Page: 1/1   
スポンサーサイト
0

    一定期間更新がないため広告を表示しています

    | スポンサードリンク | | - | - | - | - |
    いつもと違うメールに気がつくことができる?
    1
    JUGEMテーマ:セキュリティ
     
    IPA(独立行政法人 情報処理推進機構)より、
     「標的型攻撃メールの分析」に関する技術レポート
    が、本日(2011年10月3日)公開されました。

    レポートの中で一番気になったのは、
     「メール受信者をだますテクニック」
    です。

    以下、4つのテクニックがあげられているのですが、実際に自分に届いた場合に、
    どうするだろう?

     テクニック1.ウェブなどで公表されている情報を加工して使用した事例
     テクニック2.組織内の業務連絡を加工して使用した事例
     テクニック3.添付ファイルのないウィルスメールの事例
     テクニック4.おれおれ詐欺を模倣した標的型攻撃メールの事例

    私自身、ひょっとしたら、だまされてしまうかもしれないと思ったのが、「テクニック4」です。

    なぜかというと、最近、携帯電話のメールアドレスに似たような内容のメールが
    届き、返信すべきかどうか、悩んでしまったのです。

    ---携帯電話に届いたメール----------
     やほ(絵文字)。久しぶり。アドレス変えたよ。
     今度からこっちにね(絵文字)。
     xxxxxxxxx(ランダム英数字)@docomo.ne.jp
    ----------------------------------------

     しばらくメールを眺めて、しばらく連絡を取っていない知り合いの顔を
     いくつか思い浮かべて、、、、
     うーん。ちょっと絵文字がかわいすぎることに違和感があるし、
     知り合いなら名乗るはず・・・。

    と思い、2,3日ほっといてみた結果、似たようなメールが数日後にまた届いたので、
    スパムメールの一種だなと、判断しました。

    私自身は、たまたまメールの内容に少し違和感があったのですが、普段の同僚や
    友達とのやりとり、顧客とのやり取りに類似していて、違和感がなかったら、どうでしょうか?

    気がつくことができるでしょうか?

    「いまどうしてる?」という感じの軽いメールの内容に対して、送信元のメールアドレスを
    確認したり、別の連絡手段でメールの送り主と思われる人に連絡を取ってみたり、と、
    そこまでするでしょうか?

    ★組織でのポイント★
    おれおれ詐欺などの犯罪と同様に、標的型攻撃メールも巧妙化しています。
    だまされないようにするために、どうすればよいでしょうか?

    特に同僚や友達からのメール、付き合いの長い顧客からのメールと判断した場合、
    何の疑いもなく、開いてしまったり、書かれているURLにアクセスしてしまったり、
    してしまいませんか?

    自組織には、標的型攻撃メールは、来ないからと、決め付けるのではなく、
    組織で、以下のようなことを共有、議論してみてはいかがでしょうか?
     ・どんなメールが届いたら、だまされてしまう可能性がある?
     ・だまされないために、個人で何ができる?組織で何ができる?
     ・メールに違和感を感じたときに、どう行動すべき?誰かに伝えるべき?

    | コンサルタント | 17:22 | comments(0) | trackbacks(0) | - | - |
    ウィルス感染時の連絡先は把握していますか?
    2
    JUGEMテーマ:セキュリティ
     
    三菱重工業の防衛や原発関連の製造拠点で、サーバやパソコンがウィルス感染
    していたと報道されています。

    報道を受けて、三菱重工では、報道内容に対する説明を公開しています。
     参照:三菱重工 重要なお知らせ 2011年9月19日

    <報道されている内容> ※報道内容をCDNSにより簡単にまとめたもの
     ・ウィルス感染がわかったのは、2011年8月中ごろ。
     ・ウィルス感染したのは、11拠点83台。
     ・ウィルスを特定次第、警察関連に届出して、調査中。
     ・ウィルス感染によるデータ流出の可能性あり。
     ・ウィルス感染発覚後すぐに顧客である防衛省には、報告していなかった。
     ・2011年9月19日までの調査では、データ流出は確認できていない。

    一連の報道内容を見ながら、いくつか疑問に思ったことがあります。

    <報道から、疑問に思ったこと>
     1.なぜ、三菱重工として正式に公表する前に、報道に流れたのか?
     2.国家機密にあたるようなデータ流出の可能性があるのにもかかわらず、
      顧客である防衛省にすぐに報告していなかったのか?
     3.三菱重工からの「重要なお知らせ」には、ウィルス感染についての調査状況の
      詳細説明がないのはなぜなのか?
     4.具体的なウィルス名は、なぜ報道されないのか?

