ブログ ～ 情報セキュリティ

　先日ESETがバージョンアップできるという記事を書きました。

　私のPCでも3台でバージョンアップをしましたが、プリンタに不具合が出ることがあります。

　新機能の「ホームネットワーク保護」というのがありまして、これはネットワーク上の他の機器からPCに対して何らかの攻撃をしようとしたときに保護するための機能だと思うのですが、インストールした直後にネットワークをスキャンしてプリンタやルーターなどPCに対して通信をしようとする機器からの通信を止めてしまう可能性があります。

　プリンタが出力できなくなったり、複合機のPC-FAXが使えなくなる可能性がありますので、注意して下さい。

　私のデスクトップもプリンタドライバをすべて再インストールする羽目になりました。

　お客様のところも入れ替えに回ろうと思っていたのですが、少しの間様子見です。

　先日のことですが、知人がインスタグラムを乗っ取られました。

　どうもインスタグラムではよくあることらしいのですが、パスワードをずっと変更してないと乗っ取られやすいそうです。

　私はインスタグラムを使っていないのでよくわからないのですが、ロックアウトの設定がないのでしょうか？

　今時「総当たり攻撃」で破られるなんて！という気もします。

　問題はそれだけにとどまらず、よくある話ですが「パスワードの使いまわし」をしていたため、LINEやYahoo!なども乗っ取られました。

　逆に全部乗っ取られたため、被害にすぐ気づき実害はでなかったそうです。

　俗に言う「リスト型攻撃」ですね。

　1か所からアカウント（メールアドレス）とパスワードのリストを入手して、片っ端から他のサービスへのログインを試行する攻撃です。

　同じパスワードを使っていると軒並み全部行かれます。

　全てのサイトで違うパスワードを考えるのは困難です。

　6文字くらいは共通の文字列にしておいて、それに数文字加えてパスワードを作ると覚えやすく、破られにくいパスワードができます。

　インスタグラムを乗っ取った犯人は、次にフォロワーに対して「スマホが壊れた」などの連絡をしてくるそうです。

　そして電話番号などを聞き出して、次から次へと乗っ取っていくと話もあるので被害は友達を巻き込んでどんどん大きくなっていきます。

　また乗っ取られて本人がログインできなくなれば、乗っ取られたことに気付きますが、パスワードを破られただけだと気付かないことも多いです。

　そしてずっと覗き見されているのも気味が悪いですね。

　くれぐれもパスワード管理には注意が必要です。

　パソコンやスマホでインターネットを便利に使うために避けて通れないのが「パスワード」の問題です。

　10年以上前に個人でネットショップをしていた時は数字4桁のパスワードでした。

　当時のシステムではそのパスワードが管理者の私に丸見えだったんですね。

　数字4桁と言えば、銀行のキャッシュカードの暗証番号が思い浮かびます。

　おそらく相当数の方が暗証番号を入力されていたんではないかなと思いますが、今考えると恐ろしい話です。

　銀行曰く「パスワードが分かってもキャッシュカードがないと不正できない」ということで4桁の暗証番号は変えなくていいらしいです。

　今のネット社会では8桁以上で数字、アルファベットの大文字、小文字、記号などを取り混ぜて設定をしないといけないところが多いですね。

　そのパスワードも「ハッシュ化」という処理をされて管理側にも分からないように管理されているところがほとんどです。

　パスワードを忘れると、以前のパスワードではなく新規にパスワードを登録しなければいけないのはそのためです。

　逆に以前のパスワードを教えてもらえるところは、セキュリティ的にちょっと微妙ですね。

　「パスワード管理アプリ（ソフト）」なども数多く出ていますが、その製作者を信用できるか、私は大いに疑問を持っているので使ったことはありません。

　個人的にはパスワードは紙に書いておくことが一番いいと思います。

　泥棒に入られてその紙を取られると言う方もいらっしゃいますが、泥棒にはそうそう入られないでしょう。

　実際の泥棒よりもネットでアカウントを乗っ取られる方が数倍多いはずです。

　しかもネットの泥棒は日本にいないことが多いので、対応が非常に難しいです。

　次に同じパスワードを使いまわすことも良くないと言われてますね。

　どこかのサイトからメールとパスワードが漏れると、手当たり次第にその組み合わせで試行を繰り返されて他のサイトでもログインされてしまいます。

　パスワードが漏れたサイトでは対応しますが、それ以外のサイトでは対応しないので被害が大きくなることがあります。

　パスワードの決め方はシンプルに考えればいいと思います。

　どれだけ複雑に考えても相手はコンピュータですので、あまり意味はありません。

　まず長いことが大切です。以前は8文字以上でしたが、そのサイトで使えるなら最低10文字以上が安全でしょう。

　次に考えることが面倒なら、定型句を作ってそれをほかの文字と組み合わせる方法があります。

　例えば生年月日が1月1日なら「0101」という数字、名前が田中なら「Tanaka」や「Tnk」という文字列をベースにします。

　それにアマゾンのサイトなら先頭にAを付けて、最後にNをつけます。

　そうすると、「A0101TanakaN」というパスワードができます。

　Yahoo!なら「Y0101TanakaO」、Googleなら「Y0101Tanakae」といった感じです。

　「!」や「$」などの記号を組み合わせるとより強固になります。

　これならある程度覚えることもできますし、数字の部分を家族や彼氏、彼女、好きなタレントの誕生日などに変えれば、定期的な変更も簡単にできます。

　最後に究極の方法も付け加えておきます。

　「覚えない！」と言う方法です。

　最初にパスワードを適当に作成します。そして忘れれば、「パスワードを忘れたとき」というリンクからパスワードを再作成する方法です。

　銀行などのサイトでは使えません（郵送などで処理されることが一般的です）が、使用頻度の多くないサイトなどではこれで十分だと思います。

　3ヶ月ほど前にランサムウェアに関するブログを書きましたが、その時は内容の紹介だけで対策についてはほとんど書きませんでした。

　情報漏えいと同じで被害が拡大する一方ですので、その対策をまとめてみました。

　まずは無料でできる対策から

　①　WIndowsやJAVA、ADOBE製品などのアップデートをきっちりと行う。

　②　Officeアプリ（Excel・Wordなど）のマクロ機能をOffにする。

マクロを使っている人はOffにできませんが、警告を出して有効にしましょう。

　続いて比較的安価な部分

　③　セキュリティ対策ソフトを導入しましょう。

Windows標準やフリーソフトでは心もとないです。

そんなに高価なものではないので有料版を購入しましょう。

私のお薦めは、青色か黄色のパッケージです。理由はこちらをご覧ください。

　これは先日お客さんと話してた時のことですが、

　「自分のメールアドレスから迷惑メールが送られてくるけどなんで？」

　と聞かれました。

　送信メールアドレスを詐称していることと簡単な仕組みを説明しましたが、途中でふと思ったのは、私のメールアドレスにはそういったメールが送られてこないということです。

　以前の会社でレンタルのメールサーバを使っていたときは、自分のメールアドレスからスパムメールが送られてくることがよくありましたし、とにかく迷惑メールがとても多かったと思います。

