Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

情報漏洩対策 20のツボ

2,762 views

Published on

情報セキュリティー、情報漏洩対策、人的要因について20のコツを解説。

Published in: Business

情報漏洩対策 20のツボ

  1. 1. 中田亨
  2. 2.  情報をどう使うかの問題  事故を受けて、指摘を受けて、やる泥縄ではダメ  仕事が速くかつ安全に回ることを目指す
  3. 3.  「目的は情報漏洩したくない」 なら廃業すれば よい。  本当は何のために情報を使うの?  本当は何のためにコンピュータを使うの?  目的例:「お客様にすぐに提案できるようにした い」等
  4. 4.  「電子メールは厳重に管理」でも、「まちがい FAXダダ漏れ」ではダメ  使っている装置、情報の流れを、全部棚卸しして、 一番弱いところに注目する
  5. 5.  「出先に行く。プレゼンする。交渉する。メール を出す・・・」というシナリオ  どんな情報がいつ、どこで、なぜ、どれだけ、欲 しいかが分かる  「情報は何でも厳重に管理」では何もできない
  6. 6.  情報事故の9割以上は、内部人員による紛失や誤 送付、誤設定で起こる  ガードレールがないのに、飛ばしすぎ  ガードレール:「メールソフトが誤送付を阻止し てくれる」  飛ばしすぎ:「家に持ち帰って仕事しよう」「面 倒くさいからメールで送ろう」
  7. 7.  「安全のため、ネットから隔離する」  「ファ イルの輸送をUSBメモリで」  「USBメモリを紛 失」  どんなに素晴らしいセキュリティ技術であっても、 副作用がある。  比較せよ。一番副作用の小さいやり方を選べ  副作用を知って使え
  8. 8.  「情報セキュリティは裏方の仕事」ではダメ  「安全投資をケチって大損害」もよくある話  「一番デキる人が担当する」という慣例にせよ
  9. 9.  「事故が起きてから何かする」ではダメ  プロアクティブ:前もって備える  定期的に活動する  対事故訓練する
  10. 10.  サイバー攻撃詐欺の3戦法  ニセ警官型:「このメールは情報セキュリティ本 部からのものです。添付を開きなさい」  パニック型:「大至急の案件なんです!パスワー ド教えて」  薄味型:「駐車場でランプが点いている車があり ます。その写真を添付に」
  11. 11.  振り込め詐欺撃退法  電話の前に「ヒロシかい?」と書いた紙を貼って おく。(ヒロシなんて息子はいないけど。)  どんな電話にも、「ヒロシかい?」と答える。振 り込め詐欺は「ヒロシだよ」と答える。  会社を標的とするサイバー攻撃も、詐欺電話でパ スワードを聞き出す。怪しい電話には、「企画部 のオオヒガシ部長ですか?」と架空部署名人名を 用意。
  12. 12.  パスワードだけでは、使わせない方式  「登録済のパソコンでないとダメ」  「登録済のICカードもないとダメ」  パスワードを盗聴されることへの備え
  13. 13.  安易なもの「123456」「password」 「admin」は即死する  ちょっと複雑なものも、オフライン攻撃でも死 ぬ。(ファイルは暗号化しても、敵の手に渡れ ば、その手元で無限にアタックされる)  複雑なものは覚えきれないので、紙に書いてしま い、盗み見られる。  パスワードは破られやすいので二要素認証を  同じパスワードをあれこれに使い回さない
  14. 14.  生年月日  電話番号  車のナンバー  郵便番号  の、どれかである。  「4桁暗証番号」の方式は使うな
  15. 15.  「今まで使ってきて便利で安全だった」は、それ ほど便利でも安全でもない  FAX で送付? まちがえて漏れますよ  BCCで一斉メール配信? 事故多発ですよ  金があるなら、最新の技術を買う  ないなら、危険な現状を縮小する
  16. 16.  「122」は、「112」と読み間違える  3桁以上の数字の連続は、事故の種  区切りを入れよう「12-2」  まぎらわしい文字は、パソコンに読み上げさせよ う
  17. 17.  リスクを抱え込んでいる人が多い  「実は、規則違反の装置を持ち込んでいる」  「実は、パソコンがウィルスに感染」  「実は、その人しか使い方を知らない」  その人がいない時に起こる変化で、リスクがわか る
  18. 18.  膨大な情報が退職者と共に出ていく  漏洩はゼロにはできない。脳内記憶は残る  面談して、何がどれだけ漏れるのか、話し合おう。  電子的なアカウントは即刻無効に。
  19. 19.  「人間、十把一絡げ管理」は、大事故の常連  “誰でも読めるファイル”  “誰でも使えるパソコン”  “管理者は、いつでも管理者権限行使”
  20. 20.  情報を漏らさないと、相手も教えてくれない  「実は弊社はこう計画しているが、御社はどう思 う?」  何がWin-Winの情報なのか見極めよ  「漏らしても、自分に損なし、相手喜ぶ」  「教えてもらっても、自分喜ぶ、相手損なし」
  21. 21.  来たるべき大災害に打ち勝つことが大目標  情報が一番欲しい。「家書万金に抵る」  2014年豪雪。市長がtwitter で情報提供呼びかけ  普通は、有益な情報を集めることは難しい  交換の場の用意。使用法の事前策定(誰が呼びか ける、誰に呼びかける、個人情報はどこまで書い てよいか)

×