トップ > 情報漏洩対策について

「スマートフォンに迫る危機とは」(WBS)

2011年9月14日 21:27 |
9月12日にワールドビジネスサテライト(テレビ東京)で「スマートフォンに迫る危機とは」というニュース特集が放映されました。弊社も取材を受け、スマートフォンのセキュリティの必要性についてコメント。またAndroid携帯のセキュリティ対策ソフトウェアをご紹介しました。

以下、番組ウェブサイトの紹介文です。
普及が加速するスマートフォンを、ビジネスの現場で活用するケースが増えています。外部から会社のデータなどを閲覧することもできビジネスマンにとって便利になる一方で、企業のデータなどが不正に流出するリスクも高まっています。スマートフォン経由の情報流出を防止する最新技術を取材しました。

ビジネス利用が急加速しているスマートフォン。
会社の業務にスマートフォンを使用する流れはもう止めることは難しくなっていることは、この記事や、この記事でご紹介しました。
番組中でもコメントしているように、スマートフォンの利用履歴(ログ)を取っておくことは効果的な情報漏えい対策となります。何か問題が起きたときに、過去に遡って行動履歴をたどれる、つまり原因の特定を可能にしておくことは業務用PCであれば当然の対策です。スマートフォンも同様のセキュリティ意識をもって履歴(ログ)を取得、管理していくことが求められます。

番組ウェブサイトhttp://www.tv-tokyo.co.jp/wbs/

(一定期間が過ぎると公開終了となります。)

「企業のログ管理」に関する調査結果

2011年9月 8日 06:06 |
TechTargetジャパンが、2011年8月8日から27日にかけて実施した「企業のログ管理」に関する調査結果を発表しました。

調査はインターネット上で実施され、有効回答数は280件。回答者の属性として、11名~1000名規模の中小企業に勤務している人が60%、1001名以上の大企業勤務者は27.9%。業種はIT系42.5%、非IT系が40.4%、製造系が14.6%などとなっています。


調査結果では、企業全体の約85%が何らかのログを収集しており、その対象はWebサーバ(44.3%)、メールサーバ(43.6%)、ファイアウォール(39.3%)など。

ログ管理の目的については「情報漏えい対策」(62.7%)を筆頭に、「システム障害対策」(47.3%)、「内部統制対策」(46.4%)、「コンプライアンス」(41.4%)が40%以上となっています(複数回答)。

しかし、ログ管理に関する現在の課題を問う項目では、「収集したログを活用しきれていない」との回答が過半数の53.6%に達し、ログ管理は多様に実施しているものの現状では満足できていない現場の悩みを浮かび上がらせる結果となっています。
TTsrvy0907_2.jpg

米国では大人全体の半数がSNSを利用

2011年8月31日 06:13 |
米国の成人ネット利用者のうちソーシャルネットワーキングサービス(SNS)ユーザーは65%で、昨年の61%から4ポイント増えたという調査結果が発表されました


この調査は、アメリカの調査機関Pew Research Center2005年2月から実施しているもので、今回が6回目。2011年4月26~5月22日の期間に、18歳以上の米国人男女2277人を対象に電話による聞き取り方式で調査が行われました。ソーシャルネットワーキングサービスの例としてはMyspace、FacebookLinkedIn が挙げられています。

「ふだんSNSを利用している」と回答した層は43%。年代別では、50~64歳のいわゆるベビーブーム世代が、昨年5月の20%から34%と最も増加しています。18~29歳層は昨年とほとんど変わらず61%。30~49歳は7ポイント増の46%、65歳以上は2ポイント増で15%となっています。
また、ネットを利用しない人を含む米国の大人全体では50%(半数)がSNSを使っていることになります。
pew_SNS.jpg
2005年2月に第一回目の調査が実施されたときには、インターネット利用者のわずか8%、全成人の5%が「SNSを利用している」と答えたことを考えると、この6年間でSNSがいかに急速に浸透しているかがうかがえます。

すべての大人世代でSNS利用者が増加しSNS利用頻度も上昇する一方で、SNS利用者は若年層(18~29歳)では調査開始以来初めて減少、利用頻度も昨年からほとんど増えていません。しかしこの年代が利用者層の最多を占めることには変わりありません。

また「ふだんSNSを利用している」人は、全インターネット利用者の中の43%ですが、この数字はインターネットのサービスの中で、Eメール(61%)、検索サイト(59%)に次いで多い数字。Eメール、検索エンジン、SNSという順にインターネットが利用されているという結果になりました。

