中小企業向けITコンサルティング専門会社、日本クラウドコンピューティング株式会社代表取締役社長、中小企業経営イノベーション協議会会長を務める清水圭一のブログです。中小企業経営者向けに講演、コンサルティング、ITシステム開発を行っております。現在、『月刊総務』にてICTコラムを連載中。
多額の損害をもたらすビジネスメール詐欺に注意!
0

    「多額の損害をもたらすビジネスメール詐欺に注意!」

     

    日本クラウドコンピューティング株式会社

    代表取締役社長 清水圭一

     

     

    ビジネスメール詐欺とは?

     

     メールで請求書や支払い関係のやり取りや手続きをしている会社がほとんであるかと思います。

     

    しかし、相手の顔が見えないメールを悪用して、多額の損害をもたらすビジネスメール詐欺が急増しています。

     

     

     ビジネスメール詐欺とは、この請求元の担当者や役員、責任者になりすまし、メールで、いつもとは違う銀行口座を請求先に通知して、その金額を騙し取るサイバー攻撃の一種です。

     

    オレオレ詐欺の企業版のようなものですが、その被害は、拡大しています。

     

     

     米国連邦捜査局によると、2013年10月から2016年5月までに、米国インターネット 犯罪苦情センターに報告されたビジネスメール詐欺の被害件数は15,668件、被害総額は約11億(1,053,849,635)米ドルにのぼっています。

     

    1件あたりの平均被害額は約14万米ドル(日本円では約1,600万円程度)にもなり、非常に大きな被害をもたらす脅威となっています。 

     

     

     また、日本でも被害に合う企業が増えてきており、国内でも逮捕者が出ており、実際に被害までは及ばなかったものの、ビジネス詐欺と思われる攻撃の経験がある企業も増えております。

     

    今回は大きな脅威となりつつビジネスメール詐欺の手口と対策を解説したいと思います。

     

     

    ビジネス詐欺の手口

     

    ビジネス詐欺は大きく分けて、次の5つのタイプがあります。

     

     

    タイプ1:請求書の偽装 

     

     請求書を偽装して、取引先にメールで送付します。

     

    その際に、「以前、送付した請求書には間違いがあったので、こちらの請求書に記載してある銀行口座に送金して欲しい」とのコメントがメールで書かれているのです。

     

     

     売掛債権ファクタリングを第三者に行っているケースや、また、屋号と法人名が異なる場合など、支払先と銀行口座名義が違うケースなどは多くあります。

     

    特に海外企業と取引している会社などは、請求書の記載内容の細かい違いに気付かない場合が多くあり、実際、海外との取引が多い企業がターゲットにされやすい傾向があります。

     

     

     

    タイプ2:経営者等へのなりすまし 

     

     企業の経営者になりすまし、メールで経理担当者に「今後、取引先のA社の支払銀行口座が変わったので、こちらに振り込むように」と、虚偽のメールを送付します。

     

    いつもと違うメールアドレスであっても、経営者の名前が含まれたフリーメールだったりすると、個人のメールアドレスから送ってきたと思い込んで、何の疑いもなく、その指示通りにしてしまう心理を狙っています。

     

     

     

    タイプ3:窃取メールアカウントの悪用 

     

     メールアカウント、パスワードを他のサイトで不正に入手し、完全のメールアカウント自体を窃取します。

     

    そこから取引先や自社の経理担当者に偽の請求書や、振込銀行口座変更の指示を出すというものです。

     

     

     

    タイプ4:社外の権威ある第三者へのなりすまし 

     

     弁護士などのなりすまし、「A社は経営破綻により、売掛債権については管財人である当方が管理します。ついては、今後の支払いについては、こちらの銀行口座にお振込ください」といった具合に、権威ある第三者になりすまして、詐欺を実行します。

     

     

     

    タイプ5:詐欺の準備行為と思われる情報の詐取 

     

     事前に取引先を装い「貴社請求書番号、支払い期日の一覧をまとめたものをお送りください」などといったメールを送り、偽装請求書の事前情報を入手したり、あるいは、経理部門に取引先を装って、支払担当者名を確認するような連絡を行い、詐欺の準備行為を行います。