    ★組織でのポイント★
    ウィルス感染時や不正アクセスの被害を受けた場合に、どのように顧客に
    説明するか、どのように公表するかによって、その後の信頼回復に大きく
    影響することは、言うまでもないことです。

    三菱重工のように、国家機密にあたるような「超」機密データであれば
    なおさらのこと。

    もし、自社のパソコンやサーバが大量にウィルスに感染していることが
    わかったら、どうしますか?

    災害対策などと同じように大量のウィルス感染は事業継続の視点で考える
    必要があります。

    重大なウィルス感染があった場合を想定して以下のような内容を
    組織で検討してみては、いかがでしょうか?

     ・感染を見つけた社員は、誰にどのように連絡しますか?
     ・顧客にどのように報告しますか?
     ・外部への公表はいつどのように行いますか?
     ・調査の協力を依頼するのはどの機関ですか?
     ・ウィルス感染がわかった場合に、状況把握、原因分析、顧客報告、修復などの
      必要な活動を指揮するのはだれですか?

    | コンサルタント | 17:44 | comments(0) | trackbacks(0) | - | - |
    性悪説?、性善説?どちらが効果的?
    2
    JUGEMテーマ:セキュリティ

    委託先や契約社員の不正行為による事件が続いています。
     
    委託先関係者により、個人情報を売却されていたセシールの事件

    元契約社員により、データ改ざんされていた「コーデマニア」の事件

    どちらもどのくらいセキュリティ対策を行なっていたかは、不明ですが、
    どちらも、共通しているのは、
     「内部関係者が目的を持って悪事を働いた」
    ということ。

    内部関係者により情報が流出したり、データを改善されたりというニュースを
    みると、思わず、従業員を事細かに監視したくなるのではないでしょうか?

    事細かに監視したとして、弊害はないのでしょうか?

    性悪説、性善説の考えかたを再確認して、どちらに基づいて対策することが、
    組織にとって、継続して不正行為を予防することができるのでしょうか?

    −性悪説とは?−
     人間の本性は、利己的欲望。
     自分のためには、悪の行為をしてしまう可能性もある。
     善の行為は、後天的に身に着けることができると考える説。

     <性悪説に対する対策(例)>
      ・細かに監視する
      ・作業場所に監視カメラを設置する
      ・操作履歴や作業履歴を残して、精査する
      ・抜き打ち監査を行なう
      ・やってはいけない行為を中心に教育する
      ・細かな報告を求める

     <性悪説の弊害は?>
      ・業務効率は今までどおりですか?
      ・従業員のモチベーションは、低下しませんか?不満は増加しませんか?

    −性善説とは?−
     人間の本性は、道徳的。善の行為を行なうことが基本となっている。
     悪の行為は、本性を隠蔽しようとしたり、本性が壊されたりすることから
     起こると考える説。

     <性善説に対する対策(例)>
      ・組織の考え方やあるべき姿について、教育する。
      ・外部からの不正行為に対する対策を中心に行なう。
      ・操作ミスなどのケアレスミスを防ぐ対策を行なう。
      ・従業員同士で気がついたことは報告し合うような仕組みをつくる。

     <性善説の弊害は?>
      ・従業員の不正行為を早期に発見できますか?

    ★組織でのポイント★   
     性悪説、性善説を比較して、組織にとって効果的なのはどちらかを
     従業員と一緒に考えてみてはいかがでしょうか?

     組織の一体感や、仕事の楽しさなど、従業員が快適にモチベーション高く
     仕事をしていれば、利己的な行為に走る可能性を減らすことができるのでは、
     ないでしょうか?