　なぜ今のメールアドレスになってからスパムが減ったのかを調べてみると、理由はExchange Onlineにあることが分かりました。

　Exchange Onlineでは、送信元を詐称したメールを通さない設定になっています。

　Office365のSLA（サービスレベル保証）にもスパム検知率が載っているようです。

　多くのスパムメールは送信アドレスを詐称しているので、Exchange Onlineを使っているとスパムメールが少ないというか、私のところにはスパムメールが来た記憶はありません。

　送信メールアドレスを詐称して送ってくるメールは明らかに何らかの悪意を持って送られてきます。

　ドメインなどで撥ねられないように同じメールアドレスにして送ってきてるので、通常の迷惑メール判定では判別しにくいのかもしれません。

　スパムメールを送る側にとって、送信メールアドレスを詐称することは簡単です。

　自分のメールアドレスから送られて来ればおかしいと思えますが、知り合いのメールアドレスや取引先のドメインで送られてくると信用して開いてしまうこともあると思います。

　そして信用して添付ファイルを開いてマルウェアやウイルスに感染するということが非常に多いです。

　今の時代もウイルス・マルウェアの入り口はメールが一番です。

　メールには本当に気を付けてくださいね。

　セキュリティ面から考えても、Exchange Onlineはお薦めできます。

　メールやFAXの誤送信防止はよく聞かれる話です。

　最近の複合機にもFAXの誤送信防止機能が追加されていますが、アドレス帳に登録されていない番号には送れないとか、確認メッセージを出してもう一度OKしないと送れないとか、不便になっている割には効果がいまいちかなと思うものが多いです。

　メールの場合はどうでしょう？

　Gmailには送信取り消し機能があって、私も以前は使っていました。

　送信後に取消というボタンが表示されて30秒以内なら送信を取り消せるという機能です。画面を遷移してしまうと取消できないので、実際は数秒以内の勝負です。

　誤送信は送信ボタンをクリックして数秒後に気付くことが多いので、一定の効果があります。

　実際に使ったことは2、3度ですが、「あっ！」と思ったときに助かりました。

　Office365のExchange Onlineにもこの機能を付けて欲しいと思っているのですが、なかなか付きません。

　Gmailの真似ができないのか、権利関係があるのかもしれませんね。

　メーラーにOutlookを使っている場合は、メッセージルールを追加することによって指定した時間後に配信する設定をすることができます。

　1～3分くらいがいいと思います。その間は送信トレイに残るので送信を取り消すことができます。

　私は通常Outlookを使わずに、IEでOWAを使っています。

　OWAでは遅延配信の設定ができないようですので、Exchange Onlineの別の機能を使って送信確認をしています。

　それは承認機能です。

　メールを送信すると指定したアドレスに通知され、そこで承認した後にメールが配信されるという機能です。

　上司が部下の送信メールを確認するための機能ですが、それを自分が送るメールを自分が承認するように設定しています。

　メールを作成して送信すると、数秒後に自分にメールが届きます。

　そこには宛先のメールアドレスとメール本文が数行載っています。

　添付ファイルを開いて確認すればすべての内容が確認できます。

　宛先や内容に問題がなければ承認のチェックをクリックすることで実際にメールが送信されます。

　誤送信はヒューマンエラーなのでどれだけ対策を施してもゼロにすることはできませんが、誤送信はかなり減りました。

　私の場合はほとんどが添付ファイル漏れですが・・・。

　iPhoneの場合はちょっと手間かもしれません。

　iPhoneでメールを受信するには、OWAアプリ、Outlookアプリ、既定のメーラーの3種類があります。

　このうち承認ボタンはOWAアプリでしか表示されません。

　また添付された元のメールはOWAでは直接見ることができません。Outlookアプリや既定のメーラーなら見ることができます。

　よってメールの内容を確認して承認するためには、Outlookアプリで開いて確認する必要があり、OWAアプリで承認する必要があります。

　iPhoneから添付ファイルのあるメールを送ることはほとんどなく、簡単な急ぎの連絡メールだけですので実際はOWAアプリ1つで間に合うと思います。

　以上、メールの誤送信防止の内容でした。

　2016年8月21日現在の私の使用状況に基づいて書いてますので、機能追加や削除などで使い方が変わる場合があります。

　このブログではPCのセキュリティにとって大切なものはPCにインストールするウイルス対策ソフトとセキュリティポリシーなどの人的教育だと言ってきました。

　そして次に予算が許すならばログ収集管理ソフトが大切で、UTMを導入するとすればその3番目以降になるとも言ってきました。

　UTMの説明をした先の中小企業では、

　「これ（UTM）を入れたらウイルス対策ソフトはいらないよね？」

　とよく聞かれました。

　もちろん、ウイルス対策ソフトは必要ですと言いますが、そうすると何のために入れるの？という話になってきて、説明をすればするほど？？？のような感じになることがよくありました。

　UTMはサーバを設置している企業にはあった方がいいです。

　サーバにはウイルス対策ソフトを入れにくい、特にIPS（侵入防止）の機能がついているものは少なかったと思います。

　ファイルサーバはWindows Updateを自動更新にしていてもいいですが、アプリケーションサーバとして使用している場合はアプリケーションとの兼ね合いもあってWindows Updateを無効にしますし、ウイルス対策ソフトもインストールしない場合が一般的です。

　そうするとセキュリティホールが放置された状態になるので、UTMが必要になります。

　UTMを入れて、ウイルス対策ソフトも入れて、ログ収集管理ソフトも入れてとなると月額にして2～3万円くらい以上のコストがかかります。

　もちろんクライアントPCの台数によって全てのコストが変わってきますので、PCが20台くらいになると月額5万円前後になることもあります。

　内訳は、ウイルス対策ソフトが40万前後、UTMが60万前後、ログ収集管理ソフトが100万前後、保守が50万前後です。

　これを5年リースにすると5万円前後になります。

　今日紹介するSAXA（サクサ）のSS3000というUTMは、ごく一般的なUTMの機能に加えて、ahkun（アークン）という会社のソフトがセットになっているタイプがあります。

