中小企業向けITコンサルティング専門会社、日本クラウドコンピューティング株式会社代表取締役社長、中小企業経営イノベーション協議会会長を務める清水圭一のブログです。中小企業経営者向けに講演、コンサルティング、ITシステム開発を行っております。現在、『月刊総務』にてICTコラムを連載中。
上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その3
0

    いつもメールでやり取りしている取引先の担当者になりきり攻撃
    これは2段階で攻撃してくる手法で、情報を盗み出したい企業の社員の担当者に標的型メール攻撃を仕掛けていきます。

     

    例えば、ある企業の情報システムの担当者と頻繁にやり取りをしていると思われるIT関連会社の担当社員などです。

     

    これを割り出すのは実は簡単で、そのIT関連会社のホームページなどに掲載されているお客様事例記事にお客様側の担当者がフルネームで登場しています。

     

    そのIT関連会社側の担当社員も事例記事にフルネームで登場している場合もありますので、先ずIT関連会社側の担当社員に標的型攻撃メールを仕掛けてパソコンを乗っ取り、そのパソコンからその担当者を装って、いつものメール文面を真似て、メールの署名を付けてウイルス付きでその企業の情報システム担当社員にメールを送れば、そのメールの添付ファイルを開いてくれる確率は上がります。

     

     

    標的型攻撃メールの最新手口への対策は?
    標的型攻撃メールは年々、手口も巧妙化しており、それに対応するセキュリティ関連製品や不正侵入検知サービスなどが充実してきています。

     

    また、社内の重要データ自体のアクセス権限を見直し、細かくアクセス権限や見える情報に制限を掛けたり、暗号化をするなど、セキュリティ技術面とシステム権限の両方から対策をしていきます。

     

    しかし、現状ではいたちごっこになってしまっており、標的型攻撃メールに代表されるセキュリティの分野は、ITだけでは最善な対策は出来ても、完全な対策は出来ない分野でもあります。

     

    IT技術で補えない部分については、従業員一人一人のセキュリティ意識を向上させることが対策の王道になります。

     

    そのために有効な方法のひとつとして、標的型攻撃メールの模擬テストを行なうことが効果が高いです。

     

    誰でもこういった被害に合わない限りは、自分だけは大丈夫という根拠のない自身を持っています。

     

    しかしながら、弊社が数社の企業からの依頼にもとづいて行なった標的型攻撃メールの模擬テストに対しては、初めてのメールをやり取りする相手のメールの添付ファイルでも、すぐに開いてしまう従業員が2割程度おり、巧妙な標的型攻撃メールに対しては7割近い従業員が添付ファイルを開いてしまうという結果が出ています。こういった模擬テストを通じて、いかに標的型攻撃メールが巧妙化しているか、身近なリスクであるかと従業員に知ってもらい、セキュリティ意識の向上をしっかりとしていくことがセキュリティ対策の王道であり、企業のセキュリティリスクに対して様々な対策をしていく土台になるのです。

     

    JUGEMテーマ:ビジネス

    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:47 | - | - | - | - |
    上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その2
    0

      問合せWebフォームや公開メールアドレスでの数回のやり取り後に攻撃

       

      ホームページの連絡フォームや公開している問合せ用メールアドレスから顧客や求職者に装い連絡をしてきます。

       

      そこから数回、担当者とのメールのやり取りを行い、相手が油断したところで、ウイルスや不正プログラムを仕込んだ添付ファイル付きのメールを送るのです。

       

      すると担当者はそのメールの添付ファイルを何の疑いも無く開いてしまい、そのパソコンの中にある情報や、そのパソコンを踏み台にして企業システムに侵入し、情報を盗み出されてしまうのです。

       

       

      個人宛の業務用メールアドレスに上司のメールアドレスから攻撃!?
      多くの企業や団体では独自ドメインを取得して、こちらをメールアドレスの@(アットマーク)以下に割り当てて、@より前は、「名字_(アンダーバー)名前」の様に規則性を持ってメールアドレスを各個人に割り振っています。

       

      すると、その会社で誰か一人のメールアドレスが分かれば、他の人はフルネームが分かればメールアドレスが分かってしまうのです。

       

      最近ではFacebookやLikedInなどの実名制ソーシャルメディアを見れば、勤める企業名と名前が分かってしまう場合が多いので、その会社の業務用アドレスの規則性からピンポイントでメールを送ることが出来るのです。

       

