情情情情情情 20 情情情 中中中
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
情報漏洩対策20 のツボ
中田亨
情報をどう使うかの問題 事故を受けて、指摘を受けて、やる泥縄ではダメ 仕事が速くかつ安全に回ることを目指す
1. 情報セキュリティーは 対策ではなく運用だ
「目的は情報漏洩したくない」 なら廃業すればよい。
本当は何のために情報を使うの? 本当は何のためにコンピュータを使うの? 目的例:「お客様にすぐに提案できるようにした
い」等
2. まず目的を決めよ
「電子メールは厳重に管理」でも、「まちがいFAX ダダ漏れ」ではダメ
使っている装置、情報の流れを、全部棚卸しして、一番弱いところに注目する
3. コーディネートせよ
「出先に行く。プレゼンする。交渉する。メールを出す・・・」というシナリオ
どんな情報がいつ、どこで、なぜ、どれだけ、欲しいかが分かる
「情報は何でも厳重に管理」では何もできない
4. ストーリーで考えよ
情報事故の 9 割以上は、内部人員による紛失や誤送付、誤設定で起こる
ガードレールがないのに、飛ばしすぎ ガードレール:「メールソフトが誤送付を阻止し
てくれる」 飛ばしすぎ:「家に持ち帰って仕事しよう」「面
倒くさいからメールで送ろう」
5. 情報セキュリティの大半は内部ミス
「安全のため、ネットから隔離する」 「ファイルの輸送を USB メモリで」 「 USB メモリを紛失」
どんなに素晴らしいセキュリティ技術であっても、副作用がある。
比較せよ。一番副作用の小さいやり方を選べ 副作用を知って使え
6. 角を矯めて牛を殺すな
「情報セキュリティは裏方の仕事」ではダメ 「安全投資をケチって大損害」もよくある話 「一番デキる人が担当する」という慣例にせよ
7. 出世頭に担当させろ
「事故が起きてから何かする」ではダメ プロアクティブ:前もって備える 定期的に活動する 対事故訓練する
8. 先手を取れ
サイバー攻撃詐欺の3戦法 ニセ警官型:「このメールは情報セキュリティ本
部からのものです。添付を開きなさい」 パニック型:「大至急の案件なんです!パスワー
ド教えて」 薄味型:「駐車場でランプが点いている車があり
ます。その写真を添付に」
9. 薄味戦法が一番強い
振り込め詐欺撃退法 電話の前に「ヒロシかい?」と書いた紙を貼って
おく。(ヒロシなんて息子はいないけど。) どんな電話にも、「ヒロシかい?」と答える。振
り込め詐欺は「ヒロシだよ」と答える。 会社を標的とするサイバー攻撃も、詐欺電話でパ
スワードを聞き出す。怪しい電話には、「企画部のオオヒガシ部長ですか?」と架空部署名人名を用意。
10. ハニーポット(敵ホイホイ)を準備せよ
パスワードだけでは、使わせない方式 「登録済のパソコンでないとダメ」 「登録済の ICカードもないとダメ」 パスワードを盗聴されることへの備え
11. 二要素認証を使え
安易なもの「 123456 」「 password 」「 admin 」は即死する
ちょっと複雑なものも、オフライン攻撃でも死ぬ。(ファイルは暗号化しても、敵の手に渡れば、その手元で無限にアタックされる)
複雑なものは覚えきれないので、紙に書いてしまい、盗み見られる。
パスワードは破られやすいので二要素認証を同じパスワードをあれこれに使い回さない
12. パスワードの弱点を知れ
生年月日 電話番号 車のナンバー郵便番号 の、どれかである。 「4桁暗証番号」の方式は使うな
13. 4桁の暗証番号は念力で破れる
「今まで使ってきて便利で安全だった」は、それほど便利でも安全でもない
FAX で送付? まちがえて漏れますよ BCC で一斉メール配信? 事故多発ですよ
金があるなら、最新の技術を買う ないなら、危険な現状を縮小する
14. 現状を疑え
「 122 」は、「 112 」と読み間違える 3桁以上の数字の連続は、事故の種区切りを入れよう「 12-2 」 まぎらわしい文字は、パソコンに読み上げさせよ
う
ぞろ目が危ない
リスクを抱え込んでいる人が多い 「実は、規則違反の装置を持ち込んでいる」 「実は、パソコンがウィルスに感染」 「実は、その人しか使い方を知らない」 その人がいない時に起こる変化で、リスクがわか
る
16. 長期休暇を強制で取らせよ
膨大な情報が退職者と共に出ていく 漏洩はゼロにはできない。脳内記憶は残る 面談して、何がどれだけ漏れるのか、話し合おう。 電子的なアカウントは即刻無効に。
17. 退職時は漏洩時
「人間、十把一絡げ管理」は、大事故の常連 “ 誰でも読めるファイル” “ 誰でも使えるパソコン” “管理者は、いつでも管理者権限行使”
18. 分割して統治せよ
情報を漏らさないと、相手も教えてくれない 「実は弊社はこう計画しているが、御社はどう思
う?」 何が Win-Win の情報なのか見極めよ 「漏らしても、自分に損なし、相手喜ぶ」 「教えてもらっても、自分喜ぶ、相手損なし」
19. 情報は使うと漏れる
来たるべき大災害に打ち勝つことが大目標 情報が一番欲しい。「家書万金に抵る」 2014年豪雪。市長が twitter で情報提供呼びか
け普通は、有益な情報を集めることは難しい 交換の場の用意。使用法の事前策定(誰が呼びか
ける、誰に呼びかける、個人情報はどこまで書いてよいか)
20. 情報価格の暴騰に備えよ
Related Documents