ソーシャルネットワーキングサービスの利用がこれだけ浸透すると、否が応でも情報セキュリティ上の危険が増大します。個人情報、行動履歴、所属団体や企業の内部情報が流出したり不正利用される危険などを懸念する声が高まっています。
日本でも、企業内のログを取得する場合はメールサーバーのみでなく端末ごと、かつ統合的なログを取得するなど、SNSに対応できるセキュリティが求められています。

ログ管理の目的、これからのログ管理

2011年7月16日 07:09 |
「ログ管理」というとどのような印象をお持ちでしょう?
「ログ」「ログ管理」という言葉を耳にする機会は、IT関連の業務に携わる方以外でも多いのではないかと思います。それでも、実体としてはよくわからない、なんだか難しそう、というイメージが付きまといます。ITの現場にいらっしゃる方にとっても、あまり関わりたくない難物というイメージがあるかもしれませんね。

では、そもそも「ログ」「ログ管理」とは、どういったものでしょう?
なぜ、ログ管理をする必要があるのでしょうか?

「ログ管理」は、ここ数年注目が集まっている分野です。
その背景には、第一に、コンピュータ犯罪の増加などを背景とする情報セキュリティの強化が求められていることがあります。
また個人情報保護法、日本版SOX法などといった法制度が新しく登場してきたことに対応しての法令遵守、さらにリスクマネジメント強化といった目的で、企業にとっては「ログ管理」は避けて通れないものとなってきているといえます。


ITの分野においてログとは、サーバ、クライアントPC、ネットワーク機器などの稼働状況や通信記録を意味します。各コンピュータで行われた操作の内容や、送受信されたデータの中身などが履歴として記録されたものがログであり、この記録をとることを「ログをとる」といいます。

そもそもITシステムの分野では、システムの障害発生や不正アクセスなどが発生した時に迅速に適切に対処するために、ログを取得していました。
しかし現在は、技術的な視点でのログ取得より、むしろ、法令遵守やセキュリティ対策といった目的に対応できる手法に注目が集まっていると言えましょう。
中でも、企業内では一人一台のPC利用が当たり前となった現在においては、個別のPCログ取得も大きなテーマとなっています。
特に個別のPCをモニタリングするログ管理ソフトは、これからの企業のセキュリティ対策の核であると言えるでしょう。

情報セキュリティEXPO2011 

2011年5月16日 23:52 |
5月11日から13日まで開催された第8回情報セキュリティEXPOに、AOSが出展しました。

会場は、かなりのにぎわいを見せていました。
EXPO看板.jpg

AOSのブースでは、e法務ディスカバリ、e法務フォレンジックなどの
e法務ソリューションを展示しました。

AOSブース1.jpg

訴訟や情報漏洩などへの事前対策となる
「予防法務ソリューション」として、ログ管理ソフトの「スペクタープロ」、
フィルタリングソフトの「Net Nanny」を展示。

予防法務ソリューションズ.jpg

また、それらの事後対策となる「訴訟対策ソリューション」としては、
パソコンフォレンジック、モバイルフォレンジックを展示しました。

訴訟対策ソリューションズ.jpg

会期中は、たくさんのお客様にご来場いただきました。
誠にありがとうございました。


決算説明会をネット経由で

2009年5月30日 17:00 |
FE179.jpg3月決算期の企業の決算説明会の時期が近づいています。
決算説明会をネット経由で行う企業が増えているようです。

今年からみずほフィナンシャルグループ(FG)もネット経由の決算説明会に切り替えましたが、理由は新型インフルエンザの流行、大勢の人が集まることでの感染リスクを下げるためです。

理由はともかく、一度、ネット経由で行えるように体制を整えてしまえば、来年以降も使えます。
決算説明会は、会場の手配やスタッフの確保など、何かと手間とコストがかかるもの。
もちろん、今後とも、株主様だけではなく、役員や従業員がインフルエンザ等の感染症に感染するリスクも下げることが出来ます。

もし御社のニーズに合うようでしたら、ネットでの決算説明会を検討してみてはいかがでしょうか。

(以下、記事より引用)
決算説明会、ネット経由に=インフル対策で対面避ける-みずほFG
「みずほフィナンシャルグループ(FG)は22日行った同社の決算説明会を、インターネットの動画を活用した非対面方式で実施した。通常は会場に証券アナリストを一堂に集めているが、1カ所に大勢の人間が集まることで新型インフルエンザ感染リスクが高まる事態を避けるため、切り替えた」
(2009/05/22 時事ドットコム)」
http://www.jiji.com/jc/zc?k=200905/2009052200642&rel=j&g=soc

