よくある質問 | ヘルプ

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

はじめに

性善説と性悪説

旧来、終身雇用制を用いていた日本社会では、社員を「家族」のように扱ってきましたので、 性善説にたってきました。村社会という点も関係しています。
一方、アメリカなどの欧米諸国は、「個」の意識が強いため、自己と他の線引きを明確にし、 性悪説にたっています。欧米が契約社会ということも同じような背景です。

日本社会は性善説にたっているので、セキュリティに関して「まさか自分のところの社員が」 とつい思ってしまうわけです。

このため、数年前より情報セキュリティ業界では、ことセキュリティに関しては「性悪説」に 立ちましょうと口が酸っぱくなるほど言っています。

ただ最近、「性悪説」は日本社会に馴染まないとして言われ始めているのは、「性善説」と 「性悪説」の中間的な考えである「環境説」です。
「環境が人を悪にする。ならば、悪にならないような環境を作るのが情報セキュリティ対策だ」 という考え方です。

リスクを低減させることを目的にすれば、悪の道に進まないような環境を作る、例えば、 「刑務所の壁を10メートルくらいまで高くして脱走する気をなくさせる」といった具合に 環境を構築することが正解でしょう。
「諦めさせる」「デメリットのほうが大きいと判断させる」という点がポイントです。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

コンピュータウィルスとは

電子メールやホームページ閲覧などによって、コンピュータに侵入する特殊なプログラム。
数年前までは、フロッピーを介して感染するタイプがほとんどでしたが、最近はインターネット の普及に伴い、電子メールをプレビューしただけで感染するものや、ホームページを閲覧した だけで感染するものが増えてきています。
また、利用者の増加や常時接続回線が普及してきたことで、ウイルスの増殖する速度が速くな ってきています。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

ウイルスの感染経路

(1)電子メールの添付ファイル
(2)電子メールのHTMLスクリプト
(3)ホームページの閲覧
(4)ネットワークファイル共有
(5)マクロプログラムの実行

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

ウィルスの活動内容

(1)自己増殖
(2)コンピュータシステムの破壊
(3)メッセージや画像の表示
(4)トロイの木馬

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

ウイルスを駆除するためには

(1)ウイルス対策ソフトの導入
(2)ウイルス検知データを常に最新に
(3)サーバー側でのウイルス対策サービス

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

スパウェアとは

コンピュータ内部からインターネットに対して情報を送り出すソフトウェアの総称。
一般的には、そのようなソフトウェアがインストールされていることや動作していることに ユーザーが気付いていない状態で、自動的に情報を送信するソフトウェアをスパイウェアと 呼んでいます。

(1)ユーザーがインストールしたソフトウェアに組み込まれているもの
(2)ユーザーが知らないうちに、自動的にインストールされてしまうもの。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ基礎知識

ファイル共有ソフトとは

インターネットで不特定多数のユーザーとファイルをやり取りするためのソフトウェア。
仕組みの多くはファイルのやり取りをクライアント同士でおこなうP2P型というタイプの ものです。

Napster,Winny,Winmxといったファイル共有ソフトが登場し、多くのユーザーに利用されて いましたが、やり取りされるコンテンツの多くが音楽CDから違法に複製されたものであった ことから、大きな社会問題となりました。

現在、ファイル共有ソフトをターゲットにしたウイルスにより、企業や組織の機密情報が インターネット上に漏洩してしまうという事件が数多く発生しています。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

安全なパスワード管理

他人に自分のユーザーアカウントを不正に利用されないようにするには、適切なパスワード の管理が大切です。

(1)安全なパスワードの作成

・名前などの個人情報からは推測できないこと
・英単語などをそのまま使用していないこと
・アルファベットと数字が混在していること
・適切な長さの文字列であること

(2)パスワードの保管方法

・パスワードは、同僚などに教えないで、秘密にすること
・ユーザー名やパスワードを電子メールでやりとりしないこと
・パスワードのメモを作ったり、ディスプレイにそのメモを貼ったりしないこと
・パスワードをWebブラウザなどのソフトウェアに記憶させないこと

(3)パスワードの定期的な変更

・他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワ ードが割り出されてしまうこと
・仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避 けることができる

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

ウイルスからの防御

・コンピュータにウイルス対策ソフトをインストールして、ウイルス検知用データを常に最 新のものにしておくこと

・企業や組織での情報システム部門などからのウイルスに関する連絡に注意を払い、もしお かしいなと思った電子メールが届いた場合は、情報システム部門などにすぐに相談すること

