ビジネスお役立ち情報 > 仕事効率を上げるパソコン手帖 > 2014年の重大事件から振り返る企業の情報セキュリティ

仕事効率を上げる「パソコン手帖」仕事効率を上げる「パソコン手帖」

仕事効率を上げるパソコン手帖のトップへ

2014年の重大事件から振り返る企業の情報セキュリティ

企業における情報セキュリティは年々重要性を増している。インターネットの利用が社会の隅々まで行き渡るにつれて、その影響がより重大になってきているのだ。そこで今回は2014年に起きたセキュリティ関連の事件を振り返りながらあらためてセキュリティの基礎を確認する。

2014年は重大事件続発! 情報漏洩で巨額賠償も……

2014年を振り返ると、企業における情報セキュリティに関わる問題が多数報道された。ネットの利用範囲は年々拡大の一途であり、その分企業が扱う情報量が増えており、情報管理の安全性は、社会問題としてより大きくクローズアップされるようになってきている。

2014年のセキュリティ問題で大きな話題になったのが、通信教育関連の出版を行うA社。この会社では通信教育の受講者など、多数の顧客情報を取り扱っていたが、そのうち3500万件超の情報が漏洩(ろうえい)。原因は委託先のシステムエンジニアが顧客情報を複製、名簿業者に販売したというものだった。この会社は被害者1人当たり500円相当の金券などを支払うという対応を行ったが、補償総額は判明している被害分だけでも150億円程度に上っており、さらに拡大する恐れもある。

また、大手航空会社のB社では、社内のパソコンがウイルス感染し、マイレージ会員の情報が漏洩。被害件数は最大で75万件が想定されるという。これによって流出した可能性のある情報は、会員番号、住所、生年月日、電話番号、メールアドレスなど。パスワードやクレジットカード情報は流出していないとされているが、この会社のシステムではパスワードを6桁の数字にしていた。自分の生年月日をパスワードにしていたユーザーも多いと思われ(例:1985年1月1日→850101)、危険性の高い流出事故となった。

このほかセキュリティ関連では、本連載「XPのサポート終了迫る!対策は大丈夫?」でも取り上げたように、2014年4月9日に「Windows XP」「Office 2003」のサポートが終了したことも記憶に新しい。サポートが終了したXPやOffice 2003は、セキュリティ更新プログラムの提供が行われなくなったことから、古いパソコンではセキュリティの危険性が増大した。

「XPのサポート終了迫る!対策は大丈夫?」
https://mypage.otsuka-shokai.co.jp/html-files/it/pc_techo/201306_2.html

アンチウイルスソフトだけじゃない! セキュリティ項目は多種多彩

上記の例からも分かるとおり、情報セキュリティをおろそかにすると、企業の存亡に関わる損失を被ったり、社会的信用を大幅に落としたりすることにもなる。現在では、ネットワーク管理者だけではなく、一般社員の一人一人がセキュリティに注意しなくてはならない時代になっているのだ。

「セキュリティ」と言うと、まず真っ先に思い浮かべるのが「アンチウイルスソフトの導入」だろう。しかしアンチウイルスソフトをインストールするだけでは、ハッキリ言って不十分だ。情報が漏洩する経路はウイルス感染以外にもさまざまなものがある。以下にセキュリティ関連で留意すべき項目のうち、主なものを一覧にしてみた。

主なセキュリティチェック項目 概要
各種パスワード・認証の管理 パソコンのログインパスワードやメール、Webサービスのログインパスワード。文字数が少ない、パスワードの使い回しなどは危険。指紋認証などの導入も要検討
アンチウイルスソフトの導入 ウイルス検知・駆除用のソフトがパソコンにインストールされているか。全てのマシンに必要
ファイアウォールの設定 パソコンに他者が侵入して遠隔操作したりするのを防ぐ、ファイアウォールをきちんと有効にしているか
無線LANのセキュリティ オフィスなどで無線LANを導入している場合、そのセキュリティは十分か。ログインパスワードの管理や、アクセスポイント名の不可視化、ログイン可能IPアドレス制限など
オフィスの入退室管理 オフィスに部外者が立ち入ることが可能かどうか。USBメモリなどのメディア、パソコンなどが盗難されると情報も同時に盗まれる。また離席時はパソコンの電源を切るか、ログオフしておく
メールの管理 怪しいメールの添付ファイルは開かない、URLをクリックしない、同報メールの管理など
Web閲覧の管理 Webサイトを閲覧する際に怪しいサイトはクリックしない。ログインパスワードなどの管理もチェック
共有ファイル・端末の管理 社内LANで共有されているファイルやプリンターなどに、他者がアクセスできるようになっていないか
メディアや携帯端末の管理 USBメモリ、CD/DVD-Rといったメディアの管理は厳重か。またスマートフォンやタブレットのセキュリティは十分か
ファイル交換ソフトなどの禁止 WinnyやShareなどのファイル交換ソフトは情報漏洩やウイルス被害の温床なので、使用できないよう対策しておく
外部業者への委託時の注意 相手先が信頼できるかを見極める。また相手先によって情報漏洩などが起きた場合の損害賠償対策なども確認しておきたい
Webサイトなどでの情報発信 企業のWebサイトやTwitter、ブログなどで情報発信するときにうっかり部外秘情報などを漏らさないようにするために、情報公開のガイドラインを定めておく
情報漏洩時の対策 万一、情報が漏洩した場合に被害を最小限に抑えるため、緊急時の連絡体制を整えておく。長期休暇時なども連絡ができるようにしておきたい