     

     

     これらのタイプは、それぞれ毎に実行される場合もありますし、タイプを複合させて実行される場合もあります。

     

     

    ビジネスメール詐欺に合わないための5つの対策

     

     ビジネスメール対策に合わないために、5つの対策が挙げられます。

     

    1.振込銀行口座の変更には安易に応じない

     

     取引先の振込銀行口座の変更は、安易に行わないこと。

     

    特に取引先法人名と銀行口座名義が違う場合は、その理由と証拠となる書類の提出を行います。

     

    最近では、証拠の書類まで偽造して送付するケースもありますので、例えば、取引先が倒産という管財人からの連絡は、官報を確認したり、実際に電話してみるなど、二重三重の確認を行います。

     

     

    2.有名企業のドメインでも詳細を確認する

     

     メールアドレスのドメインが有名企業だったりすると、ついつい信用してしまいますが、例えば、ドメインのスペルが「m」の部分が「rri」になっていたり、社名を表す部分の最後に「s」が付いていたりと違いがあったり、ドメインの最後の部分が、見慣れない「.pw」や「.xyz」など、ちょっとでも不審なところがあれば、本当にその企業の担当者であるか、電話などで確認をします。

     

     

    3.ビジネスメール詐欺対策のセキュリティソフトウェアを導入します

     

     ビジネスメール詐欺で使われているドメイン名やメール送信元の偽装などを自動判別して、「このメールは詐欺の可能性があります」と通知するセキュリティソフトウェアなどがあります。

     

    こういった製品やサービスを使って、怪しいメールに関しては警告を表示したり、そもそも詐欺メールを受信しないで、メールサーバー側でシャットアウトする機能がある製品やサービスもあります。

     

     

     ビジネスメール詐欺は、一件あたりの金額も大きく、売掛金の入金を毎月チェックしていない企業などは、気付くまでに時間が掛かり、継続的に騙し取られ続けていたなんていうことも起こりうります。

     

    これらのことは、支払請求業務の変更手順の統制をしっかり行うことで、回避できる部分も多くあります。

     

    これを機会に、支払、請求業務の見直しをしてみてはいかがでしょうか?

    JUGEMテーマ:ビジネス

    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:00 | - | - | - | - |
    パソコンとファイルを人質に取り、身代金を取るウイルス被害と対策
    0

      「パソコンとファイルを人質に取り、身代金を取るウイルス被害と対策」

       

      日本クラウドコンピューティング株式会社

      代表取締役社長 清水圭一

       

       

       今まで、コンピューターウイルスは、パソコンに感染し、パソコンのデータやパスワードを盗み取ったり、遠隔操作をされて、思いもよらない犯罪に巻き込まれるというものが主流でした。

       

      しかし、ここ最近、被害が急激に拡大しているウイルスの一つに、ランサムウェアというウイルスがあります。

       

      これは身代金要求型ウイルスとも言われて、パソコンやファイルを利用不可、あるいは読み取り不可にしてしまうウイルスに感染させ、それらを人質にして、それらを使えるようにする(解放する)ことと引き換えに、身代金の支払いを要求するものです。

       

       

       この背景には、現在のビジネス環境はほとんどの部分をパソコンを使って、業務を処理し、メールでコミュニケーションを取るというスタイルになっていることが挙げられます。

       

      パソコンや今まで使っていたファイルがないと、仕事にならないという弱みに付け込むことが、成功率が高く、国境を超えてインターネットを介して犯罪行為を行えるので、捕まりにくいということが、この犯罪件数の増加にも繋がっています。

       

       

       IPA(情報処理通信機構)が発表した統計(図1)では、ランサムウェアに関する相談の月別推移も急激に増加しており、もはやサイバー犯罪として、一般企業でも注意喚起を社内のPCユーザーに対して行わなくれてならない水域に来ています。

       

       

       今回は、このランサムウェアとは、どういうものなのか?また、どのような経路から侵入し、どのような対策が有効かを解説していきたいと思います。

       

       

      ランサムウェアは何を引き起こすのか?

