皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構

そして、そこからさらに2年と1ヶ月強が過ぎ、とうとう昨日の投稿で『1,000 記事』に到達です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、とうとう『1,000 記事』までたどり着きました！

途中、幾度ものお休みのご連絡を含めてではありますが、4年と3ヶ月弱でとうとう『1,000 記事』到達です。

『500 記事』に到達した際、

この先いつまで継続できるかはわかりませんが、毎日が困難であれば週1・2回だけでも可能な限り情報をお届けできればと思っておりますので．．．

と書きました。

しかし、内心は『何とか1,000 記事までは．．．』という気持ちもあったのも記憶しています。

お陰様で、日々読んでくださる読者の数も当時より増えました。

ありがとうございます。

本職が『IT』・『WEB』・『情報セキュリティ』ということもあり、『会計』・『制度』・『法律』に関する記事は減ってはおりますが、気づいた都度、事業者向けに役立ちそうなものをお届けできればとは思っております。

（今後はもっとラフで個人的な記事にチェンジしたい気持ちもありますが．．．）

そして、この先いつまで投稿できるかはわかりませんが、毎日が困難であれば週1・2回だけでも可能な限り情報をお届けできればと思っておりますので、引き続きよろしくお願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneがアメリカで発売されたのが2007年、約12年前ですから14年前となるとスマートフォンやタブレットはなく、フィーチャーフォンの時代でした。

しかし、家庭向けの光回線も既に世に出ており、日本のインターネット人口は70%を超えるまで普及していました。

ということは、14年前には既にインターネット上の脅威にさらされていたということになります。

情報セキュリティの基本は今も昔も同じ

東京ビッグサイトでプレゼンテーションを行ったIPA（独立行政法人情報処理推進機構）の研究員はこのように語ったそうです。

14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ。

その後、スマートフォンやタブレット、IoT機器の登場などにより環境は拡大し、脅威にさらされるものが増えた＝標的が増えたということはありますが、IPAの研究員はこのようにも述べています。

多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない。

そして、以下の5つの対策を挙げています。

・ソフトウェアの更新

・セキュリティソフトの利用

・パスワードの管理、認証の強化

・設定の見直し

・脅威、手口を知る

この5つです。

つまり、技術の進化とともに攻撃手法はどんどん巧妙になってきてはいるものの、それへの対策の基本は同じということです。

今も昔も情報セキュリティの基本は同じなのです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、2年数ヵ月ぶりに大幅改訂された『中小企業の情報セキュリティ対策ガイドライン（第3版）』がIPA（独立行政法人情報処理推進機構）から公開されましたので、それをお伝えします。

中小企業の情報セキュリティ対策ガイドライン第3版

＜概要＞

「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業（以下「中小企業等」）の利用を想定しています。
　第3版は第2版（2016年11月公開）から2年4か月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたものです。改訂のポイントは、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現としたことです。
　例えば実践編において、対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう構成の見直しを行ったことです。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」を追加しました。
　中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。 また、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須であると言えます。
　本ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることを期待しています。

このように、昨今の『サイバー攻撃の巧妙化』や『中小企業などにおけるIT環境の変化』などを受け、『経営者が認識し実施すべき指針』、『社内において対策を実施する際の手順や手法』などがわかりやすくまとめられています。

改めて確認し直す良い機会でもありますので、是非読んでみて下さい。

『中小企業の情報セキュリティ対策ガイドライン第3版（全62ページ、7.00MB） /PDF』

・付録1：『情報セキュリティ5か条（全2ページ、726KB） /PDF』

・付録2：『情報セキュリティ基本方針（サンプル）（全1ページ、34KB） /Word』

・付録3：『5分でできる！情報セキュリティ自社診断（全8ページ、3.9MB） /PDF』

・付録4：『情報セキュリティハンドブック（ひな型）（全10ページ、212KB） /PowerPoint』

・付録5：『情報セキュリティ関連規程（サンプル）（全50ページ、171KB） /Word』

・付録6：『クラウドサービス安全利用の手引き（全8ページ、2.8MB） /PDF』

・付録7：『リスク分析シート（全5シート、92KB） /Excel』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年も『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2019』を公表しましたのでご紹介します。

これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2019

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：ビジネスメール詐欺による被害（昨年順位：3位）

3位：ランサムウェアによる被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃の高まり（初）

5位：内部不正による情報漏えい（昨年順位：8位）

6位：サービス妨害攻撃によるサービスの停止（昨年順位：9位）

7位：インターネットサービスからの個人情報の窃取（昨年順位：6位）

8位：IoT機器の脆弱性の顕在化（昨年順位：7位）

9位：脆弱性対策情報の公開に伴う悪用増加（昨年順位：4位）

10位：不注意による情報漏えい（昨年順位：12位）

＜個人の10大脅威＞

1位：クレジットカード情報の不正利用（昨年順位：1位*1）

1位：フィッシングによる個人情報等の詐取（昨年順位：1位）

3位：不正アプリによるスマートフォン利用者への被害（昨年順位：4位）

4位：メール等を使った脅迫・詐欺の手口による金銭要求（初）

5位：ネット上の誹謗・中傷・デマ（昨年順位：3位）

6位：偽警告によるインターネット詐欺（昨年順位：10位）

7位：インターネットバンキングの不正利用（昨年順位：1位）

8位：インターネットサービスへの不正ログイン（昨年順位：5位）

9位：ランサムウェアによる被害（昨年順位：2位）

10位：IoT 機器の不適切な管理（昨年順位：9位）

（*1）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の『インターネットバンキングやクレジットカード情報等の不正利用』を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。

以上のような内容で公表されています。

また、今後の脅威に対する懸念として、AI（人工知能）を用いた新たなサイバー攻撃に対しても触れられています。

参考資料：『情報セキュリティ10大脅威 2019（PDFファイル：3.98MB）*2』

（*2）資料配布元：IPA 独立行政法人情報処理推進機構

一度は利用経験がある方も多い『宅ふぁいる便』、実はお粗末な仕様で管理されていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外からの不正アクセスによって個人情報が流出した『宅ふぁいる便』、私も過去に利用経験がありますが今は利用していません。

この情報漏えい、今の時代としては考えられない状態で管理されていたことには驚きです。

ファイル転送サービスは暗号化されたものを

『宅ふぁいる便』における大きな問題として、パスワードをはじめとした個人情報は一切『暗号化』されておらず、保管されているファイルも『暗号化』はされていなかったことにあります。

個人情報保護や情報セキュリティの徹底がさけばれる昨今においては考え難い管理です。

『ファイル転送サービス』を利用することそのものは決して悪いことであるとは思いません。

個人的にはメールに添付するよりも良いと思っています。

もし今後も『ファイル転送サービス』を利用したい場合、『暗号化されている』ことは当然ですが、『会員登録不要』のサービスがお勧めです。

例えば、以前ご紹介したMozillaの『Firefox Send』のことです。

もしくは『Google Drive（グーグルドライブ）』などを使っての受け渡しを行うことでも良いでしょう。

（『Dropbox（ドロップボックス）』は個人的にはお勧めしません。過去に情報漏えいがあったことで迷惑メール被害が結構ありました。）

ただし、自身のGoogleアカウントは必ず2段階認証を設定すべきです。

最後に、『宅ふぁいる便』を過去に利用したことがある方も含め、他のサービスなどにおいて『パスワード』の変更を行うべきです。

すでに流出してしまっている以上、『宅ふぁいる便』の復旧後にただ退会するだけでは意味はありません。

参考：＜宅ふぁいる便から漏えいした情報＞

・氏名（ふりがな）

・ログイン用メールアドレス

・ログインパスワード

・生年月日

・性別

・ 職業、業種、職種

・居住地の都道府県名

・居住地の郵便番号

・勤務先の都道府県名

・勤務先の郵便番号

・配偶者

・子供

※　すでに退会していても漏えい対象になっている可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末、内閣サイバーセキュリティセンター（NISC/National center of Incident readiness and Strategy for Cybersecurity）よりサイバー攻撃に関する注意喚起が発出されています。

