Comments
Description
Transcript
内部不正と情報漏えい対策 - IPA 独立行政法人 情報処理推進機構
映像で知る情報セキュリティ 情報を漏らしたのは誰だ? ~内部不正と情報漏えい対策~ 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター Copyright © 2015 独立行政法人 情報処理推進機構 目次 1.はじめに 2.内部不正による情報漏えいの危険性 3.情報漏えい対策ポイント 4.情報漏えい発生時の対応ポイント 5.参考資料の紹介(講師用) Copyright © 2015 独立行政法人 情報処理推進機構 2 1. はじめに 顧客リストを 漏えいしていな いか疑われて いるんだけど … 可能性を一つ 一つ確認して みましょう システム管理部 (高梨) 主人公 (前田) 顧客リスト漏えいの疑いをかけられた主人公の前田は、 システム管理部に属する同期の高梨と漏えいの可能性を 一つ一つ洗い出していく。浮かび上がってきたのは内部 不正による漏えいの可能性だった… Copyright © 2015 独立行政法人 情報処理推進機構 3 映像をご覧ください Copyright © 2015 独立行政法人 情報処理推進機構 4 2. 内部不正による情報漏えいの危険性 事例 動機 退職者が技術情報を不正に持ち出し 転職先に提供 転職に関わ る利益取得 システム管理者が権限を悪用し、 顧客のカード情報を窃取 金銭取得 委託先社員が顧客情報を不正にコピーし 金銭取得 名簿業者に売却 従業員が人事評価への不満から、 そのはらいせに機密情報をSNSに公開 Copyright © 2015 独立行政法人 情報処理推進機構 今回のケース ライバル会社の営 業秘密を手土産に すれば、有利に転 職できるかも… (処遇不満 による)はら いせ、恨み 5 2. 内部不正による情報漏えいの危険性 【営業秘密の漏えい者の内訳】 中途退職者(正社員) 50.3% 現職従業員等のミス 金銭目的等の動機をもった現職従業員 取引先や共同研究先を経由 26.9% 10.9% 9.3% 中途退職者(役員) 6.2% 定年退職者 6.2% 契約満了後又は中途退職した契約社員 5.7% 取引先からの要請 5.7% (出典)経済産業省:「営業秘密の管理実態に関するアンケート調査」(2013年) Copyright © 2015 独立行政法人 情報処理推進機構 6 3. 情報漏えい対策ポイント (1)企業の情報を自宅等に許可なく持ち出さない ! 紛失による情報漏えいの危険もあります! 社内 社外 持ち出し禁止 承認、記録 承認済PC・デバイス 社外持ち出し許可 Copyright © 2015 独立行政法人 情報処理推進機構 7 3. 情報漏えい対策ポイント (2)私物のパソコンや電子媒体を会社に持ち込まない ! ウイルス感染のリスクも高まります! 未承認PC・電子 媒体の持ち込み 禁止 社内 ・未承認PC ・未承認電子媒体 (私物) Copyright © 2015 独立行政法人 情報処理推進機構 8 3. 情報漏えい対策ポイント (3)メールアドレスは何度も確認し、誤送信を防ぐ ①宛先の確認 (意図した宛先か) ②内容の確認 (件名、本文の整合等) ③BCCが適切に使用されているか (受信者相互を秘匿するとき等) Copyright © 2015 独立行政法人 情報処理推進機構 9 3. 情報漏えい対策ポイント (4)重要なデータはパスワードで暗号化する ①重要なデータをやりとりする場合、データを暗号化し 誤送信や盗聴による情報漏えいを防ぎます 例. データを圧縮するときパスワードをつけて 暗号化します。(Zipファイルなど) ②ノートパソコンやタブレットのディスクを暗号化します 内蔵ディスクの抜き取り・ 盗難などによる情報漏えいを防ぎます 例. Windowsのディスクを暗号化する場合 ・ BitLocker によるディスク暗号化(内蔵ディスク) ・ BitLocker To Go によるディスク暗号化(USB等) ※ただしBitLockerが利用できるOSのエディションには制限あり Copyright © 2015 独立行政法人 情報処理推進機構 10 3. 情報漏えい対策ポイント (5)作業中のパソコンをそのままにして席を離れない ※画面ロックのショートカットは Windowsの場合、 +L MAC OSの場合、Control+Shift+eject(power) ロック画面に移行させて離席 Copyright © 2015 独立行政法人 情報処理推進機構 11 3. 