ISMS教育 (情報セキュリティ教育) み プ サ ン の ル ISOマネジメント研究所 ヤフー広告に、銀行の偽サイト • 2014年2月26日、ヤフーは、検索連動型広告を悪用 した偽サイト誘導に関して、京都銀行以外に名古屋 銀行とWebMoneyでも同様の偽サイトへの誘導が あったことを発表した。この偽サイトを利用してユー ザーの暗唱番号やパスワード、第二暗証番号とい った情報を盗み取り、3口座から合計5件、77万 7100円の不正送金を行なったという。同社では、何 故このような広告枠の悪用ができたかについて、「 同社の広告審査を故意に回避するような手段」との み の表現にとどめているという。 プ サ ン ル CopyrightⓒIso-mi. All rights reserved 2 三菱東京UFJ銀行と語るフィッシングメール み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 3 バイドゥIME、入力情報を外部に送信 • 2014年1月16日、福島県は、職員に貸与している パソコン33台に、中国のインターネット検索最大手 「百度(バイドゥ)」が無償提供する日本語入力ソフ ト「バイドゥIME」がインストールされ、 同社のサー バーにデータが自動送信されていたことを発表し た。個人を特定できるデータの流出はないという。 出典:福島県プレスリリース 2014年1月16日 み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 4 バイドゥIMEのインストールの経緯 業務上必要なソフトをダウンロードした際又は既存ソ フトのバージョンアップの際に「抱き合わせ」で自動的 にインストールされた。 《福島県の調査で判明したインストール契機・ダウンロードソフト》 ・ウイルス対策ソフト 「kingsoft internet security」 ・はがき印刷ソフト 「print magic」 ・ファイル圧縮展開ソフト「WoopieZIP」、「File_Opener.exe」 ・動画再生ソフト み 「real player」、「gom player」 ・フリーソフトウェアダウンロードサイト「softnic.jp」から「microsoft powerpoint viewer」を プ サ ン のダウンロード ル 出典:福島県プレスリリース 2014年1月16日 CopyrightⓒIso-mi. All rights reserved 5 hao123、ホーム画面乗っ取り み プ サ ン の ル※インストールされているすべてのブラウザでスタートページが占領される CopyrightⓒIso-mi. All rights reserved 6 復興庁幹部がツイッターで中傷、30日停職処分 • 復興庁で福島県の被災者支援を担当する幹部職員が個人 のツイッター上で「国家公務員」を名乗り、職務上関係する 国会議員や市民団体を中傷したりするツイートを繰り返し ていたことが分かった。政府の復興への取り組み姿勢を疑 われかねないとして、同庁はこの職員を30日の停職処分と した。 • 再発防止策として、復興庁は、職員のツイッターへの書き 込みなどに関する規定を設けたことを明らかにした。 み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 7 ネットに無断投稿で逮捕 • 埼玉県内にある雑誌の配送作業所で、そこのアル バイト社員が、発売前の週刊誌からAKB48のメ ンバーに関する記事を携帯電話で写真に撮り、イ ンターネットに投稿したとして、「著作権法違反」の 疑いで逮捕された。 • 逮捕されたアルバイト社員は、「興味本位だった。 AKBのファンに早く記事を見てもらいたかった。ま さか逮捕されるとは思わなかった」と供述したとい み う。 の プ サ ン ル CopyrightⓒIso-mi. All rights reserved 8 情報セキュリティに関する主な法令 法令名 1.利用目的の特定、利用目的による制限(15条、16条) 2.適正な取得、取得に際しての利用目的の通知等(17条、18条) 3.データ内容の正確性の確保(19条) 4.安全管理措置、従業者・委託先の監督(20条~22条) 5.第三者提供の制限(23条) 6.公表等、開示、訂正等、利用停止等(24条~27条) 7.苦情の処理(31条) 不正競争防止法 営業秘密の不正な持ち出し、使用・開示行為は刑事罰の対象 (第2条、第3条、第4条) 不正アクセス禁止法 不正アクセス行為の禁止及び不正アクセス行為を助長する行為の禁 止(第2条、第3条) み サ ン 要 個人情報保護法 著作権法 プ 概 の ル DVDのコピー防止機能の解除禁止、違法ダウンロードは刑罰対 象等(第2条、第10条、第12条の2、第20条、第47条の2、第76条 の2、第113条) CopyrightⓒIso-mi. All rights reserved 9 不正アクセス禁止法とは① ネットワークに接続できる環境で、本人に許可なく他人のID・パ スワードを使って、認証が必要なページに接続することを禁止 する行為、および本人に承諾なく第三者にIDとパスワードを教 える行為などの禁止を定めた法律をいう。 