情報セキュリティセミナー～2011年度マネジメントコース入門編

2008年度、2009年度、2010年度に引き続き今年で個人的には4度目の 浜松商工会議所主催、 IPA（独立行政法人情報処理推進機構） による情報セキュリティセミナーを受講して来ました。 本記事には1月25日、26日と二日に渡って開催された内の初日、 25日のマネジメントコース入門編について テキストに添ったものと言うよりは情報セキュリティ専門家としての講師の方が 端々に零される生々しい息吹から感じられる現状をレポートします。

なお、本ブログには2010年度の情報セキュリティセミナーについて 稿を起こしておりますので興味のある方はご参考下さい。

• 情報セキュリティセミナー（2010年09月28日）
• 情報セキュリティセミナー（マネジメントコース入門編1）（2010年10月1日）
• 情報セキュリティセミナー（マネジメントコース入門編2）（2010年10月1日）
• 情報セキュリティセミナー（技術コース標準編1）（2010年10月2日）
• 情報セキュリティセミナー（技術コース標準編2）（2010年10月2日）

マネジメントコース講義について

マネジメントコースに於いては技術面よりも人的な面に視点を置いてのレクチャーで IPA製の 5分でできる自社診断シート に掲載される25のチェック項目を中心に話が進められました。

情報セキュリティに於いては多くは技術的、オンラインからではなく 人的、紙媒体による漏洩が大きな割合を占めることにも冒頭触れられます。 人的要因が問題である管理ミスや誤操作での自己発生が75%にも達しているデータがあります。 講義を拝聴していて人的要因に於いて重要と感じられたのが 5S（整理・整頓・清潔・清掃・躾） であることは頷かれる方も多いことでしょう。

情報の漏洩についてなかなかITに馴染みのない方に 情報セキュリティの重要性を理解して貰うことは難しいようです。 うちには秘密情報がないと嘯く中小企業の代表なども居られるとのことで、 先ずはどの組織も所有する情報の実例や、他所で漏れて困った情報の実例を挙げて 実際に漏れては困る情報を保持していることを認識して貰い、 其の上で形の無い情報を保全する為の理解を助けるのに屡用いる 会社の預金通帳はどうしていますか？印鑑は何処に？のような例えが効果があるとのことです。

情報セキュリティ事故の事業に与えるインパクト

情報セキュリティ事故を起こした際の 事業への影響は漸次拡大していることも 最早ITが業務に欠かせない時代に考慮が必要でしょう。 情報セキュリティ事故についてはマスコミが飛び付き易いこともあり 大企業でことが起これば大々的に報じられますが、 逆にこれなどを不慣れな方には事例として取り上げれば ニュース等で見知っていることではあるでしょうから 理解を助けるのに与って力があるようにも感じられました。

漏洩のインパクトある実例としては 米軍の機密情報がガーナで販売されていた中古HDD内から見つかったことが挙げられました。 迂闊も好い所に感じられますが実際のお話だそうで、 情報機器の廃棄について考えさせられます。 またワイヤーロックは夜間は泥棒に取っては余り意味がないとの話も 最初は意外に思いつつも考えて見れば極当たり前のことですね。

最近では漏洩して個人情報をチラつかせての脅迫事案も散見されるようになり、 個人情報を盾に金銭要求されたら其れが自分の会社が管理する本物かどうかだけ確かめ、 後は何も言わず弁護士や警察に頼むことが有効に機能したとの実例も挙げられました。

このように懸念事項ばかり増える事態に 事業を継続する内に顧客名簿なと使いもしないのに 溜まり溜まった個人情報を破棄することで個人情報取扱事業者(5001件以上)であることで 抱えるリスクを回避するケースも出て来ているそうです。

当今ウィルス事情

さて今時は昔のように情報セキュリティーと言えば単に ウィルスの心配をしておれば良いと言う時代ではなくなったと言いつつも、 矢張り益々ウィルスについての危険度は上がっており、この対策も欠かせません。 ウィルスの危険度は昔のお遊び的なものから実際に身近に感じられる脅威としての威力も持ち始めており リアルの生活と同様な夜間に危ない場所に近寄らない、と言ったような意識付けすら必要となっています。

スマートフォンなどは一昔前の高性能なコンピュータに等しいので 何とボットも仕込まれることが最近増えているとのこと、 詰まり勝手に操作され放題となることを意味しており、 電池が自棄に早くなくなると思ったら 所有者の知らぬ内に悪事を働かれていたとあっては堪ったものではありません。

またネットワークに繋がっていない制御系のコンピュータも危険なことは耳新しい事象でした。 ウィルスに於いては最近は復元出来ないほどファイルを破壊する悪質なものが多く セキュリティ最後の砦はバックアップと言われていることも考えなければいけません。

ウイルス作成罪

しかし講師の方の喜ばれるには、一旦は済し崩しにされた ウイルス作成罪（刑法）が現実的になって来たとのことです。 孰れ法の成立し適用されることにるだろうことであり 興味深く見守りたいと思っていた処、 以下読売オンラインの2011年1月26日付のニュースが目に飛び込みました。 ウイルス作成罪、初適用…サイト閲覧者に感染 ニュースに拠れば全国で初の適用となった不正指令電磁的記録作成罪は 不正な目的のウイルス作成行為を禁じるよう昨年７月施行の改正刑法で新設されていたとのこと、 どうやら講師の方の話しを眠気半分に聞いていて 既に現実となっていることを聞き逃していたようです。 先ずは今後の注目の事案であることは間違いありません。

情報セキュリティに於けるメール

情報漏洩に於いてはメールの取扱いも重要で 近頃はソーシャルメディアに隠れて連絡方法として取り上げられませんが 矢張り最も多く用いられるメールについては古くて新しい問題として取り組む必要があります。 ホテルなどの公共機関との遣り取りではそのネットワークにも問題を抱えられていては困ります。 重要情報は添付ファイルにパスワードロックして送付した方が安全でしょうとのことです。 メールが送信相手本人のみに読まれるばかりで無いことも承知しておくことが必要なのは言う迄もありません。

セキュリティポリシー

情報セキュリティでは組織内ではセキュリティポリシーを以下

1. 何が機密か？
2. 守る方法は？
3. 違反時の罰則は？

を鑑みながら策定し、適用しつつ改善を図ると効果的ともなります。 情報セキュリティにもPDCAサイクルは適用出来る訳ですね。 JNSA（NPO日本ネットワークセキュリティ協会） の調査結果は深刻な事態を示す中、 効果的な情報セキュリティ対策は必須となるのではないでしょうか。

情報セキュリティセミナーについて

実はIPA、即ち情報処理推進機構は独立行政法人として仕分けの憂き目に遇っているそうで 有用な事業を多く展開してくれているのを知ってもいれば個人的には残念に思います。 IPAには毎日情報セキュリティに関する相談やセミナー依頼があるそうで ビジネスにITの欠かせない現代にあっては当然のことだと思います。 しかし本事業情報セキュリティセミナーも仕分けの影響を逃れ得ず 要請の有った場合にだけ開催が実施されているとのこと、 積極的にIPAに向けて手を挙げてくれた 浜松商工会議所には本当に感謝したいと思います。

追記 （2012年1月28日）

同セミナーの二日目、26日分にあたる内容をまとめた記事 情報セキュリティセミナー～2011年度技術コース標準編 を投稿しました。