      また、メールの送信者も簡単に送信元を偽装することができますので、会社のホームページに掲載されている役員や部門責任者のフルネームからその業務用アドレスを類推し、送信元を偽装をして標的型攻撃メールを送れば、受信者も上司からメールということで反応率は非常に上がり、被害が拡大してしまうのです。

       

      その3に続く

       

      JUGEMテーマ:ビジネス

      Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 05:43 | - | - | - | - |
      上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その1
      0

        2015年6月1日に日本年金機構が125万人の個人情報を、そして6月10日には東京商工会議所が1万人以上の個人情報を標的型攻撃メールにより奪取されました。

         

        近年、発生頻度や漏えい件数の数が急激に増加しており、今までのように大企業や政府関係機関だけでなく、中小企業や個人などにも被害が拡大しています。

         

        今回は、その被害が多くなっている標的型攻撃メールの最新手口と対策について解説をしたいと思います。

         

         

        標的型攻撃メールとは?
        標的型攻撃メールとは、対象の企業や組織から重要な情報を奪取することなどを目的として送信されるメールで、そのメールを受信した担当者は業務に関係のあるメールと思い込んで、そのメールの添付ファイルや記載されたリンクを開いてしまい、そこに仕込まれたコンピューターシステムを不正に動かすプログラムにより、いつの間にか情報が盗まれてしまうとメールのことをいいます。


        今までの標的型攻撃メールは、送信元がフリーアドレスであったり、添付ファイルがexeなどの実行ファイルだったり、メールを使い慣れた人であれば不審に感じるメールが多かったのですが、最近の標的型攻撃メールは非常に巧妙で、一見して不審な点がなく、気がつきにくいのが特徴です。

         

        その2に続く

         

        JUGEMテーマ:ビジネス

        Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 02:40 | - | - | - | - |
        年末年始の危機管理 その3「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
        0
          JUGEMテーマ:ビジネス

          誓約書作成のポイント

          ・会社支給のIT機器と同じセキュリティポリシーで利用する事の同意
          ・紛失、盗難などのセキュリティ事故が発生した場合は必ず会社に届け出ることの同意
          ・セキュリティ事故発生時、退職時には、会社の権限で、個人所有のIT機器に保存されている情報やソフトウェアを削除することの同意

          この3つの同意を必ず盛り込んだ誓約書を作成し、従業員に個人所有でありながら、業務で使う以上は、会社支給端末と同じであることを意識づける様にして下さい。


          万が一、紛失・盗難が発生した場合

          前出のような対策をしていなかった場合、情報漏洩を回避するために何も打つ手はありません。それだけ、IT機器の盗難・紛失対策は事前の準備と運用が重要になります。

          何も対策をしていない状況で、この様な事故が発生してしまった場合は、早急に警察に届け、二次被害が起こらない様に、社内は元より、情報漏洩により影響がある取引先などに速やかに連絡し、対策を協議する必要があります。

          また、事前対策の策定、アドバイスから、万が一、IT機器の紛失・盗難が起こった場合の対策や、その端末を見つけ出し、回収までも行なうサービスを提供している事業者もあります。

          終わり
          Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 06:52 | - | - | - | - |
          年末年始の危機管理 その2「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
          0
            JUGEMテーマ:ビジネス


            年末年始の会社支給IT機器の紛失・盗難対策

            外勤従業員に支給しているノートパソコン、タブレットは、忘年会、新年会などの飲酒の機会がある場合は、業務上、不都合がない限りは、持出し、持帰りを禁止し、オフィス内の鍵付きロッカーなどで保管した上で、退社するなどのルールを作り、従業員に周知徹底させます。

            スマートフォンも、紛失・盗難などに備えて、パスワード設定、遠隔データ消去機能が設定されているかどうか、再度、管理部門が確認を行ないます。強制的にこのような設定をしなければ、業務利用のメールやアプリを使えなくするソフトウェアなどもあります。

            オフィスが不在になる年末年始休業中は、オフィスを専門に狙う窃盗団による被害が多くなる時期でもあります。再度、オフィス内のセキュリティを再確認し、その時期だけは、業務利用ノートパソコン、タブレットなどを鍵付きのロッカーではなく、外部の金庫などで保管することなども検討しましょう。


