利益を生まない情報セキュリティとバックアップに投資する重要性

利益を生まない情報セキュリティとバックアップに投資する重要性 2024/08/22 松田康宏 2024年8月度 Bizcafe無門庵

仕事 ▮ AWSを活用した辞書検索サービスDONGRIのインフラエンジニア（イースト株式会社）士業資格 ▮ 情報処理安全確保支援士中小企業診断士ファイナンシャル・プランニング技能士2級（AFP）主な活動
▮ AWS Community Builder 日本FP協会石川支部幹事白山市内の中学校PTA会長座右の銘 ▮ 一塁ベースを持って二塁に盗塁する松田康宏まつだやすひろ

経歴比較.com株式会社／東京都 2005 年 4 月～ 2006 年 10
月 (2006年3月マザーズ上場) 株式会社エンブレム／東京都（三谷産業株式会社子会社） 2006 年 11 月～2011 年 4 月福島印刷株式会社／石川県 2011 年 5 月～2020年12月神奈川県宮前区に引越株式会社三省堂／東京都 2004年 4 月(2002年10月) ～2005 年 3 月石川県白山市（旧：松任市）に生まれる東京都江戸川区に引越石川県白山市にUターン千葉県船橋市に引越中小企業診断士登録 FP2級取得イースト株式会社／東京都 2021 年 1 月～現在

個人事業主としての主な活動・専門家派遣制度（ISICO）・認定経営革新等支援機関としての伴奏支援・補助金申請支援小規模事業者持続化補助金賃上げに向けた省力化投資支援事業・セミナー講師職業能力開発促進センター(ポリテクセンター) 社会保険労務士会、商工会議所、石川県地域振興課日本FP協会等

これから国内でも普及していく可能性のあるサービス① ジャスト・ウォークアウトライドシェア

これから国内でも普及していく可能性のあるサービス② Split

本日持ち帰っていただきたいこと・なぜ私たちにとってセキュリティとバックアップが重要なのかを理解できるようになる・私たちで簡単にできるセキュリティ対策、バックアップ対策について理解できるようになる

私たちの情報セキュリティの実態ヒト、モノ、カネが限られるヒト・・・情報システム担当者不在モノ・・・データは各コンピュータにあるカネ・・・古いOSが未だに動いている

私たちにはセキュリティ対策は関係ない？サプライチェーンの弱点を悪用した攻撃が順位を上げており、企業との取引を行っている私たちも攻撃対象になりうる順位 2023 2024 1位ランサムウェアによる被害ランサムウェアによる被害ー
2位サプライチェーンの弱点を悪用した攻撃サプライチェーンの弱点を悪用した攻撃ー 3位標的型攻撃による機密情報の窃取内部不正による情報漏えい ↑ 4位内部不正による情報漏えい標的型攻撃による機密情報の窃取 ↓ 5位テレワーク等のニューノーマルな働き方を狙った攻撃修正プログラムの公開前を狙う攻撃（ゼロディ攻撃） ↑ 情報セキュリティ10大脅威「組織」向けの脅威順位

・セキュリティサプライチェーンの弱点を悪用した攻撃を考えれば、対策は重要情報資産は何かを特定して最低限のコストで対策を考える・バックアップどの情報資産をいつの時点でいつまでに復旧しなければならないか優先順位を考えて最小限のコストで対策を考えるバックアップをとっているけれど、本当に復元できるだろうか？でも、システムがお金をうまない２大要素のうちの一つ

セキュリティもバックアップも守りたいのはデータデータは２１世紀の石油「世界ICTサミット2014」に登壇した日本アイ・ビー・エム代表取締役社長マーティン・イェッター氏の講演データは人、モノ、カネに続く第四の経営資源出所）https://www.sbbit.jp/article/cont1/28284

情報セキュリティ自社診断

優先順位の付け方リスクマネジメント情報資産に関するリスク源（脅威･脆弱性等)とそれにより発生する事象及びその結果としての損失を特定して、それらの起こりやすさを算定する。偽装メールでマルウェアが社内に侵入端末に残留する脆弱性を利用し感染
感染端末を権限を奪取し遠隔操作サーバへアクセスしてデータを窃取窃取したデータを社外へ流出顧客からの信用失墜、業務の一時停止リスク源事象結果リスク算定の例 ALE（年間損失見込み額）＝ SLE（単一損失予想）× ARO（年間発生率）

