■ 目的 この章では,情報セキュリティの意義・目的,情報セキュリティの基礎について理解していただ きます。 ●情報セキュリティの意義・目的 ●情報の漏洩 ●脅威・脆弱性の分類 ●社員の意識付け 1 / 6 ページ ■ 情報セキュリティの意義・目的 1) 情報セキュリティの目的 情報セキュリティの目的は,企業で利用している コンピュータや情報等の情報資産を守ることです。 つまり,正確な情報を必要な時に許された者だけ が利用できる状態にすることです。 2) IT社会の反映 昨今のITの向上やインターネットの普及により, 私たちは多くの情報を効果的に利用でき,また離 れた場所であっても情報をやり取りすることができ るようになりました。 これらは,利便性や作業効率の向上といった多くの利点を持つ反面,社内システムへの不正 侵入や,情報の盗難,データの改ざんといった犯罪の危険や,ほんの些細なミスによる個人情 報の漏洩などの危険も併せ持ちます。 情報セキュリティは,企業のITへの依存度が高まるほど,ますます重要になっていきます。 3) 業務形態の劇的変化 顧客情報や自社製品などの情報はすべて電子化され,今や「コンピュータがなくては仕事がで きない」ところまで来ています。それゆえ,利用者は,ITの活用による業務形態の劇的変化に柔 軟に対応し,適切な対策を行わなくてはいけません。 これを怠ると,必要なときに必要な情報が得られなかったり,入手したデータに不備があったり と,業務に影響が出るだけでなく,不正にデータが外部に流出した場合には,会社や顧客に損 害を与えることになります。 4) 法律の整備 最近では「個人情報に関する法律」や「不正アクセス禁止等に関する法律」等の法整備も進ん でいますが,自分のものは自分で守るという基本姿勢は忘れてはいけません。 また,悪意がなかったにせよ,「ついうっかり... 」で自分のみならず他人に迷惑をかけてしまう ことも忘れてはいけません。 法律違反は,罰金や懲役だけでなく,企業・組織への損害賠償請求や会社の信用失墜につな がるのです。 5) セキュリティ対策の重要性 情報セキュリティに対する正しい知識を持って,情報保護のための対策を講じ,ルールを守る ことは,以下のような効果をもたらします。 ●重要な機密が守られ,顧客の安心感と信頼感を向上させる ●社員のモラル(倫理観や志気)が向上する ●ITの有効利用により業務の生産性が向上する ページの先頭へ 2 / 6 ページ ■ 情報セキュリティの目的 私たちは,情報技術(IT)の向上やインターネットの普及により,多くの情報を効果的に利用した り,離れた場所であっても情報をやり取りすることができるようになりました。 また,それらの利便性や作業効率の向上といった多くの利点が業務に活かされるようになり,企 業の情報技術への依存度は益々高まっています。 このような状況から「情報セキュリティ」の重要性が叫ばれるようになってきましたが,この「情報 セキュリティ」にはどういう目的があるのでしょうか。 ○ 企業が顧客情報を公開できるようにすること ○ 企業で利用しているコンピュータや情報(情報資産)を守り,必要な時に許された者だけが 正確な情報を利用できる状態にすること ○ 企業が夜間の盗難に備えること 3 / 6 ページ ■ IT社会の反映 情報技術の向上やインターネットの普及は利便性や作業効率の向上といった多くの利点を持っ ていますが,その反面,色々な危険性も持っています。 どのような危険性があるのでしょうか。 ○ 社内システムへの不正侵入 ○ 社員の業務負荷の増大 ○ 社員のモラル(倫理観や志気)の低下 4 / 6 ページ ■ 業務形態の劇的変化 業務の形態が情報化社会の対応へと変化する中,機密情報や顧客情報を扱う企業の責任とし て,どのような対策が必要でしょうか。 ○ 市場の情報化に遅れを取らないようにパソコンを導入し,業務の全てを情報化する。 ○ パソコンのモバイル利用が主流になっているので,ノートパソコンを導入し,いつでも,どこ でも社内ネットワークを利用できるようにする。 ○ 情報技術の活用による業務形態の劇的変化に柔軟に対応しつつ,社内の重要な情報が 外部に漏れないように,情報セキュリティの対策を行う。 5 / 6 ページ ■ 法律の整備 情報技術の向上やインターネットの普及は色々な危険性も持っており,近年,国のホームペー ジが改ざんされたり,大量の個人情報が流出したり,益々,情報セキュリティに関する事故が増 加しています。 このような事故で情報セキュリティの対策が重要視される中,どのような法律が整備されている でしょうか。 ○ 不正アクセス禁止法 ○ IT化推進法 ○ 情報セキュリティ保護法 6 / 6 ページ ■ セキュリティ対策の重要性 情報セキュリティに対する正しい知識を持ち,事業継続のために対策を講じ,ルールを守ること は,どのような効果をもたらしますか。 ○ 盗難対策になり,泥棒に入られる可能性が減少する。 ○ 情報セキュリティがしっかりしているということで,国から表彰される。 ○ 重要な機密が守られ,顧客の安心感と信頼感を向上させる。 1 / 6 ページ ■ 情報の漏洩 情報はいろいろな要因によって漏洩したり,紛失 することがありますが,必ずしも外部からの犯行だ けではありません。 事件として報告されている情報漏洩の多くは,内 部の犯行や誤操作,ほんの気のゆるみからなる自 己責任によるものです。 情報漏洩には理由があり,きっかけがあるもので す。どのように漏れるのかを理解し,正しい対策を 心がけることで情報漏洩のほとんどは防ぐことがで きます。 1) 不正アクセスによる漏洩 情報を盗み取ろうとする場合,多くの場合はネットワーク経由でのアクセスを試みますが,この 行為はインターネットを経由した外部犯行だけでなく,イントラネット(社内のネットワーク)経由 の内部犯行も少なくありません。 2) あなたのパソコンから漏洩 離席する際にスクリーンセーバを起動しなかったり,スクリーンのロ ックをしない場合,誰かがパソコンの画面を覗くだけで重要な情報が 見られてしまうことが考えられます。仮に画面上に表示されていなく ても,簡単な操作だけでデータが盗み見られてしまいます。 3) 廃棄したフロッピーディスクから漏洩 フロッピーディスクをフォーマットしたから誰に渡しても大丈夫と考え ていませんか。フロッピーディスクやCD-R等の情報を格納する媒体 を廃棄する場合に,そこから情報が漏洩することがあります。エクスプローラ等からファイルを削 除しただけでは,見た目上ファイルは削除されてもデータは残ったままとなります。フォーマット したとしても,消去されずに残っているデータがあり,悪意を持った第3者がそのデータを読込む ことも可能なのです。 これらの媒体は,必ず物理的に破壊してから捨ててください。 4) ソーシャルエンジニアリング 「ソーシャルエンジニアリング」とは,なりすまし,盗み聞 き,盗み見といった社会的手段によってパスワードなどのセ キュリティ上重要な情報を入手する不正行為です。 電話などで「システム部のものですが,○○さんのパスワ ードを確認さてください」などと,管理者のふりをしてパスワ ードを盗み取ろうとしたり,あなたの肩越しにパスワード入力 のキー操作を覗き見たり,悪意を持つ人は様々な方法で情 報を盗み取ろうとします。 ページの先頭へ 2 / 6 ページ ■ 情報の漏洩 最近,情報漏洩事故が数多く報道されるようになりました。情報漏洩の多くには理由があり,き っかけがあるものです。どのように漏れるのかを理解し,正しい対策を心がけることで情報漏洩 のほとんどは防ぐことができます。 さて,実際に情報漏洩はどのように起こるのでしょうか。 ○ パソコンの故障によって起こる。 ○ パソコンの配置を変更することによって起こる。 ○ 社外,社内のパソコンからの不正アクセスや, 情報を扱う人間のうっかりミス(パソコンの 誤操作,パソコンの紛失)などによって起こる。 3 / 6 ページ ■ 不正アクセスによる漏洩 不正アクセスとは,許可されていないネットワークに許可されている本人になりすまして侵入し, 情報を許可無く参照したり,持ち出したりすることです。 