     人の入れ替わりが頻繁にある組織や委託先で管理がしにくい状況の場合は
     どうでしょうか?
     ひょっとしたら、性悪説に基づくやり方のほうがいいのかもしれません。

     組織の状況、セキュリティ対策によって維持したいこと、活用したい情報に
     よって、性悪説の視点での対策と性善説の視点での対策を混在することが
     一番効果的なのかもしれません。


    | コンサルタント | 13:12 | comments(0) | trackbacks(0) | - | - |
    組織の判断基準は、どこに?
    1
    JUGEMテーマ:セキュリティ
     
    原子力発電所に関するシンポジウムや住民説明会に、電力会社5社が関与して
    社員、協力会社を動員していたことが判明と、報道されています。
     参考: 読売新聞 電力5社、経営陣が動員関与…会社ぐるみ常態化

    組織外では、「なんか変だな、間違っている?」と思えることが、
    自組織の中で、暗黙のうちにできあがった体質や習慣から、いつのまにか
    組織の中では、「正しいこと」となってしまった、結果のように見えます。

    電力会社とは組織の規模が違いますが、中小企業や一般家庭など
    規模の大きさに関係なく、習慣になっていることで、ちょっと常識から
    ずれてしまっていること、ってないでしょうか?

    たとえば、以下のようなこと。
     例1)
      友達と電車で出かけることになり、別々の駅から先頭列車に乗ることを約束。
      先に乗った私は、友達のために隣の席を確保。
      電車に乗ったのは、朝の通勤ラッシュの時間帯。
      ⇒ 私の行為は、どうなんでしょうか?周りの人はどう思っているでしょうか?
      ⇒ 同じようなことが仕事上でもありませんか?

     例2)
      私が締め切り間近に、一人で残業しているときに、誤ってファイル共有上の
      普段自分が使っていないファイルを消してしまった様子。
      「やばいっ」と思ったけど、消えたのが何に関係するものなのかわからないので
      ほったらかしにして、仕事を進めて、無事締め切りに間に合った。
      翌日も特に他の人から、消えたファイルについて聞かれなかったし、ほっとくことにした。
      ⇒ この行為はどうでしょうか?
      ⇒ 消えたファイルがとても重要なファイルだったら、その影響度は?
      ⇒ そもそも自分が使わないファイルが見える状態というのはいいのでしょうか?

     例3)
      私は、営業を担当していて、お客様に製品を納品するときに、共通の製品説明資料
      のほかに、顧客の状況に合わせて、自分で作成した製品の詳細な説明資料を
      提供している。この資料はお客さまから好評価を得ており、顧客の維持に貢献している。
      ある日、自分の担当外の顧客から、「顧客によって対応が違うのか?」と問い合わせ。
      原因は、問い合わせしてきた顧客が、自分の担当顧客に提供した独自資料を見たこと。
      このことが発端となり、会社の方針で、対応を統一するために、営業が独自に
      顧客に合わせて、製品説明資料を提供することが禁止となってしまった。
      ⇒ 私の判断、会社の判断どちらが正しいのでしょうか?
      ⇒ 顧客の満足度、自社の体裁、統制、なにが基準なのでしょうか?

    電力会社のこととは、かけ離れていると思われるかもしれませんが、
    根っこは同じです。
    経営者も含めて、各個人が都合のよい方を正しいと考えて行動した結果の
    繰り返しが組織の文化になり、習慣になって行きます。

    組織で暗黙のうちに出来上がっている判断基準は、何に基づいている
    ものなのでしょうか?
    自分たちの都合のよいことや目先の効率が判断基準になっていませんか?

    情報セキュリティに関する判断基準も同じです。
    たとえば、例2の場合、組織の判断基準や暗黙ルールが関係することが
    2箇所あります。
     1.「ファイルを消してしまった」ことを報告するのか、しないのか?
     2.「ファイル共有」上のアクセス権はどのような基準で設定されているのか?

    この2つに関する判断基準が明確になっていれば、「ファイルがなくなる」と
    いう事故を認識することができたり、事故を防止できたかもしれません。

    ★組織でのポイント★
     組織の判断基準はありますか?
     その判断基準は、どのような視点で作られていますか?
     その判断基準は、経営者も従業員も理解できている内容ですか?