・メールやWebブラウザの設定についても、情報システム部門にい問い合わせするなどして 適切な設定に変更すること

・万一ウイルスに感染してしまった場合は、コンピュータのLANケーブルを抜くなどの方法で 社内のネットワークからコンピュータを切り離すこと

(1)ウイルス対策ソフトの確認
(2)ウイルス検知用データの更新
(3)定期的なウイルススキャンの実行
(4)ウイルス対策サービスの利用

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

ソフトウェアの情報セキュリティ対策

・悪意を持ったホームページが存在するということを認識すること

・Webブラウザや電子メールソフトには、時間と経過とともに、セキュリティホールと呼ばれ る不具合が発見されることを認識すること

・企業や組織で許可されていないソフトウェアをコンピュータにインストールしないこと

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

バックアップ

・安全なコンピュータを利用するためには、定期的なバックアップが不可欠です。

・バックアップは、バックアップ用のファイルサーバーにコピーする方法と、外部記憶媒体 を利用する方法とがありますが、情報セキュリティポリシーや社内のルールで確認した上で バックアップを決定すること。

・外部の記憶媒体にバックアップされた情報は、鍵のかかる場所に保管するなど、適切な保 管方法をとるべきです。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

ソーシャルエンジニアリングの対策

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードな どの情報を、コンピュータを使用せずに盗み出す方法

(1)電話でパスワードを聞きだす
(2)肩越しにキー入力をみる(ショルダハッキング)
(3)ごみ箱を漁る(トラッシング)

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

廃棄するコンピュータやメディアからの情報漏洩

データを削除したり、ハードディスクをフォーマットしただけでは、データが残されたまま になっていることがあり、特殊なソフトウェア利用することで、ファイルを復元することが 可能です。

(1)データ消去用のソフトウェアを利用する
(2)専門業者のデータ消去サービスを利用する
(3)コンピュータのハードディスクを取り出して、物理的に破壊してしまう

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

持ち運び可能なノートパソコンを利用する上での危険性と対策

危険性

(1)喫茶店等へ置き忘れることによるノートパソコンの紛失
(2)車上荒らしによるノートパソコンの紛失
(3)自宅や外出先にてノートパソコンをインターネットに接続することによるウイルス感染

対策

(1)盗難、紛失に備えて、持ち運ぶ必要のない機密情報、個人情報は格納しない
(2)ハードディスクには、できるだけファイルを暗号化して保存する
(3)容易に推測されにくいログオンパスワードを設定して、他人には利用できないようにする
(4)OSだけではなく、BIOSやハードディスクにもパスワードを設定する

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

持ち運び可能なメディアを利用する上での危険性と対策

最近USBメモリの人気が高まっており、自宅や取引先とのデータのやり取りに利用するケース が増えてきています。

危険性

(1)メディアを入れたカバンを置き忘れることによる紛失
(2)ワイシャツのポケットなどに気軽に入れておいたために紛失
(3)自宅のパソコンにデータを移して作業。その後、コンピュータウイルス感染による情報 の流出
(4)会社の機密情報のコピー

対策

(1)盗難、紛失に備えて、持ち運ぶ必要のない機密情報、個人情報は格納しない
(2)ファイルは、できるだけ暗号化して保存する
(3)USBメモリの製品に情報セキュリティ対策機能の仕組みやソフトウエアが装備されている ものも多いので、できるだけそのような製品の購入を検討する
(4)USBメモリでは、指紋認証などの生体認証付きの機器を使用するのもよい。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

社員の不正による被害

内部の不正による被害を減らすためには、まずすべてのユーザーに適切な権限を設定した ユーザーアカウントを配布することです。
次に適切なパスワード管理方法を社内に浸透させた上で、自分の権限を他人に利用される ことのないように指導しなければなりません。

ノートパソコン等を社内のネットワークに不正に接続できないように環境を設定したり、 電子メディアを共通の保管場所で管理するなどによって、情報管理の意識を高めるととも に、社内のデータを外部に持ち出すことが犯罪行為になり得るということをしっかりと 教育することが最大の防御策となります。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

情報セキュリティポリシーの概要と目的

情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方 針や行動指針のことです。
社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどの ように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、 運用規定、基本方針、対策基準などを具体的に記載するのが一般的です。

効果

(1)組織内の情報資産が明らかになり、効果的なセキュリティ対策が可能になる
(2)社員や職員の情報セキュリティに対する意識が向上する
(3)取引先や顧客、株主などに対する企業や組織としての信頼性が向上する