このようにセキュリティにおけるチェック項目は多数あるが、これでも全部とは言えない。そのほかにもその職場ごとの事情によって追加される項目も多々あるはずだ。顧客情報や社内情報などの管理には、幅広い場面で注意が必要となってくるのだ。

ソフトウェアは最新版にしておこう

ここまで述べたように、セキュリティ項目は多数あるが、ここからは誰でもすぐに行える主な項目について触れていく。

まず重要な点としては、利用しているソフトを常に最新版にしておくこと。OSや各種アプリケーションは、逐次アップデートが行われており、その中にセキュリティ項目の更新が含まれていることは多い。アンチウイルスソフトを入れておくのは当然だが、こちらもウイルスのパターンファイルが随時アップデートされる。自動アップデートを有効にしておき、必ずアップデートを行うようにしよう。

Windows Defenderの更新タブで更新ボタンが表示された画面

アンチウイルスソフトは全てのパソコンで必須だ。Windows 8/8.1では標準で「Windows Defender」が搭載されているが、Windows Updateを使って常に最新版にしておこう。また「Windows Defender」の画面から手動で更新することもできる。

もちろんOSも最新のものにしておこう。Windows Vista/7/8ではWindows Updateを利用して更新を行う。また、サポートの切れたWindows XPをまだ使い続けている場合は、できるだけ速やかに対策を行った方がいい。企業でXPからの一括乗り換えを行うなら、「Windows XPサポート終了お客様相談窓口『かけこみ寺』」などのサポートサービスを利用するのも手だ。

「Windows XPサポート終了お客様相談窓口『かけこみ寺』」
https://www.otsuka-shokai.co.jp/products/microsoft/from-xp/

Microsoft Officeを利用しているならば、常に最新版のOfficeアプリケーションを利用できる「Office 365」を利用するのもいいだろう。パッケージ版のOfficeだと大きなバージョンアップが行われるたびに、アップグレード版を購入する必要があるが、「Office 365」ならクラウドから最新版Officeをダウンロードしてインストールできるので、バージョンアップのコストを削減できる。月額980円(税別)の定額制で、低コストでの導入が可能だ。

「たよれーる Office 365」
http://www.otsuka-shokai.co.jp/products/tayoreru/office365/

大塚商会のたよれーる Office 365の説明画面

「Office 365」を使うと、インターネットから最新版Officeをダウンロードしてインストールできる。パッケージ版と違って導入コストが安く、バージョンアップのたびにいちいち買い替える必要もないので企業ユーザーにも便利だ。

添付ファイルに要注意! メールのセキュリティ

日常業務に欠かせないメールだが、メールを介して感染するウイルスは多い。特に注意が必要なのが添付ファイル。取引先や顧客を装って、ウイルス入りの添付ファイルを送付してくる場合もあるので、怪しそうなメールの添付ファイルはうかつにクリックしないようにしよう。同様にメール内に記載されているWebのURLについても十分注意が必要だ。

このほかよくあるのは、複数の人に同じ文面のメールを送る同報メールの宛先記載ミス。メールの宛先には、通常の相手先に送る「TO:」と、同報用に使われる「CC:」「BCC:」の宛先がある。「BCC:」で指定した宛先については、他の同報相手からはそのメールアドレスを参照することができない。顧客などの多数に同報メールを送る場合は、「TO:」に自分のメールアドレスなどを入れておき、同報相手先のアドレスは「BCC:」に入力しよう。

BCC欄に複数のメールアドレスを記入した画面

複数の顧客などに同報メールを送る際は、相手のメールアドレスは「BCC:」に入力しよう。こうすれば受け取った相手が、他の同報先のメールアドレスを見ることができなくなる。

