...

A` staff2 誌上セミナー

by user

on
Category: Documents
2

views

Report

Comments

Transcript

A` staff2 誌上セミナー
A’ staff2 誌上セミナー
セキュリティ対策は正しく実施されていますか。
流出したデータは取り返せません。実施内容をしっかり点検しましょう。
Vol.141-① セキュリティ編 セキュリティ対策の実施確認 2012 年 4 月
今回の誌上セミナーは、Vol.136に引き続き、セキュリティ対策のお話をしていきたいと思います。
セキュリティ対策とは、基本的に自店の重要な情報を外部に漏えいさせないようにすることです。
一般的には、セキュリティ対策では以下の手順により、情報セキュリティを計画して実行していきます。
手順1:PLAN(計画)・・・・・
↓
手順2:DO(実行)
・・・・・・
↓
手順 3:CHECK(点検)・・・・
↓
手順 4:ACT(処置)・・・・・・
情報を洗い出し、ルールを決める
決めたルールを皆で共有し実行する
ルールが守られているか確認をする
ルールをより良いものに改善していく
どんなに素晴らしい対策でも、常に正しく運用されてるかをチェックする仕組みがないと、マネージメント
システムとしては、完璧ではありません。
ISMS のマネージメントシステムでは、定期的に自社の運用状況を確認することが義務付けられています。
これを一般的には「監査」と呼んでいます。
前回実行を想定して策定した以下のセキュリティ対策が正しく実行されているかをチェックしてみましょう。
ルール1:ファイル共有ソフトのインストールの禁止
ルール2:管理者の許可なしに、ソフトをインストールすることは禁止
ルール3:セキュリティソフトの導入と常に最新版へのアップデート
ルール4:重要ファイルの常時パスワード設定及び暗号化
まず、チェックを行う前に、チェックリストを作成します。
<チェックリスト>
□ ファイル共有ソフトがインストールされていないか
□ 許可された以外のソフトがインストールされていないか
□ セキュリティソフトのパターンファイルは最新か、また正しく設定されているか
□ 重要ファイルの管理は正しく行われているか
次に、チェックリストを元に、実際に監査を行ってみましょう。
□ チェック1 【ファイル共有ソフトがインストールされていないか】
口頭で、「インストールしていませんか?」
と聞くだけでは不十分です。意識せずにファイル共有ソフトをインストールしてしまっている場合があるか
らです。実際に対象となる PC に向かい、インストールされているプログラムの一覧を確認してみましょう。
page 1 / 2
Vol.141-① セキュリティ編 セキュリティ対策の実施確認 2012 年 4 月
代表的なファイル共有ソフトを紹介します。
Winny( ウィニー ) Share( シェアー )
BitComet( ビットコメット ) LimeWire( ライムワイヤー )
Cabos( カボス )
情報漏洩!
これらのソフトは全て、インターネット上でファイルを送受信して他人と共有することができるものです。
ファイル共有ソフトも使い方さえ間違えなければ良いのですが、全ての社員が正しく使うことができる保証は
なく、確実に情報流出のリスクが高まります。
これらのソフトがインストールされていたら、直ぐにアンインストールを行ってください。
□
チェック2では、ファイル転送ソフトの確認だけでなく、それ以外の許可されていないソフトがインストール
されていないかをチェックします。
許可されていないと書きましたが、新しいソフトをインストールする際は、必ず責任者に許可を得るという仕
組みにしてください。
許可を得ていないソフトが自由にインストールされることにより、情報漏えいのリスクも高まりますし、その
ソフトが原因で、本来使用すべきソフトが動かなくなるリスクも考えられます。
また、違法にコピーされたソフトや、本来個人使用しか認められていないソフトがインストールされるなど、
法律に違反することを避ける目的もあります。
□ チェック 3 【ウイルス駆除ソフトのパターンファイルは最新か】
インターネットに接続されているパソコンにウイルス駆除ソフトをインストールするのは、当然ですが、折 角のウイルス駆除ソフトのパターンファイルが最新でないと、ウイルスに感染し、情報漏えいにつながりま す。また有効期限が過ぎてしまうと、最新のパターンファイルに更新できなくなります。定期的にパターン ファイルが最新かチェックする必要があります。
□ チェック 4 【重要ファイルの管理は正しく行われているか】
個人情報が登録されているエクセルファイルがディスクトップに置かれていないでしょうか?
お客様にご記入頂いたカルテが無造作にカウンターに放置されていないでしょうか?
バックアップを取った USB メモリーが、差し放しになっていないでしょうか?
顧客情報の入ったエクセルファイルは、暗号化やパスワード設定を行い、所定のフォルダーや USB メモリー
に保管する必要があります。
お客様のカルテは、施錠可能な引き出しに整理して保管してください。
バックアップや顧客情報の入った USB メモリーは、施錠した引き出しや金庫に保管してください。
今回の誌上セミナーでは、「手順3:CHECK(点検)」を事例に沿って説明しました。この手順で問題点が見
つからなければ良いのですが、多くのルール違反があった場合は、どんな原因が考えられるのでしょうか。
それは、「計画から実行にいたる方法」です。勿論ある特定の人だけが問題となるケースもありますが、根本的に
これらの「仕組み」に原因があると考えましょう。
次回は最終回として、「手順 4:ACT(処置)問題のある仕組みの改善方法」について書かせて頂きます。
page 2 / 2
Fly UP