　セットになっているものは、一般的な「ウイルス対策ソフト」、PCのアプリが最新の状態を維持されているか管理する「集中監視セキュリティ」、PCの操作ログや利用状況の統計を取得する「内部統制セキュリティ」です。

　特に私が注目するのは「内部統制セキュリティ」です。

　これがあるのとないのとでは雲泥の差だと思います。

　ログ収集管理ソフトはサーバが必要なため費用が高額になりますが、この「内部統制セキュリティ」はクライアントアプリがメールを送信する仕組みですので、サーバを必要としません。

　そこでコストメリットを出しているのだと思います。

　またウイルス検知エンジンにはカスペルスキーを採用している点も魅力の1つです。

　先日のブログでも触れましたが、検知能力としてはカスペルスキーはナンバー1だと思います。PCにインストールすると細かな不具合が出ますが、UTM上で動く分には関係ありません。

　思う存分、その能力を発揮してくれると思います。

　UTMだけにとどまらず包括的なセキュリティを考えるときには、是非検討する機種の中にSS3000を入れてもらえたらと思います。

　※　今回は完全に独断と偏見です。参考にする人は自己責任でお願いします。

　お客様からセキュリティソフト＝ウイルス対策ソフトについて良く聞かれます。

　「必要？」、「フリーソフト（無料）でいい？」、「どれがいい？」が三大質問です。

　まず「必要？」に対する答えは、「イエス」です。

　セキュリティソフトが入っていないと簡単にウイルスに侵されます。家に例えると玄関ドアのカギを掛けていないどころか、ドアを開けっぱなしにしている状態です。

　「取られるものがないから泥棒に入られてもいい」と言う人もいるとは思いますが、泥棒はものを取るだけではありません。家中をひっくり返して、散らかして、物を壊すかもしれません。

　だから取られるものがなくても鍵を掛けて泥棒が入りにくくした方がいいと思います。

　またベランダや庭などを通じて隣の家や上下の家に侵入するかもしれません。

　自分に被害が無くても、自分が原因で他人が被害を受けるのは嫌だと思いませんか？

　同じことがパソコンでも起こります。

　パソコンの中をめちゃくちゃにされて起動できなくなったり、インターネットを見たりするいつもの作業ができなくなったりします。

　また自分のパソコンを踏み台にして他のパソコンに攻撃を仕掛けたりします。

　ですので、絶対にセキュリティソフトは入れてください。

　今の時代にセキュリティソフトを入れていなければ、「違法ではないが不適切」だと言えます。

　次に「フリーソフト（無料）でいい？」に対する答えは、「ノー」です。

　無料のものは有料のものに比べて検知率が落ちます。

　ある雑誌社の調査では、有料のものはすべて80％以上検知しますが無料のものは50～60％程度しか検知できません。

　すごく高価なものでしたら考えてしまいますが、とても安価になっていますので是非有料のものを使ってください。

　最後に「どれがいい？」に対する答えですが、

　17歳の高校生が佐賀県の教育情報システムに侵入して成績表などを窃取した事件がありました。

　システムに問題があったのか、使い方に問題があったのかといわれていますが、いまのニュースを見る限り、使い方に問題があったと思います。

　逮捕容疑が午前0時20分ごろに高校の無線LANに接続して、そこからシステムにログインしたとなっています。

　まず午前0時20分に無線LANを動かしていることが問題です。夜間は止めてしまえばいいものをずっと稼働させることがおかしいです。

　次に接続ログを取っていないのか、だれもチェックしていないのかが問題です。

　別件で逮捕してPCを調べたら成績表が出てきた。どこから漏れたのか！という話になって大慌てでログを確認する。こういう流れだと思いますが、結局システムの導入にはお金をかけても運用にまでお金をかけないからこういった結果を招きます。

　当然見積もりには保守管理の費用も含まれているとは思いますが、一般の人が思うよりも保守管理の費用が高いことが多いんですね。

　なぜなら人件費だからです。

　その作業を毎月・毎週・毎日するために技術者をアサインしなければいけません。

　それがずっと続くわけですから高くなるのも当然です。

　発注側は当然見積もりよりも安くなることを願います。

　しかし、システムを値切ると機能が失われます。それは避けたいので値切るところが導入後の保守管理になるのは本当によくある話です。

　「運用はこちらでするから」とか「保守って何をするの？」とか聞かれます。

　何もしてないようで、こちょこちょ目立たないことをやってます。

　社内の営業や上司などにも理解されないことが多いですが、保守管理っていうのは目立たないけど大切な仕事です。

　事件の話に戻りますが、おそらくこの生徒はそんなに難しいことをしていたわけではないと思います。

　他人のパスワードをソーシャルハッキングで入手し、それを利用していろいろとダウンロードしたのではないかと思います。

　閲覧、ダウンロードなどのアクセス権限の設定がどうなっていたのか？、ダウンロードなどにはログへの書き込みだけでなくアラートが上がらなかったのか？など運用上の不備が想像できて仕方ありません。

　この少年がログをすべて消したり、データベースに直接侵入して操作したりしていればすごい能力だと思います。

　FBIのドラマには以前の犯罪者をアナリストとして採用しているものもあります。

　ぜひサイバーポリスに入ってもらうべきですね。(笑)