       

       パソコンに保存されている文章、表計算、プレゼンテーション、音楽、動画などのあらゆるファイルを勝手に暗号化を行い、ファイルが利用出来ない状態にしてしまいます。また、パソコンの操作が一切できないようにロックがかかった状態になる場合もあります。

       

      ランサムウェアも、他のコンピューターウイルスと同様に、一台が感染すると、ネットワークを通じて、他のパソコンまでも感染してしまい、社内のネットワークに接続されているパソコンすべてが、使えなくなるという事態も十分に起こりうります。

       

       

      ランサムウェアに感染した後には、身代金を要求される

       

       ランサムウェア感染後には、法執行機関を装うような画面が表示されたり、また、警告画面などが表示されて、お金を支払うことによって、それが解除されると記述された画面が現れます。

       

      しかしながら、ここで、お金を払ってしまうと、相手の思うツボです。

       

      さらなるお金を要求されたり、あるいはそのまま、ランサムウェアを作っている犯罪者集団も身元が割れないように、金銭を受け取った後には、ネットワーク経由でのアクセスを行わない場合はほとんどです。

       

      つまり、お金を払っても、元に戻るケースは非常に少ないです。

       

      また、このようなランサムウェアを拡散する犯罪者集団にお金を払うことによって、さらなるランサムウェアをばら撒く資金原になってしまい、被害を拡大することにもなりますので、絶対にお金を支払わないことが鉄則です。

       

       

      ランサムウェア対策に必要なことは?

       

       ランサムウェアは、コンピューターウイルスの一種ですので、セキュリティ製品を使うことによって防御が可能です。

       

      通常のウイルス対策機能に加えて、不正サイトへのアクセスブロック機能、サムウェア本体を検出する、また不正プログラムの行う不審な活動を警告、ブロックする機能が備わっていれば万全です。

       

       

       また、セキュリティ製品を導入するだけでなく、ランサムウェアが侵入時に脆弱性への攻撃が利用される事例が多いため、OSやJavaやPDF閲覧ソフトなどの脆弱性をアップデートしておくことも必要です。

       

       

      ランサムウェアに感染した場合の復旧方法

       

       ランサムウェアに感染した場合、ファイルが暗号化されたり、パソコンがロックされてしまいますので、手のくだし様がない場合がほとんどです。

       

      例え、パソコンの一部の機能が使えていたとしても、感染がわかった場合は、それ以上、パソコンを使ってはいけません。

       

      その後、潜んでいたランサムウェアが、後になって活性化をされ、さらなる被害を生み出す場合があります。

       

       

       そこで、ランサムウェアにパソコンが感染した場合は、病気に例えれば、対処療法ではなく、根治療法をする必要があります。

       

      この根治療法とは、パソコンを工場出荷時状態に戻すクリアインストールを行い、その後、ランサムウェアが感染する前のバックアップデータから、データを復旧させるというものです。

       

       

      バックアップのポイントは自動であること

       

       ランサムウェアに感染した場合、復旧で取りうる方法は、根治療法である完全なクリアインストールになります。

       

      しかしながら、業務用で従業員に貸与されているパソコンのデータを統合バックアップを自動で行っている企業は極少数であり、ほとんどの企業は、パソコンはバックアップは貸与されている従業員に任せており、大部分の従業員は、自分のパソコンのバックアップなどはしたことがないのが現状です。

       

       

       そこで、必要なのは、パソコンの自動バックアップの導入です。

       

      そして、そのポイントは「自動」である点です。

       

      バックアップは、何か起こるまでは必要性を理解されることはありませんので、利用者にバックアップを任せるよりも、管理者側で自動でバックアップを取る仕組みを導入する方が、会社全体のコスト面では安くつきます。

       

      現在は、クラウドを利用した自動バックアックアップのサービスや、また、バックアップソフトウェアと大容量外部ストレージによって、社内パソコンの統合バックアップシステムを作ることが安価に出来るようになってきています。

       

      会社のリスク管理と生産性向上を目指して、この機会に検討してみてはいかがでしょうか?

