« 2012年2月4日 | トップページ | 2012年2月17日 »

2012年2月10日

2012.02.10

facebook、Twitter、クラウドサービスでのセキュリティは??

今週嬉しい連絡があった。
中小企業の「経営戦略化の推進と具体実施のIT化のレベルが全体最適のレベル
になっている企業」を毎年選定している経済産業省のIT経営力大賞」に京都
と滋賀の私の関係した企業が受賞したとの事。
1社は優秀賞となり、地道な活動が認められたことになる。喜ばしい限りである。

大賞申請のため、毎年、経営力、IT化状況を数値的に査定するのであるが、その
時に結構悩むのが、セキュリティレベルの評価である。これは、ほぼ何処の企業でも
同じように問題になるのでは?と思うが。
さすがに、大賞申請をする企業では、ISMSや個人情報保護対応などの最初の
取り組みは、シッカリ出来ているのだが、その継続性を保つのが、中々に難しい。
そんなこともあり、毎年何回かのセキュリティセミナーを開催してきた。
先週も開催したが、その概要は、少し前の記事にも書いたので、今回は、最新の
ITの動きから徐々に問題になりつつある「クラウドサービス、スマートフォン、
ソーシャルメディア」に関係するセキュリティについて、チョット述べたい。
中小企業にとっても、企業リスクとして、キチンとフォローすべき時期になり
つつある。

1.クラウドサービスでのセキュリティ対応
6、7年ほど前から「中小企業のためのクラウドサービス安全利用の手引き」や
「クラウド事業者による情報開示の参照ガイド」が作成されている。
「中小企業のためのクラウドサービス安全利用の手引き」は中小企業が自社の
クラウドの利用についての判断やその条件の確認、注意点の点検等が比較的
容易にできるようにまとめたものであり、「クラウド事業者による情報開示の参照
ガイド」はクラウド事業者による情報開示に関して、安全利用の観点からその項目
や開示方法について示したものである。
両文書の内容やチェックシートをもとに安全利用に関してユーザ企業は、適切な
アドバイスを得ることが出来る。

また、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン
(経済産業省)」は、クラウド利用者がクラウドサービスを利用する際に、情報
セキュリティ確保のため
①クラウド利用者自ら行うべきこと
②クラウド事業者に対して求める必要のあること等についてまとめたもの。
ISO/IEC 27002の各項目について、「クラウド利用者の実施の手引き」「クラウド
事業者の実施が望まれる事項」「クラウドサービスの関連情報」が整理されており、
関係者間での情報セキュリティに関するコミュニケーションツールとして利用する
ことも可能である。

結構、ユーザが対応できるデータや体制は出来ているのである。

□自社がクラウド導入を考える時のポイント
① SSLサーバ証明書やSSHにより、通信データを暗号化すること
インターネットを経由することは、通信経路上で盗聴や改ざんなどのリスク
が発生する。
公開情報でない限り、必ず通信データをSSLによって暗号化する必要がある。
② ワンタイムパスワードや強固なユーザ認証により、厳格なアクセス制御を
実施すること
まず、データの重要度を定義し、アクセスするユーザがどのデータに対して
どのような操作(閲覧、変更、削除など)を行えるかという権限設定を行う
ことが重要になる。IDやパスワードを利用する場合でも、類推されやすい
パスワードは禁止し、定期的に変更させるような設定にすることが重要。
③ セキュアなアプリケーション/OSを構築すること
最近では、 SQLインジェクション攻撃、クロスサイトスクリプト攻撃や
アプリケーション /OSの脆弱性を狙った攻撃が主流。攻撃を受けた場合でも
影響を軽減させるために、定期的な外部からの診断テスト、開発した
プログラムのコードレビューを行うことが重要である。
④ データの保管場所を明確にし、暗号化やバックアップの対策を行うこと
海外のデータセンターを利用する場合、政府機関によりデータに対して検閲が
入る可能性がある。実際、F BIがデータセンターからサーバを押収したという
事例が発生している。
また、可用性の観点から、データのバックアップを定期的に取得することが
推奨される。
⑤ 適切なクラウド事業者を選定すること
アウトソーシング先の企業を選定することは、発注者側の責任であり、非常に重要。
自社のセキュリティポリシーに合致しているかどうかを、サービス仕様書や契
約書、及びクラウド事業者へのヒアリングなどを通じて確認することが必要。

2.スマートフォンでのセキュリティ対応

1)企業レベルでの対応
端末の状況を単体レベルおよび全体レベルで可視化し、ポリシー運用を徹底して、
インシデント対策やセキュリティ監査に向けたログ管理を行う。
この3つを一元的に制御することが企業に求められる。
・不正端末の存在    モバイルデバイス管理(MDM):端末情報、位置情報
・旧端末の混在     MDM:ファーム、パターン、アプリケーションによる管理
・運用ルール不在    社内ポリシー設計、パソコンへの適用
・セキュリティ意識の欠如  キュリティ教育の実施

