地域企業及び中小事業所の 情報セキュリティ対策 【はじめて編】 東北工業大学 2019年1月
会社にはこんなに秘密情報があります! 営業上の情報 技術上の情報 経営上の情報 顧客名簿・顧客情報 販売マニュアル 仕入先リスト 販売価格の要件 市場動向調査 営業戦略の立案・企画書 営業日報 など 技術上の情報 製造技術・製造ノウハウ 設計図・設計図書 製品仕様書 製造原価計算書 各種実験データ 製品開発研究 レポート お客様から預かった新製品の設計図・設計図書 など 経営上の情報 経理・財務データ 銀行口座・クレジットカード情報 など 個人情報 従業員のマイナンバー、住所、連絡先、給与明細、家族構成など 取引先名簿・取引先情報 求人応募者や退職者の情報 など ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
関係各所からのクレーム処理やマスコミ公表 ネットの遮断などにより業務効率がダウン 従業員の士気の低下 など 秘密情報が漏れるとこんな影響が! 被害者への損害賠償などの支払い 取引停止、顧客の他社への流出 関係各所からのクレーム処理やマスコミ公表 ネットの遮断などにより業務効率がダウン 従業員の士気の低下 など ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
インターネット経由の危険を防ぐ 5ヵ条 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
OS(Windows等)やソフトウェアを最新の状態に インターネット経由の危険を防ぐ5ヵ条① OS(Windows等)やソフトウェアを最新の状態に パソコンの基本ソフトWindowsや標準的なソフトウェアを最新の状態にしておかないと、ウイルスに感染する危険性が高まっていきます。 【対策】 OS(Windows等)アップデートの自動更新を有効にして、常に最新の状態に。 Microsoft Office (ワード、エクセル、パワーポイントなど)は自動更新を設定。 Adobe Acrobat Reader 等の標準的なソフトウェアは自動更新を設定。 スマートフォンもOS(AndroidやiOS)をアップデートして、常に最新の状態に。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
インターネット経由の危険を防ぐ5ヵ条② ウイルス対策ソフトを導入 ID・パスワードを盗んだり、パソコンを密かに遠隔操作したり、ファイルを読み取れなくしたりするようなウイルスが入らないための対策が必要です。 【対策】 ウイルス対策ソフトを導入し、定義ファイル(ウイルス一覧表)を常に最新の状態に書き換えられるよう自動更新の設定を。 怪しげなウェブサイトやメールは開かないように。 Windows10には基本的なウイルス対策ソフトが含まれているが、安全をより確保するためには、有料のソフトの導入が望まれる。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
インターネット経由の危険を防ぐ5ヵ条③ 強固なパスワードを きちんと管理 強固なパスワードを きちんと管理 直接知られたりウェブサービスから盗まれたりしたID・パスワードで、思わぬ形での被害が増えています。他人に推測されにくいパスワードを使用し、使い回しはしないようにしましょう。 【対策】 アルファベットの大文字と小文字、数字や「@」「%」などの記号を組み合わせたパスワードを使用する。 パスワードに名前・電話番号・誕生日を含めない。 重要な情報には、ID・パスワードの使い回しをしない。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
インターネット経由の危険を防ぐ5ヵ条④ 電子メール利用の 注意を徹底 【対策】 送信するときは、宛先のアドレスが間違っていないか確認してから送信する習慣をつける。 複数の外部の人に同時に同じメールを送る場合には、TO(宛先)に自分自身のアドレスを入力し、BCC(非表示宛先)で複数相手のアドレスを指定する。 重要な情報または個人情報を送信する場合は、メッセージに記入せず、添付ファイルに記載して、パスワード付きの圧縮ファイル(ZIP)にする。 知らない人からのメールやこれまで届いたことがない公的機関、金融機関、マスコミなどからのメールは、標的型攻撃メールの可能性があるので、メール本文のURLや添付ファイルを開かない。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
インターネット経由の危険を防ぐ5ヵ条⑤ インターネットの注意を徹底 【対策】 不審なサイトへのアクセスは厳禁。 オンラインストレージでは、従業員、もしくは取引先以外との業務関連情報の共有を禁止する。 業務でSNSを利用する際には、自社の秘密情報の書き込みは行わない。 取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する。 使用するスマートフォン、タブレット端末上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。 インターネットの注意を徹底 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
ヒト経由の漏えいを防ぐ 5ヵ条 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