「日本カード情報セキュリティ協議会」の設立に向けて

2009年4月11日 09:00 |
NTTデータ・セキュリティ社を中心に「クレジットカード情報の保護を推進する「日本カード情報セキュ
リティ協議会」の設立」に向けた準備事務局を開設しました。

FE028.jpg-------------------(以下、記事より引用)-----------
協議会は、企業による個人情報の漏洩や、クレジットカード情報の不正な取得
を目的とした不正アクセスが増加しているといった状況を受け、クレジット
カード情報のセキュリティに関する企業が協力して、国内におけるクレジット
カード情報の保護に向けた情報を交換・連携する場として設立を目指す。
-------------------(引用、まとめ)-----------

顧客のクレジットカード情報を扱う企業は増えてきています。
顧客が法人のみではなく、個人顧客の場合、クレジットカードでの決済を選択する顧客も多く
なってきました。
顧客の個人情報を守るのは企業の責任です。そして堅固な社内体制を確立することにより、
情報漏えいを防ぎ、企業の信用力を高める必要が出てきています。

こんなご時勢に待望の「日本カード情報セキュリティ協議会」の設立、今後に注目したいですね。

(以下、記事のURL)
「日本カード情報セキュリティ協議会」設立準備会が発足」
(2009/3/5  Internet Watchより)
http://internet.watch.impress.co.jp/cda/news/2009/03/05/22691.html

情報漏えいに対する企業の対応

2009年3月21日 09:00 |
FE056.jpg先日、神奈川県立高校生の個人情報約11万件がファイル共有ソフトに流出しました(過去ブログ神奈川県から11万人超、環境省から1342人分の個人情報が流出)。

「日本IBMが神奈川県教育委員会から受託していた授業料徴収システムに関連する資料の一部が、業務委託先の社員が所有するPCから流出したもの」で、日本IBMは、この問題に対する対応状況を報告しました。


--------------------(以下、記事より引用、まとめ)-------------------------------------
1.ネットワーク
当初、個人情報ファイルは「Winny」に流出したとみられたが、2008年11月「Share」で流出していることを確認

[Share]ISPに協力を要請し、ファイルをダウンロード可能にしているユーザーを特定、ファイルの削除を要請
[Winny]2009年1月には、ネットワーク上に流出ファイルが再放流されているのを確認

[Share]2009年2月末時点、ファイルをダウンロード可能にしていたユーザーのほとんどがファイルを削除
[Winny]ファイルとして完全にダウンロードすることは極めて難しいことを確認、ファイルの削除を要請中

2.法的措置
2008年12月から、ISPに対して、意図的に情報の拡散を図ったと見られる人物の発信者情報の開示請求を要請したが、任意開示得られず

2009年2月、東京地裁に当該ISPへの発信者情報開示の仮処分を申請、仮処分が認められる

2009年3月、当該人物に対して「情報の再発信の禁止」を求める仮処分を申請。本人に裁判所からの仮処分の通知がなされ、対応を注視

3.政府等への働きかけ
・経済産業省に報告
・ウイルスなどが介在して不正に取得された個人情報を意図的に拡散させる行為に対する法整備や規制強化を、関係省庁に求める活動も継続して実施
--------------------(引用、まとめ、終了)-------------------------------------

ざっと見ただけでも、かなりの労力が払われ、実際の人的コストは甚大だと思われます。
日本IBMほどの大企業であれば、この不景気の只中にあっても、きちんと対応するだけの余力がありますが、中小企業はそうも行かないでしょう。

病気と同じで、予防は治療に勝る、事前にローコストで情報漏えい対策を行いましょう。

PCモニタリングソフト「スペクタープロ6.0」は、Webの閲覧記録やEメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、USBメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

そして、従業員が不用意に有害サイトにアクセスしないように、全米"インターネットフィルタリング部門"で5年連続NO.1の評価を受けているNet Nanny(ネットナニー)企業情報インターネットフィルタリングもあわせて、ご検討ください。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。
情報漏えいに対する企業の対応の続きを読む

スパムメールによる損失

2009年3月14日 15:00 |
御社では、従業員のメールにスパムメールが送られてきていますか?
ある程度、システムではじくこともできますが、ゼロにするのは難しいでしょう。

「米McAfeeでは、スパムメールによる労働力損失額を算出。1時間に30ドルを稼ぐ従業員
1人あたりで1日につき50セント年間では1人あたり182.5ドルの損失がスパムメールの
処理によって発生する」そうです。

日本では、「迷惑メール規制法」が改正され、オプトイン方式による規制が始まっています。
(広告メールは、あらかじめ送信に同意した者のみに送信を認める)
罰金も30倍(3000万円以下)に強化され、海外からのメールも規制の対象になっています。

御社ではスパムメールは減少していますか?

