情報セキュリティについて
インターネット回線の高速化、スマートフォン、タブレットなどのモバイル端末の
普及により私達の生活は日々便利になっています。
便利なことは良いことですが気をつけなければいけないことがあります。
それが情報に対するセキュリティです。
今日は情報セキュリティについて今どのような危険があるのかそしてその防止策に
ついてご説明します。
┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥
┃1┃情報セキュリティ10大脅威2015
┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥
セキュリティに関してのニュースについて私はよくIPA(情報処理推進機構)のホ
ームページを見ます。
IPAとは日本におけるIT国家戦略を技術・人材面から支えるために設立された独立
行政法人のことです。
現在IPAのホームページに「情報セキュリティ10大脅威2015」の順位が公開されて
います。
これは2014年に発生した情報セキュリティ事故・事件のうち社会的に影響が大きい
と考えられる脅威の中から専門家が選出したものです。
ランキングは以下の通りになっています。
1位 「オンラインバンキングやクレジットカード情報の不正利用」
2位 「内部不正による情報漏えい」
3位 「標的型攻撃による諜報活動」
4位 「ウェブサービスへの不正ログイン」
5位 「ウェブサービスからの顧客情報の窃取」
6位 「ハッカー集団によるサイバーテロ」
7位 「ウェブサイトの改ざん」
8位 「インターネット基盤技術の悪用」
9位 「脆弱性公表に伴う攻撃の発生」
10位 「悪意のあるスマートフォンアプリ」
この中から気になったものを説明していきます。
┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥
┃2┃オンラインバンキングの不正使用
┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥
ランキングで第1位は「オンラインバンキングやクレジットカード情報の不正利用」
です。
ウイルスやフィッシング詐欺により、オンラインバンキングの認証情報やクレジッ
トカード情報が盗み取られ本人になりすまして不正に利用されることです。
最近は個人だけではなく法人の被害も増えています。
被害額も2014年の上期だけで2013年を上回り今後も増えていくことが危惧されて
います。
実は私のところにも去年フィッシング詐欺メールが届きました。
件名:☓☓☓銀行本人認証サービス
本文:(中略)お客様のアカウントの安全性を保つために「☓☓☓銀行システム」
がアップグレードされました。
お客様はアカウントが凍結されないように直ちに下記URLからご登録ください
URL:☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓☓
上記のようなメールです。
実際にURLをクリックするとその銀行の本物のHPに似たページが表示されそこでログ
インの際に使用するパスワードなどを入力するとその情報が窃取される仕組みです。
メールが送られてきた銀行に私が口座を持っていなかったのですぐにフィッシング
メールだと気づきましたが、インターネットに詳しくない方だとクリックしてしま
うかもしれません。
予防策としましては、メールの差出人名称などは簡単に改ざんが可能なため信用し
ないことやメールが正規のものか(URL)確認することが挙げられます。
また企業側もワンタイムパスワードなどの導入をしていますのでそちらなどを使用
するのも有効な手段となります。
┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥
┃3┃内部不正による情報漏えい
┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥
第2位は「内部不正による情報漏えい」です。
企業の従業員が内部情報を窃取し、第三者に販売した事件がありました。
システム側が堅牢なセキュリティを設けたとしても、それを使う人にセキュリティ
の意識が低ければこのようなことが起きます。
対策としては、情報セキュリティポリシーの策定を行うことです。
情報セキュリティーポリシーとは、企業において実施する情報セキュリティ対策の
方針や行動指針のことです。
組織全体のルールから情報資産を脅威からどのように守るのかといった基本的な考
え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準を
具体的に記載するのが一般的です。
各企業の情報資産に対する運用方法やネットワーク構成などによりポリシーは多様
となります。
情報セキュリティポリシーの作成目的は、企業の情報をセキュリティの脅威から守る
ことですがそれだけではなく、社員のセキュリティ意識の向上、お客様からの信頼の
向上などの二次的なメリットもあります。
┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥
┃4┃ウェブサービスへの不正ログイン
┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥
第3位の「標準型攻撃による諜報活動」はPCにウイルスを感染させ外部からPCを操作
して内部情報窃取する事件のことです。
去年類似した事件(ウイルスを感染させ外部からPCを操作して犯罪予告を行う)が起
こり連日メディアで放送されていました。
第4位の「ウェブサービスへの不正ログイン」は脆弱なウェブサービスから窃取したID
とパスワードでウェブサービスに不正ログインして利用される被害のことです。
この件で利用者が気をつけなければいけないことはID、パスワードの使い回しです。
不正ログインの場合、他社サービスから流失したIDとパスワードを使い、なりすまし
てログインを行い利用されます。
皆さんも色々なWebサービスをご利用されていると思いますがその中でログインIDとパ
スワードを入力する際にどのサービスでも同じID・パスワードにしていませんか。
もし、自分の使っているどこかのサービスから最悪情報流失した場合、その流失した
IDとパスワードで他のサービスにログインできるか試されてしまいます。
もしIDとパスワードがどのサービスでも同じですと他のサービスに簡単にログインで
きてしまうため危険です。
またパスワードも簡単な組み合わせ(例:123456やpasswordなど)の場合も容易に試
されてしまうため複雑な組み合わせにすべきです。
パスワードについては
・複雑な組み合わせにする
・定期的に変更する
・サービスごとに異なるパスワードの設定を行う
以上のことをおすすめします。(面倒だというお気持ちもわかります)
┏━┳━━━━━━━━━━━━━━━━━━━━━━━………‥‥
┃5┃ソフトの更新なども忘れずに
┗━┻━━━━━━━━━━━━━━━━━━━━━━━………‥‥
様々なセキュリティの脅威がありますが、OS(基本ソフト)、ウイルスソフト、ブラ
ウザなどのソフトウェアは常に最新の状態にアップデートしておいて下さい。
(業務上アップデートを行って使えなくなる場合は除く)
これらのセキュリティの脅威は今後も増えていくことが予想されています。
インターネット上のサービスを利用する際にもこれらの脅威があることを忘れないで
サービスを利用して下さい。