ファッションキャンディ電子商取引

企業・組織の情報セキュリティ対策セミナー
問題が発生してからじゃ遅すぎる!
これだけは知っておきたい
企業・組織のセキュリティ対策
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
1.はじめに

性善説と性悪説
日本社会は性善説にたっています。
欧米社会は性悪説にたっています。
日本人は、セキュリティに関して「まさか自分のところ
の社員が…」とつい思ってしまうわけです。
セキュリティに関しては、数年前から「性悪説」にたち
ましょうと言われています。
ただ最近、日本人はやはり「性悪説」に馴染まないた
め、「環境説」の考え方がでてきています。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
2.セキュリティ基礎知識

コンピュータウイルスとは
電子メールやホームページ閲覧などによって、コン
ピュータに侵入する特殊なプログラム。

ウイルスの感染経路
(1)電子メールの添付ファイル
(2)電子メールのHTMLスクリプト
(3)ホームページの閲覧
(4)ネットワークファイル共有
(5)マクロプログラムの実行
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
2.セキュリティ基礎知識

ウイルスの活動内容
(1)自己増殖
(2)コンピュータシステムの破壊
(3)メッセージや画像の表示
(4)トロイの木馬

ウイルスを駆除するためには
(1)ウイルス対策ソフトの導入
(2)ウイルス検知データを常に最新に
(3)サーバー側でのウイルス対策サービス
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
2.セキュリティ基礎知識

スパイウェアとは
コンピュータ内部からインターネットに対して情報を
送り出すソフトウェアの総称。
(1)ユーザーがインストールしたソフトウェアに組み込ま
れているもの
(2)ユーザーが知らないうちに、自動的にインストールさ
れてしまうもの。

ファイル共有ソフトとは
インターネットで不特定多数のユーザーとファイルを
やり取りするためのソフトウェア。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

安全なパスワード管理
(1)安全なパスワードの作成
(2)パスワードの保管方法
(3)パスワードの定期的な変更

ウイルスからの防御
(1)ウイルス対策ソフトの確認
(2)ウイルス検知用データの更新
(3)定期的なウイルススキャンの実行
(4)ウイルス対策サービスの利用
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

ソフトウェアの情報セキュリティ対策
(1)悪意を持ったホームページは存在する
(2)ソフトウェアには、セキュリティホールが発見される
(3)未許可のソフトウェアをインストールしない

バックアップ
(1)定期的なバックアップが不可欠
(2)情報セキュリティポリシーや社内のルールで実施
(3)バックアップ媒体は適切な保管方法をとるべき
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

ソーシャルエンジニアリングの対策
(1)電話でパスワードを聞きだす
(2)肩越しにキー入力をみる(ショルダハッキング)
(3)ごみ箱を漁る(トラッシング)

廃棄するコンピュータからの情報漏洩
(1)データ消去用のソフトウェアを利用する
(2)専門業者のデータ消去サービスを利用する
(3)ハードディスクを取り出して物理的に破壊する
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

ノートパソコンを利用する上での対策
(1) 必要のない機密情報、個人情報は格納しない
(2)できるだけファイルを暗号化して保存する
(3)容易に推測されにくいログオンパスワードを設定
(4) BIOSやハードディスクにもパスワードを設定

USBメモリなどを利用する上での対策
(1)必要のない機密情報、個人情報は格納しない
(2)できるだけファイルを暗号化して保存する
(3)添付の情報セキュリティ対策機能を利用する
(4)指紋認証などの生体認証付きの機器を使用
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

社内の不正による被害
(1)適切な権限を設定したアカウントを配布する
(2)自分の権限の管理を悪用されないよう指導
(3)電子メディアを共通の保管場所で管理
(4)情報管理の意識を高め教育することが防御策

情報セキュリティポリシーの概略
(1)組織内の情報資産が明確になり効果的対策が可能
(2)社員の情報セキュリティに対する意識が向上する
(3)取引先や顧客などに企業としての信頼性が向上
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
3.セキュリティ対策

情報セキュリティポリシーの実施サイクル
(1)策定
(2)導入
(3)運用
(4)評価
(5)見直し
情報セキュリティポリシーは、企業や組織の状況、新
たな脅威、新しい法律の施行など社会的な状況により、
定期的に見直さなければなりません。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
4.事故・被害の事例
(1)資料請求の情報が漏洩した
(2)私の名前で誰かがメールを送信している
(3)ホームページを見ただけでコンピュータが停止
(4)ホームページが書き換えられていた
(5)顧客のメールアドレスが漏洩
(6)ウイルスに感染してしまった
(7)ウイルス付きのメールを送った覚えがないのに
(8)中古パソコンによるデータの漏洩
(9)クレジット番号が盗まれた
(10)ファイル共有ソフトから顧客データが漏洩
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

