ショップハンター

2015.06.18
XML
 今回は個人情報漏洩対策記事の第三弾になりますが、これを書いている間にも組織による個人情報流出事件が世間をにぎわせています。

 石油連盟パソコンのマルウェア感染による情報流出について

 ニュースになるほどの事件は氷山の一角に過ぎません。
 その水面下では数多くの企業や組織が個人情報流出の危険性にさらされ、一刻も早い対応を迫られていることは間違いありません。

 このような危機感はインターネット環境が充実するにしたがって強まる傾向にあります。
 ネットを使ったサービスを展開する企業は、多くの顧客を集めるために、よりシンプルで使いやすいサービスを目指す傾向があります。

 これはネットに潜む危険性に無頓着な人たちのネット利用を増やしてしまうことにもなります。
 彼らが誤ってパソコンをウィルスに感染させたり、情報を持ち出されたりしてしまったりしても、最終的には自業自得だとあきらめもつくでしょう。
 ネットにつながっている以上は、個人でも自衛は絶対に必要です。


 しかし、ユーザの個人情報を集めてビジネスを行ったり、個人情報を管理したりする組織が情報を流出させるとなると話はまた別です。
 基幹システムの情報を持ち出されることはもとより、侵入されて情報を書き換えられるというリスクを真っ先に考える必要があるでしょう。

犯罪歴を帳消しにしたり、銀行口座の金額を改竄したり、ID を別人のものにすり替えてしまったり。
こんなことが日常茶飯事に起これば、ひとりの人間の人生なんて一瞬で吹き飛ぶ可能性もあるのです。
人様の大切な情報を預かる以上は、頭を下げたり、責任者をクビにしたりすれば済まされるレベルの話ではないのです。
低額金券一枚程度の賠償で、めちゃめちゃにされた人生は戻ってこないかもしれないのですから(被害者の数があまりにも多ければ他に方法はないかもしれないにせよ)。


 このようなことが起こらないように、しっかりしたセキュリティ対策が必要となります。
 いまや、セキュリティ専門ビジネスが成り立つくらいですから、コストをかけずに何とかしようなど、おざなり程度のセキュリティに講じれば、いつかは悪意あるユーザに入られて超イタイ目にあうくらいの心構えで臨んだほうがよいでしょう。

 大手企業は専門スタッフを投入して独自のセキュリティ対策を行っていると思いますが、ここでは今までアンチウィルス程度しか対策をしてこなかった個人事業主の方や、専門スタッフを雇うほどコストをかけられない中小企業の方向けに実践的な対策をご紹介します。

 特集ページも文末にご用意しましたので、併せてご利用いただけると幸いです。

個人事業主・中小企業向け:もらさない・出さない対策


 専門用語がちらほら出てきますが、システム担当者にとってはこれ以上単純にならない基礎的なものとなりますので、予めご了承ください。

【パソコン・サーバ編】

 事業で使うパソコンやサーバですから、無料ソフトウェアではなく、有償で信頼性の高いものを導入するようにしましょう。

1. アンチウィルスソフトウェア、スパイウェア駆除ツールは、集中管理型のものを導入する。
 集中管理型のアンチウィルスソフトウェアは、各クライアントのバージョン情報、ウィルス駆除状況、自動インストールがトータルに行える。
 社内スタッフが個々に好き勝手なアンチウィルスソフトを導入すると、それぞれのソフトウェアの性能によってウィルス検出率にバラつきが出たり、エンジン更新やウィルス定義の更新を忘れたりするので極力避ける。

代表的なものとして、Symantec Endpoint Protection Small Business Edition、ESET Smart Security、Trend Micro ビジネスセキュリティ、AVG リモート管理コンソール、KASPERSKY ENDPOINT SECURITY FOR BUSINESS などなどありますので、参考にしてみてください。
検索キーワードは、「アンチウィルス 集中管理」です。

2. 社内でパソコンまわりやセキュリティに明るく、社運がかかっているという自覚と責任感がある人をセキュリティ担当者に任命し、定期的にウィルス検出状況を調べさせる。
3. ルータは NAT 設定がしっかりできるもの、そしてファイアウォール設定も LAN 内外ペア、WAN 内外ペアの両方で管理できるタイプのものを導入する。
4. 各パソコンのファイアウォール設定をオンにし、ルータのファイアウォールと併せて二重の通信ブロックを行う。
5. DMZ 設定はセキュリティが著しく低下するので行わない。
6. WAN → LAN 向けのポートは、必要最低限なものしか開かないようにする(ICMP も遮断)。
7. LAN → WAN 向けのポートも必要最低限のものしか開かないようにする。安価なルータは、Ethernet ケーブルをつなげてすぐに通信ができるようなユルいポート構成になっているため、基本的に LAN → WAN ポートがほとんど解放されているものが多いので特に注意。
 事業で使うパソコンなら、Web ブラウジング(80, 443)、メール送受信(25、110、587)、その他セキュリティソフトで使用するもののみを解放する程度でも事足りることが多い。
 このほか、チャットツール、クラウドストレージツールなどのサービスを使いたい場合は、それぞれポート番号を調べて解放することになるが、解放するポートが増えれば、それだけセキュリティが低下する。
 ポート一つ解放するにしても社内の了承を必ず得ること。
8. 社内で Web サーバを立てている企業は、可能であれば Web サーバ機はイントラネット回線とは別の回線を契約する(それぞれがつながっていれば、芋づる式にデータが外に流出する可能性がある)。
 また、ユーザ登録型のネットサービスを展開している場合は、アプリケーション層、ビジネスロジック層、データベース層、それぞれ別個にサーバを立て、外部にポートを開放するのはアプリケーション層のサーバのみになるようにする。

