Home > ラーニング > ライブラリ > セキュリティ対策講座 > イラストでわかるセキュリティ > 情報セキュリティインシデントへの対応
トップページ
インシデントの報告
情報セキュリティインシデントへの対応
最終更新: 2007-01-22情報漏洩事件、事故を起こさないために、注意しておくべき点や、有効な対策について解説します。
また、急増しているフィッシングなどのオンライン詐欺の手口や、被害にあわないための対策についても紹介します。
情報漏洩事件、事故を起こさないために
オンライン詐欺の被害にあわないようにするには
情報漏洩事件、事故を起こさないために
1. 情報漏洩事件、事故が起きた場合の企業のリスクについて
個人情報や機密情報など、企業にとって重要な情報が漏洩する事故が多く起きています。情報漏洩などの事件、事故が起きてしまった場合、企業は、取引先に対する信用の失墜だけではなく、イメージダウンなど社会的評価の低下、損害賠償などの金銭的被害など甚大なダメージを受けます。こうしたリスクを軽減するためには、セキュリティポリシーに従った情報セキュリティ事件、事故への対応手順、規則などを定め、それを適切に運用、見直しをすることが重要です。
2. ノートパソコン、USB メモリ、外付けハードディスクなどの持ち運び可能な外部記憶装置、CD、DVD などのメディアの盗難、紛失による情報漏洩について
出張や外出時にオフィス外で使用するノートパソコンや USB メモリ、外付けハードディスクなどの持ち運び可能な外部記憶装置の盗難や紛失により、そこに保存された情報が漏洩するなどの問題が起きています。
盗難や紛失といったトラブルへの対策は、従来からさまざまな方法が考えられ、使用されています。以下に紹介する対策の例を組みあわせて使用することによって、被害を防ぐようにしましょう。
- コンピュータをワイヤーロックで固定する
ノート型コンピュータをはじめとする多くの機種には、セキュリティスロットと呼ばれるスロットがあります。このスロットに専用のワイヤーを接続し、ワイヤーを周囲の固定物に結びつけることで、コンピュータの盗難を防止できます。 - ファームウェアに起動パスワードをかける
コンピュータの機種によっては、起動の際にパスワードを要求するよう設定できます。この設定を有効にすることで、パスワードを知らない人物による OS の起動を防止できます。 - ハードディスクにパスワードをかける
コンピュータの機種によっては、ハードディスクに対してパスワードをかけることができます。この設定を有効にすることで、パスワードを知らない人物によるハードディスク内の情報の読み取りや書き込みを防止できます。また、他のコンピュータにハードディスクを接続しても読み取りや書き込みができなくなります。
参考文書(日本語)
http://www.jpcert.or.jp/wr/2004/wr043601.txt
http://www.jpcert.or.jp/wr/2004/wr044501.txt
http://www.jpcert.or.jp/wr/2006/wr064701.txt
リモートアクセス環境におけるセキュリティ - 9.6 パスワードの設定と管理
http://www.ipa.go.jp/security/awareness/administrator/remote/index.html
Mac OS X 10.1 以降の Firmware Password Protection の設定方法
http://docs.info.apple.com/jarticle.html?artnum=106482
参考文書(英語)
Protecting Portable Devices: Physical Security
http://www.us-cert.gov/cas/tips/ST04-017.html
3. P2P ファイル共有ソフトウェアの使用による情報漏洩
ファイル交換ソフトには、ウイルスに感染することで PC 上の任意のファイルをネットワーク上に送信するものがあります。長期休暇などで業務に用いている PC を自宅に持ち帰った時にこのようなウイルスに感染すると、重要なファイルが予期せず外部に流出する可能性があります。重要なデータが保存されている PC ではファイル交換ソフトを使用しないことを強くお勧めします。
参考文書(日本語)
http://www.jpcert.or.jp/ed/2006/ed060001.txt
4. スパイウェア、トロイの木馬による情報漏洩
インターネット上からファイルをダウンロードすることによって、 トロイの木馬や、スパイウェア (Spyware) またはアドウェア (Adware) と呼ばれるソフトウェアが勝手にインストールされ、 個人情報などが盗み取られる被害が発生しています。これらのソフトウェアのインストールを防ぐために、 (主に Web を利用している場合には) 以下のような点に注意してください。
- ポップアップウィンドウ内のリンクを辿らない。
ポップアップウィンドウ自体がスパイウェアによるものであることがあります。不用意にリンクを辿ることでスパイウェアがインストールされてしまう可能性があります。また、このようなウィンドウを閉じる場合は、ウィンドウ内にある close (閉じる) ボタンではなく、タイトルバーにある x ボタンなどを使って閉じてください。 - 予期せぬ質問に対しては、ダイアログボックスのタイトルバーにある x ボタンを使ってダイアログボックスを閉じるなどして、不用意に yes (はい) を選択しない。
- 信用できないサイトから無償のソフトウェアなどをダウンロードしない。
- 「アンチスパイウェアソフトウェアを提供」などと主張する電子メール内にあるリンクを辿らない。
参考文書(日本語)
http://www.jpcert.or.jp/wr/2004/wr043401.txt
