...

内部不正と情報漏えい対策 - IPA 独立行政法人 情報処理推進機構

by user

on
Category: Documents
12

views

Report

Comments

Transcript

内部不正と情報漏えい対策 - IPA 独立行政法人 情報処理推進機構
映像で知る情報セキュリティ
情報を漏らしたのは誰だ?
~内部不正と情報漏えい対策~
独立行政法人
情報処理推進機構
技術本部 セキュリティセンター
Copyright © 2015 独立行政法人 情報処理推進機構
目次
1.はじめに
2.内部不正による情報漏えいの危険性
3.情報漏えい対策ポイント
4.情報漏えい発生時の対応ポイント
5.参考資料の紹介(講師用)
Copyright © 2015 独立行政法人 情報処理推進機構
2
1. はじめに
顧客リストを
漏えいしていな
いか疑われて
いるんだけど
…
可能性を一つ
一つ確認して
みましょう
システム管理部
(高梨)
主人公
(前田)
顧客リスト漏えいの疑いをかけられた主人公の前田は、
システム管理部に属する同期の高梨と漏えいの可能性を
一つ一つ洗い出していく。浮かび上がってきたのは内部
不正による漏えいの可能性だった…
Copyright © 2015 独立行政法人 情報処理推進機構
3
映像をご覧ください
Copyright © 2015 独立行政法人 情報処理推進機構
4
2. 内部不正による情報漏えいの危険性
事例
動機
退職者が技術情報を不正に持ち出し
転職先に提供
転職に関わ
る利益取得
システム管理者が権限を悪用し、
顧客のカード情報を窃取
金銭取得
委託先社員が顧客情報を不正にコピーし 金銭取得
名簿業者に売却
従業員が人事評価への不満から、
そのはらいせに機密情報をSNSに公開
Copyright © 2015 独立行政法人 情報処理推進機構
今回のケース
ライバル会社の営
業秘密を手土産に
すれば、有利に転
職できるかも…
(処遇不満
による)はら
いせ、恨み
5
2. 内部不正による情報漏えいの危険性
【営業秘密の漏えい者の内訳】
中途退職者(正社員)
50.3%
現職従業員等のミス
金銭目的等の動機をもった現職従業員
取引先や共同研究先を経由
26.9%
10.9%
9.3%
中途退職者(役員)
6.2%
定年退職者
6.2%
契約満了後又は中途退職した契約社員
5.7%
取引先からの要請
5.7%
(出典)経済産業省:「営業秘密の管理実態に関するアンケート調査」(2013年)
Copyright © 2015 独立行政法人 情報処理推進機構
6
3. 情報漏えい対策ポイント
(1)企業の情報を自宅等に許可なく持ち出さない
!
紛失による情報漏えいの危険もあります!
社内
社外
持ち出し禁止
承認、記録
承認済PC・デバイス
社外持ち出し許可
Copyright © 2015 独立行政法人 情報処理推進機構
7
3. 情報漏えい対策ポイント
(2)私物のパソコンや電子媒体を会社に持ち込まない
!
ウイルス感染のリスクも高まります!
未承認PC・電子
媒体の持ち込み
禁止
社内
・未承認PC
・未承認電子媒体
(私物)
Copyright © 2015 独立行政法人 情報処理推進機構
8
3. 情報漏えい対策ポイント
(3)メールアドレスは何度も確認し、誤送信を防ぐ
①宛先の確認
(意図した宛先か)
②内容の確認
(件名、本文の整合等)
③BCCが適切に使用されているか
(受信者相互を秘匿するとき等)
Copyright © 2015 独立行政法人 情報処理推進機構
9
3. 情報漏えい対策ポイント
(4)重要なデータはパスワードで暗号化する
①重要なデータをやりとりする場合、データを暗号化し
誤送信や盗聴による情報漏えいを防ぎます
例. データを圧縮するときパスワードをつけて
暗号化します。(Zipファイルなど)
②ノートパソコンやタブレットのディスクを暗号化します
内蔵ディスクの抜き取り・
盗難などによる情報漏えいを防ぎます
例. Windowsのディスクを暗号化する場合
・ BitLocker によるディスク暗号化(内蔵ディスク)
・ BitLocker To Go によるディスク暗号化(USB等)
※ただしBitLockerが利用できるOSのエディションには制限あり
Copyright © 2015 独立行政法人 情報処理推進機構
10
3. 情報漏えい対策ポイント
(5)作業中のパソコンをそのままにして席を離れない
※画面ロックのショートカットは
Windowsの場合、
+L
MAC OSの場合、Control+Shift+eject(power)
ロック画面に移行させて離席
Copyright © 2015 独立行政法人 情報処理推進機構