この不正アクセスに関する記述で正しいのはどれでしょうか。 ○ 社外からインターネットを通して社内のネットワークに侵入されることで,イントラネット(社 内のネットワーク)経由の侵入はあてはまらない。 ○ ネットワークを管理する役割を持つコンピュータが狙われ,個人のパソコンが狙われること は無い。 ○ パスワードの漏洩などによって,社内の誰かになりすまして,社外や社内から不正アクセ スが行われる。 4 / 6 ページ ■ あなたのパソコンから漏洩 不正アクセスは悪意のある人が,社内や社外から重要な情報を盗もうとすることです。 通常業務を真面目に行っているあなたのパソコンからも情報が漏洩する可能性があります。 漏れる原因となりうるのはどれでしょうか。 ○ 帰宅時に,パソコンの電源を切る。 ○ パソコンの配置を変更する。 ○ 客先にノートパソコンを持ち込んで作業している際に, スクリーンロックをしないでパソコン から離れる。 5 / 6 ページ ■ 廃棄したフロッピーディスクから漏洩 あなたはこれまで業務で使用していたフロッピーディスクを廃棄しようとしています。 フロッピーディスクの廃棄方法として正しいのはどれでしょうか。 ○ そのまま捨てる。 ○ 物理的に破壊してから捨てる。 ○ 全てのファイルを削除してから捨てる。 ○ フォーマットしてから捨てる。 6 / 6 ページ ■ ソーシャルエンジニアリング 情報の漏洩には,必ずネットワークやコンピュータが介在しているとは限りません。 悪意のある人は,様々な手段で情報を盗もうとします。 情報が漏洩する原因として「ソーシャルエンジニアリング」というものがあります。 これはどのようなものでしょうか。 ○ 作業の効率を向上させる方法を考えること。 ○ 社員が自分のパスワードを忘れて,システム管理者に問い合わせること。 ○ 社内の情報システム管理者を装って電話でパスワードを問い合わせてくること。 1 / 6 ページ ■ 脅威・脆弱性の分類 脅威とは,外部要因によるもので,自分自身では 対応ができないものを意味します。例えば,地震や 火災などの天災や,以下に示すような内容が脅威 に分類されます。 これに対し,脆弱性は内部要因です。パスワード をつけていない,アクセス制限を設けていない,引 き出しの鍵を掛けないといったものが脆弱性に分 類され,以下に示す脅威に対しての対策を施して いないというのも脆弱性に分類されます。 1) 不正アクセス・不正侵入 ハッカー(クラッカーともいう)は,以下のような目的でネットワークに対して不正アクセスを行っ たり,不正侵入を試みます。 無差別攻撃 :ワームなどを撒き散らし,不特定の相手に対して攻撃します 趣味・愉快犯 :ホームページの改ざんなど,侵入したことを仲間うちで自慢します 営利目的 :盗み出した顧客データの使用・転売などの営利目的で攻撃を仕掛けます 破壊目的 :コンピュータを動作不能状態にしたり,データ破壊を目的とした攻撃 2) コンピュータウィルス コンピュータウィルスとは悪意を持った人が作ったプログラムで,インフルエンザの病原体が人 に感染するのと同じようにコンピュータに感染した後,コンピュータを使用不能にしたり,データ を破壊したり,コンピュータ内の情報を勝手に外部へ送信したりします。その多くは,電子メール の添付ファイルとして配布され,添付ファイルを開くことで感染しますが,最近では電子メールを 表示しただけや,ホームページを見ただけで感染するようなタイプも出てきました。フロッピーデ ィスクからやWordやExcelのマクロ機能から感染するものも存在します。 3) 盗聴・盗み見・盗難 ●盗聴 ネットワークに接続しているコンピュータ同士が通信を行うと,ネットワークケーブル の中に通信した全ての情報が流れます。それらを監視し,ユーザIDやパスワードを盗 むことを企てます。 ●盗み見 他人のキー操作,スクリーンセーバの動作していないパソコンの画面などから重要 なデータを盗むことがあります。 ●盗難 ノートパソコンなどの物理資産に対する盗難と,顧客データベースや製品データベ ースなどの情報資産に対する盗難行為があります。 4) セキュリティホール ソフトウェアには少なからず不具合が存在するものです。ネットワークを利用するソフトウェア については,ある特定の情報を指定したり,一定サイズ以上のデータを送りつけた場合に誤動 作する例があります。これらの不具合によって生じたセキュリティ上の弱点のことをセキュリティ ホールといいます。コンピュータウィルスの多くは,このセキュリティホールに対する攻撃をする ものです。 ページの先頭へ 2 / 6 ページ ■ 脅威・脆弱性の分類 情報セキュリティの対策を講ずる場合,情報資産を管理・運用していく上で考えるべき危険性の 要因を「脅威」や「脆弱性」で分類しています。 この情報セキュリティの「脅威」や「脆弱性」とは,どのような要因によるものでしょうか。 ○ 脅威とはソフトウェアの不具合などの内部的な要因によるもの。 ○ 脆弱性とは不正アクセスや天災などの外部的な要因によるもの。 ○ 脅威とは不正アクセスや天災などの外部的な要因によるもの。 3 / 6 ページ ■ 不正アクセス・不正侵入 新聞や雑誌で国の情報システムの一部が書き換えられたというような記事をよく見かけます。 その犯罪者として「ハッカー」や「クラッカー」という言葉が使われています。 この犯罪者はどのような目的を持っていて,どのような危険性があるのでしょうか。 ○ 企業のコンピュータに侵入して技術を披露することが目的なので,情報資産に被害を与え る危険性はない。 ○ 他人のコンピュータに不正侵入し,コンピュータウィルスや ワームを撒き散らす無差別攻 撃,データを破壊する破壊目的,情報を盗む営利目的等,種々の目的を持っており,情報 資産に被害を与える危険性がある。 ○ コンピュータに対し特別な技術を持った人で,どんな不具合や弱点があるかを教えることを 目的としているので,情報資産に被害を与える危険性はない。 4 / 6 ページ ■ コンピュータウィルス 近年,コンピュータやネットワークの利用が拡大する中,新聞や雑誌で「コンピュータウィルス」に よる情報システムの被害が報道されています。 「コンピュータウィルス」とはどういうもので,どのような危険性があるのでしょうか。 ○ 体調の悪い人がパソコンを使用すると,そのパソコンがコンピュータウィルスに感染して調 子が悪くなる。 ○ 悪意を持った人が作ったプログラムのことで,コンピュータを使用不能にするものや, コン ピュータ内の情報を破壊したり,外部に漏らしたりするものがある。 ○ コンピュータウィルスに感染したパソコンを使用すると,使用している人にも感染する。 5 / 6 ページ ■ 盗聴・盗み見・盗難 情報セキュリティの脅威として考えた場合,「盗聴・盗み見・盗難」とはどういう行為でしょうか。 ○ 盗聴とはネットワークケーブルの中の通信した情報を監視し,ユーザIDやパスワードを盗 むことである。 ○ 盗み見とは誰と打ち合わせしているのかを見られることである。 ○ 盗難とは金品や宝石などを盗むことである。 6 / 6 ページ ■ セキュリティホール 情報セキュリティの脆弱性として「セキュリティホール」という言葉があります。 これはどういうものでしょうか。 ○ 情報セキュリティで重要な機密情報を廃棄する場所のこと。 ○ ソフトウェアの不具合によって生じたセキュリティ上の弱点のこと。 ○ 情報セキュリティで対策を講じていない部門のこと。 1 / 5 ページ ■ 社員の意識付け 1) 社内ルールの遵守 企業は「情報セキュリティ」に関して方針を明確にし,電子メール利用,ノートパソコン運用の規 約等の「社内ルール」を規定し,管理策を講じています。社員はこれらをよく理解し,遵守する必 要があります。 2) 機密保持 機密保持は,社員としての義務です。 社外の人間がいる場所では仕事の話をしない,盗み 見されそうな場所でノートパソコンを使用しないなどとい うのは勿論,業務に関するいかなる情報も外部に洩らさ ないよう心掛けなくてはいけません。 