利益を生まない情報セキュリティとバックアップに投資する重要性

Transcript

1. 利益を生まない情報セキュリティとバックアップ に投資する重要性 2024/08/22 松田 康宏 2024年8月度 Bizcafe無門庵

2. 仕事 ▮ AWSを活用した辞書検索サービスDONGRIの インフラエンジニア（イースト株式会社） 士業資格 ▮ 情報処理安全確保支援士 中小企業診断士 ファイナンシャル・プランニング技能士2級（AFP） 主な活動

   ▮ AWS Community Builder 日本FP協会石川支部幹事 白山市内の中学校PTA会長 座右の銘 ▮ 一塁ベースを持って二塁に盗塁する 松田 康宏 まつだ やすひろ

3. 経歴 比較.com株式会社 ／東京都 2005 年 4 月～ 2006 年 10

   月 (2006年3月マザーズ 上場) 株式会社エンブレム／東京都 （三谷産業株式会社子会社） 2006 年 11 月～2011 年 4 月 福島印刷株式会社／石川県 2011 年 5 月～2020年12月 神奈川県宮前区に引越 株式会社三省堂／東京都 2004年 4 月(2002年10月) ～2005 年 3 月 石川県白山市（旧：松任市）に生まれる 東京都江戸川区に引越 石川県白山市にUターン 千葉県船橋市に引越 中小企業診断士 登録 FP2級取得 イースト株式会社／東京都 2021 年 1 月～現在

4. 個人事業主としての主な活動 ・専門家派遣制度（ISICO） ・認定経営革新等支援機関としての伴奏支援 ・補助金申請支援 小規模事業者持続化補助金 賃上げに向けた省力化投資支援事業 ・セミナー講師 職業能力開発促進センター(ポリテクセンター) 社会保険労務士会、商工会議所、石川県地域振興課 日本FP協会等

5. これから国内でも普及していく可能性のあるサービス① ジャスト・ウォークアウト ライドシェア

6. これから国内でも普及していく可能性のあるサービス② Split

7. 本日持ち帰っていただきたいこと ・なぜ私たちにとってセキュリティとバックアップが重要な のかを理解できるようになる ・私たちで簡単にできるセキュリティ対策、バックアップ 対策について理解できるようになる

8. 私たちの情報セキュリティの実態 ヒト、モノ、カネが限られる ヒト・・・情報システム担当者不在 モノ・・・データは各コンピュータにある カネ・・・古いOSが未だに動いている

9. 私たちにはセキュリティ対策は関係ない？ サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との 取引を行っている私たちも攻撃対象になりうる 順位 2023 2024 1位 ランサムウェアによる被害 ランサムウェアによる被害 ー

   2位 サプライチェーンの弱点を悪用した攻撃 サプライチェーンの弱点を悪用した攻撃 ー 3位 標的型攻撃による機密情報の窃取 内部不正による情報漏えい ↑ 4位 内部不正による情報漏えい 標的型攻撃による機密情報の窃取 ↓ 5位 テレワーク等のニューノーマルな働き方を 狙った攻撃 修正プログラムの公開前を狙う攻撃 （ゼロディ攻撃） ↑ 情報セキュリティ10大脅威 「組織」向けの脅威順位

10. ・セキュリティ サプライチェーンの弱点を悪用した攻撃を考えれば、対策は重要 情報資産は何かを特定して最低限のコストで対策を考える ・バックアップ どの情報資産をいつの時点でいつまでに復旧しなければならないか 優先順位を考えて最小限のコストで対策を考える バックアップをとっているけれど、本当に復元できるだろうか？ でも、システムがお金をうまない２大要素のうちの一つ

11. セキュリティもバックアップも守りたいのはデータ データは２１世紀の石油 「世界ICTサミット2014」に登壇した日本アイ・ビー・エ ム 代表取締役社長 マーティン・イェッター氏の講演 データは人、モノ、カネに続く 第四の経営資源 出所）https://www.sbbit.jp/article/cont1/28284

12. 情報セキュリティ自社診断

13. 優先順位の付け方 リスクマネジメント 情報資産に関するリスク源（脅威･脆弱性等)とそれにより発生する事象及びその結果と しての損失を特定して、それらの起こりやすさを算定する。 偽装メールで マルウェアが 社内に侵入 端末に残留 する脆弱性を 利用し感染

    感染端末を 権限を奪取し 遠隔操作 サーバへ アクセスして データを窃取 窃取した データを 社外へ流出 顧客からの 信用失墜、 業務の 一時停止 リスク源 事象 結果 リスク算定の例 ALE（年間損失見込み額）＝ SLE（単一損失予想）× ARO（年間発生率）

14. 影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 （共有）

    リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク対応の方法 算定した結果を、あらかじめ決めたリスク基準に知らして受容･許容するか何らかのリスク 対応を適用するのかを決定する。

15. 影響度 高 影響度 低 発生確率 低 発生確率 高 リスク移転 （共有）

    リスク回避 リスク保有 リスク低減 （最適化） 原因を取り除くことで、 リスクの脅威を避ける リスクを受容可能なレベルまで 減らす（影響度･確率共に） リスクの結果と責任を 第三者へ移す 消極的な保有と、 積極的な保有がある リスク低減の方法 リスクを減らす取組についてみてみましょう！

16. 私たちでも簡単にできるセキュリティ対策 ・リモートワーク時の留意点 ・パソコンの盗難防止 ・記憶媒体の取扱

17. リモートワークにおける留意点について （自宅や公共スペースのWi-Fiを使用しての業務等） ▋パスワードを必要としないアクセスポ イント（オープンと記載があるもの）に は原則接続しない。やむを得ず接続する 場合には、HTTPSになっていない通信を しない。ログインが必要な作業はしない ことを心がける。 暗号化されていないことにより、通信が 盗聴されるため

18. リモートワークにおける留意点について （自宅や公共スペースのWi-Fiを使用しての業務等） ▋店内にパスワードが貼りだされているアクセスポ イントや、客室共通パスワードとなっているアクセ スポイントには接続しない アクセスポイントがなりすまされていた 場合に、通信が盗聴されるため

19. リモートワークにおける留意点について （自宅や公共スペースでの業務等） ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと 公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞ き見されることにも注意する必要がある

20. 来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する 同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリ スクや、通信の漏洩、ウィルス感染するリスクにさらされるため

21. パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックな ど盗難防止を施すことが望ましい（機器がなくなることへの対策ではなく、データ が持ち出されることへの対策） ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、 （Windows 10 Professional 以降の場合には）BitLockerを有効化して ディスクを暗号化することを検討

22. 記憶媒体（USB等）の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Drive などファイル共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分か らないUSBや他人のUSBはパソコンに接続しないことを心がける 媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感 染リスクも考慮する

23. 使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しない ウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされ ていると、入力した内容が漏洩してしまう

24. 標的型攻撃メールにも気を付けましょう！

25. クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的（共有、バックアップ等）を確認し、目的外のデータを保管 しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく 第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課 金を防ぐ

26. クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障による データ損失に備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止 の可能性を考慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要 性がある

27. ご清聴ありがとうございました