            年末年始の個人所有のIT機器の紛失・盗難対策


            個人所有のIT機器を業務利用で許可している場合も、会社支給のIT機器と同じセキュリティの仕組みを導入する必要があります。パソコンであれば、基本ソフトの起動パスワード、ハードディスクの暗号化、セキュリティソフトの導入、タブレット、スマートフォンであれば、画面ロックパスワードの設定や遠隔データ消去など、会社支給のIT機器と同じセキュリティポリシーを適用出来る場合のみ、個人所有のIT機器での業務利用を許可するなど、従業員との取り決めが必要です。

            会社支給のIT機器はもちろんですが、個人所有のIT機器を使って業務を行なう場合、必ず誓約書に署名、捺印をしてもらう事が重要です。これは、万が一、紛失・盗難にあった場合に従業員への罰則を与える事が目的ではなく、セキュリティ意識の向上を促し、その責任を感じてもらうことが目的です。

            次回に続く 


            Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:20 | - | - | - | - |
            年末年始の危機管理 その1「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
            0

              三井住友銀行グループ SMBCコンサルティング 経営者向け情報サイト NetPressへの弊社代表取締役社長 清水圭一 寄稿掲載記事より

              ポイント
              ・年末年始に急増する会社支給のパソコン、タブレット、スマートフォンの紛失・盗難事故に対して、事前、運用面での対策が必要になります

              ・個人所有のパソコン、タブレット、スマートフォンの紛失・盗難に備えての事前準備策、対応策も併せて検討しておく必要があります。

              ・IT機器利用に際して従業員と取り交わす誓約書を作成、見直しを行い、従業員のセキュリティ意識の向上を行なう必要があります。


              各端末毎の紛失・盗難対策の基本


              パソコン(ノートパソコン)

              ・基本ソフト(Windowsなどのオペレーションシステム)の起動パスワードだけでは、紛失・盗難にあった場合、パソコンを分解してハードディスクを取り出された場合、中のデータが情報漏洩する恐れがあります。併せてハードディスクの暗号化ソフトを必ず利用しましょう。

              ・外部へのパソコンの持ち出しは、外勤社員など必要のある従業員に限定し、内勤社員などは、許可制にするなどの社内規則の制定を行ないましょう。

              ・終業後は必ず、パソコンを鍵付きのロッカーなどに保管を行なうことを徹底させましょう。


              パソコン(デスクトップパソコン)
              上記のノートパソコンと同じ対策に加えて、物理的に鍵付きロッカーに保管する事ができないたので、パソコン専用のワイヤーロックなどを取り付け、安易に持ち去る事が出来ない様にしましょう。


              タブレット・スマートフォン

              ・画面ロック解除パスワードを必ず設定し、ある一定の回数、パスワードを間違えるとタブレット、スマートフォン内の全てのデータを消去する設定を行ないましょう。

              ・紛失・盗難にあった場合、遠隔操作でタブレット、スマートフォンのデータをすべて消去するソフトなどを導入し、設定しましょう。

              ・位置情報発信機能がある場合は、この機能をONにして、万が一の紛失・盗難時の発見の手がかりになるようにしましょう。

              次回に続く
              Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 23:18 | - | - | - | - |
              なぜ、中小企業のパソコンはセキュリティに弱いのか? その4
              0
                利便性と機密性のバランスを取る

                これまで、業務利用パソコンにおけるセキュティ対策について説明をしてきましたが、これらの脅威に対して過敏に対応するだけでなく、それらがもたらす利便性についてのバランスを取り、遂行していくことがIT部門ではカバー出来ない総務部門の役割なのではないかと思います。

                過去に情報漏洩を起こした企業、あるいは過剰にセキュティ対策をしている企業などでは、情報漏洩を過剰に気にするばかりに、社内のデータを全て暗号化、パスワード化したり、業務利用のパソコンを一切、社内に持ち出すことを禁止したり、外部に電子メールを発信する場合は、1通毎に上司の承認を得ないと送信することが出来ないなどといった例があります。しかし、過剰なセキュティ対策は、パソコンがもたらす業務効率化の恩恵をなくしてしまうことにもなります。完全なセキュティ対策を施すことを目指すよりも、利便性とセキュリティリスクのバランスを取り、柔軟な運用をしていくことが重要です。


                内部統制を行う
                これはパソコンに限った話ではありませんが、近年、増えつつある従業員個人のスマートフォンやタブレットなどどのモバイル端末、社内、社内のコミュニケーションも企業で管理出来るメールや電話だけでなく、ソーシャルメディア上で行われることも多くなってきました。パソコンに限っても、総務部門やIT部門が正式な社内資産として把握しているパソコン以外にも、部門やプロジェクト毎で個別に購入したり、業務委託で社内に常駐している取引先が、持ち込んだパソコンで社内ネットワークに繋がっている例なども、未だに見受けられます。業務の効率化の為にさまざまなパソコンや個人端末を使うことは、すでに止められない流れになってきてしまっておりますが、この際には、一定のルール作りや会社の管理部門への届出、情報へのアクセス権限の整備などを行い、そういった現在のIT
                の流れを加味しつつ、業務を含めたパソコン利用に関する内部統制をしていくことが必要です。