《適用となる4つの要件》 ・コンピュータ・ネットワークに接続されているコンピュータに対して行われたものであること ・コンピュータ・ネットワークを通じてアクセスが行われたものであること ・他人の識別符号又はアクセス制御機能による特定利用の制限を免れることができる情報 又は指令が入力されたものであること み ・アクセス制御機能によって制限されている特定利用をすることができる状態にさせたもの(一 プ サ ン の部のセキュリティ・ホール攻撃のように、特定利用をすることができる状態に止まらず、特定 ル 利用をしてしまう行為をも含む。)であること CopyrightⓒIso-mi. All rights reserved 10 不正アクセス禁止法とは② 不正アクセス禁止法に関する以下の記述のうち、正しいものは どれか。 1.アクセスコントロール機能を有する個人使用のPCに対してイントラネット経 由で不正にアクセスしても,不正アクセス禁止法違反にはならない。 2.実際に被害が発生しなくても,不正アクセス行為をするだけで不正アクセ ス禁止法違反となる。 3.他人のIDとパスワードを,その利用方法を知っている第三者に教えるだけ では,不正アクセス禁止法違反にはならない。 4.不正アクセス禁止法違反となるのは,インターネット経由でアクセスされる ものに限られる。 み プ サ ン の ル 出典:ITパスポート試験 平成23年秋期 CopyrightⓒIso-mi. All rights reserved 11 ISO27001の規格改訂について <移行のスケジュール> プ サ ン み ※新規格への移行は、2013年10月1日から2015年9 の 月30日までに完了させなければならない。 ル CopyrightⓒIso-mi. All rights reserved 12 規格改訂に伴う重要な追加事項 <組織の状況を明確化> ■組織及びその状況の理解 ISMSの意図した成果を達成する組織の能力に、影響を与える 外部及び内部の課題を決定すること。 ■利害関係者のニーズ及び期待の理解 利害関係者の要求事項を把握すること。 (例:法的、規制要求事項、契約上の義務等) み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 13 外部・内部状況の例 外部状況の例 内部状況の例 ・統治、組織体制、役割及び説明責任 ・方針、目的及びこれらを達成するために 策定された戦略 ・組織の目的に影響を与える主要な原 ・資源及び知識として理解されている能 動力及び傾向 力(例えば、資本、時間、人員、プロセス、 システム、技術) ・外部利害関係者との関係並びに外部 ・情報システム、情報の流れ及び意志決 利害関係者の認知及び価値観 定プロセス ・内部利害関係者との関係並びに内部利 害関係者の認知及び価値観 ・組織の文化 ・組織が採択した規格、指針及びモデル ・契約関係の形態及び範囲 ・社会及び文化、政治、法律、規制、金 融、技術、経済、自然並びに競争 み プ サ ン の ル 出典:ISO31000(リスクマネジメントの規格)5.3 組織状況の確定 CopyrightⓒIso-mi. All rights reserved 14 外部・内部の課題 外部の課題 内部の課題 み プ サ ン の ル※課題は具体的に、深掘りすること! CopyrightⓒIso-mi. All rights reserved 15 部門における運用管理について 1.実業務に即した対応 部門の特性を考慮 2.情報セキュリティ報告書を活用した管理 PDCAに基づく管理 3.リスク分析表を活用した管理 ① 機密性、可用性、完全性を考慮 ② 情報のライフサイクル(業務プロセス)を考慮 ③みリスク受容レベルの決定 プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 16 運用管理の見える化を図る 入退管理の状況 整理・整頓 スクリーンセイ バー バックアップ USB USB等の取扱い 事故・ミス スマホの管理 マル秘取扱い み ダッシュボードによる見える化 プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 17 管理よりも規律 1.あいさつの徹底、ルールやマナーを守る → 活気やハリがある職場 2.相手に関心を持つ → 濃密な職場でなく、心地よい職場 3.