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

セキュリティ対策

情報セキュリティポリシーの実施サイクル

(1)策定
情報資産の洗い出しを行い、組織や企業の状況に合った情報セキュリティポリシーを策定する

(2)導入
情報セキュリティポリシーを全社員、全職員に配布する。必要に応じて、集合研修などの教育 をおこなう

(3)運用
情報セキュリティポリシーに則って行動することで、目的とする情報セキュリティレベルを 維持することができる

(4)評価
導入後の現場の状況や問題点、社会的な状況などを踏まえて、定期的に情報セキュリティポリ シー自体を評価する。
また、遵守されているかどうかのチェックも必要である。

(5)見直し
評価の内容を参考にして、情報セキュリティポリシーの見直しを行う

情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など社会的 な状況により、定期的に見直さなければなりません。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

事故・被害の事例

(1)資料請求の情報が漏洩した
ホームページで登録された個人情報が漏洩する事件は数多く発生

(2)私の名前で誰かがメールを送信している
なりすましで、メールのユーザー名とパスワードを盗みだしていた

(3)ホームページを見ただけでコンピュータが停止
ホームページに悪意のあるスクリプトを実行させていた

(4)ホームページが書き換えられていた
ある目的を持って特定の団体や企業を攻撃する場合と、無差別に情報セキュリティ対策の甘い ホームページを改ざんする場合とがある

(5)顧客のメールアドレスが漏洩
メールアドレスをBCCではなく、誤ってCCにして送信

(6)ウイルス対策ソフトをインストールしているのにウイルスに感染してしまった
ウイルス対策検知用データを最新のものに更新していなかった

(7)ウイルス付きのメールを送った覚えがないのに
知り合いのだれかがウイルスに感染していて、そのウイルスが差出人を詐称してメール送信

(8)中古パソコンによるデータの漏洩
廃棄したパソコンのおハードディスクにデータが残っていた

(9)クレジット番号が盗まれた
カード会社からの案内メールから、ホームページを開きうっかり個人情報を登録

(10)ファイル共有ソフトから顧客データが漏洩
ファイル共有ソフトでダウンロードしたファイルを開きウイルス感染し、顧客データが漏洩

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報保護法とは

個人情報保護法は、だれもが安心してIT社会の便益を享受するための制度的基盤として、 平成15年5月に成立し、公布され、17年4月に全面施行されました。
この法律は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として、 民間事業者が、個人情報を取り扱う上でのルールを定めています。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

中小ECサイトにおける個人情報保護対策の現状

個人情報保護法の準備がされていない企業や商店のECサイトがインターネット上に多数存在 し、遅れが目立っています。
近い将来、個人情報保護法対策を施しているWebサイトは信用できるので取引が伸びる可能性 があり、対策していない企業は信用されなくなってしまう可能性があります。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

すぐそこにある個人情報流出の危機

個人情報が流出しないようにし、自ら保持する個人情報が悪用されないようにする管理が必要

車上荒らしにあってノートパソコンが盗まれ、顧客データが悪用されてしまった。
このケースの場合、顧客から訴えがあった場合は、民事上、損害賠償を請求される可能性が あります。
自分が被害者でありながら訴えられてしまうのです。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報保護法の対象事業者

「個人情報取扱事業者」とは、半年以内に5000名以上の個人データを持った事業者すべてに 適用されます。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報の適用範囲

個人情報とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって、 特定の個人を識別できる情報をさしています。
BtoBの企業ではなく、BtoCを主としてWebサイトを営んでいる事業者に適用されます。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報取扱事業者の責務

(1)個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の 達成に必要な範囲を超えて個人情報を取り扱ってはならない。

(2)個人情報を取得する場合には、利用目的を通知・公表しなければならない。
なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明 示しなければならない。

(3)個人データを安全に管理し、従業員や委託先も監督しなければならない。

(4)あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。

(5)事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行 わなければならない。

(6)事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂 正や削除を求められた場合、訂正や削除に応じなければならない。

(7)個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

違反した場合の罰則

主務大臣は、個人情報取扱事業者に対し、個人情報の取扱に関し報告させることができ、 また、個人情報取扱事業者が上記の義務に違反している場合などには、当該事業者に対し、 必要な措置をとるべきことを命じることができます。主務大臣の命令に違反した場合や、 報告義務に違反した場合には、以下の罰則が科せられます。