       

      JUGEMテーマ:ビジネス

      Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:00 | - | - | - | - |
      上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その3
      0

        いつもメールでやり取りしている取引先の担当者になりきり攻撃
        これは2段階で攻撃してくる手法で、情報を盗み出したい企業の社員の担当者に標的型メール攻撃を仕掛けていきます。

         

        例えば、ある企業の情報システムの担当者と頻繁にやり取りをしていると思われるIT関連会社の担当社員などです。

         

        これを割り出すのは実は簡単で、そのIT関連会社のホームページなどに掲載されているお客様事例記事にお客様側の担当者がフルネームで登場しています。

         

        そのIT関連会社側の担当社員も事例記事にフルネームで登場している場合もありますので、先ずIT関連会社側の担当社員に標的型攻撃メールを仕掛けてパソコンを乗っ取り、そのパソコンからその担当者を装って、いつものメール文面を真似て、メールの署名を付けてウイルス付きでその企業の情報システム担当社員にメールを送れば、そのメールの添付ファイルを開いてくれる確率は上がります。

         

         

        標的型攻撃メールの最新手口への対策は?
        標的型攻撃メールは年々、手口も巧妙化しており、それに対応するセキュリティ関連製品や不正侵入検知サービスなどが充実してきています。

         

        また、社内の重要データ自体のアクセス権限を見直し、細かくアクセス権限や見える情報に制限を掛けたり、暗号化をするなど、セキュリティ技術面とシステム権限の両方から対策をしていきます。

         

        しかし、現状ではいたちごっこになってしまっており、標的型攻撃メールに代表されるセキュリティの分野は、ITだけでは最善な対策は出来ても、完全な対策は出来ない分野でもあります。

         

        IT技術で補えない部分については、従業員一人一人のセキュリティ意識を向上させることが対策の王道になります。

         

        そのために有効な方法のひとつとして、標的型攻撃メールの模擬テストを行なうことが効果が高いです。

         

        誰でもこういった被害に合わない限りは、自分だけは大丈夫という根拠のない自身を持っています。

         

        しかしながら、弊社が数社の企業からの依頼にもとづいて行なった標的型攻撃メールの模擬テストに対しては、初めてのメールをやり取りする相手のメールの添付ファイルでも、すぐに開いてしまう従業員が2割程度おり、巧妙な標的型攻撃メールに対しては7割近い従業員が添付ファイルを開いてしまうという結果が出ています。こういった模擬テストを通じて、いかに標的型攻撃メールが巧妙化しているか、身近なリスクであるかと従業員に知ってもらい、セキュリティ意識の向上をしっかりとしていくことがセキュリティ対策の王道であり、企業のセキュリティリスクに対して様々な対策をしていく土台になるのです。

         

        JUGEMテーマ:ビジネス

        Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:47 | - | - | - | - |
        上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その2
        0

          問合せWebフォームや公開メールアドレスでの数回のやり取り後に攻撃

           

          ホームページの連絡フォームや公開している問合せ用メールアドレスから顧客や求職者に装い連絡をしてきます。

           

          そこから数回、担当者とのメールのやり取りを行い、相手が油断したところで、ウイルスや不正プログラムを仕込んだ添付ファイル付きのメールを送るのです。

           

          すると担当者はそのメールの添付ファイルを何の疑いも無く開いてしまい、そのパソコンの中にある情報や、そのパソコンを踏み台にして企業システムに侵入し、情報を盗み出されてしまうのです。

           

           

          個人宛の業務用メールアドレスに上司のメールアドレスから攻撃!?
          多くの企業や団体では独自ドメインを取得して、こちらをメールアドレスの@(アットマーク)以下に割り当てて、@より前は、「名字_(アンダーバー)名前」の様に規則性を持ってメールアドレスを各個人に割り振っています。

           

          すると、その会社で誰か一人のメールアドレスが分かれば、他の人はフルネームが分かればメールアドレスが分かってしまうのです。

           