                従業員のロイヤリティを上げる
                パソコンのセキュリティ問題に関しては、パソコンが世の中に登場してからずっと付きまとう問題であり、利便性が増せば増す程、そのセキュリティリスクも発生し、その対策がなされていくということは、今後も続いていくことになります。残念ながら、パソコンがもたらす利便性とリスクについては、企業側も上手く付き合っていかなくてはなりません。

                これからもセキュリティ関連のIT技術を駆使しして、そのリスクに対応して行かなくてはならないのですが、これらのセキュティに関する問題というのは、その会社で働く従業員の意識によって、かなり多くの部分がカバー出来るのです。当社のお客様でも、多くの従業員が新卒から定年まで働く終身雇用が定着している会社は、情報漏洩事故が起こり難いですし、従業員の勤続年数が短い会社は、情報漏洩事故も発生しやすい傾向にあります。これは、終身雇用制の会社が、進んだセキュリティ対策をしているとかいうことではなく、会社へのロイヤリティが、その会社の資産である情報を扱う際の意識向上に繋がっていてるのです。従業員の会社へのロイヤリティが高ければ高い程、そのリスクは低くなるのです。つまり、従業員が自社を思う気持ちが高ければ、それらの会社の資産である情報を守ろうという意識が高まり、最新の注意を持って扱う様になりますし、当然、その会社の機密情報を外部に漏らしたりする事も起こりません。また、セキュリティに関する教育を行った際にも、会社へのロイヤリティが高ければ、必然的に意識も高くなり、その内容についても自分の事として受け止め、高い教育効果が見込めます。従業員が自分の預金通帳などの資産や実印を最新の注意を持って扱い、一番安全な場所に保管したり、見知らぬ人に自分の生年月日や預金口座番号などの個人情報を安易に教えないのと同じ事なのです。

                つまり、従業員にも会社のセキュリティリスクは、自分のリスクであると思ってもらえる様になることが重要なのです。様々なパソコンのセキュリティ対策は、IT技術の進歩によってカバー出来る領域は増えつつありますが、それを守るのも守らないのも最終的には人になります。また、そのパソコンで重要な情報を生み出すのも扱うのも、使うのも人です。本質的には、その会社へのロイヤリティを持ってもらう事が、パソコンのセキュティ対策していくことがベースになる部分なのです。そういった社風や従業員の意識を育てつつ、パソコンなどのIT機器利用に関する内部統制の仕組みを作り、パソコンのセキュティ対策の技術などを取り入れて、自社に最適化していくことが出来るのが、総務の視点でのパソコンセキュティ対策になります。
                Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 17:05 | - | - | - | - |
                なぜ、中小企業のパソコンはセキュリティに弱いのか? その3
                0
                  外部からの情報漏洩対策

                  ここからは、外部からの情報漏洩対策です。業務用パソコンの多くは社内ネットワークはもちろんインターネットにも繋がっておりますので、常に悪意のある外部のネット犯罪者からの脅威にもさらされています。多くの場合、オペレーションシステムやインターネットサービスプロバイダー、企業のIT部門などで提供している情報セキュリティを保つ仕組みにより守られているのですが、その隙を突いて、ネット犯罪者はパソコン内の情報を抜き取る方法を仕掛けてきます。この対策としては、コンピューターウイルス対策などのセキュティリソフトウェアをパソコンにインストールすることです。ここまでであれば、多くの方々は、既に対策を行っているかと思いますが、重要なことは、このセキュリティソフトを最新に保つことなのです。日々、様々なセキュリティソフトの隙を突く方法が見つかり、その為の対策の為にセキュリティソフト会社は、その機能を強化しています。その恩恵を受ける為には、インターネットを介してその機能をセキュリティソフトに追加するオンラインアップデートという作業が必要なのです。通常、その作業は自動的に行われる様になっているのですが、セキュリティソフトの更新費用を支払っていない場合や、設定が誤っている為にオンラインアップデートが出来ずに、そこから思わぬウイルスに感染して、情報漏洩が起こることもあります。また、セキュリティソフトだけでなく、Windowsなどのオペレーションシステムや各ソフトウェアなども、ネットワークを介して通信をしていますので、同じ様に重要なセキュリティ関連のアップデートがある場合は、早急に行わなくてはなりません。
                   毎日の様に業務でパソコンを利用している従業員は、比較的、オンラインアップデートを行っている方が多いのですが、あまり頻度が高くない従業員の場合、パソコンの起動時間中に、オンラインアップデートが完了出来ないということが多く発生しますので、注意が必要です。