Web閲覧時のセキュリティ

インターネットのWebサイトは情報収集などに欠かせないが、最近では金融機関などのWebサイトとそっくりの外見を装い、閲覧者から個人情報などを集める詐欺サイトが横行している。中にはURLを1文字変えただけといった紛らわしいものもある。Internet Explorer 9には「SmartScreenフィルター」という詐欺サイトへの接続を防止する機能があり、標準でオンになってはいるが、このフィルターも万全とはいえない。怪しげなリンクはできる限りクリックしないよう気を付けよう。

「SmartScreenフィルター機能を有効にする」を選択している画面

Internet Explorerの「SmartScreenフィルター」は、詐欺サイトへの接続を遮断する機能。標準では有効になっているはずだが、何かのミスで無効になっている場合は、「ツール」から「セーフティ」を選択し「SmartScreenフィルター機能を有効にする」で設定できる。

また各種オンラインサービスでパスワードを要求されることもあるが、パスワードは第三者から類推されやすい、誕生日などの番号は使わないようにしよう。また複数のオンラインサービスのログインパスワードを使い回すのは危険だ。本連載の「今すぐ見直そう!ID、パスワード管理術」などを参考に、より安全なパスワードにしておこう。

「今すぐ見直そう!ID、パスワード管理術」
https://mypage.otsuka-shokai.co.jp/html-files/it/pc_techo/201402_2.html

持ち運びメディアやスマホなど携帯端末の取り扱い

最近の情報漏洩でよく見るパターンが「個人情報をコピーしたUSBメモリを紛失してしまった」というケースだ。またスマートフォンやタブレットといった携帯端末は、個人情報の宝庫でもある。こういった持ち運びできる端末は便利だが、同時に危険でもあるので取り扱いには注意が必要だ。

USBメモリの場合は、紛失・盗難に備えて暗号化機能付きの製品を利用したり、Windowsの「BitLocker To Go」で暗号化したりするなどの対策をしておくといい。詳しくは本連載の「USBメモリからの情報漏洩(ろうえい)を防ぐセキュリティ対策」などを参考にしてほしい。

「USBメモリからの情報漏洩(ろうえい)を防ぐセキュリティ対策」
https://mypage.otsuka-shokai.co.jp/html-files/it/pc_techo/201406.html

エレコムのセキュリティUSBメモリ「MF-PUVTM1」シリーズの画像

セキュリティUSBメモリならば、データを自動で暗号化して記録してくれるので、万一USBメモリを紛失してしまった場合でも、情報漏洩の危険性を軽減できる。写真はエレコムのセキュリティUSBメモリ「MF-PUVTM1」シリーズ。ウイルス対策機能なども装備されたセキュリティUSBメモリだ。

スマートフォンについてはデータのバックアップをこまめに行い、モバイル端末を企業で一括管理できる「MDMサービス」を利用したい。スマートフォンのセキュリティについては、本連載「スマートフォン・タブレットのバックアップで個人データを守ろう」が参考になる。「たよれーるデバイスマネジメントサービス」といったMDMサービスを使うと、端末の紛失時に遠隔で操作をロックして悪用を防止するなど、しっかりした集中管理が可能となる。

「スマートフォン・タブレットのバックアップで個人データを守ろう」
https://mypage.otsuka-shokai.co.jp/html-files/it/pc_techo/201310.html

たよれーるデバイスマネジメントサービスの説明画面

職場のスマートフォンを一括管理したい場合は、「たよれーるデバイスマネジメントサービス」といったMDMサービスを利用すると安心できる。

たよれーるデバイスマネジメントサービス

このほか使用済みのメディアを廃棄したり、古いパソコンを処分したりする場合は、データの完全削除も行っておきたい。こちらは本連載の「これで安心!データの完全削除。ベストな方法とは?」を参考にしてもらいたい。この記事で紹介されている「法人向けデータ消去&パソコン買取サービス」は、パソコンの処分時にお薦めだ。

「これで安心!データの完全削除。ベストな方法とは?」
https://mypage.otsuka-shokai.co.jp/html-files/it/pc_techo/201401.html

「法人向けデータ消去&パソコン買取サービス」
http://www.otsuka-shokai.co.jp/products/odt/

以上、「基礎中の基礎」ともいうべきセキュリティ対策を紹介してきたが、これだけではまだ十分とは言えない。また今後、新たな情報漏洩の手口なども登場してくるかもしれない。ニュースなどのセキュリティに関する情報をこまめにチェックして、脅威に備えてもらいたい。

テキスト/芝田隆広

企業のITセキュリティ講座