　JTBから個人情報が流出した件でネット上に記事が氾濫しています。

　原因はなりすましメールに添付されたファイルということまでは特定されました。

　開いた人を責められないという意見が主流で、私もその意見には賛成です。

　では対策を強化しよう！

　なりすましメールを防ぐためにはこういったシステムが必要です。

　こういい対策製品があります。

　などと売り込みに続く記事がほとんどですが、先日も書いたように「入口対策」は限界です。

　例えばメールサーバで、送信メールアドレスと送信サーバが一致しないメールを受信しないような設定をすることは可能です。

　但し、そんな設定をしてしまうと正常なメールも届かなくなってしまいます。

　メールサーバのドメインと送信メールのドメインが一致していない方も一定数はいます。

　無茶な人はそんなメールは排除すればいいと言うかもしれませんが、そんなに簡単なことではありません。

　そもそもなりすましメールの問題は何年も前から分かっていて、それ用の対策もいろいろと考えられています。

　しかし旧来のシステムを全て停止できないので、古いシステムから送信すれば何でもできてしまうのです。

　有効な対策は前にも書きましたが、「出口対策」です。

　おかしな動きをするプログラムを検知して、遮断する。もしくは通知して、対応する。

　こういった製品を利用することによって、費用を抑えつつ効果的な対策をすることができます。

　後は、感染が発覚した後できちんと対応できるかですね。

　今回のJTBも「入口対策」はやっていたが感染した。これは仕方ないことですと多くの方に言われています。

　不正なアクセスを検知して通知した。ここまではいい感じです。

　通知をもらったけれど、対応に5日間かかり、その間に流出した。これが最悪です。

　責任の大半はこの対応にあります。

　5日間何をしていたのか分かりません。

　本当に感染しているか確認していたのか、外部との通信を切断する手段を用意してなかったのか、決済が下りなかったのか、何が原因なんでしょう。

　今回の事件でJTBの損害は数十億から百億以上になるかもと言われています。

　それでも赤字に転落するかも？というくらいのことなので、危機感もあまりなかったのかもしれませんね。

　中小企業の場合は500万くらいで倒産するかもしれません。

　でも中小企業の場合は情報流出しても金銭的な被害が出ないかもしれません。

　または情報流出していることに気付かないかもしれません。

　「当社は関係ない」といつまで言っていられるか？

　そんなこと言わずに最低限の対策は取りましょう。

　「違法ではないが、不適切」と言われないためにも。

　JTBが標的型攻撃で狙われ700万件以上の個人情報が流出するというニュースがありました。

　旅行業界最大手のJTBだけにスタッフ教育はきちんとしていたようですが、

**********************************************************************************

送り主不明のメールは開封しないという規定はあったが、取引先を装っており、文面も不自然でなかったため、「（開封は）やむを得なかった事情がある」（ＪＴＢ）とみている。
**********************************************************************************

　と発表されているように、スタッフの注意力を上回る「なりすましメール」が送られて来たら仕方ないのかもしれません。

　少し前から言われている「入口対策」の限界かもしれませんね。

　どれだけ高度なファイアウォールやマルウェア対策があっても原則未知のマルウェア（ウイルス）には役に立ちません。

　未知のマルウェアを実際に動作させて検証するサンドボックスと呼ばれる機能もありますが、膨大な量の添付ファイル全てに適用できるかは不明です。

　今回はPDFを開いたことで感染したようですが、PDF閲覧ソフトの更新はきちんと行っていたか？、それでも感染したのならいわゆる「ゼロデイ攻撃」に値するもので、対策は、特に「入口対策」としては非常に難しいというか、無いのかもしれません。

　今回はネットワークを監視しているセキュリティ会社が不正な通信を検知しました。

　ただし、その後ネットワークの停止に5日間ほどかかってしまい、不正な通信検知後に情報が流出しています。

　これが残念なことです。

　セキュリティ対策は必要だが、ビジネスは止められないという典型的な例かもしれません。

　極論を言えば、700万人以上の個人情報（氏名、住所、電話番号、生年月日）が流出しても、JTBにはそんなに被害は無いのかもしれません。

　確かに、信用が落ちたり、お詫びのサービスなどをすることにより実害は出るでしょうが、セキュリティは目に見えないものだけに起こってもいないことでシステムを止めるという発想がないんだと思います。