今日はそれについてお伝えします。

NISCによるサイバー攻撃の注意喚起

以下、外務報道官談話です。

中国を拠点とするAPT10といわれるグループによるサイバー攻撃について（外務報道官談話）

１．サイバー空間の安全は、我が国を含む国際社会の平和と繁栄を確保する上で極めて重要です。

２．こうした中、12月20日から21日（現地時間）にかけて、英国及び米国等は、中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても、サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており、サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。

３．我が国においても，APT10といわれるグループからの民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認しており、かかる攻撃を断固非難します。

４．中国を含むG20メンバー国は、サイバー空間を通じた知的財産の窃取等の禁止に合意しており、国際社会の一員として責任ある対応が求められています。

５．今後とも、政府として国内のサイバーセキュリティ対策の徹底に関する注意喚起を実施する予定です。

６．我が国としては、今後も、国際社会と緊密に連携して、自由、公正かつ安全なサイバー空間の創出・発展のための取組を進めていきます。

また、IPA（独立行政法人情報処理推進機構）では『日常における情報セキュリティ対策』を紹介しています。

＜組織のシステム管理者向け＞

１．情報持ち出しルールの徹底

２．社内ネットワークへの機器接続ルールの徹底

３．修正プログラムの適用

４．セキュリティソフトの導入および定義ファイルの最新化

５．定期的なバックアップの実施

６．パスワードの適切な設定と管理

７．不要なサービスやアカウントの停止または削除

＜組織の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．パスワードの適切な設定と管理

４．不審なメールに注意

５．USBメモリ等の取り扱いの注意

６．社内ネットワークへの機器接続ルールの遵守

７．ソフトウェアをインストールする際の注意

８．パソコン等の画面ロック機能の設定

＜家庭の利用者向け＞

１．修正プログラムの適用

２．セキュリティソフトの導入および定義ファイルの最新化

３．定期的なバックアップの実施

４．パスワードの適切な設定と管理

５．メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意

６．偽のセキュリティ警告に注意

７．スマートデバイスのアプリ導入時の注意

８．スマートフォン等の画面ロック機能の設定

まずは不審なメールや添付ファイルを開かず、WindowsなどのOSやプログラムのパッチ（修正プログラム）やアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策の一層の強化を行うよう注意喚起が発出されています。

参考１：APT10といわれるグループによるサイバー攻撃について（注意喚起）

参考２：日常における情報セキュリティ対策

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

間もなく多くの企業がお盆休みに入ります。

そこで、今日は長期休暇中の情報セキュリティ対策に関してお話しします。

長期間中の情報セキュリティ対策

まず、長期休暇に入る前には緊急時の体制や対応手順などの再確認を行っておくと良いです。

また、長期的に使用しないもので、電源をOFFにしても問題のない機器類は電源をOFFにしておくのも良いです。

次に、長期休暇明けの対応ですが、休み明けの最初の行動は以下が望ましいです。

１．Windows OSや利用ソフトのセキュリティ更新などがリリースされている場合がありますので、それらを確認の上、修正プログラムの適用を行う。

２．セキュリティソフトの定義ファイル更新を最新に更新する（自動の場合はWindows起動後に更新される場合も多いです）。

３．情報セキュリティ担当者は不正なアクセスがなかったかのログ確認を行う。

このようなことは最低限行いたいところです。

その他、PCやUSBメモリなどを社外に持ち出す場合、社外でのウイルス感染や情報漏えいなどに十分注意し、返却時においてもウイルスチェックなどを行い、問題が起きていないかを十分に確認した上で社内ネットワークに接続を行うことが望ましいです。

