパソコンを放置することは、セキュリティ上とて も危険な状態といえます。みんなで使う環境もありだけど･･･関係ない人が勝手に 使えるのはどうでしょう？ パソコンも書類と同じです。開いている画面が 重要情報である場合もあるわけで、誰にでも操 作できる状態で放置すれば、情報漏えい（盗み 見や盗難など）や、不正な操作（悪意のあるプロ グラムのインストールや実行など）が行われる危 険性があります。 こんな場合は、

『離席時はパソコンに鍵（コンピュータロック）を掛ける』

が重要です。 お使いのパソコンが Microsoft 社の Windows OS の場合は、コンピュータロックは 簡単に行うことができます。

№11 パソコンについて

退社時にパソコンの電源を落とすなどのよう

に、他人に使われないようにしていますか？

38

コンピュータのロック機能の活用（Windows XP の場合）

「Ctrl + Alt + Delete」で、「コンピュータのロック」 もしくは 「Windows キー + L 」で即座にロック 『パソコンから離れるときは、他人がパソコンを使うことを防ぐため、コンピュータ をロックする』これも重要なセキュリティ対策です。 自分のパソコンが勝手に他の人に使われないようにするための処置となります。 同僚を疑うつもりはないでしょうが、放置すれば情報漏えいを引き起こす可能性 もあります。さらに、不特定多数の人が出入りする事務所等ではなおさら必須の対 策となることは言うまでもありません。 パスワードロック付きのスクリーンセーバーの利用もありますが、出来る限り利 用者が意識的にコンピュータロックを使用したほうが良いでしょう。忘れっぽい人の ためには、パスワードロック付きのスクリーンセーバーとの併用が望ましいです。

39

パスワード付きのスクリーンセーバーは、デスクトッップでマウスの右ボタンクリッ ク→プロパティ→(画面のプロパティの)「スクリーン セーバー」タブで設定できま す。 こういった操作を普段から実施させることで、セキュリティ意識を高めることもでき ます。

誰でも操作できるパソコンは不正に使用される可能性があ

ります。不正利用からパソコンを守るための対策（離れる時は、

パソコンにも鍵を掛けるなど）を行いましょう。

そこで質問）

退社時にパソコンの電源を落とすなどのように、他人に使わ

れないようにしていますか？

○：実施している

4 点

△：一部実施している

2 点

×：実施していない

0 点

40

参考までに… 携帯電話やスマートフォンもパ ソコンと同じように利用していな いときにはセキュリティロックを掛 けておくことをお勧めします。これ らの端末を業務で利用している のであれば、業務関連の重要な 情報が格納されている場合もあ るでしょう。当然のことながら、業 務関係先の電話番号やメールア ドレスを含む顧客情報も登録され ているかもしれません。しっかりと認証機能で保護することが大切です。 認証機能の設定としては、携帯電話の場合は、暗証番号によるロックが有効で す。スマートフォンの場合は、いろいろな認証の方法があります（機種毎のマニュア ルを参照してください）が、一般的には画面を最初に開く（フリックする）際に、パス ワード等による本人認証が行えるように設定しておくことをお勧めします。 携帯電話やモバイル端末のリモートからのセキュリティロックを掛けるサービスを 提供しているキャリアやプロバイダーもあります。こういったサービスを利用するこ とで、モバイル系の端末を紛失あるいは盗難にあった際に対処するのも、情報流 出を防ぐひとつの方法といえます。ネットワーク接続を行っているキャリアやプロバ イダーの情報を参考にしてください。

41

パスワードは・・・

№12 パスワードについて パスワードは自分の名前を避けるなどのように、他人に推測されにくいもの に設定していますか？ №13 パスワードについて パスワードを他人が見えるような場所に貼らないなどのように、他人にわか らないように管理していますか？ №14 パスワードについて ログイン用のパスワードを定期的に変更するなどのように、他人に見破られ にくくしていますか？

42

パソコンを起動する場合には、セキュリティ対策としてログイン画面が表示される ようになっている（古い Windows OS ではログインが不要のパソコンもありました）と 思いますが、この画面は「№１１ パソコンについて」でも記述したように、セキュリテ ィ上重要な設定です。しかしながら、ログインで使用する利用者 ID（利用者識別子） やパスワードが他人に知られてしまうと、その情報（アカウント情報とか利用者情報 と呼ばれている）を悪用され『なりすまし』被害にあう危険性があります。 利用者 ID については、そのパソコンが複数の利 用者に利用される場合もあるので、それぞれの利 用者を識別できるものを利用します。まぁこれは利 用者を識別するためのものですから、複雑怪奇な 文字列を利用する必要はありません。 ところが、パスワードに関しては、利用者が本人 であることを証明するものなので、本人だけが知っ ているものでなければなりません。