　セキュリティ担当者にはあるかもしれませんが、営業担当の方が強いでしょうし、システムが止まっていると顧客が怒るでしょうからね。

　今後は「出口対策」が必要だという意見が多くなってくるかもしれません。

　C&Cサーバとの通信を検知し制御する機能を備えた「レッドソックス」というオランダの会社の製品があります。

　30分に1回定義ファイルを更新する（通常は1日に1～2回）ことでリアルタイムに情報漏えいを防ぐことができるそうです。

　しかし数百万円するので、中小企業では手が出せません。

　年金事務所のときの個人情報流出事件はこの製品で防げたそうですが、今回も防げたかどうかはもっと詳しく解析してみないと分からないでしょう。

　中小企業は標的型攻撃に狙われないという方も大勢いらっしゃいますが、正しくもあり、間違いでもあると思います。

　確かに1社だけを標的にした攻撃を受ける可能性は非常に低いと思いますが、日本の1企業という理由で日本全体を標的にした攻撃を受ける可能性はあります。

　特に弁護士、税理士など個人情報を扱う業種は、業界全体で標的にされているかもしれません。

　個人事務所がほとんどでしょうから情報流出に気づいていないだけで、もうすでに流出しているかもしれません。

　また建築関係では下請け業者を狙って、そこから元請けへとマルウェアを感染させていく手法もあります。

　費用の問題もありますのですべての対策をすることは現実的ではありませんが、だからと言ってマルウェア対策ソフトも入れていませんでは社会的道義に反します。

　「違法ではないが、不適切な会社」だと思われてしまうかもしれませんので、最低限の対策だけはやってください。

　最低限の対策とは、

　１、各PCにマルウェア対策ソフトを入れる

　２、従業員にセキュリティについての教育をする

　とりあえずはこの2点です。これだけなら費用もさほどかかりません。

　形のない社員教育が特に重要ですが、おろそかにされている企業が多いと思います。

　予算的に余裕があれば、ログ監視ソフトの導入も効果的かもしれません。

　各PCの動作ログを収集し、新しいexeファイルが起動したり、業務外の時間帯に動作したり、サーバにアクセスしたりする動作を検知するとアラートを出すことができます。

　通常はサーバ込みで100万円～のソフトですが、当社では20万円～でサービスを提供しています。

　100名までの中小企業ではこれくらいで十分というか、これ以上費用は掛けられないのではないかと思います。

　以前からも何度か触れていますが、UTM（統合脅威管理）はほとんど役に立ちません。

　安いものでは月額7000円程度であるようですが・・・。

　これからhttpsが主流になっていけば今のUTMでは性能的にどんどん意味がなくなっていきます。

　あまりお薦めはできません。

　もっと詳しい話、具体的な話はセミナー等でやりますので、お気軽にお問い合わせください。

　ビジネスメール詐欺のことを書いたページのアクセス数が突出していたので、追加で補足をします。

　今回のような詐欺の被害に合わないためには、

　１、メールを暗号化して盗聴されにくくする

　２、メールの内容を鵜呑みにしない

　この2点が簡単かつ重要です。

　まずは1つ目のメールの暗号化ですが、今お使いのほぼすべてのメールサーバで対応済みですのでメールソフトの設定を変えるだけで暗号化できます。

　Liveメールで具体的に説明すると、アカウントのプロパティを開き、詳細設定タブに移動します。

　「このサーバはセキュリティで保護された接続（SSL)が必要」にチェックを入れます。

　送信メール、受信メールの両方に必要です。

　送信メールのポート番号（現在587か25が入ってます）を465に、受信メールのポート番号（現在110が入ってます）を995にそれぞれ変更します。

　詳しい設定方法はこちらのページが参考になります。

　サーバ情報はeoさんの情報ですので、ポート番号の変更部分を参考にしてください。

　これだけで暗号化は完了です。

　数ヶ月～数年先には破られているかもしれませんが、今のところは一応安全です。

　ついでにメールのパスワードも変えておきましょう。

　これはメールサーバの管理状況によって変わりますが、連絡すれば簡単にやってもらえます。

　通常8桁の英数小文字がほとんどですが、12ケタ以上の英数大文字小文字くらいに変更しましょう。

　2つ目のメールの内容を鵜呑みにしないと言う点ですが、セミナーなどに参加したことのある方は耳にしたことがあると思います。

　リンクや添付ファイルをむやみに開かない。

　　→リンクをクリックしただけでウイルスに感染する可能性があります。

　送信元を確認し、心当たりがない場合は無視する。

　　→infoなどの外部公開メールで無視できない場合は電話などで確認しましょう。

　内容を確認し、おかしな点はもちろん、正しくても重要な点は先方に確認する。

　　→メールの利便性は失われますが、重要な点は電話で確認しましょう。

　この3点は最低限守ってください。面倒ですが直接話して確認することが有効です。

　最近では添付ファイルからランサムウェアに感染した例もあります。

　ほとんどの方はWord、Excelのマクロを使用しないでしょうから、マクロの設定を無効にしておきましょう。

　またメールサーバの選択も重要です。

　安いだけでなく、ウイルスチェックなどセキュリティ対策のしっかりしたサーバ会社に依頼しましょう。

　10名くらいまでならOffice365のBusiness Essentialsがお薦めです。

　20名～100名くらいになるとコスト面から考えて導入は難しいかもしれませんね。

　100名以上になると相対的に安く感じるようになると思います。

　情報セキュリティ対策は費用も当然掛かりますが、それよりも運用の仕方が重要です。

　セキュリティ機器を購入すれば、それで全て守られるわけではありません。

　定期的な確認、連絡をしてくれるような、信頼できる業者選びも重要です。

　先日、お客様先に呼ばれて社員の方数名を対象に情報セキュリティーのセミナーをしました。

　総務担当者、営業責任者、営業担当、事務員さんなど6名でしたが、みなさん立場が違えば要望が違うので有意義なセミナーになりました。

　当然と言うか、総務はしっかり守りたい、営業は不便にはして欲しくない、事務員は難しくして欲しくない、みんなの意見が揃うのは安い方がいいと言う点だけでした。

　今回は1社相手でしたので、使っているソフトやPC、サーバ、スマホの現況を聞きながら、絶対に必要な機器やソフト、やってはいけない使い方、毎日やらなければいけないことなどを具体的に話させていただきました。

　ブログに載せる了解をとったので、内容を一部紹介したいと思います。

　お客様の業種は建築関係で、従業員は10名余り、忙しいときは応援の職人さんが入りますが各現場には必ず社員さんを1人は配置しているということです。

　スケジュールはホワイトボードに書いていて、PCは従業員全員に1台ずつ、スマホは個人のものを使用。

　全員パソコンに詳しくない、仕事で写真が必要なため画像を加工するフリーソフトをダウンロードすることが多い。

　仕事が終わった後、自由にネットでショッピングサイトやグルメサイト、ニュースなどを見ることが多い。

　データの共有はBUFFALOの家庭向けNAS（2ドライブ）を使用していて、NASのバックアップは特に取っていないけど、同じファイルが誰かのPCにはあるはずということでした。

　ホームページとメールは独自ドメインを取得してレンタルサーバで運用しています。

　中小企業によくあるケースというか、そのままモデルケースと言ってもいいかもしれません。

　最大の問題点は、PCのセキュリティソフトがマチマチで、無料のWindows Security Essentialsや買ったときについているマカフィーが入っていて期限が切れていたり、フレッツ光のセキュリティツールが1台だけ入っていたり、何も入っていなかったりとありました。

　ESET ファミリーセキュリティ3年版を3つ購入してインストールすることを提案。法人向けのESET ENDPOINT PROTECTIONでもいいのですが、ADVANCEDは高い（初年度7万、更新4万以上）、STANDARDは機能面で問題（迷惑メール対策、ファイアウォールがない）があるので、15台～20台までならファミリーセキュリティで十分だと思います。

　ここは人によって意見が分かれるところですが、法人向けと個人向けでは個人向けの方が多機能でマルウェア（ウイルス）の検出力には大差ないというのが私の見解です。

　当社もファミリーセキュリティを使っていますので、問題はないと思っています。

　次の問題はフリーソフトをダウンロードする、しかも勝手に、という点です。
　これはセキュリティポリシーを作って守ってもらうしかありません。セキュリティポリシーと言うと難しく聞こえますが、簡単に言うと決め事です。

　パソコンを使う上でやってはいけないことを決める、そして守ってもらう。それだけです。

　どうやって守ってもらうかは、社長さんに任せるしかありません。罰則を作るか、強く注意するか、自発的に守ってもらうかくらいしかありませんが、今回はとりあえず自発的に守ってもらうことになりました。

　決め事は、いたってシンプルです。

　・フリーソフトや動画を勝手にダウンロードしない

　・ネットで何かを見る前には、セキュリティソフト、Windows update、adobeソフトなどが最新の状態に更新されているか確認する。

　　MyJVNバージョンチェッカ for .NETを利用してもらいます。

　　バッチファイルで自動実行させてもいいのですが、意識してもらうために手動実行にしました。

　　こちらからダウンロードできます。

　　http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html

　・用のないサイトを見ない

　・メールやネットの広告やリンクをむやみにクリックしない（クリックする前に考える）

　・「何かおかしいな？」と思ったら、隠さずに報告する

　最後に会社のWifiを社員のスマホに使わせているので、スマホ用のSSIDを作成して社内ネットワークと分けてしまうようにしてもらいました。

　Buffaloの無線ルーターでしたが、ちょうどその機能がついていました。

　セキュリティ対策としては以上で完了です。

　スマホの管理をMDMでしますか？と聞いてみましたが、「個人のスマホやし、写真と電話帳くらいやからええわ」ということでしたので、スマホには何もしてません。

　面倒がらずにパスワードロックだけはかけて下さいねと伝えるにとどまりました。

　総務担当者がUTM（統合脅威管理）を他社から薦められているとおっしゃっていましたが、「御社にはUTMで守るべきものがない」ので入れても入れなくても同じですと答えておきました。