          最近ではFacebookやLikedInなどの実名制ソーシャルメディアを見れば、勤める企業名と名前が分かってしまう場合が多いので、その会社の業務用アドレスの規則性からピンポイントでメールを送ることが出来るのです。

           

          また、メールの送信者も簡単に送信元を偽装することができますので、会社のホームページに掲載されている役員や部門責任者のフルネームからその業務用アドレスを類推し、送信元を偽装をして標的型攻撃メールを送れば、受信者も上司からメールということで反応率は非常に上がり、被害が拡大してしまうのです。

           

          その3に続く

           

          JUGEMテーマ:ビジネス

          Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 05:43 | - | - | - | - |
          上司からのメールを開くと情報漏えい!? 標的型攻撃メールの最新手口と対策 その1
          0

            2015年6月1日に日本年金機構が125万人の個人情報を、そして6月10日には東京商工会議所が1万人以上の個人情報を標的型攻撃メールにより奪取されました。

             

            近年、発生頻度や漏えい件数の数が急激に増加しており、今までのように大企業や政府関係機関だけでなく、中小企業や個人などにも被害が拡大しています。

             

            今回は、その被害が多くなっている標的型攻撃メールの最新手口と対策について解説をしたいと思います。

             

             

            標的型攻撃メールとは?
            標的型攻撃メールとは、対象の企業や組織から重要な情報を奪取することなどを目的として送信されるメールで、そのメールを受信した担当者は業務に関係のあるメールと思い込んで、そのメールの添付ファイルや記載されたリンクを開いてしまい、そこに仕込まれたコンピューターシステムを不正に動かすプログラムにより、いつの間にか情報が盗まれてしまうとメールのことをいいます。


            今までの標的型攻撃メールは、送信元がフリーアドレスであったり、添付ファイルがexeなどの実行ファイルだったり、メールを使い慣れた人であれば不審に感じるメールが多かったのですが、最近の標的型攻撃メールは非常に巧妙で、一見して不審な点がなく、気がつきにくいのが特徴です。

             

            その2に続く

             

            JUGEMテーマ:ビジネス

            Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 02:40 | - | - | - | - |
            年末年始の危機管理 その3「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
            0
              JUGEMテーマ:ビジネス

              誓約書作成のポイント

              ・会社支給のIT機器と同じセキュリティポリシーで利用する事の同意
              ・紛失、盗難などのセキュリティ事故が発生した場合は必ず会社に届け出ることの同意
              ・セキュリティ事故発生時、退職時には、会社の権限で、個人所有のIT機器に保存されている情報やソフトウェアを削除することの同意

              この3つの同意を必ず盛り込んだ誓約書を作成し、従業員に個人所有でありながら、業務で使う以上は、会社支給端末と同じであることを意識づける様にして下さい。


              万が一、紛失・盗難が発生した場合

              前出のような対策をしていなかった場合、情報漏洩を回避するために何も打つ手はありません。それだけ、IT機器の盗難・紛失対策は事前の準備と運用が重要になります。

              何も対策をしていない状況で、この様な事故が発生してしまった場合は、早急に警察に届け、二次被害が起こらない様に、社内は元より、情報漏洩により影響がある取引先などに速やかに連絡し、対策を協議する必要があります。

              また、事前対策の策定、アドバイスから、万が一、IT機器の紛失・盗難が起こった場合の対策や、その端末を見つけ出し、回収までも行なうサービスを提供している事業者もあります。

              終わり
              Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 06:52 | - | - | - | - |
              年末年始の危機管理 その2「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
              0
                JUGEMテーマ:ビジネス


                年末年始の会社支給IT機器の紛失・盗難対策

                外勤従業員に支給しているノートパソコン、タブレットは、忘年会、新年会などの飲酒の機会がある場合は、業務上、不都合がない限りは、持出し、持帰りを禁止し、オフィス内の鍵付きロッカーなどで保管した上で、退社するなどのルールを作り、従業員に周知徹底させます。

                スマートフォンも、紛失・盗難などに備えて、パスワード設定、遠隔データ消去機能が設定されているかどうか、再度、管理部門が確認を行ないます。強制的にこのような設定をしなければ、業務利用のメールやアプリを使えなくするソフトウェアなどもあります。

