情報漏洩対策 20のツボ
-
Upload
toru-nakata -
Category
Business
-
view
786 -
download
1
description
Transcript of 情報漏洩対策 20のツボ
情報漏洩対策20 のツボ
中田亨
情報をどう使うかの問題 事故を受けて、指摘を受けて、やる泥縄ではダメ 仕事が速くかつ安全に回ることを目指す
1. 情報セキュリティーは 対策ではなく運用だ
「目的は情報漏洩したくない」 なら廃業すればよい。
本当は何のために情報を使うの? 本当は何のためにコンピュータを使うの? 目的例:「お客様にすぐに提案できるようにした
い」等
2. まず目的を決めよ
「電子メールは厳重に管理」でも、「まちがいFAX ダダ漏れ」ではダメ
使っている装置、情報の流れを、全部棚卸しして、一番弱いところに注目する
3. コーディネートせよ
「出先に行く。プレゼンする。交渉する。メールを出す・・・」というシナリオ
どんな情報がいつ、どこで、なぜ、どれだけ、欲しいかが分かる
「情報は何でも厳重に管理」では何もできない
4. ストーリーで考えよ
情報事故の 9 割以上は、内部人員による紛失や誤送付、誤設定で起こる
ガードレールがないのに、飛ばしすぎ ガードレール:「メールソフトが誤送付を阻止し
てくれる」 飛ばしすぎ:「家に持ち帰って仕事しよう」「面
倒くさいからメールで送ろう」
5. 情報セキュリティの大半は内部ミス
「安全のため、ネットから隔離する」 「ファイルの輸送を USB メモリで」 「 USB メモリを紛失」
どんなに素晴らしいセキュリティ技術であっても、副作用がある。
比較せよ。一番副作用の小さいやり方を選べ 副作用を知って使え
6. 角を矯めて牛を殺すな
「情報セキュリティは裏方の仕事」ではダメ 「安全投資をケチって大損害」もよくある話 「一番デキる人が担当する」という慣例にせよ
7. 出世頭に担当させろ
「事故が起きてから何かする」ではダメ プロアクティブ:前もって備える 定期的に活動する 対事故訓練する
8. 先手を取れ
サイバー攻撃詐欺の3戦法 ニセ警官型:「このメールは情報セキュリティ本
部からのものです。添付を開きなさい」 パニック型:「大至急の案件なんです!パスワー
ド教えて」 薄味型:「駐車場でランプが点いている車があり
ます。その写真を添付に」
9. 薄味戦法が一番強い
振り込め詐欺撃退法 電話の前に「ヒロシかい?」と書いた紙を貼って
おく。(ヒロシなんて息子はいないけど。) どんな電話にも、「ヒロシかい?」と答える。振
り込め詐欺は「ヒロシだよ」と答える。 会社を標的とするサイバー攻撃も、詐欺電話でパ
スワードを聞き出す。怪しい電話には、「企画部のオオヒガシ部長ですか?」と架空部署名人名を用意。
10. ハニーポット(敵ホイホイ)を準備せよ
パスワードだけでは、使わせない方式 「登録済のパソコンでないとダメ」 「登録済の ICカードもないとダメ」 パスワードを盗聴されることへの備え
11. 二要素認証を使え
安易なもの「 123456 」「 password 」「 admin 」は即死する
ちょっと複雑なものも、オフライン攻撃でも死ぬ。(ファイルは暗号化しても、敵の手に渡れば、その手元で無限にアタックされる)
複雑なものは覚えきれないので、紙に書いてしまい、盗み見られる。
パスワードは破られやすいので二要素認証を同じパスワードをあれこれに使い回さない
12. パスワードの弱点を知れ
生年月日 電話番号 車のナンバー郵便番号 の、どれかである。 「4桁暗証番号」の方式は使うな
13. 4桁の暗証番号は念力で破れる
「今まで使ってきて便利で安全だった」は、それほど便利でも安全でもない
FAX で送付? まちがえて漏れますよ BCC で一斉メール配信? 事故多発ですよ
金があるなら、最新の技術を買う ないなら、危険な現状を縮小する
14. 現状を疑え
「 122 」は、「 112 」と読み間違える 3桁以上の数字の連続は、事故の種区切りを入れよう「 12-2 」 まぎらわしい文字は、パソコンに読み上げさせよ
う
ぞろ目が危ない
リスクを抱え込んでいる人が多い 「実は、規則違反の装置を持ち込んでいる」 「実は、パソコンがウィルスに感染」 「実は、その人しか使い方を知らない」 その人がいない時に起こる変化で、リスクがわか
る
16. 長期休暇を強制で取らせよ
膨大な情報が退職者と共に出ていく 漏洩はゼロにはできない。脳内記憶は残る 面談して、何がどれだけ漏れるのか、話し合おう。 電子的なアカウントは即刻無効に。
17. 退職時は漏洩時
「人間、十把一絡げ管理」は、大事故の常連 “ 誰でも読めるファイル” “ 誰でも使えるパソコン” “管理者は、いつでも管理者権限行使”
18. 分割して統治せよ
情報を漏らさないと、相手も教えてくれない 「実は弊社はこう計画しているが、御社はどう思
う?」 何が Win-Win の情報なのか見極めよ 「漏らしても、自分に損なし、相手喜ぶ」 「教えてもらっても、自分喜ぶ、相手損なし」
19. 情報は使うと漏れる
来たるべき大災害に打ち勝つことが大目標 情報が一番欲しい。「家書万金に抵る」 2014年豪雪。市長が twitter で情報提供呼びか
け普通は、有益な情報を集めることは難しい 交換の場の用意。使用法の事前策定(誰が呼びか
ける、誰に呼びかける、個人情報はどこまで書いてよいか)
20. 情報価格の暴騰に備えよ