     ちょっとしたことの積み重ねによって、重大な事故を引き起こしたり、
     会社の信用をなくしてしまわないように、組織にどんな暗黙ルールが
     あるのかを把握することも大切ではないでしょうか?

    | コンサルタント | 11:41 | comments(0) | trackbacks(0) | - | - |
    技術的なセキュリティ対策はどこまでするべき?
    1
    JUGEMテーマ:セキュリティ

    IPA(独立行政法人 情報処理推進機構)より 以下の資料が公開されました。
     「新しいタイプの攻撃」の対策に向けた設計・運用ガイド

    経営者や情報システム管理責任者の気持ちとしては、
      「新しいタイプの攻撃」がでてきたり、ぜい弱性とか、よくわからん内容ばかりで、
      技術的なセキュリティ対策は、お金もかかるし、どこまで必要なのか、判断が
      できないっ、どないやねん。
    というのが正直なところではないでしょうか?

    技術的なセキュリティ対策をどこまでするべきかは、組織のセキュリティ対策に
    対する目的によって異なります。
    また、インターネット関連の技術の発展と共に、攻撃手法も進化していきます。
    そのため、ここまでやったら100%大丈夫というものはないのです。

    <では、どこまでするべきかは、どうやって決めればいいのでしょうか?>
     どこまでするべきかが明確になれば、どういう製品を選ぶかも決まってきます。

     まず、どこまでするべきかは、「技術的なセキュリティ対策をする」と判断した
     組織の目的により、決定します。
     
     簡単に言うと、
      組織の目的=技術的なセキュリティ対策で守りたいこと、維持したいこと
     です。 

    <では、組織の目的は、どうやって決定するのでしょうか?>
     1.核となる事業は何かを明確にする
     2.核となる事業を成立させるために必要な資産としてなにがあるかを洗い出す。
       資産=物理的な機器、ソフトウェア、情報、人、プロセス、書類、データ
     3.それぞれの資産について、3つの視点で評価する。
        外部や見てはいけない人が見れる状態になったときの影響度(機密性)
        間違った情報になってしまったときの影響度(完全性)
        使いたいときに使えなかったときの影響度(可用性)
     4.3つの視点を脅かすこと(脅威)として、どんなことがあるか考えてみる。
       たとえば、ウィルス感染、社員による持ち出し、操作ミスなど。
     5.一番起こりそうで、一番製品やサービスに致命的な影響があるものが
       どれかを決める。
       ⇒優先順位を決める材料になります。
     6.5で決めたものに対して、どのような対策が必要かを考える。
       ⇒セキュリティ対策の目的が明確になります。
     7.対策費用と発生したときの損害額、投資可能な額などを考慮して
       具体的な製品を選択する。

     1〜7の手順により、以下のことが明らかになります。
      ・核となる事業を支える資産
      ・資産が危険にさらされたときの影響度
      ・何のためにセキュリティ対策を行なうのか
      ・どのようなセキュリティ対策が必要か
      ・事業目的とセキュリティ対策のつながり

     めんどくさいなぁと思われるかもしれませんが、困ったことになってから
      「本当に必要なところにセキュリティ対策がされていなかった」
     ということにならないためにも、事業目的とのつながり、対策の目的と優先順位を
     明確にすることがなによりも大切です。

    ★組織でのポイント★
     資源(人、金、もの、情報)の少ない中小企業では、技術的な知識を持っている人も
     少なく、技術的なセキュリティ対策に投資できる費用も限られています。

     何のために対策を行なうのかを見極めることが、セキュリティ製品やITシステムを
     取扱っている企業と賢く付き合うためのポイントでもあります。
     ほんとに必要なモノは何かを見極めて、効率よく、確実なセキュリティ対策を
     実施していきましょう。

     1〜7の手順を確実にするために、ISMSを構築するのも一つの選択肢です。
     ISO27001/27002には、情報セキュリティ対策のヒントがたくさん含まれています。
     ISO認証取得ではなく、考え方のヒントとして活用しては、いかがでしょうか?


    | コンサルタント | 15:17 | comments(0) | trackbacks(0) | - | - |
    ぜい弱性が悪用されるとは?
    1
    JUGEMテーマ:セキュリティ

    IPA(独立行政法人 情報処理推進機構)より、ぜい弱性に関する届出状況が
    公開されました。
     参考: ソフトウェア等のぜい弱性情報に関する届出状況 第2四半期

