中小企業のための最低限度の ITセキュリティポリシー © 2015 新井俊一

本文書の狙い • 一般企業で最も頻繁に発生する危険な セキュリティリスクへの最低限の対策を 具体的に例示しています。 • どのような企業であっても、 最低限このルールを全従業員に 厳守させることが必要と私は考えます。 • 高度な企業秘密の保全には対応しません。 • 高価であったり複雑であったりする 対応策は採用していません。

典型的なセキュリティリスク 弱い パスワードの 利用 パスワードの 使い回し 危険なアプリ のインストール 旧式化ソフトの 継続利用 詐欺メール 公共WiFiの 利用

弱いパスワードの利用 他サイトとのパスワードの使い回し なぜ 起きる？ • セキュリティ意識が低い。研修不足 • 社名やメールアドレス等と似たパスワードを使う 何が起きる？ • 利用している多くのシステムへの不正なアクセス • 顧客情報や企業秘密の漏洩、信用の失墜、業務中断 どう防ぐ？ • パスワード管理ツールを使う • パスワードは全て必ず乱数で自動生成する規則にする

不正なアプリの利用 なぜ 起きる？ • ITリテラシーが低い。社内の管理体制不足 • 不正なアプリケーションをインストールしてしまう 何が起き る？ • PCの乗っ取り。全てのシステムへの不正なアクセス • 全情報の漏洩、信用の失墜、業務中断、預金の盗難 どう防ぐ？ • アプリのインストール時にはIT部門の了承を必須とする • ウィルス対策ソフトをインストールする • 各従業員にPCの管理者権限を与えない

旧式化ソフトの継続利用 なぜ 起きる？ • ITリテラシーが低い。社内の管理体制不足 • 予算が足りない。企業の意識が低い 何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス • 全情報の漏洩、信用の失墜、業務中断、預金の盗難 どう防ぐ？ • IT資産を正しく管理する • 旧式化したソフトの更新を必須とする

詐欺メール なぜ 起きる？ • 社内教育不足 • ウイルス対策ソフトの不備 何が起きる？ • PCの乗っ取り。全てのシステムへの不正なアクセス • 全情報の漏洩、信用の失墜、業務中断、預金の盗難 どう防ぐ？ • ウイルス対策ソフトをインストールする • gmailのようにセキュリティ対策が優れたメールソフトを使う • フィッシング事例を教育する

公共WiFiの利用 なぜ 起きる？ • セキュリティ意識が低い。研修不足 • モバイル通信機器への投資不足 何が起きる？ • 利用したシステムへの不正なアクセス • 顧客情報や企業秘密の漏洩、信用の失墜、業務中断 どう防ぐ？ • 社外でのネットワーク接続を禁止する • モバイル通信機器やVPNを支給する

弱いパスワードの脅威 • 世の中の多くの人は、驚くべきことに 社名、自分の名前、メールアドレスや “123456”や”password”などをパスワードに している。 • 対策方法としては、 パスワード管理ツールを使い、 自動生成した乱数パスワード以外を禁止する (Roboform, Lastpass, Keepassなど)

パスワード使い回しの脅威 • パスワード管理ツールを使わない場合、 必然的にパスワードは使い回しになる。 • その場合、セキュリティの甘いウェブサイト から漏洩したパスワードで、 他にアクセスされる恐れがある。 • とくに銀行やgmailなどのパスワードを 同じにしている場合には被害が大きい。  パスワード管理ツールを導入する

不正アプリケーションの脅威 • WindowsやMacなどのパソコンでは、 アプリケーションをインストールするのに、 全ての権限を要求されることが多い – すなわちインストールしたアプリは、事実上 なんでもやりたい放題。 – もし作者に悪意があれば、銀行口座の資金も 容易に盗み取れる。 • だから、怪しげなサイトなどのソフトは ゼッタイにインストールしないこと！

不正アプリケーションの脅威(続) • パソコンソフトは、インストール前に IT部門の許可を得るルールが望ましい • PCの管理者権限を各社員に与えないのは 良いと思われるが、IT管理者が必要になる • iPhoneやAndroidでは、アプリの権限は 限定されているが、それでも脅威になり得る

公共WiFiの脅威 • 公共の場所にあるWiFiはたとえ暗号化されて いても100%安全とは言えない (MITM等) • SSL以外の通信が盗み見られたり、改竄され たりする恐れがある。 – パスワードや機密文書が漏洩する – 不正アプリケーションをダウンロードさせられる • 対策: – 携帯電話のモバイル通信を使う – 社内へのVPNを使う

詐欺メールの脅威 • 詐欺メールは、金融機関、取引先、顧客などを 装って送られてくる不正なメールである。 • 不正なアプリケーションをインストールさせるか、 偽の金融機関サイトにアクセスさせて、 情報や預金を盗み取るのが目的。 • とくに人間が手動で特定の相手に狙いをつけて 送付してくる「スピアフィッシング」は防ぐのが困 難。 – 実在のビジネスの顧客を装ってメールしてくるため

スピアフィッシングの例 ××さま、いつもお世話になっております。 ○○を購入した○○社の○○と申します。 利用していたところ問題が発生しまして、 サポートをお願いします。 詳細は添付ファイルに記載しましたので ご覧下さい。 ↑これが不正アプリ

その他ルール • パソコンやスマホは、ディスクを暗号化して、 パスワードで保護する。 • ウイルス対策ソフトウェアを導入する。 • 定期的にITセキュリティ講習を実施する。 • 他人のPC (ネットカフェ含む)を決して使わない。 – とくに外国のネットカフェのPCはウイルスに汚染さ れており、確実に全てのパスワードなどが盗まれ ると思うこと。公共Wifiよりもずっと危険である。