BITシステム相談室

情報セキュリティの国際規格であるISO/IEC 27001では、情報セキュリティは「情報の機密性、完全性及び可用性を維持すること」とされています。
情報の機密性、完全性、可用性とは一体どのようなものでしょうか？

機密性とは、「認可されていない個人，エンティティ（団体等）又はプロセスに対して，情報を使用不可又は非公開にする特性」のことです。外部の人が自由に情報を閲覧できるような状態であったり、内部でも権限のない人が情報を閲覧できるような状態にあった場合は、機密性が損なわれた状態といえます。
マスメディアで取り上げられる情報漏えいは、この機密性が損なわれた状態を指しています。

完全性とは、「資産の正確さ及び完全さを保護する特性」のことです。ある情報の内容が不正に改ざんされた場合や、文書が更新されていくうちに正本でない文書が作成され、内容に差が出てきてしまった場合、完全性が損なわれた状態となります。

可用性とは、「認可されたエンティティ（団体等）が要求したときに，アクセス及び使用が可能である特性」のことです。閲覧できる権限を持っている人が閲覧したいといった時に、何らかの理由で閲覧できない場合は、可用性が損なわれた状態といえます。

マスメディアでは情報漏えいに関する問題だけが取り上げられることが多く、機密性ばかりが問題視されがちです。しかし、情報セキュリティ対策では情報の完全性や可用性についても考慮し、きちんとした対策を施す必要があります。

お客様や取引先から信頼され、自らも安心してIT資産を活用する為にも、業務に関わるすべての情報に対し、適切な情報セキュリティ対策を実施してください。
次回は、機密性に関する情報セキュリティ対策として、ウィルスから情報を守る方法をご紹介します。

IT活用～情報セキュリティ対策編～目次

8月 20

独立行政法人情報処理推進機能(IPA)による「2008年国内における情報セキュリティ事象被害状況調査」の報告書によると、「ウィルスに感染した」、「ウィルスを発見したが、感染には至らなかった」と回答した企業が60．4％にも上ることが分かりました。また、「2002年の情報セキュリティの実態に関する調査」により、ウィルス感染による企業の被害は、試算で4400億円にも上ることが明らかになりました。
このような甚大な脅威をもたらすウィルスとは一体どのようなものでしょうか。

ウィルスは、コンピュータに被害を及ぼす不正なプログラムを指し、悪意のある人によって作成されたプログラムです。ウィルスはパソコンに存在している問題を利用して入り込み、自分のコピーを作成します。ウィルスに感染しているファイルがメールやファイル共有等を通じて広がるものもあれば、単独で動作して他のパソコンに感染しようとするものもあります。

ウィルスに感染すると、以下のような被害を受ける場合があります。
・特定の種類のファイルが勝手に削除される
・パソコンの動作が停止させられる
・パソコンが外部から自由に操作される
・保存しているファイルが勝手に他のパソコンに送信される
ウィルスによる動作は多様になってきており、情報収集を目的としたウィルスも増えています。パソコンの見た目の動作は通常時と変わらないので、知らない間にパソコンのデータが送信されている可能性もあります。

ウィルスを除去する為には、ウィルス対策ソフトというソフトウェアが有効です。ウィルス対策ソフトは、ウィルスの特徴を集めたデータとパソコン内のファイルを比較して、ウィルスかどうか確認します。ウィルスは駆除されるのを逃れるため、その特徴を日々変えています。そのようなウィルスにも対応できるように、ウィルスのデータはウィルス対策ソフトのメーカーによって日々更新され、蓄積されています。新種のウィルスを検知するためには、ウィルスの特徴を集めたデータを最新のものに更新しておくことが重要です。

また、ウィルス対策ソフトの中には、他のパソコンとのやり取りを監視するものもあります。不審なやり取りを行っているプログラムを停止させる機能を備えているので、ウィルスの侵入を防止することができます。

万が一、ウィルスに感染してしまった場合には、感染したパソコンをネットワークから切り離すことが重要です。ウィルスによる被害を最小限に食い止めるために、すぐにLANケーブルを抜くか無線デバイスを外してネットワークを利用できないようにしてください。感染したパソコンがどのウィルスに感染したのかを特定し、適切な対処を行ってください。対処後にはもう一度パソコンのウィルスチェックを行い、感染していないことを確認しておくことも必要です。

ウィルスによる機密情報や顧客情報などの流出を防止し、ウィルスによる被害を受けない為にも、ウィルス対策ソフトを導入し、適切な処置が行えるよう備えておくことが重要です。
次回は、メールからの情報漏えいを防ぐ方法をご紹介します。