おせっかいではなく、助け合うを基本 → 安心感があり、信頼できる職場 み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 18 ヒューマンエラーの原因 事件事故を生む土壌 職場の状況 無理のある仕事 ミス検知なし 社員教育不徹底 み プ サ ン の ル 潜在的な事故原因 疲れや不慣れ うっかりして 事件・ 事故 よかれと思い 表面的な事故原因 出典:『ヒューマンエラーを防ぐ知恵』 CopyrightⓒIso-mi. All rights reserved 19 情報セキュリティ報告書の活用 <改善の立案> 問題 原因 対策案 作業指示書のPDF 職場の状況 化による指示ミス が多すぎる(前回 からの記入流用に よる日付や顧客名 の間違い等) 問題を生む 土壌 み プ サ ン □無理のある仕事 □ミス検知なし □教育不足 □その他 □疲れや不慣れ □うっかりして □これで大丈夫と思い □その他 の ル CopyrightⓒIso-mi. All rights reserved 20 情報セキュリティの3要素 1.機密性 許可されたものだけがアクセス できること 2.完全性 完全かつ正確な状態を保つこと 3.可用性 権限あるものが必要なとき、必要な 情報が使えること み プ サ ン の 3要素は、整っていますか? ル CopyrightⓒIso-mi. All rights reserved 21 業務上注意するポイント シーン 注意するポイント 移動の時 電車の網棚に置かない。公共交通機関、エレ ベータ内、喫茶店などの会話に気をつける 送信の時 FAX番号、メールアドレスは再確認 保存の時 データの保存先の確認、重要データにはパス ワード付きで保存 廃棄の時 データ、書類は廃棄ルールに従う プライベートとの線引き 個人のPC、USBは持ち込まない。仕事の書類、 データは家に持ち帰らない。iPhone,iPadでの会社 のメールやデータ転送は許可を受けた上、使用 ルールを守る。ブログ、ツイッター、facebook等に、 業務上知った情報を書き込まない み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 22 万が一、紛失・漏えいした場合の対応 1:上司や社内担当者に報告、徹底して探す まずは、勝手に個人で判断せず、上司や担当者に報告する。その後、周りの協 力を得て、探すこと 2:警察、交通機関に連絡(顧客にも連絡) 上司と相談の上、顧客にも連絡すること 3:何をなくしたか洗い出す 日頃から、どんな情報を取り扱っているのか意識すること み 4:「事故発生の経過報告書」作成 プ サ ン の ル 報告・対応だけで済ませるのではなく、事故情報を共有化させること CopyrightⓒIso-mi. All rights reserved 23 部門員への伝え方 × 言ったら伝わる ○ 姿勢を見せる み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 24 伝え方のポイント 1.その目的・意図は何か? → ミスをさせない、事件・事故を起こさせないこと。 これが相手に理解してもらえるか、共通理解。 2.相手がその気になるのはどんな時か? → 本人が主体的になる時はどんな時か。 3.それは、継続的であるか? → 一時的、気まぐれであってはいけない。 み プ サ ン の ル CopyrightⓒIso-mi. All rights reserved 25 ノーをイエスに変える7つの切り口 7つの切り口 1.相手の好きなこと 電気を消せば星が見えるよ 2.嫌いなことを回避 電気をつけっぱなしだと罰金です 3.選択の自由 ここの電気を消すのと、あそこの電 気を消すのとどっちがいい 4.認められたい欲 電気を消せば、表彰されます 5.あなた限定 他の人がやらなくても、○○さんだけ にはやってほしい 6.チームワーク 一緒に電気を消そう み 7.感謝 プ サ ン 例)ムダな電気を消して の ル いつもありがとうございます。 電気を消すのをお願いできますか? 参考: 『伝え方が9割』佐々木圭一 CopyrightⓒIso-mi. All rights reserved 26 情報を守る、大切に扱う社内風土の育成 1.日常的な声掛けによる注意喚起 一人はみんなのために、みんなは一人のために、協力しあうこと 2:面倒だ、これ位なら、というルール軽視の風 土を無くす 面倒なことが大事なことであるという意識を持つこと 3:情報を扱うプロとしての高い意識を持つ み プ サ ン の問題意識を持ち、自分の仕事に誇りを持つこと ル CopyrightⓒIso-mi. All rights reserved 27
© Copyright 2025 ExpyDoc