    ぜい弱性情報と一緒に、
     「ぜい弱性が悪用された場合、□□□の可能性があります」
    という説明がされています。

    <ぜい弱性が悪用されるとは、どういうことなのでしょうか?>
    簡単に言うと、ぜい弱性=弱みです。

    たとえば、普段仕事で使っているかばんに例えると、以下のようになります。
     ぜい弱性=壊れたチャック
     悪用する=壊れたところから、財布を盗むことができる

    ソフトウェアの場合だと、
     ソフトウェアのぜい弱性=ソフトウェアの欠陥
      例1: Webページで入力した情報(ID,パスワード)が、URLにそのまま含まれている
      例2: Webページの入力欄に、特定の文字列を入れるとDBの内容が参照できる
     悪用する=ソフトウェアの欠陥を悪事のために利用する
      例1:ID,パスワードを他人が利用する
         →個人情報を改ざんされたり、勝手に買い物をされたりということが起こる
      例2:DBの内容を無断で入手する
         →インターネット上に流出するという事態になる

    <なぜ、悪用されるのでしょうか?>
    単純に考えると、悪用される前に、ソフトウェアの欠陥をさっさと直してしまえば、
    いいのでは?と思うかもしれません。
     
    かばんの場合、物理的にぜい弱性が目に見えるので、かばんの持ち主も
    「満員電車の中では、かばんを抱えておく」
    というようなぜい弱性対策を簡単に取る事ができます。

    ソフトウェアの場合、目に見えないことが多く、作成者や利用者が気がついて
    いないことも多くあります。
    そのため、ぜい弱性への対策ができるまでに、悪用されてしまうということが
    発生します。

    ソフトウェアのぜい弱性を悪用したウィルスもあります。
    そのため、
    「自組織で利用しているITシステムは、そんなに複雑なものはないから大丈夫」
    ということは、通用しません。
    普段の仕事で使っている、ワードやエクセルにもぜい弱性はあります。

    ★組織でのポイント★
    まずは、現状を把握しましょう。
     ・自組織で使っているソフトウェアは、どんなものがあるのか?
     ・自組織のWebサイトにぜい弱性がないのか?

    ぜい弱性を悪用されないようにするために、使っていないソフトウェアは、
    できるだけパソコンから削除することも、1つのぜい弱性対策です。

    ぜい弱性は、毎日のように発見され、その度に対策ソフトウェアがでています。
    ぜい弱性の内容によっては、対策ソフトウェアがでるまで、数ヶ月もかかるものも
    あります。
    また、ソフトウェアが作成されたときは、欠陥はないとされていたものでも
    利用方法が変化したり、利用環境が変化したことで、ぜい弱性が生まれることも
    あります。

    ぜい弱性が変化していくことを前提に、定期的に自組織で利用しているソフトウェアの
    ぜい弱性を確認して対処していく、仕組みを根付かせることが大切です。

    | コンサルタント | 18:19 | comments(0) | trackbacks(0) | - | - |
    クラウドのセキュリティは特別扱い?
    0
      JUGEMテーマ:セキュリティ

      ZDNet Japanが「クラウドのセキュリティは誰の責任か?」というアンケート調査を
      開始しました。

      5月の中ごろにCAが発表した「クラウドに関するセキュリティ意識調査」によると
      クラウド提供事業者の約7割が「セキュリティは利用者側の責任」という結果が
      でています。

      CAの調査は、アメリカでの調査結果です。
      日本での利用者側、サービス提供者側、それぞれの意識は、どうなのでしょうか?

      いままでインターネットを利用したサービスにおいて、「セキュリティは誰の責任か」
      というようにセキュリティが特別扱いされたことは、あまりありませんでした。

      では、なぜ、クラウドの場合は、特別扱いされるのか、理由を考えてみました。

      <なぜ、クラウドのセキュリティは、特別扱いなのか?>
       大きく理由は、3つあると考えています。

       理由1:サービス形態の変化により、責任範囲が不明瞭に。

        クラウドサービスは、「利用する」ことが前提のサービスです。
        それは、アプリケーションサービスを提供している事業者にも当てはまります。

        従来のインターネットを利用したサービスの場合、アプリケーションサービスを
        提供する事業者(ASP事業者)が、サーバ環境を「維持している」状態でした。
        クラウドの場合は、アプリケーションサービス提供事業者(SaaS事業者)も、
        サーバ環境を「利用する」立場です。

