2017年7月31日月曜日

「改正個人情報保護法対応レッスン」 (6)安全管理措置

◆最低限対応すべき安全管理措置◆

「改正個人情報保護法対応レッスン」、
今回で最後となりました。

もちろん、もっといろいろ知っていくべきことは
ありますが、企業の規模に関わらず、
どの企業も現実的に最低限対応すべきことを
できる限り絞りました中での最後の1点です。

それは、安全管理措置です。
ちょっと堅苦しい言葉のようですが、
要は、ちゃんと管理しましょう、ということです。

対応としては、組織的、人的、技術的、物理的、の
4つ視点から安全管理措置をとりなさいということ
なのですが、組織的、人的に関しては、ここまでで
書いてきました。

残るは、技術的、物理的、ですが、
物理的というのは、
オフィスへの入室チェックや、PCなどの持ち出しなど、
まさに物理的な対策です。

これらは、情報が漏洩しないようにするための
目に見える対応なので、わりとわかりやすく、
対応もしやすいのではないかと思います。

◆中小企業でも対応すべき技術的安全管理措置◆

それに対し、技術的安全管理措置、
これは、ちょっと大変です。

いわゆる情報セキュリティと呼ばれるものが
それだと考えていただいてよいです。

技術的にとても明るい社員がいれば、
その対応や最新情報の入手など、
責任をしっかりもってもらって任せれば
よいかも知れませんが、
なかなかそうもいかないかと思います。

でも、ITはよくわからない、と
言っている場合ではありません。

まず第一にもっておかなければならない
考え方として、「うちの会社は大丈夫」
思わないことです。

自社が持っている情報は漏洩しても
たいしたものはないので大丈夫、とか、
有名な会社ではないので、狙われることはない。

経営者の方からそんな声をお聞きすることが
よくあります。

確かに、そんなに重要と思われるような情報は
お持ちでなかったり、
知名度がそれほど高くなかったり、
一部の人だけ知る会社だったりすることが
よくあります。

そんな皆さんにもさらに
「念のために」ということではないのです。

◆あなたの会社が加害者になる◆

まず、最近の攻撃は、
皆さんの会社が被害者になるだけでなく
加害者にさせてしまうものもあるということです。

ある有名な会社に同時に多数のサイトから
攻撃をするという手口がありますが、
それは、多数の悪い人たちが集まってやっている
わけではないのです。
悪さをするプログラムを、一般企業のPCに
忍び込ませ、特定の有名な企業の攻撃をさせる
というものもあるのです。

自社には何の直接被害はないかも知れませんが、
有名な企業を攻撃してしまうのです。
どこの会社が攻撃したかということがわかる
ことも多いですから、
犯罪者にさせられることがあるのです。
共犯です。
こういうのを「踏み台」と言います。
自社が踏み台にならないようにしないと
いけません。

さらに、
特定の会社を狙った攻撃を
「標的型攻撃」と呼びますが、
その標的は、「有名な会社」である場合もありますが
「セキュリティが甘い会社」の場合もあります。

今、セキュリティの甘さをついて、
事業に利用しているファイルすべてを圧縮し、
それにパスワードをつけ、そのパスワードを
知りたければお金を払え、という攻撃が蔓延しています。
「ランサムウェア」身代金攻撃というものです。
これは、事業の大小にかからわず、仕事上で利用する
すべてのファイルがアクセスできなくなってしまうので
その瞬間からPCを使った仕事が全くできなくなります。

さらに最近は、大きな問題があります。
一昔前は、これらの悪意のあるプログラムは、
あやしいメールを開いたり、アプリをインストール
したり、Webサイトを開いたりしたときに、
忍び込んでくるというものでした。

しかし、最近の脅威は、何もしなくても、
PCをインターネットに接続しているだけで
侵入してきます
しかもその行為はほとんど見抜けません。

要は、知らない間に被害者になったり、
加害者になったりしてしまうということです。

これでは対処もできないということになりますが、
現状の可能な対応は、
OSやアプリを最新の状況に保つということです。

何もしなくてもネットワークにつながれたPCに
侵入されるのは、いわゆる脆弱性があるから
なのです。脆弱性がある、あるいは既知の脆弱性
の対応をしていないPCを見つけることは容易です。

それを探して、悪さをするプログラムを入れ込む
わけです。これは、会社の規模や事業の内容とは
全く関係ありません

となると、
その脆弱性をなくす対応をしておく必要性
よくわかりますよね。

アップデートサービスが終了したOSをネットワーク
につないで使い続けたり、更新プログラムが
でているのに適用しないと、これらのターゲットに
なってしまうということです。


もちろんそれをしていれば万全ということでは
ありませんが、最低限、それらを意識し、対応を
しておくことが求められているわけです。

こういったことも、全社員で共有し、
意識を高く持ちましょう、ということがとても
重要となります。



さて、ここまでご覧いただきましてありがとう
ござました。
正しい知識をもち、自ら高い意識で、全社で
取り組んでいく意識と最低限の対応をせねばと
思い、実際、少しずつでも対応を始めていただ
ければ、これを書いてきました価値を感じます。

ぜひ、心技体を鍛えて、お客様の信頼に応えて
くださいませ。


0 件のコメント:

コメントを投稿