また,機密保持に関する契約は会社を退職した後も有 効です。退職後であろうとも,顧客や製品に関する情報 を外部に洩らしてはいけません。 3) 情報セキュリティの心掛け パスワードの管理 不正アクセスや不正利用からの防御策の第一歩として, 適切なパスワード管理を心がける必要があります。 ●危険なパスワード − 辞書に載っているような英単語 − 12345 や aaaaa などの文字列 − ユーザ名と同じ文字列 − 短すぎる文字列 − 本人や家族の名前,電話番号,社員番号,生年月日, ペットの名前 ●パスワードの保管 − パスワードを他人に教えない − ユーザ名やパスワードを電子メールでやり取りしない − パスワードを付箋紙などに書いたり,ディスプレイに貼らない − パスワードをWEBブラウザなどのソフトウェアに記憶させない ●パスワードの運用 − パスワードの使いまわしは行わない バックアップ 「バックアップ」とは,万が一の障害に備えてパソコン内に保存してあるデータをフロッピー ディスク,CD-R,MOディスクなどの別の記憶媒体(メディア)に保存しておくことです。 定期的にデータをバックアップすることで,パソコンが壊れたり,データを誤って削除してしま った場合に,短時間でデータを復旧できます。 ●バックアップするデータ − ワープロや表計算ソフトのドキュメント − 送信した電子メール,受信した電子メール − ブラウザなどのブックマーク ●記憶媒体(メディア)の取扱い − バックアップした記憶媒体(メディア)は不用意に社外に持ち出さない − 机の上に放置せず,鍵のかかる場所に保管する 記憶媒体(メディア)の廃棄 フロッピーディスク,CD-R,MOディスクなどの記憶媒体(メデ ィア)は以下のように適切に廃棄処理する必要があります。 詳細は情報システム管理者に問い合わせてください。 − − − − 物理的に破壊する 破壊ツールを使って破壊する(記録面をヤスリがけ) データ消去用ソフトウェアを利用する 専門業者の「データ消去サービス」を利用する ページの先頭へ 2 / 5 ページ ■ 機密保持 情報セキュリティの対策として,社内の重要機密情報や顧客情報は決して漏らしてはなりませ ん。機密保持についての記述として正しいものはどれでしょうか。 ○ パソコンの画面を盗み見されそうな場所でノートパソコンを使用しない。 ○ ノートパソコンを社外に持ち出すときに,機密保持の義務は発生しない。 ○ 会社を退職したら,機密保持の義務は無くなる。 3 / 5 ページ ■ パスワードの管理 不正アクセスや不正利用からの防御策の第一歩として,適切なパスワード管理を心がける必要 があります。パスワードはどのように保管すべきでしょうか。 ○ 忘れないように日頃使っている手帳にメモしておく。 ○ 他人に教えないことはもちろん,漏洩しやすいもの(紙や電子メールなど)に記述しない。 ○ パスワードを付箋紙に書き,ディスプレイに貼っておく。 4 / 5 ページ ■ データのバックアップ 安全にコンピュータを利用するためには,定期的にデータを記憶媒体(メディア)にバックアップす る必要があります。バックアップした記憶媒体(メディア)の管理方法として正しいのはどれでしょ うか。 ○ 机の上に放置しておく。 ○ 自宅に持ち帰って保管する。 ○ 社内の鍵のかかる場所に保管する。 5 / 5 ページ ■ 記憶媒体(メディア)の廃棄 バックアップする記憶媒体(メディア)は何回か使用すると寿命がきて使用できなくなったり,エラ ーが頻繁に発生して信頼性が低下してきます。 そのような記憶媒体(メディア)をどのように処置すればよいでしょうか。 ○ 全てのファイルを削除して捨てる。 ○ 物理的に破壊して捨てる。 ○ 自宅に持ち帰って使用する。 ■ まとめ この章では,情報セキュリティの意義・目的,情報セキュリティの基礎について学習していただ きました。 ●情報セキュリティの意義・目的 ●情報の漏洩 ●脅威・脆弱性の分類 ●社員の意識付け
© Copyright 2024 Paperzz