　今のUTMの大半は、HTTPSの通信を監視していません。だからネットバンキングには全く意味がありませんし、グーグルでの検索表示もhttpsになっているので意味がありません。

　またZIPファイルも監視できていないことが多いです。

　マルウェア（ウイルス）もUTMで検知できるものはPCのセキュリティソフトでもほぼ100%検知できます。

　社内にwebサーバやメールサーバを設置して外部に公開している企業は絶対に必要ですが、webサーバがあっても社内だけで運用している場合は必要ありません。

　UTMを入れていたから感染を防げたということが全くないことはないので、入れる価値はゼロではありませんが、費用対効果を考えると薦めにくいかな？と思います。

　それならログ監視ソフトですね。これのログを確認して変なexeファイルが動いているのを見ている方が役に立つような気がします。

　当社では毎週木曜日13時30分～15時に少人数で参加型の情報セキュリティ実践対策セミナーをしています。

　お一人からでもご参加いただけます。

　こちらのページからお申込みいただくか、直接メールでも受け付けています。

　出張セミナーも随時行っています。

　原則交通費のみでお伺いしますので、希望される方はお気軽にお問い合わせください。

※無いとは思いますが、同業（OA機器販売業など）の方はご遠慮ください。　

　NHK9時のニュースで「ビジネスメール詐欺」が増えているというニュースをやっていました。

　海外の取引先との取引で代金支払いの直前に送金先口座を変更してほしいというメールを受けて変更先に送金してしまうという手口です。

　ニュースでは500万円という金額でした。

　中小企業ならこれが原因で倒産してもおかしくない金額です。

　なぜこういうことが起きたのか？を考えてみたいと思います。

　責任のほとんどは担当者にあるように思えますが、ことはそんなに単純ではありません。

　情報セキュリティのセミナーなどでは「不審なメールが届いたら相手に確認する」ということを必ず聞いているはずです。

　担当者がこのことを怠ったために誤って送金してしまったものと思われます。

　海外相手で金額も大きいのでメール内容とともに送金先も電話などで確認するべきでした。

　その他は組織の責任です。

　まず、情報セキュリティに対する指導をしていたか？　セミナーなどを受講できる環境にあったか？　ということが挙げられます。

　担当者が独学や無学で情報セキュリティに対処できるほど今の環境は優しくありません。

　組織が強制的に情報セキュリティに対する知識を習得させるべきです。

　担当者が習得できなければ、担当者を変える必要まであります。

　もう1つ、今回はメールの内容が偽物と疑う理由がないほど詳細に渡って同じ内容だったと言われています。

　考えられることは、メールの盗聴です。社内にスパイがいるとなれば別ですが、それはまた違う分野の犯罪です。

　以前のブログでも書きましたが、今多くの中小企業でやり取りされているメールの使い方には大きな問題があります。

　暗号化せずに送受信する、受信メールをサーバに残す、パスワードが短い、などなど盗聴し放題です。

　POP3というメールの受信プロトコルには、通常パスワードを何回か間違ったらロックアウトするという機能がありません。

　そしてアカウントはメールアドレスの前半部分かアドレス全体ですので、パスワードを順番に試していけばいつかはパスワードがバレます。

　いったんパスワードがバレれば、そのメールは受信し放題です。

　環境や性能に左右されますが、英数字8ケタのパスワードの場合3日から1週間でパスワードを突き止められるという話もあります。

　その他にも無線LANを使っていたり、ネットワークの管理がずさんだったりするともっと簡単に盗聴できる場合もあります。

　POP3とSMTPの使用を辞めて、暗号化されたPOP3sとSMTPsを使用する。

　Exchange Onlineなどセキュリティのしっかりしたメールサーバを使うなどの対策を明日からでも検討し、できるだけ早く導入するべきです。

　以上のことから、担当者以上に組織としての責任が大きいことが分かると思います。

　組織がきちんと指導したにも関わらず、担当者がその責務を果たせなかったかもしれませんが、多くの場合は組織の指導不足が多い気がします。

　昨年末～今年初めにかけて集中的に情報セキュリティセミナーをしていましたが、家庭の事情などもあり４ヶ月ほどお休みしていました。

　６月から毎週木曜日に情報セキュリティ実践対策セミナーを開講します。

　中小企業向けに特化した内容です。

　１、基礎知識として代表的なウイルス被害の手口と侵入経路

　２、侵入を防ぐために必要な手段・ソフト・機器

　３、侵入されても被害を防ぐために必要な手段・ソフト・機器

　４、できるだけお金をかけないセキュリティ対策

　などのテーマでやります。

　　文章にして書くと難しく感じるかもしれませんが、話を聞いてもらうと簡単だと思ってもらえると思います。

　当事務所内で限定４名で行いますので興味のある方はぜひ来てください。

　下記ページから申し込めます。

　「すっきり分かる 情報セキュリティ実践対策セミナー」

　原則、毎週木曜日にやりますのでご都合のいい日に来てください。

　本日、情報セキュリティマネジメント試験の合格発表がありました。

　すごい合格率です。

　全体で88%、社会人では90.3%、学生で57.1%です。

　受験者の90%以上が社会人という点も特徴の1つです。

　簡単すぎたんですかね？

　私も問題をさらっと見ましたが、確かに簡単だと思いました。

　しかしそれは、情報セキュリティスペシャリストの勉強をしたから簡単だと感じたのであって、一般の総務担当者が受験する分にはそれなりに難しいんだろうと思っていましたが、みなさん真面目に勉強したんですね。

　会社から絶対に資格を取得するように言われたのかもしれませんが、スゴイ数字です。

　秋の試験は一気に難しくなるでしょうから、今回見送った人は不幸かもしれません。

　でも合格者を増やしたいと言う思惑もあるでしょうからもう少し続くかもしれませんね。

　同時に発表された基本情報技術者の合格率が30%だったことを思うと複雑です。

　話は変わりますが、先日「情報処理安全確保支援士」という資格が新しく作られました。　

　これは情報セキュリティスペシャリストに変わる新しい資格らしいですが、他の「士業」同様、登録制になるそうです。

　情報セキュリティスペシャリスト、情報セキュリティアドミニストレータ、テクニカルエンジニア（情報セキュリティ）の資格を持っている人は、そのまま移行できるそうです。

　情報セキュリティの技術変化が早いので、登録制にして、講習を義務化してやっていこうということになりました。

　他の「士業」同様、資格に箔が付くのはいいことですが、独占業務が何もないんですよね。

　例えば不動産業には「宅地建物取引士」が必要だったり、税金のアドバイスをするには「税理士」の資格が必要だったりしますが、「情報処理安全確保支援士」でないとできない業務が何もないそうです。

