« 2012年1月20日 | トップページ | 2012年2月4日 »

2012年1月28日

2012.01.28

セキュリティへの備え

ここ5年ほど、年に数回のセキュリティの意識アップのためのセミナーを開催
してきた。
今年も、来週に開催する。基本的には、セキュリティを専門とするIPA、
JNSAの調査データがベースであるが、特に感じるのが、人的要因による
トラブルの増加である。また、そのような環境が増えつつある。
少し前の愉快犯的な数多くのユーザに迷惑を掛けるようなセキュリティトラブルから
最近では、セキュリティ犯罪の傾向が強まる中、目に見えない形でのトラブル進攻は、
結構あるのかもしれない。
しかし、3年ほど前からの情報セキュリティ監査によるビジネス評価の強化は、
中小企業の意識の甘さとは裏腹に、ビジネスに直結した課題となっているはず、
なのだが。

①本年度の傾向
2011年の情報セキュリティ白書によると「10 大脅威 ますます進む
『見えない化』」
第1位 「人」が起こしてしまう情報漏えい
第2位 止まらない!ウェブサイトを経由した攻撃
第3位 定番ソフトウェアの脆弱性を狙った攻撃
 定番ソフトウェアに存在する脆弱性を狙った攻撃が頻発しました。
第4位 狙われだしたスマートフォン
 スマートフォンユーザを狙ったウイルスが出現するなど、脅威が顕在化。
第5位 複数の攻撃を組み合わせた「新しいタイプの攻撃」
 これらの攻撃は、特定の企業や個人を狙い、複数の攻撃を組み合わせることで、
 従来は不可能と考えられていたシステムにまで攻撃の手が及んでいます。
第6位 セキュリティ対策不備がもたらすトラブル
第7位 携帯電話向けウェブサイトのセキュリティ
 携帯電話向けウェブサイトの構築事業者は、安全性を考慮したウェブサイト
 を構築する必要が求められます。
第8位 攻撃に気づけない標的型攻撃
第9位 クラウド・コンピューティングのセキュリティ
 セキュリティ上の問題についても徐々に問題が顕在化し始めており、インシデント
 の発生や新たな脅威が公表されています。
第10位 ミニブログサービスやSNSの利用者を狙った攻撃

数年前のサーバ攻撃、ボットなどのウィルスの潜在化、などやや技術面でのトピックス
を抑え、人による情報漏えいがトップに上がっていることは、会社の規模に関わらず、
セキュリティへの意識の甘さと言えるのかもしれない。
件数比率では、管理ミス、ご操作、紛失などだけで全体の8割を占めている。
不正アクセス、ウィルス感染、セキュリティホール汚染などは全体の1%程度であり、
先ほどの「見えない化」の強まりはあるものの、まずは、企業と個人の意識再強化が
最大の課題である。更に、中小企業では、セキュリティポリシー、教育などの基本
行動でも、3割程度であり、出来ることをやっていない状況と言えるかもしれない。

②セキュリティポリシーと教育
中小企業では、セキュリティポリシーを策定しているのは、2009年度で34%との
こと。最新でも、あまり改善はされていないのではないかと、思うが、まだまだ
少ない。
□セキュリティポリシーの目的は、
情報資産の管理方針 情報資産の範囲、位置付け、価値を明確にする
          情報資産の活用と活用に伴うリスクを認識する
          必要なリスクコントロール(セキュリティ対策方針)を明確化
セキュリティ対策の方針 (誰が、何を、何から、どのように守るのか)
          セキュリティ対策の各責任の明確化(誰が)
          守るべき情報資産(何を)
          どのようなリスクから(何から)
          各種対策の明確化(どのように)
社員ひとりひとりの行動指針←特に重要
          自分は何を、しなければならないか
          いつ、しなければならないか
であり、社員との意識の共有化として、キチンと考えるべきである。
□ 情報セキュリティに関する社内教育
情報セキュリティに関する社内教育は、部署別または階層別に行うのが基本であり、
年に数回は全社員あるいは全部門長を対象とした勉強会等も必要である。
教育に当たっては、情報セキュリティ教育の責任者や教育担当者(教育の実施者)
を定める教育内容を検討し、教育計画を策定し、全従業員に漏れなく教育を受講
させる体制を整える。教育実施の記録を作成し、経営層に報告する
教育の対象としては、情報セキュリティ教育は、全従業員が受講対象となり、
役員、管理職、正社員、派遣社員、アルバイトも対象であり、業務委託先の委託
業務担当者に対しても教育を行う必要がある。

③注意すべきセキュリティ対応
少し前に、メディアでも騒いだ防衛省、国会議員、大手企業への標的型攻撃は、
大手だから当社は関係はなく、大丈夫と思われている中小経営者がおられたら、
間違いである。最近の環境変化では、スマートフォンの使用者の激増、ソーシャル
メディアの爆発的な拡大、クラウドサービスの活用増加等、数年前と大きく変化
している。これらの様々な経路を上手く活用して?悪意のある人はセキュリティ
犯罪を仕掛けてくる。
最近の攻撃手法の特徴に、
■人の脆弱性を狙う
ソーシャルメディアの投稿記事から特定メンバーの性向、個人意識を把握し、
その人向けに悪意のメールを送る。または、友達となり、悪意メールを送る。
     ↓
組織的に認識できないため、そこから拡大する。
■同調しやすいイベント等の連絡として、信用させる。スマートフォンなどの利用。
  震災に関連した連絡として、総務や営業部門のメンバー
がある。セキュリティの専門家によると、結構中小企業でも、被害が出ているとの事。
これらは、個人アプローチで、しかも、本人が意識していない形で実行されている
ため、中々に対処が難しい。
基本は、会社として、個人としての意識アップ(ポリシー制定と教育)を図ることが
重要である。

④注意すべきキーワード
詳細は、各自、チェックしてもらうのが良いと思うが、以下の気になるワードについて
2,3示す。
・標的型メール(人の脆弱性を利用した形が多くなる)
・スマートフォン(組織としての運用の明確化と仕組み作りが必要)
・ソーシャルメディア(セキュリティポリシーの再策定とトップの再認識)
・クラウドサービス(サービス事業者のキチンとした査定。価格だけではダメ)
・セキュリティマネジメント再認識(個人と組織と再確認)

少し、立ち止まって、足元を見るのも、重要と思う。

« 2012年1月20日 | トップページ | 2012年2月4日 »

最近のトラックバック

2017年9月
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
無料ブログはココログ