(引用した記事のURL)
「スパムメールによる損失は従業員1人あたり年182.5ドル、McAfee試算」
(2009/03/10 InternetWatchより)
http://internet.watch.impress.co.jp/cda/news/2009/03/10/22725.html

情報セキュリティ関連法の整備を要請、神奈川県

2009年2月27日 09:00 |
EQ100.jpg神奈川県は「国に対して、地方公共団体が保有する個人情報を意図的に
流出させる行為に罰則を適用する法整備を要請」しました。

神奈川県立高校の生徒11万人以上の個人情報が流出した事件を受け、
「被害拡大の防止策を検討してきた」が、「インターネット上に意図的に
個人情報等を流出させる行為を規制する法律が十分でないことから、
現状としては対応に限界があると説明している」そうです。


多くの情報流出が社会問題化しているため、国が情報セキュリティ関連法の整備を行うこともありうるで
しょう。今後の動きに注目したいですね。(続く・・・)
情報セキュリティ関連法の整備を要請、神奈川県の続きを読む

情報セキュリティーの国際会議、2月に東京で開催

2009年1月28日 09:00 |
日本政府は2月、「東京で情報セキュリティーに関する国際会議を開催」します。
「東南アジア諸国連合(ASEAN)各国の経済官庁と通信官庁の両方が参加する初めての会議となる」そうです。

EQ018.jpg---------------------(以下、記事より引用)------------
日本の経済産業省と総務省のように、各国の情報通信に関しては企業の監督などをする経済官庁と通信方法の基準策定などをする通信官庁の2つがある。
海外に進出した企業は現地での業務の外部委託に関して情報流出の懸念が付きまとう。企業間の問題を解消する制度整備には通信官庁だけでは対応できないため、今回、経済官庁と通信官庁との連携を図り、国際的なガイドライン策定などによって企業の相互進出を促すねらいだ。
---------------------(引用、終了)------------------------

この会議は「2009年度から3年間の第2次情報セキュリティー基本計画に盛り込む「国際連携の推進」の強化策の一環」です。

もし御社が海外に進出する(した)ことがあれば、直接的に関係してくるでしょう。
今後の動きに注目したいですね。

(引用記事のURL)
政府、情報セキュリティーの国際会議 2月に東京で開催
(2008/1/4 日経ネットより)
http://it.nikkei.co.jp/security/news/index.aspx?n=AS3S3000F%2003012009

IPA職員の私物パソコンから情報流出

2009年1月 8日 09:00 |
FE109.jpg情報漏えいの話題が続きます。

IPA(情報処理推進機構)の職員が自宅で使った私物パソコンから、重要な情報が流出しました。

「流出したファイル数は16,208、うち文書ファイル約13,000」だそうで、IPA関連の情報のほか、職員が以前勤務していた企業の業務情報(約10社)も情報漏えいし、1万件超の個人情報も含まれているそうです。

---------------------(以下、記事より引用)-------------
IPAではかねてから情報セキュリティ対策推進に注力してきており、WinnyやShareをはじめとしたファイル交換による情報流出についても繰り返し啓蒙活動を行っている。

2008年12月22日にもIPAは「年末年始における注意喚起」としてセキュリティ対策を啓蒙。「Winny等のファイル共有ソフトを介して、自宅に持ち帰った業務データが情報漏えいする事故も多数発生しています。」として、ファイル交換ソフトの使用による情報漏えいへの対策強化もあわせて呼びかけたばかりだった。
---------------------(引用、終了)----------------------------------

IPAが注意喚起を呼びかけた、まさに12月にIPA職員が使い始めたWinnyやShare等のファイル交換ソフトによって起こした大規模な情報漏えい事件、とても皮肉な結果となってしまいました。

IPAは再発防止に尽力する、とのコメントを出し、具体的な対応策をあげています。
「私物PCについては私的な領域のためファイル交換ソフトの使用は推奨しないという通達にとどめていたが、今回の件を受けて職員の私物PCについてもファイル交換ソフトの使用を禁止することにした」そうです。

この情報流出の経緯を見ると、対岸の火事とは言っていられなくなります。
社員が、何の気なしに私物パソコンや、USBメモリにコピーしたデータが情報流出する危険性は高まっています。

PCモニタリングソフト「スペクタープロ6.0」は、Webの閲覧記録やEメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、USBメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。

(以下、記事のURL)
「IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出」
(2009/01/06 Internet Watchより)
http://internet.watch.impress.co.jp/cda/news/2009/01/06/22018.html