================================================================

ISO認証機関のインターテックから厳選されたお役立ち情報をお届けします

2018.12.03発行(第30号)

================================================================

いつも大変お世話になっております。
今号では、以下の情報をお届けします。

【調査結果】
情報セキュリティ対策大丈夫ですか？

【事例紹介】
情報セキュリティに関する事故の実例と対策

【お知らせ】
「Intertek News（62号）」を発行いたしました

 

本メールマガジンにてご紹介している事例や考え方等は、
あくまでも一般的な考え方や事例の１つとしてご紹介しているものであり、
審査での適合性の保証や同様の取組みの導入を推奨、強制するものではありません。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【調査結果】
情報セキュリティ対策大丈夫ですか？

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

情報化社会である現代、組織が持つ情報はどの企業にとっても重要な資産であり、
災害等による情報システムの停止・データの損失、外部からの不正アクセスによる
ホームページ等の改ざん、個人情報や顧客情報の流出、機密情報の漏洩、
ウィルス感染による様々なリスクの発生等、数多くの脅威に常にさらされています。
今年10月にも、大手IT企業において大量の個人情報が流出するという事件が起きました。

『情報セキュリティインシデントに関する調査報告書（2018年6月）』によると、
年間の漏えい件数は機密情報のうち個人情報の漏洩だけで380件以上、
その賠償額の総額は数千億円にも及んでいます。そこで、今号（30号）では、
全ての組織に共通するリスクの1つ「情報セキュリティ対策」について取り上げます

情報漏えいの原因の60%は社内／日常業務にある
『情報セキュリティインシデントに関する調査報告書（2018年6月）』によると、
漏えいする原因の約60％が管理不足や誤操作、紛失等の悪意のないもので
日々の日常業務に原因が潜んでいます。セキュリティソフトをインストールする
といった取り組みだけでは漏洩を防ぐことは難しいことが分かります。

 

 

また、漏洩媒体は紙媒体が最も多く、私たちの日常の行動が
漏洩のキッカケとなっている可能性が考えられます。

 

 

＜出典：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）＞
リンクアドレス：https://www.jnsa.org/result/incident/

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【事例紹介】
情報セキュリティに関する事故の実例と対策　その1

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

実際に情報セキュリティに関してどんなリスクが発生し得るのか？
がわかるような事例をいくつかご紹介します。

【発生した事故と影響】
A社は、加工食品の製造及び卸売業を営む。2013 年、役員のパソコンがウイルス感染し、
保存されていた過去の電子メールが勝手に大量発信され、
自社及び取引先の重要な情報が漏えいする事態となった。
取引先からはクレームが寄せられ、謝罪はしたものの信用が失墜してしまった。

【事故の主な原因】
・感染したパソコンにはウイルス対策ソフトはインストールされていたが、
アップデートが実施されていなかった。十数台ある他のパソコンも使用者任せの状況であり、
再発の危険は非常に高かった。
・ある従業員からは、出入口の施錠等の物理的なセキュリティの問題を指摘されていたが、
当時は従業員以外の個人情報の取り扱いは少なく、セキュリティ対策よりも売上を伸ばし
経営を維持することが優先と考えられ特別な対策は行われていなかった。

【事故後の対策】
組織としてのセキュリティ体制の確立と従業員のセキュリティ意識の醸成を優先的に行った。

＜セキュリティ体制の確立＞
・社長を情報セキュリティ責任者、IT 担当者をセキュリティ対策推進担当者とし、
組織としてセキュリティ対策に取り組むことを全従業員に宣言。
緊急性が高いリスクへの対策として、USB メモリによるデータの持ち出し制限、
Wi-Fi のセキュリティ強化、パソコンへの重要情報の保存禁止、ノートパソコンのワイヤーロック、
ビジネス型ウイルス対策ソフトによる集中管理などを実施。

＜セキュリティ意識の醸成＞
・従業員に対する啓蒙・教育として、定期的にセキュリティ対策に関する動画を視聴し、
社長からのコメントや取り組みの報告を実施。

【対策後の効果】
・セキュリティ事故により失った取引先からの信頼はまだ回復していないものの、
同社の取り組み内容を説明することで徐々に理解を得られるようになってきた。
・社内では、「今までやってなかったのになぜやるのか」「業務効率が下がる」など
否定的な意見は多い一方で、一部の従業員からは、
セキュリティに対する心配や対応方法の相談なども寄せられるようになっており、
意識向上につながってきている。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【事例紹介】
情報セキュリティに関する事故の実例と対策　その2

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【発生した事故と影響】
B社は、オフィスサプライ品等のネット通販を行っている。
情報セキュリティ対策を推進していたにも関わらず、2016 年中頃、
標的型攻撃メールによってコンピュータウイルスに感染する事案が発生。
幸い情報漏えい等の実害はなかったが、仮に個人情報の漏えいが起きた場合、
その対策費用は数千万円に上るおそれがあることが分かったため、
情報セキュリティ対策のさらなる強化を図った。