№12,13,14 パスワードについて

パスワードは自分の名前を避けるなどのよ

うに、他人に推測されにくいものに設定し

ていますか？

パスワードを他人が見えるような場所に貼

らないなどのように、他人にわからないよう

に管理していますか？

ログイン用のパスワードを定期的に変更す

るなどのように、他人に見破られにくくして

いますか？

43

なりすまし被害にあわないために、パスワードは他人（あるいは他の利用者）に 安易に推測されない文字列を使用することをお勧めします。 安易な（不適切な）パスワードとは、以下に示すようなものです。 パスワードクラッキング（パスワード破り）と呼ばれる攻撃手法では、パスワード を構成する文字種が少ないもの（例えば数字のみ）や長さ（桁数)の少ないものは、 解析されやすいと言われています。例えば、総当り攻撃＊４_{では、文字の組み合わ} せを端から試す攻撃なので、文字種が少ないものや長さ（桁数)の少ないものは簡 単に破られてしまいます。 単純な計算になりますが、6 桁の数字のパスワードを考えて見ましょう。 数字の組み合わせは、000000～999999 となります。したがって、パスワードが破 られる確率は 1/1000000=1/106_{となります。つまり、最大 100 万回パスワードの組} み合わせを試せばパスワードを破ることができるわけです。では、6 桁の英数字 （英小文字＋数字）の場合はどうでしょう。数字は 0 から 9 の 10 個、英小文字は a から z までの 26 個ありますから、パスワードが破られる確率は 1/(10+26)6_となりま す。つまり、最大 21 億 7678 万 2326 回パスワードの組み合わせを試せなければパ スワードを破ることができないわけです。 このようにパスワードの文字種を組み合わせるだけで、格段にパスワードが強 固なものとなり、パスワーククラッキングされにくいことになります。 しかしながら、パスワードが意味不明の複雑なものだと利用者自身が忘れてしま う危険性もあります。そこで、辞書に載っているような安易な単語を利用したりする わけですが、総当り攻撃の一種に辞書攻撃と呼ばれる手法があり、これは辞書に 載っているような単語を端から試す攻撃手法です。安易な単語は簡単に破られる でしょう。さらに、このような攻撃を行う場合は、利用されやすい単語を中心に攻撃 用の辞書が作られる場合があるので注意が必要です。 では、自分や家族の名前やニックネームを利用したりするとどうなるのでしょうか。 このようなパスワードの場合、利用者のことをある程度知っている人であれば簡単 に推測される可能性があります。これではパスワードの意味をなしません。 × 長さが不十分 × 辞書に載っている単語の利用 × ID と同じ × 自分・家族の情報 × 固有名詞 × 単純な数字や文字の並び × 過去に使用したパスワードの再利用 等

44

そこで、適切なパスワードとして以下に示すようなものを利用してください。 適切なパスワードを設定しても、長い間同じパスワードを利用していたり、いろい ろな場面で同じパスワードを流用していたりすると、そのパスワードがいつの間に か誰かの知るところになる危険性があります。例えば、間違って誰かに教えてしま ったとか、パスワードを書いておいた紙をなくしてしまったとか… そこで、パスワード盗難対策として以下に示すようなことが必要です。 定期的なパスワードの変更については、利用者次第ですが、一般的には 3 ヶ月 から 6 ヶ月位が適当と思われます。 パスワードを忘れてしまったときのために、パスワードを紙に書き留める場合が あるでしょうが、この紙はパスワードを忘れてしまったときのみ必要なものですから、 しっかりと安全な場所で管理する必要があります。例えば、金庫の中とか… 間違っても、パソコンのディスプレイに貼り付けておくような行為は謹んでくださ い。 これでは、「どうぞ使ってください」といっているようですね… ○ 大文字・小文字・数字・記号の組み合わせ ○ 長いパスワード(推奨は８桁以上) ○ 推測しづらく自分が忘れないパスワード 等 ◎ 定期的な変更 ◎ 紙に書き留めて放置しない ◎ マシンに保存しない ◎ 人に教えない 等

45

大事な

情報

パソコンの中にパスワードを保存する場合もあるでしょうが、これも危険な行為で す。例えば、情報を盗み出すコンピュータウイルス（スパイウェアなど）に感染した 場合は、パスワードが盗み出される危険性があります。 まぁ、この場合はパスワード以外の情報も盗まれることになるでしょうけど…コン ピュータウイルスに感染しないにしても、パソコン上のファイルが誰かに読まれる可 能性もあるので、安全性を考えるなら、パソコン上に保存しないことが良いと考えて ください。 さらに、当然のことですが、人には教えないが鉄則です。 なりすまし被害の怖いところ… パソコン上やネットワーク上の各種の記録（ロ グ）には、利用者の行った処理の記録が残りま すが、なりすましの場合は本人がそれらの処理 を行ったように記録されるので、場合によっては、 悪意のある行為の利用者として告発される可能 性もあります。 *4) 総当り攻撃 総当り攻撃とは、文字列や単語を総当りに試す攻撃です。一般にこういった攻撃手法をブルー トフォース攻撃（アタック）と呼びます。ブルートフォースとは「力ずく」とか「強引に」という意味で、 ブルートフォース攻撃は力ずくの攻撃ということになります。単純に文字列を端から試したり、辞 書にある単語を端から試したりする攻撃で、攻撃を行うコンピュータの性能次第では非常に厄介 な攻撃といえます。単純な文字の組み合わせによるパスワードや、辞書に載っているような単語 をパスワードとして利用することは危険とされていますが、パスワードによく使われる単語もある ようで、それらの単語を登録した攻撃専用の辞書もあるようです。ちなみに、よく使われる単純な パスワードは”1234”のようです。