http://ceo.lrm-corp.jp 大阪のベンチャー企業　LRM 代表の幸松です。ISMSやPマーク等の情報セキュリティに関することや、ECサイトやSEM等のWebに関すること。会社経営に関する事をつれづれと書いていきます。　Twitterの内容も表示させています。 Thu, 09 Feb 2012 16:03:55 +0000 ja hourly 1 http://wordpress.org/?v=3.0.3 http://www.iso27001.jp/%E3%80%8C%E4%BA%BA%E3%80%8D%E3%81%8C%E8%B5%B7%E3%81%93%E3%81%97%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86%E6%83%85%E5%A0%B1%E6%BC%8F%E3%81%88%E3%81%84/ http://www.iso27001.jp/%E3%80%8C%E4%BA%BA%E3%80%8D%E3%81%8C%E8%B5%B7%E3%81%93%E3%81%97%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86%E6%83%85%E5%A0%B1%E6%BC%8F%E3%81%88%E3%81%84/#comments Tue, 05 Apr 2011 09:05:06 +0000 yukimatsu http://www.iso27001.jp/?p=1396 IPAから2011年3月24日に「2011年版 10大脅威『進化する攻撃・・・その対策で十分ですか？』」が公開されました。
PDFで資料がダウンロード可能ですのでセキュリティ担当の方は目を通しておいた方が良いでしょう。

今回から何回に分けて10大脅威の中で気になった点をブログで取り上げていきたいと思います。
まず、最初は堂々の（？）第1位となった「人」が起こしてしまう情報漏洩です。

ちなみに「人」が起こしてしまう情報漏洩は2006年度からずっと10大脅威にランクインしている定番の脅威です。

2006年度からの順位の変遷は以下のようになっています。
7位(2006)→3位(2007)→5位(2008)→5位(2009)→1位(2010)

セキュリティ対策というとイメージ的には、何でもかんでもシステムで対応すると思われている方も多いですが、実際はそんなことはありません。
もちろん中にはお金がたっぷりあってシステムでガッチリしている会社もありますが、多くの中堅・中小企業ではシステム以外の部分での対応もしています。

俗に言う「運用でカバーしています」という状況です。
この場合はどうしても漏洩が起こる可能性が高くなります。

資料では故意による情報漏えいとして①データの持ち出しと②暴露・組織外部への情報流布、過失による情報漏えいとして①誤送信と②紛失・盗難が上げられています。

故意による情報漏えいの②に関しては、TwitterやFacebookを始めとして個人でも手軽に情報を外部に発信できる環境になったのも影響していると思います。
悪気がなくて、いつものようにつぶやいたら、つぶやいた内容に業務内容が含まれていて後で取り返しがつかなくなった事例もあります。

過失による情報漏えいの①に関しては、メール、FAXともに誤送信がなかなかなくなりませんね。
こちらに関してはメールの暗号化等で間違えて送っても内容が分からないようにする等のソリューションが出ていますので自社にあった対応をしていくのが良いと思います。

敢えてメールの利用を制限して、チャットや掲示板で情報のやり取りをするのも1つの手段だと思います。

情報漏えいの場合は、起こってしまった場合に企業イメージの低下や損害賠償等が発生するなど企業経営に直接影響を与える可能性があるので従業員が増えるほど、しっかりと対策をとっていかないとダメでしょう。

[参考サイト] IPA：「2011年版 10大脅威 進化する攻撃．．．その対策で十分ですか？」を公開

]]> http://www.iso27001.jp/%e3%80%8c%e4%ba%ba%e3%80%8d%e3%81%8c%e8%b5%b7%e3%81%93%e3%81%97%e3%81%a6%e3%81%97%e3%81%be%e3%81%86%e6%83%85%e5%a0%b1%e6%bc%8f%e3%81%88%e3%81%84/feed/ 0