秘密情報を記録した媒体・書類を無断で社外に持ち出さない ヒト経由の漏えいを防ぐ5ヵ条① 秘密情報を記録した媒体・書類を無断で社外に持ち出さない 自宅などで業務を実施するために、会社のパソコンやUSBメモリ、CDや重要書類を持ち出すと、個人情報漏えいにつながる危険性が高まります。 【対策】 ノートパソコンやタブレット端末に保存するデータは必要最小限にする。 USBメモリはストラップや鈴をつけ、CD等はケースに入れるなどして、紛失を防止する。 重要書類は、ひも付き封筒に入れる。 携行時、電車内では網棚に置かない。自動車内には保管しない。離席する場合は携行する。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
のぞき見対策をし 必要以上に情報共有しない ヒト経由の漏えいを防ぐ5ヵ条② のぞき見対策をし 必要以上に情報共有しない データ保管や複合機などネットワークを通じて、あるいは机の上に情報を放置するなどして、業務に関係のない人に情報をのぞかれるようなトラブルが生じないように。 【対策】 クラウドサービスやネットワークを経由したデータ共有の範囲を制限する。 従業員の退職や異動時に設定の変更や削除、情報漏えいがないように。 重要書類やID・パスワードだれでも覗ける状態に放置しない。 退社時、未使用時には、机の引き出しまたは所定のキャビネットに保管し施錠。 起動中のパソコンには、ロックのできるスクリーンセーバーが動作するよう設定を行う。 利用者IDやパスワードを貸し借りしない。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
書類や電子媒体をそのまま安易に破棄しない ヒト経由の漏えいを防ぐ5ヵ条③ 書類や電子媒体をそのまま安易に破棄しない 社内で業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄し、そこから情報漏えいした事例が多数報告されています。同様に、業務情報を格納した電子媒体や書類を、安易にゴミ箱に捨てたために、情報漏えいしたと言う事例も報告されています。 【対策】 パソコンの廃棄の際は適切な業者に依頼するなどして、ハードディスクの内容を完全に消去する。 電子媒体や書類はそのまま廃棄せずシュレッダーにかける。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
私物のパソコンや私用メールを社内に持ち込まない ヒト経由の漏えいを防ぐ5ヵ条④ 私物のパソコンや私用メールを社内に持ち込まない 会社のルールが適用されていない持ち込んだ私物のパソコンやUSBメモリなどの外部記憶装置がウイルスに感染していた場合は、社内の他のパソコンやサーバに、ウイルス感染を広げる可能性があります。また、公私混同から大切な業務情報がインターネットを通じて流出する可能性も考えられます。 【対策】 私物のパソコンやUSBメモリなどの外部記憶装置は、会社のネットワークにつなげない。 ネットワーク(オンライン)ストレージサービスを利用し、情報が盗まれる危険性や、安易な設定や使い方で情報漏えいが起こる場合もある。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
業務上知り得た情報を 社外の人に公言しない ヒト経由の漏えいを防ぐ5ヵ条⑤ 業務上知り得た情報を 社外の人に公言しない 「業務上知り得た情報を口外しない」といったことは一般的な社会人モラルです。しかし、気の合う仲間と雑談している時に、業務上の情報を無意識に口にしてしまい、それを第三者に聞かれるなど、ちょっとした気の緩みから情報漏えいを起こすことがあります。最近では、SNS(ソーシャル・ネットワーキング・サービス)やブログ、掲示板で発信する人もいるようです。 【対策】 電子メールを私用で使ったり、ブログや掲示板へ業務情報の不用意な書き込みをしたりしない。 業務上知り得た情報を口外しない。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
情報漏えいを起こしたら・・・ ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
情報漏えいを起こしたら・・・ 【対策】 事故が起きてしまったら 情報漏えいの場合 改ざん利用できない場合 発見者は上司や管理者に速やかに連絡する。 上司および管理者は、責任者と相談し、以下を実行する。 情報漏えいの場合 漏えいした情報の確認 影響範囲の全ての組織及び本人(個人情報の場合)に事実と対策案を通知 改ざん利用できない場合 影響範囲の全ての組織及び本人(個人情報の場合)に事実と復旧策を報告 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)
本事業は、平成30年度「地域ICT利活用コーディネート業務」として宮城県から委託された事業で作成したものです。 作成 東北工業大学 地域連携センター 2019年1月 〒982-8577 仙台市太白区八木山香澄町35-1 Tel: 022-305-3801 Mail:rc-center@tohtech.ac.jp 【セキュリティ対策に関する支援のお問い合わせ】 Tel: 022-305-3818 Fax:022-305-3808 Mail:ict-sodan@tohtech.ac.jp 東北工業大学 - http://www.tohtech.ac.jp/ 事業専用ページ-https://www.ict-sodan.tohtech.ac.jp/ 本事業は、平成30年度「地域ICT利活用コーディネート業務」として宮城県から委託された事業で作成したものです。 ©東北工業大学 2019 (平成30年度地域ICT利活用コーディネート業務)