個人情報保護法とは
個人情報保護法は、だれもが安心してIT社会の便益
を享受するための制度的基盤として、平成15年5月に
成立し、公布され、17年4月に全面施行されました。
この法律は、個人情報の有用性に配慮しながら、個
人の権利利益を保護することを目的として、民間事業
者が、個人情報を取り扱う上でのルールを定めてい
ます。

ECサイトにおける個人情報保護の現状
個人情報保護法の準備がされていない企業や商店の
ECサイトがインターネット上に多数存在し、遅れが目
立っている。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

すぐそこにある個人情報流出の危機
車上荒らしにあってノートパソコンが盗まれ、顧客
データが悪用されてしまった。
このケースの場合、顧客から訴えがあった場合は、
民事上、損害賠償を請求される可能性がある。
自分が被害者でありながら訴えられてしまう。

個人情報保護法の対象事業者
「個人情報取扱事業者」とは、半年以内に5000名以
上の個人データを持った事業者すべてに適用される。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

個人情報の適用範囲
個人情報とは、生存する個人に関する情報のことで、
氏名、生年月日などのデータによって、特定の個人を
識別できる情報をさす。
BtoBの企業ではなく、BtoCを主としてWebサイトを営
んでいる事業者に適用される。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

個人情報取扱事業者の責務
(1)個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利
用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
(2)個人情報を取得する場合には、利用目的を通知・公表しなければならない。
なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利
用目的を明示しなければならない。
(3)個人データを安全に管理し、従業員や委託先も監督しなければならない。
(4)あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
(5)事業者の保有する個人データに関し、本人からの求めがあった場合には、そ
の開示を行わなければならない。
(6)事業者が保有する個人データの内容が事実でないという理由で本人から個
人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
(7)個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

違反した場合の罰則
主務大臣は、個人情報取扱事業者に対し、個人情報
の取扱に関し報告させることができ、また、個人情報
取扱事業者が上記の義務に違反している場合などに
は、当該事業者に対し、必要な措置をとるべきことを
命じることができます。主務大臣の命令に違反した場
合や、報告義務に違反した場合には、以下の罰則が
科せられます。
(1)主務大臣の命令に違反した場合 6ヶ月以下の懲
役 又は 30万円以下の罰金
(2)報告義務に違反した場合 30万円以下の罰金
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

個人情報保護法への基本的な対応策
(1)ルールの策定
(2)各種機関に認証を受ける

個人情報保護法への具体的な対応策
(1)個人情報保護の責任者を決定
(2)個人情報と思われるデータを選定
(3)個人情報保護ポリシーの策定
(4)個人情報取扱運用マニュアルを策定
(5)取引先とのルール策定及び契約書の締結
(6)個人データへのアクセス権限の設定とセキュリティ
の強化
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
5.個人情報保護とは

個人情報漏洩シミュレーション
従業員がパソコンからWinnyをして、顧客情報
5000人分が流出したことが判明した場合
<損害賠償>
・損害賠償金
2万円 X 30人 = 60万円
・弁護士費用
100万円
<費用損害>
・お詫び状作成送付費用
発送代行費用 45万円
発送費用
100円 X 5,000人 = 500万円
・見舞金(商品券)
500円 X 5,000人 = 250万円
合計 955万円
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
6.プライバシーマークとは

シールプログラムについて
自社の個人情報保護のレベルを査定してもらい、第
三者に認証してもらう制度がシールプログラム

日本国内規格のプライバシーマーク
1988年より日本情報処理開発協会(JIPDEC)が開始し
た制度がプライバシーマーク。
プライバシーマークは、個人情報保護に関する事業
者認定制度という意味を持っており、日本情報処理
開発協会が申請業者を認定する仕組みになってる。
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
6.プライバシーマークとは

国際認証規格といえばTRUSTe
第三者審査機関が審査・認証を行うことにより、個人
情報を扱うウェブサイトが利用者に対する 信用度・信
頼度を向上するために1997年アメリカにて誕生した、
「個人情報保護第三者認証シールプログラム」
会社全体だけでなく、運営するWebサイトごとや事業
部ごとに認証を受けることができる規格が特徴
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.
※ 参考文献
●総務省 国民のための情報セキュリティサイト
http://www.soumu.go.jp/joho_tsusin/security/index.htm
●YOMIURI ONLINE 情報セキュリティ入門
http://www.yomiuri.co.jp/net/column/security/
●首相官邸 個人情報の保護に関する法律
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
●財団法人 日本情報処理開発協会 (JIPDEC)
http://www.jipdec.jp/
●プライバシーマーク事務局
http://privacymark.jp/index.html
●有限責任中間法人 日本プライバシー認証機構
http://www.truste.or.jp/
●「ホームページ担当者が知らないと困るWebサイト構築・運営の常
識」ソシム株式会社発行
Copyright (C) 2007 Lideli Co.,Ltd. All rights reserved.