業務部門と考えるセキュリティのルール

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

業務部門と考えるセキュリティのルール

2011/04/19


 社内システムでの情報漏洩やウイルス感染を防ぐためにはIT部門だけでなく、エンドユーザである業務部門の人々のセキュリティ意識を高く保つことが重要なカギになることを第1回記事で紹介した。今回はユーザの意識調査などをもとに、実データでセキュリティ意識の現状をまず紹介する。おおよその傾向がわかったところで、第1回「ケースファイル編」で紹介したセキュリティ上のリスクに対する具体的な対策を紹介しながら、エンドユーザのセキュリティ意識を高めるためにはどうすればよいかについて考えていく。

セキュリティ意識


1

ITユーザのセキュリティ意識は

 標的型攻撃におけるメールなどは、企業システムを攻撃するための尖兵として、エンドユーザを騙す形でシステムに忍び込むことを「ケースファイル編」で説明した。これがシステムにバックドアを仕掛けると、その後、さまざまな攻撃が外部から襲来する。スパイウェアを仕掛けて企業内の重要情報を盗み出すのは常套手段だ。例えば、ユーザのID/パスワード、メール、ビジネス上の機密ファイルやデータ、顧客データ(クレジット情報など)が外部に流出する可能性がある。さらにはウイルス拡散やDDoS攻撃など、業務妨害を行われる危険もある。
 このような重大な結果をもたらさないために、IT部門は攻撃を食い止めるさまざまな対策をとっており、セキュリティポリシーに基づいたシステム運用ルールも策定済みのはず。しかしそれだけでは十分でない。情報システムのエンドユーザがセキュリティについて高い意識を持ち、攻撃を水際で食い止める防衛能力を持たなくてはならない。そこで気になるのがエンドユーザのセキュリティ意識の現状。これを統計データから探ってみよう。

1-1

情報漏洩の原因は「誤操作」「管理ミス」がトップ

 まずは企業の情報セキュリティインシデントの現状を確認しておきたい。日本ネットワークセキュリティ協会(JNSA)の「2010年情報セキュリティインシデントに関する調査報告書【上半期 速報版】」(2011年2月)では、昨年の1〜6月までの情報セキュリティインシデント情報を収集・分析している。その中から、特に企業セキュリティに重要な「情報漏洩」について現状を見てみよう。図1が情報漏洩の原因を整理したものだ。

図1 情報漏洩の原因
図1 情報漏洩の原因
出典:JNSA「2010年情報セキュリティインシデントに関する調査報告書【上半期速報版】」(2011年2月)
資料提供:JNSA

 図からわかるとおり、「誤操作」(37.3%)、「管理ミス」(30.0%)、「紛失・置き忘れ」(13.9%)、「盗難」(7.9%)「不正な情報持ち出し」(4.4%)が上位にランクされている。
 「誤操作」は、メールやFAX、郵便物を間違った宛先に送ってしまったというケースだ。これは宛先の書き間違い、「送信」ボタンの押し間違いなどによる。エンドユーザのウッカリミスが情報漏洩を一番引き起こしているということだ。
 次に多い「管理ミス」は、IT部門の責任だが、3番目以降の3点(紛失・置き忘れ、盗難、不正な情報持ち出し)は、エンドユーザの行動に関係したインシデントだ。PCやUSBメモリなどの持ち出し禁止ルールなどがうまく機能していないと解釈することができよう。
 続いて、何から情報漏洩したのかを図2で見てみよう。トップは相変わらず「紙媒体」(65.2%)だ。続いて「USB等可搬記録媒体」(12.4%)、「電子メール」(8.9%)と続く。

図2 漏洩媒体・経路別の漏洩件数
図2 漏洩媒体・経路別の漏洩件数
出典:JNSA「2010年情報セキュリティインシデントに関する調査報告書【上半期 速報版】」(2011年2月)
資料提供:JNSA

 この図で見ても、情報漏洩の件数のかなりの部分が業務部門のエンドユーザの行動によって起きていると考えることができる。つまりエンドユーザがセキュリティにもっと気遣いができれば、情報漏洩の多くを減らすことができるということだ。

セキュリティ情報局にご登録頂いた方限定で「業務部門と考えるセキュリティのルール」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


セキュリティ意識/業務部門と考えるセキュリティのルール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ意識」関連情報をランダムに表示しています。

セキュリティ意識」関連の特集


 これまでの連載では、マイナンバーに対応した機器処分についてお話してまいりましたが、PC等の機器・電…



 前回のまとめで、セキュアコーディングスキルが上がらない原因が発注者側にも開発会社側にも関係している…



企業のサーバを預かるデータセンタ。今、再び需要が高まっている背景とそれに対するサービス、最新設備の写…


「その他ネットワークセキュリティ関連」関連の製品

ネットワーク分離ソリューション 【アクシオ】 シマンテック SSL サーバ証明書 【シマンテック・ウェブサイトセキュリティ】 標的型サイバー攻撃・内部対策アプライアンス iNetSec Intra Wall 【PFU】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 最新ウェブサイト攻撃の被害データと攻撃傾向を徹底解説 ネットワーク内の通信を監視することで、標的型サイバー攻撃によるマルウェアの活動を検知し、感染端末の通信を自動的に遮断するアプライアンス。

「その他ネットワークセキュリティ関連」関連の特集


ちょっとしたミスにつけこんで悪意あるサイトに誘導するケースが増えています。シュワ知事も実施済みという…



 近頃「標的型攻撃」というキーワードを含むニュースが各種メディアで大きく取り上げられている。例えば、…



標的型サイバー攻撃など従来の境界防御の限界が見えてきた今、セキュリティに求められる新たな姿とは?アナ…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004080


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