映像で知る情報セキュリティ情報を漏らしたのは誰だ? ~ 内部不正と情報漏えい対策 ~ 独立行政法人情報処理推進機構 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構
目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2
1. はじめに 可能性を一つ一つ確認してみましょう 顧客リストを漏えいしていないか疑われているんだけど システム管理部 ( 高梨 ) 主人公 ( 前田 ) 顧客リスト漏えいの疑いをかけられた主人公の前田は システム管理部に属する同期の高梨と漏えいの可能性を一つ一つ洗い出していく 浮かび上がってきたのは内部不正による漏えいの可能性だった Copyright 2015 独立行政法人情報処理推進機構 3
映像をご覧ください Copyright 2015 独立行政法人情報処理推進機構 4
2. 内部不正による情報漏えいの危険性 事例 退職者が技術情報を不正に持ち出し転職先に提供 システム管理者が権限を悪用し 顧客のカード情報を窃取 委託先社員が顧客情報を不正にコピーし名簿業者に売却 従業員が人事評価への不満から そのはらいせに機密情報を SNS に公開 動機 転職に関わる利益取得 金銭取得 金銭取得 ( 処遇不満による ) はらいせ 恨み 今回のケース ライバル会社の営業秘密を手土産にすれば 有利に転職できるかも Copyright 2015 独立行政法人情報処理推進機構 5
2. 内部不正による情報漏えいの危険性 営業秘密の漏えい者の内訳 中途退職者 ( 正社員 ) 50.3% 現職従業員等のミス 26.9% 金銭目的等の動機をもった現職従業員取引先や共同研究先を経由中途退職者 ( 役員 ) 定年退職者契約満了後又は中途退職した契約社員取引先からの要請 10.9% 9.3% 6.2% 6.2% 5.7% 5.7% ( 出典 ) 経済産業省 : 営業秘密の管理実態に関するアンケート調査 (2013 年 ) Copyright 2015 独立行政法人情報処理推進機構 6
3. 情報漏えい対策ポイント (1) 企業の情報を自宅等に許可なく持ち出さない! 紛失による情報漏えいの危険もあります! 社内 社外 持ち出し禁止 承認 記録 承認済 PC デバイス 社外持ち出し許可 Copyright 2015 独立行政法人情報処理推進機構 7
3. 情報漏えい対策ポイント (2) 私物のパソコンや電子媒体を会社に持ち込まない! ウイルス感染のリスクも高まります! 社内 未承認 PC 電子媒体の持ち込み禁止 未承認 PC 未承認電子媒体 ( 私物 ) Copyright 2015 独立行政法人情報処理推進機構 8
3. 情報漏えい対策ポイント (3) メールアドレスは何度も確認し 誤送信を防ぐ 1 宛先の確認 ( 意図した宛先か ) 2 内容の確認 ( 件名 本文の整合等 ) 3BCC が適切に使用されているか ( 受信者相互を秘匿するとき等 ) Copyright 2015 独立行政法人情報処理推進機構 9
3. 情報漏えい対策ポイント (4) 重要なデータはパスワードで暗号化する 1 重要なデータをやりとりする場合 データを暗号化し誤送信や盗聴による情報漏えいを防ぎます 例. データを圧縮するときパスワードをつけて暗号化します (Zip ファイルなど ) 2 ノートパソコンやタブレットのディスクを暗号化します内蔵ディスクの抜き取り 盗難などによる情報漏えいを防ぎます 例. Windows のディスクを暗号化する場合 BitLocker によるディスク暗号化 ( 内蔵ディスク ) BitLocker To Go によるディスク暗号化 (USB 等 ) ただし BitLocker が利用できる OS のエディションには制限あり Copyright 2015 独立行政法人情報処理推進機構 10
3. 情報漏えい対策ポイント (5) 作業中のパソコンをそのままにして席を離れない 画面ロックのショートカットは Windowsの場合 +L MAC OSの場合 Control+Shift+eject(power) ロック画面に移行させて離席 Copyright 2015 独立行政法人情報処理推進機構 11