　セキュリティ機器を販売する会社には必ず1人はいなければいけないとか、従業員何人以上の会社には必ず1人いなければいけないとかがないんです。

　こちらも早く整備してほしいですね。

　マイクロソフトから2016年5月分の修正プログラムがリリースされました。

　概要はこのリンクを見てください。

　今回もInternet ExplorerやJAVAの脆弱性対策が入っていますので、更新プログラムの適用は重要です。

　Windows10のhomeは否が応でも更新されるので拒否できないですけどね。

　そしてこれも定番と言っていいほど、Microsoftはやらかしてます。

　windows10で動作が異常に遅くなることがあるらしいです。

　原因と対策はこちらのページに詳しく載ってますので参考にしてください。

　CORTANAの設定を変更するだけのようですが、CORTANAは色々と問題を引き起こしますね。

　私は使わないのでOFFにしています。

　今まではWindows updateに選択の自由がありましたが、Windows10 homeには選択の自由がないので、リリース前のチェックは今まで以上にやってほしいですね。

　身代金型ウイルス「ランサムウェア」が流行っています。

　実際に流行っているというより、ランサムウェアに関する記事やメルマガがとても増えてきています。

　だから実際に被害に合う人が増えているかどうかは分かりませんが、数年前に比べると増えていると思います。

　まずはランサムウェアの挙動を簡単に説明します。

　「ランサムウェア」というウイルス（マルウェア）は感染すると、PCにあるExcelなどのファイルを暗号化します。

　暗号化してそのファイルを開けなくしてから、「開きたければ金を払え」というメッセージを送ります。

　お金を送金すると、複合キーを教えてくれてファイルが開けるようになるという具合です。

　この動きから「身代金ウイルス」とも言われています。

　但し、お金を振り込んだから開けるとは限りません。犯人が誠実（？）に対応してくれるか分かりませんから。

　例えば「locky」というランサムウェアは、感染したPCのファイルを暗号化し、拡張子を「.locky」に変更してしまいます。これに感染するとそのPCをあきらめてリカバリした方が早いです。ネットを検索すると駆除できそうなことを書いているサイトもありますが、駆除できたかどうか確かめようがないので二次被害につながる恐れがあります。

　この感染元はメールに添付されたwordファイルであることが多いようです。

　wordに限らずOfficeアプリケーションはマクロという機能が使えるのですが、訳も分からずマクロを使うとウイルスに感染したり、OSに深刻な影響を与える恐れがあります。

　そのために最初の設定では「警告を表示してすべてのマクロを無効にする」になっています。しかし、クリック1つでマクロを有効にできるのでクリックしてしまう人がいます。

そして感染してしまうのです。

　私はExcelでマクロを使いますが、WordやPowerPointではマクロを使いません。

　多くの人が私と同じか、それこそExcelでもマクロを使わない人が多いと思います。

　そのためにマクロの設定を「警告を表示せずにすべてのマクロを無効にする」に変更すべきです。

　こうしておけば、少なくともlockyに感染する恐れはかなり小さくなります。

　情報セキュリティ対策はいたちごっこですので、ウイルス対策ソフトだけに任せていてはいけません。

　不要なメールの添付ファイルは開かない、メールも開かない、不要なネットサーフィンはやめる、など当たり前のことをやり続ける必要があります。

　今回は「情報セキュリティ10大脅威」の第3位からです。

　第3位は標的型攻撃による諜報活動です。

　標的型攻撃とは、特定の企業を目的としてその企業の業務内容を調べ、その内容に似せたメールを送信したり、関連のあるWEBサイトに誘導することによりウイルスに感染させ、情報を盗み出そうとする攻撃です。

　最近は不審なメールに対して警戒し、安易に添付ファイルを開いたり、リンクをクリックすることが減ってきました。そのために業務に合致した内容のメールを作成し、その警戒をかいくぐろうとします。

　社員が数十人を超えると、この標的型攻撃から逃れることは非常に困難です。

　100人いれば少なくとも3～5人は引っかかってしまいます。

　また攻撃に用いられるウイルスも新しい専用のものが使用されますので、ウイルス対策ソフトでも検出されません。非常にやっかいな攻撃です。

　対策としては、

　・情報に対するアクセス権をしっかりと設定する

　・部門ごとにVLANを設定しウイルスの2次感染を防ぐ

　この2つは比較的簡単に、費用も安価（月額3000円以下程度）に設定できます。

　次に

　・ログ収集管理ソフトを導入し不審な操作履歴を検出する

　これで時間外の操作や不正な操作などの履歴からウイルスの感染を検出できますが、ソフトの導入にはそれなりの費用（月額20000円以下程度）がかかります。

　その他、C&Cサーバ対策などもありますが、費用が高額（月額50000円超）になるため中小企業では現実的ではありません。

　第4位はWEBサービスへの不正ログインです。

　これはYahoo!や楽天などのサイトに接続するアカウントやパスワードを窃取され、身に覚えのない買い物をされたり、不法な書き込みをされたりする被害です。

　以前はブルートフォース攻撃と言って、すべての組み合わせのパスワードを入力して一致するものを探す方法が主流でしたが、最近は一定回数パスワードを間違えるとロックアウトされるサイトが一般的になりましたので、リスト型攻撃が主流になっています。

　リスト型攻撃とは、脆弱性のあるサイトから窃取したアカウントとパスワードの組み合わせで他のサービスにログインを試みる方法です。

　アカウントは多くの場合メールアドレスで共通ですので、複数のサイトで同様のパスワードを使用しているとリスト型攻撃の被害に会いやすくなります。

　パスワードの使いまわしには注意しましょう。

　またなるべく長いパスワード（10文字以上）を使用し、数字・アルファベットの大文字・小文字・記号など複雑なパスワードが望ましいです。

　第5位はWEBサービスからの顧客情報の窃取です。

　これはサービスを提供しているWEBサイト側で対策をしてもらわないとこちらではどうしようもできません。

　必要ないサイトには登録しない、セキュリティ管理が甘そうなサイトには登録しないことが必要です。

　特にクレジットカード情報などの入力には注意が必要です。

　第6位はハッカー集団によるサイバーテロです。

　世界的にはアノニマスと呼ばれる集団がサイバー攻撃を仕掛けています。

　日本では中国や韓国からサイバー攻撃を受けることが多いようです。

　中小企業には直接関係ありませんが、サーバやルーターの設定に不備があると攻撃に利用されることがあるので、メーカーサイトを確認して最新のファームウェアに更新したり、攻撃に加担しないような設定が求められます。