【事故の主な原因】
メールフィルタリングツールを導入していないことに加え、
不審メールを受信した際の対処方法を詳しく知らなかったことが原因である。

【事故後の対策】
＜ツールの強化＞
・これまで使っていたウイルス対策ソフトより強固な機能を持つソフトに変更した。

＜ アクセス権の制限＞
・個人情報を扱っているパソコンの使用制限を強化するために、静脈認証装置を取り
付け、静脈認証情報をあらかじめ登録した従業員だけがアクセスできるよう変更。

＜セキュリティ教育＞
・セキュリティに関するテストを実施するなど、セキュリティ教育を継続的に
実施している。また、標的型攻撃メールへの対応として、ダミーメールによるテストを実施。

【対策後の効果】
・取引先の信頼が高まり、受注増につながっている。
・ウイルス対策ソフトの強化による効果として、怪しいメールの駆除が毎日のように
発生しており、水際でブロックしている。
一方、取引先からの正常なメールもブロックしてしまうこともあったが、
説明して理解をいただき、ブロックされない形でメールを
送っていただくように変更してもらった。
・従業員教育による効果として、情報セキュリティに対する従業員の意識が
向上しているが、標的型攻撃メールのダミーテストでは、
90％の従業員が開封しており、さらなる教育の徹底が必要である。

 

＜出典：「中小企業における情報セキュリティ対策に関する実態調査　-事例集-」＞
リンクアドレス：https://www.ipa.go.jp/security/fy28/reports/sme/

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【事例紹介】
情報セキュリティに関する事故の実例と対策　その3

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【発生した事故と影響】
C研究所は国内最大級の公的研究機関である。
2018年2月にC研究所の主たる情報システムに外部による不正アクセスが行われた。
これにより未公表の研究情報等の機密情報、個人情報等が漏洩した可能性がある。

 

 

【事故の主な原因】
・情報資産へのアクセス方法、内部ネットワークの
不十分な監視等のマネジメントに問題があった。

【事故後の対策】
＜組織体制の見直し＞
・情報セキュリティ対策部署を明確に位置づけ各部署に情報セキュリティチームを配置。

＜事業継続計画の見直し＞
・情報セキュリティインシデントの深刻度に応じた
事業継続計画及び緊急時対応計画を立案する。

＜技術的対策としてツールの強化＞
・メールシステムのログインに多要素認証の導入。
・内部ネットワークの分離と監視強化。

※最近の事例であるため、対策後の効果確認はまだなされていない。

 

＜出典：産総研の情報システムに対する不正なアクセスに関する報告＞
リンクアドレス：https://www.aist.go.jp/aist_j/news/announce/au20180720.html

 

以上、簡単に情報セキュリティに関するリスクについて
理解いただけるような事例をご紹介しました。

情報セキュリティに関するリスクは組織の規模に関係なく、
どのような組織にも存在しています。そこで、情報セキュリティへの対策の１つとして
注目されているのが、情報セキュリティに関する国際認証規格が”ISO27001”です。

弊社では”ISO27001”の認証取得をされる組織様も増えております。
”ISO27001”に関する詳細は弊社営業担当者又はお電話にてお気軽にお問い合わせください。
（東京事務所：03-3669-7435　大阪事務所：06-6150-0571）

 

＜参考：総務省「自治体CIO育成研修 情報セキュリティ概論」＞
リンクアドレス：http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/local_support/pdf/cio_text18_t_5.pdf

 

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【お知らせ】
「Intertek News（62号）」を発行いたしました

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

インターテック・サーティフィケーションでは、お客様との双方向の
コミュニケーションのための季刊誌 Intertek News を年4回発行しています。
最新号が発行されましたので、ご紹介します。

最新号（62号）では、特集「ISO9001:2015－顧客図面で製造している組織の設計・開発対応」
をはじめ、弊社お客様のご紹介、環境に関する連載記事や
審査員の意外な一面がうかがえるコラム等々、多くの情報をご覧いただけます。

＜Intertek News（62号）＞
リンクアドレス：https://ba.intertek-jpn.com/files/intertek_news/IntertekNews62-HP.pdf

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

▼　弊社お客様のISOマネジメントシステム活用事例をご紹介しています

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

弊社お客様のISOマネジメントシステムの活用事例や
研修（セミナー）の開催風景などをFacebookにてご紹介しています。

＜お客様事例等は以下にアクセスください＞
リンクアドレス：https://www.fb.com/IntertekCertification

 

 

＊掲載内容は発行当時の内容をそのまま掲載しております。
　その後の改訂・変更等により、現状とは異なる場合やURLのリンク切れなどがあります。
　予めご了承ください。

＊こちらに掲載された記事全文／一部を許可なく転載することを禁じます。

発行：インターテック・サーティフィケーション株式会社