                  3つ目は「なりすまし対策」です。最近も、ある人のパソコンに知らぬ間に「遠隔操作不正プログラム」がインストールされて、悪意のある者がその人のパソコンを遠隔操作を行って犯罪予告を行う事件が発生しました。これは企業で使われているパソコンでも起こりうることで、特に企業では、就業時間中はパソコンを使っていない時間でも電源は入ったままですし、退社時もパソコンの電源を入れっぱなしということも見受けられます。その間に遠隔操作をされてしまったり、あるいは、遠隔操作プログラムをインストールされてしまうこともあるのです。この対策については多岐にわたる為、ここでは詳細には触れませんが、業務に関係のないようなWebサイトを閲覧したり、ソフトウェアをインストールしない、離席時は必ずパソコンをログオフして、再度、利用する場合はパスワードの入力が必要なように徹底するなどして、自分がパソコンを使っていない時は、他人に物理的にもネットワークを介してでも、操作を出来ないようにしてしまうということに尽きます。

                  また、「ソーシャルエンジニアリング」という新しい手法でアナログ的に情報漏洩を促す手口も見受けられます。これは、関係者になりすまして企業に電子メールなどで連絡をして、企業内の機密情報を入手するという方法です。例えば、電子メールで、突然、自分の会社の社長の親族を名乗る人からメールで連絡があり、社員全員の携帯電話番号のリストを送って欲しいとか、既存の顧客を名乗る人から、この顧客へ出した請求書を全て送って欲しいなどの依頼があったりします。こういった関係者になりすまし、内部から情報を漏洩させるソーシャルエンジニアリングの手法に対応するには、面識のない相手からの突然の電子メールでの依頼の場合は、電話などで本人であることを確認するなどの対応が必要となります。
                  Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 08:05 | - | - | - | - |
                  なぜ、中小企業のパソコンはセキュリティーが弱いのか? その2
                  0
                     
                    パソコンのセキュリティポイント

                    業務で使われているパソコンのセキュティ対策ポイントは大きく分けると次の3つがあります。それは「内部による情報漏洩対策」「外部からの情報漏洩対策」「なりすまし対策」になります。

                    まずは、「内部による情報漏洩対策」ですが、さらに従業員が「故意に行う情報漏洩」と、「過失による情報漏洩」の2つに分かれます。

                    従業員が故意に行う情報漏洩は、主に離職時などに行われる顧客リストや製品情報、従業員の個人情報などの持ち出しが相当します。企業側も認知をしているケースが非常に少ないですが、退職者から返却されたパソコンなどを調べてみると、かなりの確率で、こういった情報が外部のUSBメモリーなどの記憶装置にコピーしたり、個人宛の電子メールアドレスにファイルを添付して送信している形跡が見つかります。これらの情報漏洩を防ぐ方法は、企業側で機密情報の整理を行い、情報管理方法を定めることです。従業員全てが全ての情報にアクセス出来る状況を出来るだけ作らずに、その情報が必要な従業員に必要な情報にだけアクセス出来るようにしていくのです。例えば、経営に大きな影響を及ぼす情報は、極秘扱いに行い、その情報にアクセス出来る従業員を制限し、情報の暗号化、パスワード化を行う。また、その情報にアクセスした従業員の履歴を取るなどの対応をして行きます。

                    また、従業員の過失による情報漏洩は、業務用ノートパソコンの紛失・盗難、古いパソコンの間違った処理方法、クラウドストレージサービスと言われる外部へのデータ同期サービスの誤った利用法などが挙げられます。特にパソコンなどの情報機器は、オフィス狙いの窃盗犯にとっては、換金がしやすく、足が付き難い商品でもあるので、必ずと言っていい程、盗難のターゲットになります。また、従業員が出張などで業務用パソコンを持ち出した際に、電車の吊り棚に鞄を置き忘れてしまったり、置き引きの被害などに合うケースも情報漏洩の引き金になるケースが多くあります。