2)個人レベルでの対応
①システムを常にアップデートする
AndroidやiOS(iPhone)などのOSを常に最新にしておく。OSを最新にすることは、
修正されていないセキュリティホールや脆弱性を利用する悪意ある攻撃への防御
となる。
②セキュリティ対策アプリをインストールする
盗難・紛失などの物理的なセキュリティ対策の重要性を再認識する必要性がある。
③クリックした先に待っているものに気を配る
機密情報を入力する前に、ウェブサイトが「https」で始まっていることを確認する
ことが大切。
④パブリックネットワークの利用には細心の注意を
公に開かれているWi-Fiネットワークは、安全とは限らない。オンラインショッピング
やオンラインバンキングなどの商取引は控えるのが賢明。
⑤アプリを入手する際は信用できるサイトから
アプリの入手先が信頼できるかどうかを調べてからインストールすることを習慣
とする。
⑥各アプリのデータアクセスの状況を定期的にチェックする
アプリの挙動に不安がある際は、絶対にインストールしないこと。

スマートフォンを結構、安易に扱っているのでは。

3.ソーシャルメディアの主な脅威と対策
ソーシャルメディアを公式な情報手段として認めている企業は、特に
中小企業では、3割ほどである。
それは、情報漏洩につながる可能性やコンプライアンス問題へ発展する可能性
が高いからとの認識があるからである。

例えば、シマンテックのソーシャルネットワーク調査では、企業資産を保護
していない企業は、訴訟費用の増加と会社の評判失墜のリスクを抱えている
との事。
平均すると企業は過去1年間に従業員が機密情報をソーシャルメディアで公表する
という事件が9件発生。94%パーセントの企業が、自社の評判失墜、顧客企業の
信頼損失、情報漏えい、収益低下などを経験している。具体的な事例としては、
「従業員がパブリックフォーラムで大量の情報を共有している(46%)」、
「機密情報の漏えい、または公開(41%)」、「訴訟の増加(37%)」等がある。

また、「MySpaceやYouTubeは、企業からすれば、ウイルス/ワームやスパイウェア
などのマルウェアにつけいるすきを与える危険性が非常に高い」と、
米国の調査会社ガートナーは警告する。

その手のウイルス/ワームとしては、「Yahoo! Mail」ユーザーを攻撃する
「Yamanner」やMySpaceユーザーの間で広まる「Samy」が有名である。
更に、攻撃者が短縮URLを悪用して、ユーザを不正サイトに誘導する事例もある。
海外の自爆テロのニュースをTwitter上で流し、マルウェアへのURL
を貼ってフォロワーやニュースを閲覧したユーザを誘導する。

1)社員各自が注意すべきは、
・外部サイトへの誘導
短縮されたURLの上にマウスカーソルを合わせて、正式なURLを確認する
・公開する情報の管理
個人情報などを書き込まない、不適切な発言に注意
・自分のアカウントの設定(ID、パスワード、アプリケーションの連携、
プライバシー情報の公開範囲等)を確認
・不正アプリへの対応
怪しいユーザーやアプリケーションをソーシャルメディアの機能でブロック

2)企業としては、
■ポリシーを策定する
ブログやWiki、SNS、ビデオ共有などのソーシャル・メディアを業務に
利用するにあたってのルール、モラルを盛り込んだ従業員向けポリシーを
策定する。
モラルを確立するためには、例えば、従業員同士のブロガー・グループとして
ブログ監視委員会を設立し、ブログ活動を推進するとともに、会社の利益を
損ねていないかどうかを確かめる。
■既存のセキュリティ技術を再評価し、強化する
Webトラフィックに対して、ウイルスワーム対策および悪意あるコードからの
保護機能を強化する必要があるかを再評価する。ウイルス対策ソフト、
URLフィルタリング、アプリケーション制御、Webサイト評価サービス、
セーフ検索技術を組み合わせた複合型対策の採用を検討する。
■CMF(コンテンツ監視/フィルタリング)の導入を検討する
単にポリシーを策定し、施行しただけでは防げないリセキュリティ・リスク
の発生を抑止する技術を採用すべきかどうかを、自社の従業員のソーシャル
・メディアの利用実態などから検討する。
また、CMF製品の運用に際しては、過剰監視にならぬよう気をつける。

企業や担当者には、様々な形での負担が増えるかもしれない。
しかし、情報漏洩という事態になった場合は、最悪の場合、企業として
の継続ができなくなる場合もある。
クラウドサービス、スマートフォン、ソーシャルメディア、含めた
新しい動きに合わせ、ポリシー見直し、社員意識の再確認等、
是非進めてもらいたい。

« 2012年2月4日 | トップページ | 2012年2月17日 »

最近のトラックバック

2017年11月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    
無料ブログはココログ