        従来:
          サービス提供者=サービスとサービス環境の所有者、維持管理者
          サービス提供者により、セキュリティレベルが調整可能。
        クラウド:
          サービス提供者=一部のサービス提供者であり、別のサービス利用者
          サービス提供者も利用者であるため、セキュリティレベルの調整が困難。

        クラウドサービス提供業者は、IaaS、PaaS、SaaS、DaaS(※補足参照)など
        提供するサービスの内容によって、いろいろな形態があります。
        SaaS事業者が、PaaSサービスを利用し、PaaS事業者が、IaaSサービスを
        利用するということもありえます。

        「提供する」側が「利用する」側になることもあるため、
         ・利用者側からみて、どこまでが提供する側の責任範囲なのか
         ・提供者側からみて、提供する側が考える利用する側の責任範囲はどこまでなのか
        を明確にすることが、今まで以上に重要となります。

       理由2:国境を気にすることがない(できない)

        クラウド環境では、アプリケーション、サーバ環境などそれぞれをインターネット
        経由で利用できるため、国境を気にすることなくサービスを利用することができます。

        そのため、アプリケーション提供(SaaS)業者は、日本企業でも、その業者が
        利用している環境(PaaS)は、日本企業ではないかもしれません。

        国が異なると文化や法律が異なるため、今まで以上に責任範囲を明確に
        することが重要となります。

       理由3:サービスが多様になり、重要なサービスもインターネット上に。

        従来、インターネットを利用したサービスは、メールサーバの利用や、自社Web
        ページの利用、ブログやショッピングカートの利用など、広告媒体や通信媒体、
        商品の販売環境と限られたものでした。

        クラウド環境になり、交通費の精算や勤怠管理、会計ソフトなどをインターネット上で
        利用することができるようになりました。
        重要データのバックアップ先が、クラウド環境ということもありえるかもしれません。

        利便性が向上したことで、企業にとって重要な情報が、インターネット上にあるという
        状況が増えています。
        そのことから、利用者側も提供者側も、セキュリティ意識が高くなった可能性があります。

      <クラウド環境(SaaS)の利用者にとって、セキュリティは特別なもの?>
       中小企業にとって、メールサーバやWebサーバ、グループウェアの利用などを
       自社で管理、運営することは、経営資源から考えるととても、負担の大きいこと。
       そのため、クラウド環境が注目されるよりも、ずっと以前から、外部のメール、Web
       などのサービスを利用しているところが多くあると思います。

       利用している側にとって、従来のASPサービスとクラウドサービスになにか違いが
       あるのでしょうか?
       どちらも、外部に委託していること、インターネット経由でサービスを利用している
       ことには、代わりがないはずです。

       外部委託した場合に、どこまでを委託先に求めるのかという視点で考えれば、
       クラウド環境であっても、条件は同じかもしれません。

       違いがあるとすれば、クラウドサービスにより、今までよりも便利なサービスが
       増えたこと。
       今までは、Webページ更新担当者だけとか、メールの設定はシステムに詳しい人
       だけというように、企業の中の限られた人だけがサービスを利用していたという企業も
       多いはず。

       クラウドサービスにより、スケジュール管理、交通費の精算、営業情報の管理、
       勤怠管理など、全従業員がインターネット経由でサービスを利用するようになる分、
       全社的なセキュリティ意識の向上も重要です。

       便利なものには、同じだけのリスクがあると考えても、考えすぎではありません。
        
      ★組織での取り組みポイント★
       外部の業者に任せれば、100%大丈夫ではなく、自社で判断し、考え、体制を
       整えるべきことがいくつかあります。

       −自社で検討すべきこと−
        ・何のためにそのサービスを利用するのか?
        ・サービスを利用することで、業務フロー上、不便にならないか?どういう利点があるのか?
        ・どこまで自社の情報資産を預けて大丈夫か?バックアップはどうするべきか?
        ・パスワード管理、アクセス管理は、どのようにするのか?
        ・もし、サービスが利用できなくなった場合に業務にどのくらい影響があるか?
         代替策はあるのか?
        ・従業員が、個々に気をつけるべきことはなにか?
        ・契約内容に書かれている保証範囲は、自社の利用条件と一致しているか?