                    このような紛失、盗難の場合は、犯行を行う者の目的が、パソコンそのものの換金価値であり、パソコンのハードディスクに記憶されている情報ではありませんので、被害はないように思われますが、その後、盗難パソコンに内蔵されているハードディスクが、インタネットオークションや中古市場に流通し、それを盗難品と知らずに入手した人が、思わず盗難元の企業情報を入手してしまい、その情報をインターネット上に公表したり、その情報を得ることにより利益を得る可能性のある人に渡すことも少なくないのです。

                    これと同じ様なケースで、古いパソコンの間違った処理方法から情報を漏洩するケースもあります。古いパソコンをリサイクルショップや中古店、処理業者に引き取ってもらう場合、ハードディスクのデータを消去しても、多くの場合、データ復元ソフトウェアなどを利用すると、元に戻す事が出来てしまうのです。この場合、専用のデータ消去ソフトウェアを利用して完全消去を行ったり、あるいは専門のデータ消去サービスを行う事業者に依頼を行う事が必要です。

                    また、最近ですと、利便性から普及しているクラウドストレージサービスによる情報漏洩も起こっています。この仕組みは、パソコンのハードディスクに保存したデータがインターネットを介して、サービス提供者のサーバーにそのデータが保存されるというものです。そのサーバーに業務用パソコンのデータが常に保存されますので、業務用パソコンのデータバックアップにもなりますし、他のパソコンやスマートフォンやタブレットなどの端末からも、その情報にアクセス出来ますので、非常に利便性が高く、業務用のパソコンでも利用している人も多くなってきました。しかしながら、このサービスの設定をきちんと理解して使っていれば良いのですが、間違えて、業務用パソコンのデータが送られているサーバーのフォルダを「公開」設定にしていたりすると、そのフォルダに保存された情報は、誰でも見れるようになってしまい、情報が漏洩するだけでなく、そこから漏洩していくことに気付くまでは、常に業務用パソコンの最新データが、その誰でも見れるフォルダーに更新され続けることにもなってしまうような事態になってしまいますので、注意が必要です。
                    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 09:05 | - | - | - | - |
                    なぜ、中小企業のパソコンはセキュリティーが弱いのか? その1
                    0

                       パソコンが私達のオフィスに普及し始めて約20年が経過しようとしています。近年ではパソコンの大幅な価格下落により、3万円足らずで、基本的な文章作成、メールなどの業務利用が出来るパソコンが購入出来ることもあり、従業員全員にパソコンを配布している企業も多くなってきました。その反面、パソコンを管理する総務・IT部門の負荷は高くなり、今までパソコンを頻繁に利用していなかった従業員への教育やサポートなどの負荷も大きくなっています。最近では、情報漏洩や不正遠隔操作などのセキュリティ事件も相次いでおり、一つ前違えると企業の信用や経営に大きな悪影響を与えることもあります。本記事では、業務利用パソコンにおけるセキュティの重要性とその対策方法を、総務の視点から解説していきたいと思います。


                      セキュリティ事故が及ぼす経営への影響

                       マスメディアでも頻繁に取り上げられている企業の情報漏洩事故ですが、2013年4月30日にNPO 日本ネットワークセキュリティ協会が発表した『情報セキュリティインシデントに関する調査報告書』では、情報漏洩事故の一件当たり平均損害賠償額は実に3787 万円になるとの数値が発表されています。また、シマンテック社が2010年6月行った調査では、中小企業(従業員人数500名未満)の約42パーセントが情報漏洩を経験しているとの結果も出ています。実はこれは氷山の一角であり、値はあくまで企業側が認知した情報漏洩事故の件数であることから考えると、かなりの高い確率で、企業で何かしらの情報漏洩事故が発生しているのではないかと推測されます。

                       その場合の経営への影響ですが、漏洩した情報によって大きく変わってきます。住所氏名などの顧客情報などの場合は、その被害者へのお詫びに関わる費用だけで済む場合もありますが、個人のサイトのIDやパスワード、クレジットカード番号などの情報の場合は、二次的な損害も補償する必要が出る場合もあります。さらには、企業信用の回復費用、また、また、これらの情報が漏洩しただけでなく、ライバル企業に渡ってしまった場合などは、営業的な損害額も大きくなり、ニッチな市場でビジネスが成立している企業や、競合が激しい業界などでは、それが元で経営的な危機に陥ることもあります。
                      Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 09:55 | - | - | - | - |
                      TOP