皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

間もなく多くの企業がお盆休みに入ります。

そこで、今日は長期休暇中の情報セキュリティ対策に関してお話しします。

長期間中の情報セキュリティ対策

まず、長期休暇に入る前には緊急時の体制や対応手順などの再確認を行っておくと良いです。

また、長期的に使用しないもので、電源をOFFにしても問題のない機器類は電源をOFFにしておくのも良いです。

次に、長期休暇明けの対応ですが、休み明けの最初の行動は以下が望ましいです。

１．Windows OSや利用ソフトのセキュリティ更新などがリリースされている場合がありますので、それらを確認の上、修正プログラムの適用を行う。

２．セキュリティソフトの定義ファイル更新を最新に更新する（自動の場合はWindows起動後に更新される場合も多いです）。

３．情報セキュリティ担当者は不正なアクセスがなかったかのログ確認を行う。

このようなことは最低限行いたいところです。

その他、PCやUSBメモリなどを社外に持ち出す場合、社外でのウイルス感染や情報漏えいなどに十分注意し、返却時においてもウイルスチェックなどを行い、問題が起きていないかを十分に確認した上で社内ネットワークに接続を行うことが望ましいです。

最後に、長期休暇明けのメールにも十分気をつけてください。

長期休暇中はメールが溜まっていることが多く、誤って問題のあるメールの添付ファイルを開いてしまったり、本文中のリンクURLをクリックしてしまったりすることなどを狙ってウイルスメールなどが送られていることもありますので、こちらも十分な注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）は、近年のウイルス感染や不正アクセスなどによる大量の個人情報漏えいなどを受け、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』を実施しました。

それによると、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元企業が多いことなどが明らかになりました。

セキュリティを重視しないIT業務委託

まず、調査結果のポイントとして以下の2つが挙げられています。

１．情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

２．委託契約における情報セキュリティ上の責任範囲（責任分界点）がわからないと回答する割合が、委託元、委託先とも最多。

そして、締めくくりでは以下のようにまとめられています。

(1)委託元の情報セキュリティに関する取組みの強化
■　調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、委託元では取組みが進んでいるのは情報通信業や金融業、保険業等の特定の業種に限定されている傾向がみられた。
■　ITサプライチェーンリスクマネジメントは、委託元と委託先、再委託等のITサプライチェーンの関係者が各々業務を実施する上で適切な情報セキュリティを確保することでより効果的に実現される。本来あるべき姿として、委託元が情報セキュリティの確保を主導できるよう取組みの強化を図っていくことが必要と考えられる。

(2)情報セキュリティの取組みに関する共通的な指標の必要性
■　調査を通じて、委託先は委託元から要求される情報セキュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。また、委託元はそれらの結果の確認や評価に大きな労力を費やしている現状が
見えた。
■　こうした委託元、委託先の対応を効率化するため、委託先における対策の実施と委託元による対策の確認の両面で利用できる、 ITサプライチェーンの情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。
■　委託先で最低限実施すべき情報セキュリティ対策が共通的に認識されることで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確になるとともに、委託先でも共通的な指標に沿った対策の実施
状況を提示することで、委託元ごとに個別の情報提示を行う手間が効率化されることが期待される。

(3)委託元と委託先の責任範囲明確化の必要性
■　調査を通じて、委託元と委託先の情報セキュリティ上の責任範囲が不明という点が課題として認識されている。
■　委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策が実施されることを前提に、両者の責任範囲と負担について合意し、損害等の負担についても契約上で明記することが望ましい。

経済産業省が公開した『サイバーセキュリティ経営ガイドラインVer2.0』において、経営者が認識すべき3原則の1つに『自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要』がありますが、まだまだ継続的な課題と言えそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日々さまざまな迷惑メールが拡散されていますが、今回は『佐川急便』を装った迷惑メールが事業者宛に送られているようです。

佐川急便を装ったメールで感染の恐れ

今回のものは事業者宛に送信されているようで、迷惑メールに記載されているアドレス（URL）にアクセスするとウイルス感染する可能性があるとされています。

件名は『[佐川急便]請求内容確定のご案内』とされており、電子請求書発行サポートに登録したユーザーを対象に配信したとされるものです。

本文中には『請求書番号』、『WEBトータルサポート（電子請求書発行サポート）へのログインはこちら』などに誘導用のリンクが施されており、それらのアドレス（URL）からアクセスしてしまうことでウイルス感染してしまう可能性がありそうです。