IT活用～情報セキュリティ対策編～目次

8月 20

3．メールからの情報漏えいを防ぐには

2007年5月30日には経済産業省の職員によるメールの誤送信によって、582人へメールアドレスが流出したという事件が発生しています。また、株式会社HDEが2007年12月に行った「メール誤送信」に関する実態調査によると、66.2%もの人がメールの誤送信を経験しており、「アドレス帳等からの選択ミスによって間違えた人に送ってしまった」、「意図しない人に対して添付ファイルを送ってしまった」、「社内向けのメールを誤って社外の人にも送ってしまった」といった事例があることが明らかになりました。

電子メールでのやり取りは便利で簡単であるため、社内の連絡事項を送信したり、お客様と連絡を取ったりとビジネスツールとして欠かせないものになっています。しかし、その便利さ、簡単さゆえに、情報漏えいに関する大きな危険性を孕んでいます。

メールから情報が漏えいする経路は、大まかに以下のケースに分類できます。
1．メールの宛先を間違える
2．間違えてファイルを添付してしまう
3．不適切な内容のメールを送信してしまう

このような経路からの情報漏えいを防ぐには、まずはメールの使用者の情報セキュリティに関する意識を高めることが重要です。メールの使用に関する規則を設け、その規則を順守するようにしなければ、いつ大切な情報が漏えいしてしまってもおかしくありません。そして、人的ミスが原因と考えられる点については、以下のようにソフトウェアを上手く活用することで、人的ミスの発生を少なくすることも重要です。

1．メールの宛先を間違える

メールの宛先を間違えるという単純なミスですが、前述した調査によると約38%もの人がメールを間違えた人に送ってしまった経験があると回答しています。メールを送信する前にメールの宛先を再確認させるように設定したり、社外のメールアドレスが含まれている場合に注意を喚起するように設定することで、そのような間違いをなくすことができます。

また、メールにはTo欄、Cc欄に複数のメールアドレスを指定した場合、同じメールを一度に送信できるという機能があります。そのようなメールを受信した人は、その複数のメールアドレスが全て見えてしまいます。受信者にメールアドレスを見られたくない場合は、メールのBcc欄にメールアドレスを指定すれば、受信者のメールアドレスしか見えなくなります。Cc欄、Bcc欄の詳細な使用法については、こちらを参照してください。

2．間違えてファイルを添付してしまう

ファイルを添付する必要のないメールにも関わらず間違えてファイルを添付してしまったり、添付するファイルを間違えてしまったというケースも報告されています。メールにファイルを添付する場合は、必ずパスワードをつけて添付し、別のメールでパスワードを送るようにしましょう。そうすれば、パスワードを送る際に送り先をもう一度確認することができますし、間違えてファイルを添付して送ってしまった場合でも、パスワードが設定されていれば、そのファイルからの情報漏えいを防ぐことができます。

3．不適切な内容のメールを送信してしまう

メールを作成する際に使用した、本来であれば公表すべきでない名前や連絡先、取引先に関する情報を残したままメールを送信してしまい、送信した後で気づくケースがあります。このようなミスによる情報漏えいを減らすためには、メールの時間差送信が有効です。時間差送信とは、メールの送信ボタンを押した後、一定時間経過してから相手に送信されるという機能です。送信してすぐにメールの間違いに気付いた場合など、設定されている時間内であれば、送信を取り消すことができます。

これらの対策はメール使用者にとってメールの使い勝手を悪くする可能性がありますが、情報漏えいが起こる可能性を低くするためには有効です。メールからの情報漏えいを防ぐには、メールを使用する人の情報漏えいに対する意識を高め、かつソフトウェアを有効に活用し、人的ミスを減らすことが重要です。次回は、モバイル機器のセキュリティを高める方法をご紹介します。

IT活用～情報セキュリティ対策編～目次

8月 20

4．モバイル機器のセキュリティを高めるには

持ち運びに非常に便利なUSBメモリやノートパソコンなどのモバイル機器ですが、小型化、大容量化が進むにつれ、車中や会社に置いていたノートパソコンが盗難の被害に遭ったという事件やUSBメモリを紛失してしまったという事故のニュースをよく耳にするようになりました。
NPO 日本ネットワークセキュリティ協会が行った「2008年情報セキュリティインシデントに関する調査報告書」によると、漏えい件数のうち、14.1%が紛失・置き忘れ、11.2%が盗難により発生したことが明らかになっています。

このような事件や事故からの情報漏えいを防ぐためには、モバイル機器のセキュリティを高めておく必要があります。ここでは、モバイル機器の中でもよく使用されているUSBメモリとノートパソコンのセキュリティを高める方法をご紹介します。

・USBメモリのセキュリティを高める

USBメモリはパソコンに差せば簡単にデータを保存できます。また、USBメモリは小さくて軽いため持ち運びにも便利です。そのような利点からUSBメモリに業務で使用する情報を保存しているという人も多いのではないでしょうか。