                オフィスが不在になる年末年始休業中は、オフィスを専門に狙う窃盗団による被害が多くなる時期でもあります。再度、オフィス内のセキュリティを再確認し、その時期だけは、業務利用ノートパソコン、タブレットなどを鍵付きのロッカーではなく、外部の金庫などで保管することなども検討しましょう。


                年末年始の個人所有のIT機器の紛失・盗難対策


                個人所有のIT機器を業務利用で許可している場合も、会社支給のIT機器と同じセキュリティの仕組みを導入する必要があります。パソコンであれば、基本ソフトの起動パスワード、ハードディスクの暗号化、セキュリティソフトの導入、タブレット、スマートフォンであれば、画面ロックパスワードの設定や遠隔データ消去など、会社支給のIT機器と同じセキュリティポリシーを適用出来る場合のみ、個人所有のIT機器での業務利用を許可するなど、従業員との取り決めが必要です。

                会社支給のIT機器はもちろんですが、個人所有のIT機器を使って業務を行なう場合、必ず誓約書に署名、捺印をしてもらう事が重要です。これは、万が一、紛失・盗難にあった場合に従業員への罰則を与える事が目的ではなく、セキュリティ意識の向上を促し、その責任を感じてもらうことが目的です。

                次回に続く 


                Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:20 | - | - | - | - |
                年末年始の危機管理 その1「業務利用のパソコン、タブレット、スマートフォンの紛失・盗難対策」
                0

                  三井住友銀行グループ SMBCコンサルティング 経営者向け情報サイト NetPressへの弊社代表取締役社長 清水圭一 寄稿掲載記事より

                  ポイント
                  ・年末年始に急増する会社支給のパソコン、タブレット、スマートフォンの紛失・盗難事故に対して、事前、運用面での対策が必要になります

                  ・個人所有のパソコン、タブレット、スマートフォンの紛失・盗難に備えての事前準備策、対応策も併せて検討しておく必要があります。

                  ・IT機器利用に際して従業員と取り交わす誓約書を作成、見直しを行い、従業員のセキュリティ意識の向上を行なう必要があります。


                  各端末毎の紛失・盗難対策の基本


                  パソコン(ノートパソコン)

                  ・基本ソフト(Windowsなどのオペレーションシステム)の起動パスワードだけでは、紛失・盗難にあった場合、パソコンを分解してハードディスクを取り出された場合、中のデータが情報漏洩する恐れがあります。併せてハードディスクの暗号化ソフトを必ず利用しましょう。

                  ・外部へのパソコンの持ち出しは、外勤社員など必要のある従業員に限定し、内勤社員などは、許可制にするなどの社内規則の制定を行ないましょう。

                  ・終業後は必ず、パソコンを鍵付きのロッカーなどに保管を行なうことを徹底させましょう。


                  パソコン(デスクトップパソコン)
                  上記のノートパソコンと同じ対策に加えて、物理的に鍵付きロッカーに保管する事ができないたので、パソコン専用のワイヤーロックなどを取り付け、安易に持ち去る事が出来ない様にしましょう。


                  タブレット・スマートフォン

                  ・画面ロック解除パスワードを必ず設定し、ある一定の回数、パスワードを間違えるとタブレット、スマートフォン内の全てのデータを消去する設定を行ないましょう。

                  ・紛失・盗難にあった場合、遠隔操作でタブレット、スマートフォンのデータをすべて消去するソフトなどを導入し、設定しましょう。

                  ・位置情報発信機能がある場合は、この機能をONにして、万が一の紛失・盗難時の発見の手がかりになるようにしましょう。

                  次回に続く
                  Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 23:18 | - | - | - | - |
                  なぜ、中小企業のパソコンはセキュリティに弱いのか? その4
                  0
                    利便性と機密性のバランスを取る

                    これまで、業務利用パソコンにおけるセキュティ対策について説明をしてきましたが、これらの脅威に対して過敏に対応するだけでなく、それらがもたらす利便性についてのバランスを取り、遂行していくことがIT部門ではカバー出来ない総務部門の役割なのではないかと思います。