　第7位はウェブサイトの改ざんです。

　ホームページを持っておられる企業も多いと思いますが、そのホームページを改ざんされ不正な表示をされたり、訪問者をウイルス感染の被害に合わせるなど、近年増えています。

　ホームページを管理するアカウント、パスワードをしっかりと管理する、必要に応じて定期的に変更することと、ホームページにおかしな点がないか定期的に確認することが必要です。

　特に見た目は変わっていなくても目に見えない部分で変更されている場合があるので、作成担当者がファイルの更新日付などを確認することが望ましいです。

　第8位はインターネット基盤技術の悪用です。

　これに関してインターネットプロバイダなどネットワーク事業者側で対処してもらうだけですので、一般の中小企業でできることはありません。

　第9位は脆弱性公表に伴う攻撃

　インターネット技術は日進月歩しており、昨日まで安全だったものが明日以降も安全だとは限りません。

　脆弱性が見つかるとメーカーは修正ソフトを作り、完成すると公表して広く修正ソフト（パッチと言います）の適用を呼びかけます。

　この段階でその脆弱性は世界中に知れ渡るわけですから、公表された修正ソフトはすぐに適用するべきです。

　一般的にはタスクトレイ（windowsで通常右下の時計がある部分の小さいアイコンの集まっている場所）に通知されますので、毎日確認して適用するようにしましょう。

　第10位は悪意のあるスマートフォンアプリです。

　iPhoneは原則appleが認可したものしかインストールできませんので、比較的安全です。

　それに対してandroidのスマートフォンは自由にアプリをインストールすることができますので、危険なプログラムをインストールしてしまうこともあり注意が必要です。

　多くはアドレス帳の窃取などですが、wifi接続情報やクレジットカード情報などを盗まれる危険もあります。

　企業でBYOD（Bring Your Own Device-個人のスマホなどを業務で使用する）を認めている場合には、セキュリティポリシーの作成が必要です。

　業務での利用を許可したり、社内のwifiに接続させる前には、スマートフォン情報の登録はもちろん、紛失した場合には会社側で端末のロックや全消去できるようにしておくべきです。

　以上10大脅威について簡単に述べました。

　費用を掛けないとできないこともありますが、費用を掛ければ全て解決するわけではありません。反対に費用を掛けてもできないことの方が多いです。

　大切なことは情報セキュリティに対して、意識し、きちんと理解することです。

　当社では社員教育向けのセミナーも開催できます。

　ご興味のあるご担当者様はお問合せください。

　企業からの情報漏えいが止まりません。

　昨年終わりからマイナンバー制度も導入され、ますます情報セキュリティの重要性が増してきました。

　しかし、多くの中小企業にとって売上に結びつかないだろうセキュリティ機器にかけられる経費は限られています。

　「情報セキュリティスペシャリスト」として中小企業に必要なセキュリティについて何回かに分けて書いてみたいと思います。

　まず、情報セキュリティの脅威とは何か？ですが、「情報セキュリティ10大脅威」というものがIPA（情報処理推進機構）から発表されています。

　https://www.ipa.go.jp/security/vuln/10threats2015.html

　それによると

　第1位　インターネットバンキングやクレジットカード情報の不正利用

　第2位　内部不正による情報漏えい

　第3位　標的型攻撃による諜報活動

　第4位　ウェブサービスへの不正ログイン

　第5位　ウェブサービスからの顧客情報の窃取

　第6位　ハッカー集団によるサイバーテロ

　第7位　ウェブサイトの改ざん

　第8位　インターネット基盤技術の悪用

　第9位　脆弱性公表に伴う攻撃

　第10位　悪意のあるスマートフォンアプリ

　となっています。

　第1位のインターネットバンキングやクレジットカードの不正利用は個人・法人を問わず重要な問題です。

　対策としては、

　・一般的なウイルス対策ソフトの導入、

　・銀行が提供する銀行取引に関わるウイルス対策ソフトの導入、

　・インストールされているアプリケーションを常に最新バージョンに更新する

　の3点です。

　一般的なウイルス対策ソフトとは、ウイルスバスターやESET、Norton、マカフィーなどのソフトです。メールに添付されたファイルやインターネットからダウンロードしたファイルをチェックします。

　次の銀行取引に関わるウイルス対策ソフトとは、銀行のホームページから無料でダウンロードできるソフトです。一般的なものとは違い、ネットバンキングの通信時に限り動作するようになっていて、主に不正な通信を監視、遮断します。

　最後のアプリケーションを常に最新バージョンに更新することもとても大切です。PDFリーダーやFlash、JAVAなどのアプリケーションには脆弱性と呼ばれるセキュリティ上の不備があります。新しく発見されると修正されますが、その修正を適用しない状態が長く続くと悪意のある第三者に利用されます。

　この不正には、UTM（統合脅威管理）はほとんど役に立ちません。

　アプリケーションが最新バージョンになっているかの確認にはログ収集管理ソフトも役に立ちますが、IPAからのバージョンチェッカーソフトを利用することもできます。

　JRE版　http://jvndb.jvn.jp/apis/myjvn/vccheck.html

　.NET Framework版　http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html

　IPAの下記ページを参考にして、日常のPC利用時に注意してもらうことも大切です。

　https://www.ipa.go.jp/security/measures/everyday.html

　第2位の内部不正による情報漏えいはベネッセの事件の後も散発的に続いています。

　中小企業では情報漏えいしても発覚しないことも多く、またその社会的責任も大きくないと考えられていることから、情報漏えい対策は非常に遅れていました。

　しかしマイナンバー制度の導入に伴いしっかりとした対策が求められるようになっています。

　情報漏えい対策は、まずセキュリティポリシーの策定から始まります。

　正しい役割分担とアクセス権の設定、アクセス時間の制限に加え、操作ログを収集管理することで、不正が起きる芽を摘むことが大切です。

　不正できない環境作りと不正をしたらばれてしまうという意識付けの両方で不正をしようという気持ちにさせないことが一番です。

　セキュリティポリシーと言っても難しく考える必要はありません。

　PCを使う人にやるべきこととやってはいけないことを周知徹底してもらうだけでも効果が見込めます。

　それに加えてログ収集管理ソフトで不正をしてもばれるということを理解してもらえばさらに効果が増すでしょう。

　次回は第3位～の事案について書いていきます。