3. 情報漏えい対策ポイント (6) フォルダ ファイルはパスワードでロックする アプリケーションの機能としてファイルにパスワードがかけられるものがあります Microsoft Office(Excel Word Powerpoint) のファイルなど Step1 Step2 Step3 詳細はアプリケーションのヘルプを参照 フォルダの暗号化 (Windows の機能 Windows のエディションによります ) ユーザがログインしていないと ファイルがロックされた状態にできます Copyright 2015 独立行政法人情報処理推進機構 12
3. 情報漏えい対策ポイント (7) パソコンの ID やパスワードを決して第三者に教えない! ID パスワードは個人を特定する非常に重要な情報です! パスワードは教えていません! Copyright 2015 独立行政法人情報処理推進機構 13
3. 情報漏えい対策ポイント (8) 簡単に想定される様なパスワードは使わない パスワードは 大文字 数字 記号 (@! -) などを混ぜ できるだけ長い文字列にし 他人が推測できないものを設定 パスワードは使いまわしたりせず 利用するサイトごとに設定 パスワード 単純過ぎた Copyright 2015 独立行政法人情報処理推進機構 14
4. 情報漏えい発生時の対応ポイント (1) 二次 三次被害を起こさないために初動対応が大切 (2) 自分で判断せず すぐに上司に報告 (3) 漏えい先に対しては 当該顧客データの使用停止要請 調査への協力要請 上記了解の旨の通知要請( 期限付きで ) 期限内に通知がない場合 法的措置も検討 すぐに報告すべきでした Copyright 2015 独立行政法人情報処理推進機構 15
5. 情報漏えい対策のしおり 内部不正 情報漏えいの事前対策情報漏えい対策のしおり 情報漏えい事故が発生した時に参考となる小冊子情報漏えい発生時の対応ポイント集 ( 一般社員向け ) ( 経営者 管理者向け ) IPA のホームページからダウンロードできます Copyright 2015 独立行政法人情報処理推進機構 16
5. 内部不正防止ガイドライン 内部不正対策のガイドラインを IPA で作成しております 組織における内部不正防止ガイドライン 内部不正を防止するための環境整備に役立てて頂くためのガイドラインです 発生してしまった際の早期発見 拡大防止にも対応 ( 経営者 管理者向け ) IPA のホームページからダウンロードできます Copyright 2015 独立行政法人情報処理推進機構 17
参考情報の紹介 Copyright 2015 独立行政法人情報処理推進機構 18
IPA 対策のしおり http://www.ipa.go.jp/security/antivirus/shiori.html Copyright 2015 独立行政法人情報処理推進機構 19
映像で知る情報セキュリティ (DVD-ROM) http://www.ipa.go.jp/security/keihatsu/videos/ Copyright 2015 独立行政法人情報処理推進機構 20
5 分でできる!! 情報セキュリティポイント学習 https://www.ipa.go.jp/security/vuln/5mins_point/ Copyright 2015 独立行政法人情報処理推進機構 21
ここからセキュリティ! Copyright 2015 独立行政法人情報処理推進機構 22
情報セキュリティ安心相談窓口 電話 03-5978-7509 ( オペレータ対応は 平日の10:00~12:00 および 13:30~17:00) E-mail anshin@ipa.go.jp このメールアドレスに特定電子メールを送信しないでください FAX 03-5978-7518 113-6591 東京都文京区本駒込 2-28-8 郵送文京グリーンコートセンターオフィス16 階 IPAセキュリティセンター安心相談窓口 Copyright 2015 独立行政法人情報処理推進機構 23
IT パスポート公式キャラクター 上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です Copyright 2015 独立行政法人情報処理推進機構 24
質問 問い合わせは isec-info@ipa.go.jp までメールで連絡ください ご相談に応じます!! Copyright 2015 独立行政法人情報処理推進機構 25