影響度高影響度低発生確率低発生確率高リスク移転（共有）
リスク回避リスク保有リスク低減（最適化）原因を取り除くことで、リスクの脅威を避けるリスクを受容可能なレベルまで減らす（影響度･確率共に）リスクの結果と責任を第三者へ移す消極的な保有と、積極的な保有があるリスク対応の方法算定した結果を、あらかじめ決めたリスク基準に知らして受容･許容するか何らかのリスク対応を適用するのかを決定する。

影響度高影響度低発生確率低発生確率高リスク移転（共有）
リスク回避リスク保有リスク低減（最適化）原因を取り除くことで、リスクの脅威を避けるリスクを受容可能なレベルまで減らす（影響度･確率共に）リスクの結果と責任を第三者へ移す消極的な保有と、積極的な保有があるリスク低減の方法リスクを減らす取組についてみてみましょう！

私たちでも簡単にできるセキュリティ対策・リモートワーク時の留意点・パソコンの盗難防止・記憶媒体の取扱

リモートワークにおける留意点について（自宅や公共スペースのWi-Fiを使用しての業務等） ▋パスワードを必要としないアクセスポイント（オープンと記載があるもの）には原則接続しない。やむを得ず接続する場合には、HTTPSになっていない通信をしない。ログインが必要な作業はしないことを心がける。暗号化されていないことにより、通信が盗聴されるため

リモートワークにおける留意点について（自宅や公共スペースのWi-Fiを使用しての業務等） ▋店内にパスワードが貼りだされているアクセスポイントや、客室共通パスワードとなっているアクセスポイントには接続しないアクセスポイントがなりすまされていた場合に、通信が盗聴されるため

リモートワークにおける留意点について（自宅や公共スペースでの業務等） ▋プライバシーフィルターをつけること ▋離席時に画面をロックすること ▋データをパソコン内に保存しないこと公共スペースでの作業は通信が盗聴されるだけでなく、画面を直接のぞき見されることにも注意する必要がある

来客者に事務所のWiFiを提供することのリスク ▋ゲスト用のSSIDを準備し、来客者に開放する同じネットワーク内に接続されてしまうことでファイル共有されたファイルを閲覧されるリスクや、通信の漏洩、ウィルス感染するリスクにさらされるため

パソコンの盗難防止措置の必要性 ▋パソコンだけでなく、NASなどのデータを保存している端末にはチェーンロックなど盗難防止を施すことが望ましい（機器がなくなることへの対策ではなく、データが持ち出されることへの対策） ▋盗難された場合のデータの流出を防止するため、ログインパスワードの設定、（Windows 10 Professional 以降の場合には）BitLockerを有効化してディスクを暗号化することを検討

記憶媒体（USB等）の取扱について ▋記憶媒体は原則利用せず、データの受渡にはOneDriveやGoogle Drive などファイル共有の仕組みを利用する ▋やむを得ず利用せざるを得ない現場では、台帳管理を徹底し、出所が分からないUSBや他人のUSBはパソコンに接続しないことを心がける媒体を紛失した場合のリスクが大きいだけでなく、接続した際のウィルス感染リスクも考慮する

使用するパソコンの留意点 ▋Windows Updateなどが適用されているか確認する ▋古いWindows Updateなど更新ができなくなったOSは利用しない ▋他人のパソコンは安易に利用しないウィルスへの感染リスクが高まるほか、キーロガーなどがインストールされていると、入力した内容が漏洩してしまう

標的型攻撃メールにも気を付けましょう！

クラウドにデータを保存する上での留意事項 ▋アクセス権限が適切であるか ▋保存する目的（共有、バックアップ等）を確認し、目的外のデータを保管しない ▋保存データ量の変化に気を付ける ▋サービス障害時の代替策を確立しておく第三者に閲覧されるリスクやデータ量が増えることにより、必要以上の課金を防ぐ

クラウド管理の有効性及び危険性について ▋複数端末や、複数人でデータを共有するためには非常に有用 ▋同期する仕組みを活用すると自動バックアップができるので、端末故障によるデータ損失に備えられる ▋契約時のSLAやクラウドベンダーの財務状況を把握し、突然のサービス停止の可能性を考慮する ▋保存する国の法規制や突然のサービス停止時の代替策を確保しておく必要性がある

ご清聴ありがとうございました

利益を生まない情報セキュリティとバックアップに投資する重要性

利益を生まない情報セキュリティとバックアップに投資する重要性

Yasuhiro Matsuda

More Decks by Yasuhiro Matsuda

Other Decks in Technology

Featured

Transcript