ちなみに、この迷惑メールは実際に私の会社にも届きましたが、佐川急便にメール登録しているかどうかは無関係のようです。

また、ドメインから考えると事業者宛に送られていることも理解ができますが、メールアカウントから考えると事業者宛ということが当てはまらない可能性もあります。

送信元はブルガリアからのようですが、こういった迷惑メールは海外から複数のサーバーを経由して送られてくることと、今回は経路偽装はありませんでしたが、それが偽装されていることも普通にあります。

ただ、SPFを見るとfailであることから佐川急便のドメインを偽装していることは明らかです。

これらの迷惑メールは日々さまざまな形で拡散されており、残念ながら根絶することは不可能です。

セキュリティソフトによる検知と、メールに対する注意を常日頃から心掛けることが重要です。

この迷惑メール（スパム）はいつになったら来なくなるのでしょうか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

日々迷惑メールが来ることで非常に嫌な思いをされておられる方は多いかと思いますが、そんな迷惑メールは何故届くのでしょうか？

迷惑メールが届く理由

迷惑メールが届くのには多くの理由があります。

１．そのメールアドレスをインターネット上のどこかで登録し、それが盗み取られている

２．送り主が無作為に送っている

３．ホームページ上に掲載されている名前から連想されている

４．名刺交換をした相手のPCがウイルス感染などによりメールアドレスが漏れてしまった

５．etc…

迷惑メールの対策方法

この迷惑メールに対する対策としては以下のような方法があります。

１．セキュリティソフトで迷惑メールをブラックリスト化する

２．レンタルサーバ側のメール設定にてフィルタリングをかける

３．メールソフトにてフィルタリングをかける

４．メールアカウントを変更する

５．etc…

しかし、これらの対策を行っても完全に迷惑メールがなくなるわけではありませんし、仕事で使っているメールアカウントを変更することはあまり現実的ではありません。

また、あまりにもフィルタリングをかけ過ぎると必要なメールも迷惑メール扱いになってしまうこともあります。

迷惑メールは終わらない

実際のところ、迷惑メールは完全にはなくなることはないでしょう。

携帯電話やスマートフォンのように、メールアドレスを複雑なものにしていれば確率的にはかなり減少するでしょうが、仕事で使うメールアカウントはそこまでわかりにくいものにはしづらいものがあります。

（大半が名前を使ったメールアカウントにしていることが多いはずです。）

それよりも重要なことは、

１．基本的な対策は行っておく

２．受信トレイに怪しいメールが届いても添付ファイルを開いたりリンクをクリックしたりしない

といったことを意識しておくことが重要です。

私のところにも日々数十通は迷惑メールが届いたりしますが、それらは基本的に迷惑メールフォルダやウイルスメールフォルダに展開されることになっています。

そして、その中に必要なメールがないことだけを確認し、基本的には全て削除して終わりにしています。

もちろんサーバ側にもフィルタリングなどの対策は行っていますが、前述の通り、それらだけでは完全には防ぎきれないのが現状です。

皆さん、こんにちは。

業務コンサルタントの高橋です。

あるリサーチ会社が調査した、情報漏えいや紛失事故などの調査結果によると、それらの原因は、従業員や外注業者による内部的な要因が約8割を占めていることがわかりました。

では、具体的にはどのような内容なのでしょうか？

情報漏えい・紛失事故の内訳

一番多いのは紛失や誤廃棄で、全体の46%にも上ります。

次いで誤送信が21%、盗難が10%です。

これらは全て人による内部的な要因がもたらした結果で、それ以外のウイルス感染や不正アクセスといった外部要因は18%程度、残りの5%は不明という調査結果が出ています。

調査結果から言えること

当然ながら外部攻撃に対するセキュリティは必要ですが、それ以前に、内部要因でインシデントが起きないよう、社内においても徹底した管理が必要になってくるということです。

情報漏えい・紛失事故の内部対策

情報管理に対する運用マニュアルなどを作成し、それを内部で徹底管理することが第一にあります。

例えば、個人情報などが記録された媒体を社外に持ち出すことを禁止したり、重要情報へのアクセス権限の制限をするなどです。

他にも、誰が・いつ・どこから・何にアクセスしたのか？などのイベントログを残し、それらを監視したりすることも必要です。

ただし、小規模事業者においてはハードルの高いことでもありますので、まずは重要情報などを社外に持ち出さないなど、やれるところから順次着手していかれると良いでしょう。

]]> https://www.trilogyforce.com/blog/80percent-of-the-information-leak-is-an-internal-factor/feed/ 0