盗難や紛失という万が一の事態に備えて、パスワードを設定できるUSBメモリを使用するようにしましょう。USBメモリにパスワードを設定しておくことで、第三者による使用を防ぐことができます。しかし、設定されていたパスワードが短く推測されやすいものだった場合、簡単に破られてしまいます。アルファベットの大文字と小文字、数字、記号を組み合わせた推測しにくいパスワードを設定するようにしておきましょう。最近では、指紋認証装置が付いたUSBメモリも販売されています。パスワードを入力するのが煩わしいという方は、このような生体認証装置が付いた機器の使用を検討されてはいかがでしょうか。

・ノートパソコンのセキュリティを高める

最近のノートパソコンの性能は飛躍的に向上し、大抵の作業であればノートパソコンで不自由なく行えるようになりました。普段の業務もノートパソコンで行っているという場合、そのノートパソコンには顧客情報や取引先の情報など重要な情報が保存されているのではないでしょうか。

ノートパソコンのセキュリティを高める方法としてまず挙げられる点は、ログインのパスワードを最低限設定しておくということです。ログインのパスワードが設定されていないパソコンの場合、そのパソコンに保存されている情報は全て見られてしまいます。上で述べたような、推測されにくいパスワードをログインのパスワードとして設定するようにしましょう。機器によってはログインのパスワードの代わりに、指紋を登録できるものもあります。ノートパソコンを第三者に使われないようにするため、パスワードは必ず設定しましょう。

その他のセキュリティを高める方法として、USBセキュリティキーといった製品もあります。これは、USBメモリのような形をした一種のキーで、パソコンにキーを差している間しかパソコンを使うことができなくなります。ノートパソコンとUSBセキュリティキーを別々に管理しておけば、ノートパソコンが盗難の被害に遭った場合でも、ノートパソコンの情報を漏えいから防ぐことができます。

ノートパソコンの機器によっては、起動時にHDD（ハードディスク）にアクセスする際のパスワードを設定することができます。このパスワードを設定することにより、HDDを取り出して他のパソコンに取り付けたとしても、データを取り出すことが難しくなります。ノートパソコンのセキュリティをより高めたい方は、HDDパスワードの設定を検討されてはいかがでしょうか。

今回、USBメモリとノートパソコンのセキュリティを高める方法をご紹介しました。しかし、いくらパスワードや指紋認証でセキュリティを高めていたとしても、絶対にその情報が漏えいしないという保証はありません。情報を漏えいさせないためには、必要のない情報は保存しない、必要が無くなったら削除するといったことが重要です。普段から盗難や紛失などの万が一の事態を想定して備えておくようにしましょう。
次回は、データを不測の削除から防ぐ方法をご紹介します。

IT活用～情報セキュリティ対策編～目次

8月 20

5．データを不測の削除から防ぐには

2006年12月に検索サービス Googleが提供する電子メールサービスGmailで受信したメールの一部または全部が消えてしまうという事故が発生しています。また、2007年6月にはStepserverが提供しているレンタルサーバーがハードディスクならびにサーバー機材のマシントラブルにより、ホームページや過去のメールのデータ等が消失してしまうという事故も発生しています。

上記のような事故が発生した場合、消えてしまったデータがいくら重要なものであったとしても元に戻すことはできません。パソコンを使って業務上の書類を作成している場合や取引先とのやり取りをメールで行っている場合、データの重要性は非常に高くなっているといえます。
このような予測できない削除や消失からデータを守るためには、次のような対策が有効です。

・アクセス権限を設定する
・データをバックアップしておく

アクセス権限を適切に設定することで意図しない削除を防止することができます。また、データをバックアップしておくことで、万が一削除されてしまった場合や物理的な故障でデータが消失してしまった場合でもデータを復旧することができます。

・アクセス権限を設定する

アクセス権限とは、ファイルを閲覧する権限や変更する権限のことです。アクセス権限はパソコン上のファイルやフォルダに対して設定できます。例えば、変更する権限が与えられていないファイルは閲覧することはできますが、変更することはできません。更に、閲覧する権限が与えられていないファイルは閲覧することもできなくなります。同様にフォルダに対して設定すると、フォルダ内のファイルが削除されるのを防ぐことができます。

アクセス権限を適切に設定すると、そのような人的ミスの発生を防ぐことができるので、意図しない削除や消失からデータを守ることができます。多くの人に対して全ての権限を与えていると、意図せぬ変更が行われたり、削除されたりする可能性があるので、気をつけてください。