                    過去に情報漏洩を起こした企業、あるいは過剰にセキュティ対策をしている企業などでは、情報漏洩を過剰に気にするばかりに、社内のデータを全て暗号化、パスワード化したり、業務利用のパソコンを一切、社内に持ち出すことを禁止したり、外部に電子メールを発信する場合は、1通毎に上司の承認を得ないと送信することが出来ないなどといった例があります。しかし、過剰なセキュティ対策は、パソコンがもたらす業務効率化の恩恵をなくしてしまうことにもなります。完全なセキュティ対策を施すことを目指すよりも、利便性とセキュリティリスクのバランスを取り、柔軟な運用をしていくことが重要です。


                    内部統制を行う
                    これはパソコンに限った話ではありませんが、近年、増えつつある従業員個人のスマートフォンやタブレットなどどのモバイル端末、社内、社内のコミュニケーションも企業で管理出来るメールや電話だけでなく、ソーシャルメディア上で行われることも多くなってきました。パソコンに限っても、総務部門やIT部門が正式な社内資産として把握しているパソコン以外にも、部門やプロジェクト毎で個別に購入したり、業務委託で社内に常駐している取引先が、持ち込んだパソコンで社内ネットワークに繋がっている例なども、未だに見受けられます。業務の効率化の為にさまざまなパソコンや個人端末を使うことは、すでに止められない流れになってきてしまっておりますが、この際には、一定のルール作りや会社の管理部門への届出、情報へのアクセス権限の整備などを行い、そういった現在のIT
                    の流れを加味しつつ、業務を含めたパソコン利用に関する内部統制をしていくことが必要です。


                    従業員のロイヤリティを上げる
                    パソコンのセキュリティ問題に関しては、パソコンが世の中に登場してからずっと付きまとう問題であり、利便性が増せば増す程、そのセキュリティリスクも発生し、その対策がなされていくということは、今後も続いていくことになります。残念ながら、パソコンがもたらす利便性とリスクについては、企業側も上手く付き合っていかなくてはなりません。

                    これからもセキュリティ関連のIT技術を駆使しして、そのリスクに対応して行かなくてはならないのですが、これらのセキュティに関する問題というのは、その会社で働く従業員の意識によって、かなり多くの部分がカバー出来るのです。当社のお客様でも、多くの従業員が新卒から定年まで働く終身雇用が定着している会社は、情報漏洩事故が起こり難いですし、従業員の勤続年数が短い会社は、情報漏洩事故も発生しやすい傾向にあります。これは、終身雇用制の会社が、進んだセキュリティ対策をしているとかいうことではなく、会社へのロイヤリティが、その会社の資産である情報を扱う際の意識向上に繋がっていてるのです。従業員の会社へのロイヤリティが高ければ高い程、そのリスクは低くなるのです。つまり、従業員が自社を思う気持ちが高ければ、それらの会社の資産である情報を守ろうという意識が高まり、最新の注意を持って扱う様になりますし、当然、その会社の機密情報を外部に漏らしたりする事も起こりません。また、セキュリティに関する教育を行った際にも、会社へのロイヤリティが高ければ、必然的に意識も高くなり、その内容についても自分の事として受け止め、高い教育効果が見込めます。従業員が自分の預金通帳などの資産や実印を最新の注意を持って扱い、一番安全な場所に保管したり、見知らぬ人に自分の生年月日や預金口座番号などの個人情報を安易に教えないのと同じ事なのです。

                    つまり、従業員にも会社のセキュリティリスクは、自分のリスクであると思ってもらえる様になることが重要なのです。様々なパソコンのセキュリティ対策は、IT技術の進歩によってカバー出来る領域は増えつつありますが、それを守るのも守らないのも最終的には人になります。また、そのパソコンで重要な情報を生み出すのも扱うのも、使うのも人です。本質的には、その会社へのロイヤリティを持ってもらう事が、パソコンのセキュティ対策していくことがベースになる部分なのです。そういった社風や従業員の意識を育てつつ、パソコンなどのIT機器利用に関する内部統制の仕組みを作り、パソコンのセキュティ対策の技術などを取り入れて、自社に最適化していくことが出来るのが、総務の視点でのパソコンセキュティ対策になります。
                    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 17:05 | - | - | - | - |
                    なぜ、中小企業のパソコンはセキュリティに弱いのか? その3
                    0
                      外部からの情報漏洩対策