(1)主務大臣の命令に違反した場合 6ヶ月以下の懲役 又は 30万円以下の罰金
(2)報告義務に違反した場合 30万円以下の罰金

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報保護法への基本的な対応策

危機管理の世界では、100%完璧ということはありません。
個人情報も同様のことがいえ、どんなに漏洩しないための対策を施しても絶対ではありません。

しかし、過失なく個人情報が漏れない運用をすることと、個人情報が漏れてしまった際に、 どこから漏れたか即座に検証できるようにすることが必要です。

(1)ルールの策定

・社内での個人情報取り扱いに対するルールを策定して、社員に遵守させることにより、個 人情報の漏洩を防ぐ
・社内だけではなく、取引先に対しても個人情報に関する社外ルールを策定することが必要

(2)各種機関に認証を受ける

社内体制が確立したら、プライバシーマークなどのシールプログラムという外部の認証制度 や規格を取得し、自社の安全性を認証してもらう。

シールプログラムの基本的な認証のチェックポイント
・データベースのファイルを保管する上でセキュリティを強化しているか、ハードウェア上 で対策を施しているか
・万が一の時のために、個人情報漏洩保険へ加入しているか

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報保護法への具体的な対応策

(1)個人情報保護の責任者を決定
(2)個人情報と思われるデータを選定
(3)個人情報保護ポリシーの策定
(4)個人情報取扱運用マニュアルをお策定
(5)取引先とのルール策定及び契約書の締結
(6)個人データへのアクセス権限の設定とセキュリティの強化

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

個人情報保護とは

個人情報漏洩シミュレーション

従業員がパソコンからWinnyをして、顧客情報5,000人分が流出したことが判明した場合。

<損害賠償>
・損害賠償金
2万円 X 30人 = 60万円
・弁護士費用
100万円

<費用損害>
・お詫び状作成送付費用
発送代行費用 45万円
発送費用 100円 X 5,000人 = 500万円

・見舞金(商品券)
500円 X 5,000人 = 250万円

合計 955万円

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

プライバシーマークとは

シールプログラムについて

第三者機関が審査・認証を行う事により、個人情報を扱うウェブサイト狩り容赦に対する信用度・信頼度を向上するために1997年アメリ個人情報を施すルール策定やマニュアルを作成しても、社外の人には実際に個人情報保護を おこなっているのか、よくわからない部分があります。
そこで自社の個人情報保護のレベルを査定してもらい、第三者に認証してもらう制度が シールプログラム

「専門機関に認証を得ているので、購入後の個人情報の漏洩の心配をせずに購入できる」と アピールできる

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

プライバシーマークとは

日本国内規格のプライバシーマーク

1988年より日本情報処理開発協会(JIPDEC)が開始した制度がプライバシーマークです。 プライバシーマークは、個人情報保護に関する事業者認定制度という意味を持っており、 日本情報処理開発協会が申請業者を認定する仕組みになっています。

日本国内向けの規格で、世界共通の規格ではありませんが、個人情報保護法に即した内容と なっています。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

プライバシーマークとは

国際認証規格といえばTRUSTe

アメリカで登場した、主にWebサイトから取得した個人データに関する個人情報保護の国際認 証規格です。
以下の過程でTRUSTeのアドバイスを受けつつ審査が受けられます

社内での個人情報保護の専門家及び責任者の育成

社内の自己査定とともに個人情報保護の改革を進行

コンプライアンスの計画や個人情報保護のマニュアルを作成

プライバシーポリシーの公表

審査

会社全体だけでなく、運営するWebサイトごとや事業部ごとに認証を受けることができる規格が特徴。

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

※参考文献

●総務省 国民のための情報セキュリティサイト
http://www.soumu.go.jp/joho_tsusin/security/index.htm
●YOMIURI ONLINE 情報セキュリティ入門
http://www.yomiuri.co.jp/net/column/security/
●首相官邸 個人情報の保護に関する法律
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
●財団法人 日本情報処理開発協会(JIPDEC)
http://www.jipdec.jp/
●プライバシーマーク事務局
http://privacymark.jp/
●有限責任中間法人 日本プライバシー認証機構
http://www.truste.or.jp/

はじめに / セキュリティ基礎知識 / セキュリティ対策
/ 事故・被害の事例 / 個人情報保護とは / プライバシーマークとは / 参考文献

資料ダウンロード

secu_yone.ppt
講習会で使われたPowepointファイルです。
閲覧するには、Microsoft Powerpointが必要です。