参考資料としてこちらもご覧ください。
Web サービスを過信しちゃいけない理由

9. メールサーバは添付ファイルの自動スキャンを実施するように設定。
 拡張子をできるだけ多めに設定し、添付ファイルをサーバの段階で自動的削除するようにする。
 ベイジアンフィルタを併用して、スパムメールが社内に流れないようにする。
10. 支社と本社をネットワークでつなぎたい場合は、可能であれば専用線を引く。
 コストがかかりすぎるなら VPN と SSH を併用することでも対応できるが、IPSec よりは SSL VPN を使う。それでも専用線に比べるとセキュリティは落ちることになる。
11. 侵入検知システム(IDS) を導入。ルータに実装できるタイプのものもあるが併用することによって検知率アップが期待できる。
 ポートスキャン、Web サーバ、リモートアクセスツール、プロキシサーバ、メールサーバ、データベースサーバなどのポートを狙った侵入が検知された場合は、すぐにその IP アドレスからのアクセスを自動遮断するとともに、侵入検知ログをメールで管理者に通知するように設定しておく。
12. システム管理者が自宅から意図的に社内サーバに対してポートスキャンを実施し、IDS が正常に動作していることを確かめる。
13. 新しい通信系ソフトを検討する際は、システムセキュリティ担当者がパケットキャプチャツールを使って内外のポート解放状況とパケットの流れを解析し、問題なしと判断したときのみ採用する。
14. 就業時間が定刻の企業の場合は、朝~夕の勤務時間のみネットワーク回線が使えるようにルータ側で制御する。
15. 個人情報を扱うデータベースサーバは専用のサーバルームに置き、施錠しておく。
 データベースのユーザパスワードはすべて暗号化する。
 データベースは毎日定刻に自動バックアップを行い、5-6世代管理し、それとは別に永久バックアップを取る。
 永久バックアップ先は別の場所にするとより安全。
16. 不定期にデータベース復旧テストを実施する。


【社内スタッフ編】

 こちらは社内スタッフの日常業務におけるセキュリティ対策です。
 怪しいメールを開かないのは基本中の基本ですね。

1. セキュリテイ担当者は英語力必須。
 最新ウイルス情報、セキュリティ対策に関する情報は、英語の方が情報量も高度な技術者も圧倒的に多く、しかも拡散スピードが速い。
 翻訳された情報を待っているのでは遅すぎる。
 海外のセキュリティ関連フォーラムにも積極的に参加して情報収集を行う。
2. むやみに個人情報を収集しない。
3. 社内のハードウェアコストを抑えるために Bring Your Own Device(自前デバイス持ち込み)をする流れがあるが、基本的に個人デバイスの持ち込みを禁止する。
 各人のセキュリティ意識に過度に依存するのは Bring Your Own Danger(自分から危険持ち込み)につながることを忘れないようにする。
4. 出社時に個人所有の携帯電話、スマホやタブレット PC の電源を完全に切る(長押ししてシャットダウン)。
 これにより、GPS 機能やインストール済の悪意をもったアプリが作動するのを未然に防ぐ。
 個人情報を扱う企業の場合は、警備会社から荷物預かりスタッフを派遣してもらい、出社時にこれらのデバイスをいったん預けるようなルールを検討する。
 これにより、社内スタッフが重要データを社外に持ち出すのを未然に防ぐことができる(昨年のベネッセ流出事件はこれが原因)。
5. 社外の人間が通常業務フロアに立ち入らないようにする。打合せは専用の会議室(可能であれば別階)で行う。
6. 個人所有の USB メモリの使用禁止。
7. USB メモリ、CD-RW/DVD-RWなどのメディアの社外持ち出し禁止。
8. メールは出す前に宛先をしつこいくらいチェックする。
9. クラウドストレージサービスを使う場合にも、社外秘の情報は絶対に置かない。
10. 仕事を自宅に持ち帰らせない(印字された資料含む)。
11. 全社で「社外秘」、「機密保持」という言葉の意味をよく理解し、スタッフ同士で声掛けしながらうっかりミスによる情報流出を食い止める。



特集ページ:
あなたの個人情報はねらわれている


web拍手 by FC2






最終更新日  2015.06.19 11:40:38
[楽天ブログ・アフィリエイト関連] カテゴリの最新記事

PR

サイド自由欄

キーワードサーチ

▼キーワード検索

日記/記事の投稿


Copyright (c) 1997-2019 Rakuten, Inc. All Rights Reserved.