http://www.jpcert.or.jp/wr/2004/wr043501.txt
http://www.jpcert.or.jp/wr/2006/wr062901.txt
参考文書(英語)
Recognizing and Avoiding Spyware
http://www.us-cert.gov/cas/tips/ST04-016.html
5. 記憶媒体を廃棄する時の注意
使用済みのパソコンやサーバ、または記憶媒体などを返却/破棄する際には、そこに保存されているデータを確実に消去するようにしましょう。データ復旧用ソフトウェアなどを使うと、削除されたファイルを再び読み取ることが可能になる場合があります。このため、保存してある内容の重要度や状況に応じてデータの消去方法を検討するようにしてください。
重要なデータを確実に消去するには、たとえば次のような方法が考えられます。
- 無意味なデータで上書きする
消去したいデータや記憶装置全体に無意味なデータを複数回にわたって上書きするなどの方法でデータの復旧・読み取りを困難にします。 - 電気的もしくは磁気的に破壊する
専用装置にて電気的もしくは磁気的に記憶領域を破壊します。 - 物理的に破壊する
記憶装置を物理的に破壊することで第三者がデータを読み取ることが難しくなります。
なお、上記の方法については、専用のツールや専門の業者も存在します。
参考文書(日本語)
http://www.jpcert.or.jp/wr/2005/wr050501.txt
http://www.jpcert.or.jp/wr/2006/wr064302.txt
http://www.jpcert.or.jp/wr/2006/wr064401.txt
パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関するガイドライン
http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/
パソコンの廃棄・譲渡時のハードディスク上のデータ消去に関するご注意
http://it.jeita.or.jp/perinfo/release/020411.html
オンライン詐欺の被害にあわないようにするには
1. フィッシングその他の詐欺の手口について
ワンクリックや偽オンラインショッピングサイト、フィッシングなどのオンライン詐欺の被害が急増しています。
こうした詐欺の手口を理解しておくことにより、落ち着いて慎重に対処できるようにしておきましょう。
- フィッシング
銀行などのサイトであると詐称して、Web のフォームなどから入力された口座番号やキャッシュカードの暗証番号といった個人情報を盗み取るものです。既に国内での被害も報告されており、注意が必要です。
フィッシングの被害を受けないためには、ある特定の Web サイトにアクセスするように促してきたメールが本当に送信元とされる組織から送られてきたものなのかを、送信元とされる組織に直接確認することが必要です。その場合、連絡先の情報として、送られてきた電子メールや Web サイトに掲載された情報を用いてはいけません。 契約時に取り交わした書類など、確実に対象となる組織から送付されたものであることが確認できる資料に掲載された情報を用いてください。 - ワンクリック詐欺
携帯電話などに届いた広告メールの URL へアクセスしたり、Web ページ上のメニューや画像をクリックしたりすると、「入会処理が自動完了しました」などのメッセージが表示され、入会金や利用料金が請求されるという手口の詐欺です。
多くの場合、「個体識別番号」や「IP アドレス」、「リモートホスト名」、「プロバイダー名」といった情報が表示され、興味本位でクリックしてしまったユーザに個人情報が相手にわかってしまったと思わせ、不安をかきたてることにより、高額な料金を騙し取ろうとします。 利用していなければ料金を支払う必要はありませんので、請求は無視しましょう。 また、広告メールの URL へ興味本位でアクセスしたり、信頼できない Web サイトで、リンクやボタンを安易にクリックしたりしないように注意してください。 - 偽オンラインショッピングサイト
オンラインショッピングサイトやオークションサイトを装い、商品代金を騙し取ったり、クレジットカード番号などの機密情報を盗み取ったりしようとするものです。
オンラインショッピングサイトやオークションサイトを利用する場合には、SSL (https) などによる電子署名や通信経路の暗号化が行なわれているか、 またサーバ証明書の内容に問題がないかなどを必ず確かめるようにしましょう。
参考文書(日本語)
http://www.jpcert.or.jp/wr/2004/wr043101.txt
http://www.jpcert.or.jp/wr/2004/wr043201.txt
http://www.jpcert.or.jp/wr/2004/wr043301.txt
http://www.jpcert.or.jp/wr/2005/wr050201.txt
http://www.jpcert.or.jp/wr/2005/wr050301.txt
http://www.jpcert.or.jp/wr/2005/wr054901.txt
http://www.jpcert.or.jp/wr/2005/wr055101.txt
http://www.jpcert.or.jp/wr/2006/wr062001.txt
- 2012-02-09
- スタッフ募集のお知らせ
- 2012-01-27
- メンテナンスのお知らせ
- 2012-01-26
- Java セキュアコーディングセミナー受付開始
- 2012-01-26
- ソフトウエア等の脆弱性関連情報に関する届出状況 [ 2011年第4四半期 (10月 ~12月) ]
