中小企業のための最低限度のITセキュリティポリシー

本文書の狙い • 一般企業で最も頻繁に発生する危険なセキュリティリスクへの最低限の対策を具体的に例示しています。 • どのような企業であっても、最低限このルールを全従業員に厳守させることが必要と私は考えます。 •
高度な企業秘密の保全には対応しません。 • 高価であったり複雑であったりする対応策は採用していません。

典型的なセキュリティリスク弱いパスワードの利用パスワードの使い回し危険なアプリのインストール旧式化ソフトの継続利用
詐欺メール公共WiFiの利用

弱いパスワードの利用他サイトとのパスワードの使い回しなぜ起きる？ • セキュリティ意識が低い。研修不足 • 社名やメールアドレス等と似たパスワードを使う何が起きる？ •
利用している多くのシステムへの不正なアクセス • 顧客情報や企業秘密の漏洩、信用の失墜、業務中断どう防ぐ？ • パスワード管理ツールを使う • パスワードは全て必ず乱数で自動生成する規則にする

不正なアプリの利用なぜ起きる？ • ITリテラシーが低い。社内の管理体制不足 • 不正なアプリケーションをインストールしてしまう何が起きる？ •
PCの乗っ取り。全てのシステムへの不正なアクセス • 全情報の漏洩、信用の失墜、業務中断、預金の盗難どう防ぐ？ • アプリのインストール時にはIT部門の了承を必須とする • ウィルス対策ソフトをインストールする • 各従業員にPCの管理者権限を与えない

旧式化ソフトの継続利用なぜ起きる？ • ITリテラシーが低い。社内の管理体制不足 • 予算が足りない。企業の意識が低い何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス
• 全情報の漏洩、信用の失墜、業務中断、預金の盗難どう防ぐ？ • IT資産を正しく管理する • 旧式化したソフトの更新を必須とする

詐欺メールなぜ起きる？ • 社内教育不足 • ウイルス対策ソフトの不備何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス
• 全情報の漏洩、信用の失墜、業務中断、預金の盗難どう防ぐ？ • ウイルス対策ソフトをインストールする • gmailのようにセキュリティ対策が優れたメールソフトを使う • フィッシング事例を教育する

公共WiFiの利用なぜ起きる？ • セキュリティ意識が低い。研修不足 • モバイル通信機器への投資不足何が起きる？ • 利用したシステムへの不正なアクセス
• 顧客情報や企業秘密の漏洩、信用の失墜、業務中断どう防ぐ？ • 社外でのネットワーク接続を禁止する • モバイル通信機器やVPNを支給する

弱いパスワードの脅威 • 世の中の多くの人は、驚くべきことに社名、自分の名前、メールアドレスや “123456”や”password”などをパスワードにしている。 • 対策方法としては、パスワード管理ツールを使い、自動生成した乱数パスワード以外を禁止する
(Roboform, Lastpass, Keepassなど)

パスワード使い回しの脅威 • パスワード管理ツールを使わない場合、必然的にパスワードは使い回しになる。 • その場合、セキュリティの甘いウェブサイトから漏洩したパスワードで、他にアクセスされる恐れがある。 • とくに銀行やgmailなどのパスワードを
同じにしている場合には被害が大きい。  パスワード管理ツールを導入する

不正アプリケーションの脅威 • WindowsやMacなどのパソコンでは、アプリケーションをインストールするのに、全ての権限を要求されることが多い – すなわちインストールしたアプリは、事実上なんでもやりたい放題。 – もし作者に悪意があれば、銀行口座の資金も
容易に盗み取れる。 • だから、怪しげなサイトなどのソフトはゼッタイにインストールしないこと！

不正アプリケーションの脅威(続) • パソコンソフトは、インストール前に IT部門の許可を得るルールが望ましい • PCの管理者権限を各社員に与えないのは良いと思われるが、IT管理者が必要になる • iPhoneやAndroidでは、アプリの権限は限定されているが、それでも脅威になり得る

公共WiFiの脅威 • 公共の場所にあるWiFiはたとえ暗号化されていても100%安全とは言えない (MITM等) • SSL以外の通信が盗み見られたり、改竄されたりする恐れがある。 – パスワードや機密文書が漏洩する
– 不正アプリケーションをダウンロードさせられる • 対策: – 携帯電話のモバイル通信を使う – 社内へのVPNを使う

詐欺メールの脅威 • 詐欺メールは、金融機関、取引先、顧客などを装って送られてくる不正なメールである。 • 不正なアプリケーションをインストールさせるか、偽の金融機関サイトにアクセスさせて、情報や預金を盗み取るのが目的。 • とくに人間が手動で特定の相手に狙いをつけて
送付してくる「スピアフィッシング」は防ぐのが困難。 – 実在のビジネスの顧客を装ってメールしてくるため

スピアフィッシングの例 ××さま、いつもお世話になっております。 ◦◦を購入した◦◦社の◦◦と申します。利用していたところ問題が発生しまして、サポートをお願いします。詳細は添付ファイルに記載しましたのでご覧下さい。 ↑これが不正アプリ

その他ルール • パソコンやスマホは、ディスクを暗号化して、パスワードで保護する。 • ウイルス対策ソフトウェアを導入する。 • 定期的にITセキュリティ講習を実施する。 • 他人のPC
(ネットカフェ含む)を決して使わない。 – とくに外国のネットカフェのPCはウイルスに汚染されており、確実に全てのパスワードなどが盗まれると思うこと。公共Wifiよりもずっと危険である。

中小企業のための最低限度のITセキュリティポリシー

中小企業のための最低限度のITセキュリティポリシー

Shunichi Arai

More Decks by Shunichi Arai

Other Decks in Technology

Featured

Transcript

中小企業のための最低限度の ITセキュリティポリシー © 2015 新井俊一

典型的なセキュリティリスク弱いパスワードの利用パスワードの使い回し危険なアプリのインストール旧式化ソフトの継続利用

弱いパスワードの利用他サイトとのパスワードの使い回しなぜ起きる？ • セキュリティ意識が低い。研修不足 • 社名やメールアドレス等と似たパスワードを使う何が起きる？ •

不正なアプリの利用なぜ起きる？ • ITリテラシーが低い。社内の管理体制不足 • 不正なアプリケーションをインストールしてしまう何が起きる？ •

旧式化ソフトの継続利用なぜ起きる？ • ITリテラシーが低い。社内の管理体制不足 • 予算が足りない。企業の意識が低い何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス

詐欺メールなぜ起きる？ • 社内教育不足 • ウイルス対策ソフトの不備何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス

公共WiFiの利用なぜ起きる？ • セキュリティ意識が低い。研修不足 • モバイル通信機器への投資不足何が起きる？ • 利用したシステムへの不正なアクセス

公共WiFiの脅威 • 公共の場所にあるWiFiはたとえ暗号化されていても100%安全とは言えない (MITM等) • SSL以外の通信が盗み見られたり、改竄されたりする恐れがある。 – パスワードや機密文書が漏洩する

その他ルール • パソコンやスマホは、ディスクを暗号化して、パスワードで保護する。 • ウイルス対策ソフトウェアを導入する。 • 定期的にITセキュリティ講習を実施する。 • 他人のPC