最後に、長期休暇明けのメールにも十分気をつけてください。

長期休暇中はメールが溜まっていることが多く、誤って問題のあるメールの添付ファイルを開いてしまったり、本文中のリンクURLをクリックしてしまったりすることなどを狙ってウイルスメールなどが送られていることもありますので、こちらも十分な注意が必要です。

これは、2008年より毎年発行されている、情報セキュリティ全般に関する状況をまとめた書籍です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）はこの時期、前年の4月から当年の3月までの間の情報セキュリティに関するまとめ本を出しています。

今日はその概要に少し触れてみます。

情報セキュリティ白書２０１８概要

情報セキュリティ白書2018概要を見る限りでは、以下の被害項目があげられています。

１．詐欺による金銭被害の増加

２．ランサムウェア被害件数が過去最多に

３．広く普及しているソフトウェアの脆弱性の問題

１は、偽の画面を表示させてユーザーの不安に付け込んだり、偽の電子メールを企業などの従業員に送りつけて金銭を騙し取る『金銭被害』の増加です。

後者の偽メールによるものは『ビジネスメール詐欺』と呼ばれ、今後も攻撃は続くことが予想されるため、注意が必要です。

２は、自己増殖機能をもったウイルスのことで、感染したパソコンに留まることなく、ネットワークを経由して他のデバイスへも影響を及ぼします。

引き続き注意は必要であるものの、現在は減少傾向にあると思われます。

３は今に始まったことではありませんが、Windowsに存在している脆弱性を狙った攻撃や、多くのWebサーバで使われているアプリケーションフレームワークなどの脆弱性を狙った攻撃が多く報告されており、個人情報漏えいなどにも繋がってもいるため、今後もアップデートなどの速やかな適用を行っていかなければなりません。

その他、政府を中心にサイバーセキュリティに対する取り組みはいくつか行われてはいますが、中小・零細企業、小規模事業者においてはそれらに追いついていない感じを受けます。

余裕のない現状とはギャップが生じることもありますが、もう少し情報セキュリティというものに目を向けるべきであるとも感じます。

『IT導入補助金は今回からホームページ制作が申請不可になったのか？』と。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いたことは実際にある説明会でアナウンスされ、疑問に思った友人が私に連絡をしてきたというものです。

では、いったい何が正解なのでしょうか？

IT導入補助金の誤った説明内容とは

友人が聞いた情報では、『今年度のIT導入補助金においてホームページ制作が補助対象から外れた』という内容でした。

まず、これに関しては間違いです。

その場に居合わせたわけではないので推察になりますが、『ホームページ制作の改修や拡充が補助対象としては認められない』ことを間違って認識してしまった可能性はあります。

それであれば確かに、既存サイトの『改修や拡充』は認められていません。

正直なところ、現時点において事務局などにあがっている質問でホームページ制作に関連する質問は多く、経済産業省を含めてQ&Aやその他の方向性を検討・作成などをしている最中で、まもなく第一弾としてまとまるかと思われます。

その他、今回の補助金申請においては『おもてなし規格認証』に加え、『SECURITY ACTION』も申請時の必須要件に含まれています。

「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。

最低限一つ星だけでも『自己宣言』する必要があります。

「一つ星」
「情報セキュリティ５か条」に取組むことを宣言

１．OSやソフトウェアは常に最新の状態にしよう！
２．ウイルス対策ソフトを導入しよう！
３．パスワードを強化しよう！
４．共有設定を見直そう！
５．脅威や攻撃の手口を知ろう！

参考URL：SECURITY ACTION セキュリティ対策自己宣言（IT導入補助金の申請要件になりました）

一つ星資料URL：SECURITY ACTION 情報セキュリティ５か条

＜Update：2018/05/15 17:30＞経済産業省より最終回答が出ましたので補足します。

１．A事業のサイトabc.comのリニューアルは補助金対象（全面新規構築し直しに限る）

２．A事業のサイトabc.comに加えてA事業用のサイトabc-2.comを構築する場合は補助金対象外

３．A事業のサイトabc.comに加えてB事業用のサイトxyz.comを構築する場合は補助金対象