11
3. 情報漏えい対策ポイント
(6)フォルダ、ファイルはパスワードでロックする
・ アプリケーションの機能としてファイルにパスワードがかけられるものがあります
Microsoft Office(Excel、Word、Powerpoint)のファイルなど
Step1
Step2
Step3
詳細はアプリケーションのヘルプを参照
・ フォルダの暗号化(Windowsの機能 ※Windowsのエディションによります)
ユーザがログインしていないと、ファイルがロックされた状態にできます
Copyright © 2015 独立行政法人 情報処理推進機構
12
3. 情報漏えい対策ポイント
(7)パソコンのIDやパスワードを決して第三者に教えない
!
ID・パスワードは個人を特定する非常に重要な情報です!
パスワードは教
えていません!
Copyright © 2015 独立行政法人 情報処理推進機構
13
3. 情報漏えい対策ポイント
(8)簡単に想定される様なパスワードは使わない
・ パスワードは、大文字、数字、記号(@、!、-)などを混ぜ、
できるだけ長い文字列にし、他人が推測できないものを設定
・ パスワードは使いまわしたりせず、利用するサイトごとに設定
パスワード、
単純過ぎた…
Copyright © 2015 独立行政法人 情報処理推進機構
14
4. 情報漏えい発生時の対応ポイント
(1)二次、三次被害を起こさないために初動対応が大切
(2)自分で判断せず、すぐに上司に報告
(3)漏えい先に対しては
・当該顧客データの使用停止要請
・調査への協力要請
・上記了解の旨の通知要請(期限付きで)
・期限内に通知がない場合、法的措置も検討
すぐに報告すべき
でした…
Copyright © 2015 独立行政法人 情報処理推進機構
15
5. 情報漏えい対策のしおり
• 内部不正・情報漏えいの事前対策
情報漏えい対策のしおり
• 情報漏えい事故が発生した時に参考となる小冊子
情報漏えい発生時の対応ポイント集
(一般社員向け)
(経営者・管理者向け)
IPAのホームページからダウンロードできます
Copyright © 2015 独立行政法人 情報処理推進機構
16
5. 内部不正防止ガイドライン
• 内部不正対策のガイドラインをIPAで作成しております
「組織における内部不正防止ガイドライン」
• 内部不正を防止するための環境整備に役立てて頂くための
ガイドラインです
• 発生してしまった際の早期発見・拡大防止にも対応
(経営者・管理者向け)
IPAのホームページからダウンロードできます
Copyright © 2015 独立行政法人 情報処理推進機構
17
参考情報の紹介
Copyright © 2015 独立行政法人 情報処理推進機構
18
IPA対策のしおり
http://www.ipa.go.jp/security/antivirus/shiori.html
Copyright © 2015 独立行政法人 情報処理推進機構
19
映像で知る情報セキュリティ(DVD-ROM)
http://www.ipa.go.jp/security/keihatsu/videos/
Copyright © 2015 独立行政法人 情報処理推進機構
20
5分でできる!!
情報セキュリティポイント学習
https://www.ipa.go.jp/security/vuln/5mins_point/
Copyright © 2015 独立行政法人 情報処理推進機構
21
ここからセキュリティ!
Copyright © 2015 独立行政法人 情報処理推進機構
22
情報セキュリティ安心相談窓口
03-5978-7509
(オペレータ対応は、平日の10:00~12:00 および 13:30~17:00)
[email protected]
E-mail
※このメールアドレスに特定電子メールを送信しないでください。
FAX 03-5978-7518
〒113-6591
東京都文京区本駒込2-28-8
郵 送
文京グリーンコート センターオフィス16階
IPAセキュリティセンター 安心相談窓口
電 話
Copyright © 2015 独立行政法人 情報処理推進機構
23
ITパスポート公式キャラクター
上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき
ITに関する基礎的な知識が証明できる国家試験です。
Copyright © 2015 独立行政法人 情報処理推進機構
24
質問・問い合わせは・・・
[email protected]
までメールで連絡ください。
ご相談に応じます!!
Copyright © 2015 独立行政法人 情報処理推進機構
25
Fly UP