情報漏えい対策ポイント (6)フォルダ、ファイルはパスワードでロックする ・ アプリケーションの機能としてファイルにパスワードがかけられるものがあります Microsoft Office(Excel、Word、Powerpoint)のファイルなど Step1 Step2 Step3 詳細はアプリケーションのヘルプを参照 ・ フォルダの暗号化(Windowsの機能 ※Windowsのエディションによります) ユーザがログインしていないと、ファイルがロックされた状態にできます Copyright © 2015 独立行政法人 情報処理推進機構 12 3. 情報漏えい対策ポイント (7)パソコンのIDやパスワードを決して第三者に教えない ! ID・パスワードは個人を特定する非常に重要な情報です! パスワードは教 えていません! Copyright © 2015 独立行政法人 情報処理推進機構 13 3. 情報漏えい対策ポイント (8)簡単に想定される様なパスワードは使わない ・ パスワードは、大文字、数字、記号(@、!、-)などを混ぜ、 できるだけ長い文字列にし、他人が推測できないものを設定 ・ パスワードは使いまわしたりせず、利用するサイトごとに設定 パスワード、 単純過ぎた… Copyright © 2015 独立行政法人 情報処理推進機構 14 4. 情報漏えい発生時の対応ポイント (1)二次、三次被害を起こさないために初動対応が大切 (2)自分で判断せず、すぐに上司に報告 (3)漏えい先に対しては ・当該顧客データの使用停止要請 ・調査への協力要請 ・上記了解の旨の通知要請(期限付きで) ・期限内に通知がない場合、法的措置も検討 すぐに報告すべき でした… Copyright © 2015 独立行政法人 情報処理推進機構 15 5. 情報漏えい対策のしおり • 内部不正・情報漏えいの事前対策 情報漏えい対策のしおり • 情報漏えい事故が発生した時に参考となる小冊子 情報漏えい発生時の対応ポイント集 (一般社員向け) (経営者・管理者向け) IPAのホームページからダウンロードできます Copyright © 2015 独立行政法人 情報処理推進機構 16 5. 内部不正防止ガイドライン • 内部不正対策のガイドラインをIPAで作成しております 「組織における内部不正防止ガイドライン」 • 内部不正を防止するための環境整備に役立てて頂くための ガイドラインです • 発生してしまった際の早期発見・拡大防止にも対応 (経営者・管理者向け) IPAのホームページからダウンロードできます Copyright © 2015 独立行政法人 情報処理推進機構 17 参考情報の紹介 Copyright © 2015 独立行政法人 情報処理推進機構 18 IPA対策のしおり http://www.ipa.go.jp/security/antivirus/shiori.html Copyright © 2015 独立行政法人 情報処理推進機構 19 映像で知る情報セキュリティ(DVD-ROM) http://www.ipa.go.jp/security/keihatsu/videos/ Copyright © 2015 独立行政法人 情報処理推進機構 20 5分でできる!! 情報セキュリティポイント学習 https://www.ipa.go.jp/security/vuln/5mins_point/ Copyright © 2015 独立行政法人 情報処理推進機構 21 ここからセキュリティ! Copyright © 2015 独立行政法人 情報処理推進機構 22 情報セキュリティ安心相談窓口 03-5978-7509 (オペレータ対応は、平日の10:00~12:00 および 13:30~17:00) [email protected] E-mail ※このメールアドレスに特定電子メールを送信しないでください。 FAX 03-5978-7518 〒113-6591 東京都文京区本駒込2-28-8 郵 送 文京グリーンコート センターオフィス16階 IPAセキュリティセンター 安心相談窓口 電 話 Copyright © 2015 独立行政法人 情報処理推進機構 23 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 Copyright © 2015 独立行政法人 情報処理推進機構 24 質問・問い合わせは・・・ [email protected] までメールで連絡ください。 ご相談に応じます!! Copyright © 2015 独立行政法人 情報処理推進機構 25