       上記の点を自社で考え、クラウド環境を利用して不便になった、問題が増えた
       ということが発生しないようにしましょう。

       参考:
        IPA(独立行政法人 情報処理推進機構)が公開した資料にクラウド利用のための
        チェックリストがあります。
           「中小企業のためのクラウドサービス安全利用の手引き

      -------------------------------------------------------------------------------
      補足: クラウドサービスの形態
       SaaS Software as a Service ソフトウェア
         Webアプリケーションをインタネット経由で提供するサービス
       PaaS Platform as a Service
         DB環境、Webサーバ環境などをインターネット経由提供するサービス
       IaaS  Infrastructure as a Service
         ネットワークやストレージ、サーバ(OS含む)などの基盤環境をインターネット
         経由で提供するサービス
         DaaS DeskTop as a Service
         デスクトップ環境をインターネット経由で提供するサービス


      | コンサルタント | 13:00 | comments(0) | trackbacks(0) | - | - |
      情報セキュリティ対策ベンチマークの活用方法
      0
        JUGEMテーマ:セキュリティ

        情報セキュリティ対策ベンチマークという組織の情報セキュリティへの取り組み状況を
        自己診断できるIPA(※)が開発したツールがあります。

        ※ IPA 独立行政法人 情報処理推進機構 http://www.ipa.go.jp

        情報セキュリティ対策ベンチマークは、JIS Q 27001の附属書Aの管理策
        (以降、管理策)をベースに作成されたもので、Webページで実施することが
        できます。

        内容は、情報セキュリティに関する27問の質問と、組織の規模などに関する
        質問15問に答えていくだけです。

        このベンチマークを活用することにより、以下の点を把握することができます。
         ・組織の情報セキュリティに関する取り組みの弱い部分と強い部分
         ・他組織や望まれる水準との差

        ベンチマークを実施したあと、組織の弱い部分に対して、具体的な対策を
        考えるときに、ベンチマークのベースとなっている管理策が参考になります。

        <では、管理策とは、なんなんでしょうか?>
         パスワードの取扱い、営業秘密や顧客情報などの資産取り扱い、人の管理など
         の情報セキュリティ対策に必要な39個の目的と、その目的を実現するための
         具体的な対策133個がまとめられたものです。

         例) 資産の管理についての管理目的と管理策
          −管理目的−
           A.7.1 資産に対する責任
            組織の資産を適切に保護し、維持するため
          −管理策−
           A.7.1.1 資産目録
           A.7.1.2 資産の管理責任者
           A.7.1.3 資産利用の許容範囲

        ★組織でのベンチマーク活用ポイント★
         <ISO27001の認証取得済み組織での活用>

          「うちは、ISO27001の認証を取得しているから大丈夫、ばっちり」
          と思っているのは、経営層だけかもしれません。

          ベンチマークにより、他組織との違いや組織の弱い点を把握することも
          大切ですが、組織内の認識の違いを把握するためにも活用できます。

          ベンチマークの質問(PDF形式)だけをダウンロードして、経営層、
          中間管理層、一般従業員、それぞれで実施してみることで、組織内での
          情報セキュリティに関する意識や対策の浸透度を把握することができます。

          認証取得している組織は、認証取得が形だけになっていないかを
          点検するためにも、IPAのベンチマークを活用してはいかがでしょうか?

         <ISO27001の認証を取得していない組織での活用>

          「うちには、たいした情報資産はないから、セキュリティはいらないよ」
          と思っていませんか?
         
          以下のようなものは、重要な資産ではありませんか?
          ・顧客から預かった資料
          ・創業時から長年蓄積してきたノウハウ
          ・少しずつ改良してきた設計書の雛形
          ・毎日顧客とやり取りしているパソコンの中にあるメールデータ

          どれも、なくなったり、盗まれたり、突然パソコンが止まっても、全く業務に
          影響はありませんか?