                      ここからは、外部からの情報漏洩対策です。業務用パソコンの多くは社内ネットワークはもちろんインターネットにも繋がっておりますので、常に悪意のある外部のネット犯罪者からの脅威にもさらされています。多くの場合、オペレーションシステムやインターネットサービスプロバイダー、企業のIT部門などで提供している情報セキュリティを保つ仕組みにより守られているのですが、その隙を突いて、ネット犯罪者はパソコン内の情報を抜き取る方法を仕掛けてきます。この対策としては、コンピューターウイルス対策などのセキュティリソフトウェアをパソコンにインストールすることです。ここまでであれば、多くの方々は、既に対策を行っているかと思いますが、重要なことは、このセキュリティソフトを最新に保つことなのです。日々、様々なセキュリティソフトの隙を突く方法が見つかり、その為の対策の為にセキュリティソフト会社は、その機能を強化しています。その恩恵を受ける為には、インターネットを介してその機能をセキュリティソフトに追加するオンラインアップデートという作業が必要なのです。通常、その作業は自動的に行われる様になっているのですが、セキュリティソフトの更新費用を支払っていない場合や、設定が誤っている為にオンラインアップデートが出来ずに、そこから思わぬウイルスに感染して、情報漏洩が起こることもあります。また、セキュリティソフトだけでなく、Windowsなどのオペレーションシステムや各ソフトウェアなども、ネットワークを介して通信をしていますので、同じ様に重要なセキュリティ関連のアップデートがある場合は、早急に行わなくてはなりません。
                       毎日の様に業務でパソコンを利用している従業員は、比較的、オンラインアップデートを行っている方が多いのですが、あまり頻度が高くない従業員の場合、パソコンの起動時間中に、オンラインアップデートが完了出来ないということが多く発生しますので、注意が必要です。


                      3つ目は「なりすまし対策」です。最近も、ある人のパソコンに知らぬ間に「遠隔操作不正プログラム」がインストールされて、悪意のある者がその人のパソコンを遠隔操作を行って犯罪予告を行う事件が発生しました。これは企業で使われているパソコンでも起こりうることで、特に企業では、就業時間中はパソコンを使っていない時間でも電源は入ったままですし、退社時もパソコンの電源を入れっぱなしということも見受けられます。その間に遠隔操作をされてしまったり、あるいは、遠隔操作プログラムをインストールされてしまうこともあるのです。この対策については多岐にわたる為、ここでは詳細には触れませんが、業務に関係のないようなWebサイトを閲覧したり、ソフトウェアをインストールしない、離席時は必ずパソコンをログオフして、再度、利用する場合はパスワードの入力が必要なように徹底するなどして、自分がパソコンを使っていない時は、他人に物理的にもネットワークを介してでも、操作を出来ないようにしてしまうということに尽きます。

                      また、「ソーシャルエンジニアリング」という新しい手法でアナログ的に情報漏洩を促す手口も見受けられます。これは、関係者になりすまして企業に電子メールなどで連絡をして、企業内の機密情報を入手するという方法です。例えば、電子メールで、突然、自分の会社の社長の親族を名乗る人からメールで連絡があり、社員全員の携帯電話番号のリストを送って欲しいとか、既存の顧客を名乗る人から、この顧客へ出した請求書を全て送って欲しいなどの依頼があったりします。こういった関係者になりすまし、内部から情報を漏洩させるソーシャルエンジニアリングの手法に対応するには、面識のない相手からの突然の電子メールでの依頼の場合は、電話などで本人であることを確認するなどの対応が必要となります。
                      Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 08:05 | - | - | - | - |
                      TOP