・データをバックアップしておく

バックアップとは、パソコン上のファイルのコピーをあらかじめ作成しておくことです。データが削除されてしまった場合には、バックアップしておいたファイルを使用してデータを復旧することができます。
ハードディスクなどのハードウェアは、壊れてしまう可能性もあります。壊れたハードディスクからデータを復旧するには、時間も費用もかかってしまいますし、必ず復旧できるという保証もありません。ハードディスクのデータがバックアップされていれば、バックアップファイルからすぐにデータの復旧ができます。

一言にバックアップと言っても、バックアップには以下のような種類があります。

・フルバックアップ
全てのデータの複製するため、容量が大きくなる。
非常に時間がかかる。
データ復旧はフルバックアップファイルだけで良い。

・差分バックアップ
フルバックアップ取得後から、変更、追加された箇所を複製する。
フルバックアップに比べ、容量が小さく、時間も短い。
データ復旧にはフルバックアップファイルと差分バックアップファイルが必要となる。

・増分バックアップ
フルバックアップ取得後、または前回の増分バックアップ取得後から変更、追加された箇所を複製する。
差分バックアップに比べても、容量は小さく、時間も短い。
データ復旧にはフルバックアップファイルと全ての増分バックアップファイルが必要となる。

毎回フルバックアップを取っていたのでは、時間もかかってしまいますし、バックアップファイルの容量も大きくなってしまいます。差分バックアップや増分バックアップをうまく組み合わせることで時間の短縮もできますし、容量を節約することもできます。万が一の事態に備え、必ずバックアップをするようにしましょう。

今回はデータを不測の削除から守る方法をご紹介しました。データにはアクセス権限を適切に設定し、意図しない削除や消失からデータを守るようにしましょう。また、万が一の事態に備えて重要なファイルはこまめにバックアップするようにし、必要な時にはデータを復旧できるように備えておくようにしましょう。
次回は、廃棄物からの情報漏えいを防ぐ方法をご紹介します。

IT活用～情報セキュリティ対策編～目次

8月 20

6．廃棄物からの情報漏えいを防ぐには

2008年6月には岩手県生物工学研究所がリース契約し使用していたパソコンが、契約満了後に返却し、回収委託したにもかかわらず、個人情報や知的財産に関する情報が含まれていたままオークションにかけられたという事件が発生しています。
また、総務省の｢国民のための情報セキュリティサイト｣では、購入した中古のパソコンから、市販のデータ復元ソフトを使用したところ、医療機関が作成した診療報酬明細書の画像データが復元されたという事例も報告されています。

このように廃棄処理したつもりの物から情報が漏えいする可能性があります。パソコンを廃棄する際に個人情報や取引先の情報をパソコン上から削除しただけでは、第三者によって簡単に復元されてしまう可能性があります。
廃棄物から情報漏えいを防ぐには、以下のことに注意して廃棄する必要があります。

・情報を完全消去する
・物理的に破壊する

・情報を完全消去する

パソコン上にあるデータは削除しても、そのデータ自体は削除されません。実際はパソコンがデータを管理する目次情報が削除されるだけです。パソコン上からは削除されてしまったように見えますが、目次情報を使用せずに一つ一つのデータを読み取るデータ復元ソフトを利用すると、目次情報がないデータでも読み取ることができてしまいます。

情報を完全消去するには、データ自体をまったくデタラメなものに書き換える必要があります。パソコンを廃棄する際にはまず、ハードディスクをフォーマットした後で、完全消去するツールを使い、書きかえる前のデータを復元できないようにしましょう。この方法はUSBメモリを破棄する際にも有効です。

ただし、必要なデータを誤って完全消去してしまった場合、復元ソフトを使用しても元に戻すことはできませんので、ご注意ください。

・物理的に破壊する

ハードディスクやUSBメモリなどに含まれる情報を完全に消去した上で、さらに物理的に破壊するとより情報漏えいの危険性を少なくすることができます。

CDの場合は、表面に傷を付けることでデータの読み出しが困難になります。CDでは内側から順にデータが保存されています。少量のデータしか保存されていない場合は内側に傷を付けるようにすると効果的です。また、CDを物理的に破壊できるシュレッダーも市販されています。大切な情報が保存されている場合は、このようなものを利用して、物理的に使用できないようにしましょう。

ハードディスクはCDやUSBメモリに比べて固い外装に覆われています。そのため、手作業でハードディスクを破壊するには多大な労力と時間がかかってしまいます。ハードディスクを破壊できる装置も販売されてはいますが、CDを破壊できるシュレッダーに比べると高価になってしまいます。複数のハードディスクを捨てる際には持ち込んだハードディスクを破壊するサービスやハードディスクを出張で破壊するサービスもありますので、情報を残したまま捨てないようにしましょう。

今回、IT活用～情報セキュリティ編～として、IT資産を活用していく上で欠かすことのできない、情報セキュリティを高める方法をご紹介させて頂きました。IT資産を安全にかつ安心して活用していくために是非、お役立て下さい。