          どういうことが情報セキュリティ対策として求められるのかを知るために
          一度ベンチマークを実施されては、いかがでしょうか?

        | コンサルタント | 14:23 | comments(0) | trackbacks(0) | - | - |
        スマートフォンのセキュリティリスク
        2
        日本スマートフォンセキュリティフォーラムが5月25日発足しました。

        http://www.jssec.org/


        5月中ごろには、NTT DoCoMoから、新しいスマートフォンが8機種も発表され、
        これからもスマートフォン利用者が増えていき、ビジネスでも活用される機会が
        増えていくと、思われます。

        スマートフォンは、手軽にパソコンと同じようにインターネットが利用できたり、
        移動中にドキュメントを読んだりと、仕事をする上でも、とても便利なものです。

        便利なものには、便利さと同じだけの危険(リスク)が潜んでいることを
        認識しておくことも大切です。

        ★どんなリスクがあるかを認識して、組織でできる取り組みを検討しましょう。

        2010年10月にENISA(※)より、スマートフォンのセキュリティリスクとその対策に
        関する報告書が公開されました。

        報告書には、以下10個のスマートフォンのセキュリティリスクがまとめられています。

        ----------------スマートフォンのセキュリティリスク-------------------------------
                                                        (ENISA資料より、抜粋し、簡易訳したもの)

        1.デバイスの紛失や盗難による情報漏えい
           
        2.不適切な廃棄
            廃棄した(売却した)Smart Phoneからの漏えい

        3.意図しない情報の開示
           ユーザの認識していない機能により、個人情報が開示されてしまう恐れがある。
           携帯電話やデジカメでもGPS情報を付加するものがあります。
           自分の利用している製品の機能と標準の設定を理解することが重要です。

            たとえば、
              撮影場所のGPS情報が付加された画像データ。
             SNSへの記事投稿時に、GPS情報の付加されたり。

        4.Smart Phoneユーザ向けのフィッシング
            クレジットカードに関連する偽のアプリケーションを利用してしまったり、
            偽のメールに従って情報を入力してしまったり。
         
        5.スパイウェア(マルウェア)による攻撃
           スマートフォンを対象としたウィルスも出回っています。
         
          IPA 2011年2月の呼びかけ
          http://www.ipa.go.jp/security/txt/2011/02outline.html
           
        6.ネットワークなりすまし攻撃(悪意のあるネットワークアクセスポイントの利用)

        7.サーベイランス攻撃(5により攻撃者の監視下におかれてしまう)

        8.ダイアラウェア攻撃(電話を勝手に利用されてしまい、高額請求が発生)
           ダイアラウェアは、スパイウェアの一種で、電話発信の機能を悪用するものです。
           パソコンのダイヤルアップ機能を悪用するダイアラウェアもあります。
           また、IP電話装置のぜい弱性を悪用されて、見知らぬ高額請求が発生という事件も
           起きています。

        9.金銭的な目的のマルウェア攻撃(オンラインバンク利用時の情報盗難)

        10.ネットワークの停滞
           ネットワークが混雑することにより、利用したいときに利用できない状態に陥る。
        -----------------------------------------------------------------------------------

        ★組織での取り組みポイント★
          スマートフォンのセキュリティリスクは、特別に新しいリスクではなく、
          パソコンや今まで使っている機器のリスクと同等のものです。

          違いは、スマートフォンは、パソコンよりも、セキュリティ設定機能が少ないこと。

          セキュリティ設定機能が少ないため、技術的な対策よりも、利用する人、組織での
          対策がとても重要となります。

          個人でスマートフォンを活用している従業員から、スマートフォンの活用術を
          学びつつ、組織で以下のことを共有、検討してみてはいかがでしょうか?
          ----------------------------------------------------------------------
           ・個人所有のスマートフォンを業務で使いたいと思うことがあるのか?
           ・業務で使う場合、どのような使い方ができるのか?
           ・スマートフォンを業務で使うことで、効率UPできることは?
           ・スマートフォンを業務で使うことで、どんな危険があるのか?
           ・業務で使う場合には、どのような利用方針、利用方法にするべきか?
          ----------------------------------------------------------------------
         
          参照: 組織でできる対策
          CDNS コンサルタントBlog 「スマートフォンを安全に活用するには」
            http://cdns-consult.jugem.jp/?cid=1


        ※ENISA:
          the European Network and information Security Agency
          欧州 ネットワーク情報 セキュリティ庁
          http://www.enisa.europa.eu/

        JUGEMテーマ:セキュリティ
        | コンサルタント | 14:02 | comments(0) | trackbacks(0) | - | - |