映像で知る情報セキュリティ
情報を漏らしたのは誰だ?
~内部不正と情報漏えい対策~
技術本部 セキュリティセンター
目次
1.はじめに
2.内部不正による情報漏えいの危険性
3.情報漏えい対策ポイント
4.情報漏えい発生時の対応ポイント
5.参考資料の紹介(講師用)
1. はじめに
顧客リスト漏えいの疑いをかけられた主人公の前田は、 システム管理部に属する同期の高梨と漏えいの可能性を 一つ一つ洗い出していく。浮かび上がってきたのは内部 不正による漏えいの可能性だった… システム管理部 (高梨) 主人公 (前田) 顧客リストを 漏えいしていな いか疑われて いるんだけど … 可能性を一つ 一つ確認して みましょう2. 内部不正による情報漏えいの危険性
事例
動機
退職者が技術情報を不正に持ち出し
転職先に提供
転職に関わ
る利益取得
システム管理者が権限を悪用し、
顧客のカード情報を窃取
金銭取得
委託先社員が顧客情報を不正にコピーし
名簿業者に売却
金銭取得
従業員が人事評価への不満から、
そのはらいせに機密情報をSNSに公開
(処遇不満
による)はら
いせ、恨み
ライバル会社の営
業秘密を手土産に
すれば、有利に転
職できるかも
…
今回のケース2. 内部不正による情報漏えいの危険性
【営業秘密の漏えい者の内訳】
5.7% 5.7% 6.2% 6.2% 9.3% 10.9% 26.9% 50.3% 取引先からの要請 契約満了後又は中途退職した契約社員 定年退職者 中途退職者(役員) 取引先や共同研究先を経由 金銭目的等の動機をもった現職従業員 現職従業員等のミス 中途退職者(正社員) (出典)経済産業省:「営業秘密の管理実態に関するアンケート調査」(2013年)3. 情報漏えい対策ポイント
(1)企業の情報を自宅等に許可なく持ち出さない
持ち出し禁止 承認、記録 社外持ち出し許可 承認済PC・デバイス 社内 社外 紛失による情報漏えいの危険もあります!!
3. 情報漏えい対策ポイント
(2)私物のパソコンや電子媒体を会社に持ち込まない
社内 ・未承認PC ・未承認電子媒体 (私物) ウイルス感染のリスクも高まります!!
未承認PC・電子 媒体の持ち込み 禁止3. 情報漏えい対策ポイント
(3)メールアドレスは何度も確認し、誤送信を防ぐ
①宛先の確認 (意図した宛先か) ②内容の確認 (件名、本文の整合等) ③BCCが適切に使用されているか (受信者相互を秘匿するとき等)(4)重要なデータはパスワードで暗号化する
②ノートパソコンやタブレットのディスクを暗号化します 内蔵ディスクの抜き取り・ 盗難などによる情報漏えいを防ぎます 例. Windowsのディスクを暗号化する場合 ・ BitLocker によるディスク暗号化(内蔵ディスク) ・ BitLocker To Go によるディスク暗号化(USB等) ①重要なデータをやりとりする場合、データを暗号化し 誤送信や盗聴による情報漏えいを防ぎます 例. データを圧縮するときパスワードをつけて 暗号化します。(Zipファイルなど)3. 情報漏えい対策ポイント
3. 情報漏えい対策ポイント
(5)作業中のパソコンをそのままにして席を離れない
※画面ロックのショートカットは
Windowsの場合、 +L
MAC OSの場合、Control+Shift+eject(power)
ロック画面に移行させて離席3. 情報漏えい対策ポイント
(6)フォルダ、ファイルはパスワードでロックする
・ アプリケーションの機能としてファイルにパスワードがかけられるものがあります Microsoft Office(Excel、Word、Powerpoint)のファイルなど ・ フォルダの暗号化(Windowsの機能 ※Windowsのエディションによります) ユーザがログインしていないと、ファイルがロックされた状態にできます 詳細はアプリケーションのヘルプを参照 Step1 Step2 Step33. 情報漏えい対策ポイント
(7)パソコンのIDやパスワードを決して第三者に教えない
パスワードは教
えていません!
ID・パスワードは個人を特定する非常に重要な情報です!!
3. 情報漏えい対策ポイント
(8)簡単に想定される様なパスワードは使わない
・ パスワードは、大文字、数字、記号(@、!、-)などを混ぜ、
できるだけ長い文字列にし、他人が推測できないものを設定
・ パスワードは使いまわしたりせず、利用するサイトごとに設定
パスワード、
単純過ぎた
…
4. 情報漏えい発生時の対応ポイント
(1)二次、三次被害を起こさないために初動対応が大切
(2)自分で判断せず、すぐに上司に報告
(3)漏えい先に対しては
・当該顧客データの使用停止要請
・調査への協力要請
・上記了解の旨の通知要請(期限付きで)
・期限内に通知がない場合、法的措置も検討
すぐに報告すべき
でした
…
5. 情報漏えい対策のしおり
• 内部不正・情報漏えいの事前対策
情報漏えい対策のしおり
• 情報漏えい事故が発生した時に参考となる小冊子
情報漏えい発生時の対応ポイント集
(一般社員向け) (経営者・管理者向け)5. 内部不正防止ガイドライン
• 内部不正対策のガイドラインをIPAで作成しております
「組織における内部不正防止ガイドライン」
• 内部不正を防止するための環境整備に役立てて頂くための
ガイドラインです
• 発生してしまった際の早期発見・拡大防止にも対応
IPAのホームページからダウンロードできます (経営者・管理者向け)IPA対策のしおり
映像で知る情報セキュリティ(DVD-ROM)
5分でできる!!
情報セキュリティポイント学習
情報セキュリティ安心相談窓口
電 話 03-5978-7509 (オペレータ対応は、平日の10:00~12:00 および 13:30~17:00) E-mail [email protected] ※このメールアドレスに特定電子メールを送信しないでください。 FAX 03-5978-7518 郵 送 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコート センターオフィス16階 IPAセキュリティセンター 安心相談窓口「iパス」は、ITを利活用する
すべての社会人・学生
が備えておくべき
ITパスポート公式キャラクター
上峰亜衣(うえみねあい)
