[本文引用]
いつの世にも犯罪行為が存在する。窃盗や暴行、詐欺、殺害、迷惑行為など。
ICTやインターネットの普及にともない、さらにネット犯罪が新たに加わった。
情報窃取、情報漏えい、なりすましによる金銭搾取や情報の改ざんなどの犯罪だ。
このような犯罪が後を絶たない。
ここでは、ICT活用と同時に広がっているさまざまなネット犯罪から
どのように身を守るかについて説明しよう。
IPA(独立行政法人情報処理推進機構)の
「情報セキュリティ10大脅威 2015」では情報セキュリティ対策の
基本として次の点があげられている。
・ソフトウェアの更新によりソフトウェアの脆弱性を突いた攻撃から防御する
・ウイルス対策ソフトを導入し、ウイルス感染を防ぐ
・パスワード、認証の強化によりパスワード窃取を防ぐ
・設定を見直し、設定不備をついた攻撃から防御する
・脅威・手口を知り、誘導(罠にはめる)攻撃から防御する
いずれも基本的なことばかりであり、特段難しいことではない。
興味本位で不要なサイトを閲覧しないという大原則に立ち、
その上で基本的な対策を実施する。ソフトウェアの更新については、
PC上で起動している製品のアップデート情報の通知があれば
常にアップデートすることを習慣化すればよい。
PCやスマートフォンなどの乗っ取り、金銭被害に遭わないためには、
利用する端末をウイルス感染から守る必要がある。
やはり、ウイルス対策ソフトを導入することを忘れないようにする。
パスワードについては、すでに述べたが、本人だけが知っていることを
前提とした認証方式であることを認識しておくこと。
第三者から推測されにくいパスワードを設定し、かつひとつの
パスワードを複数の認証に使いまわさないことが不正ログインの防止に
有効に作用する。また、ソフトウェアの設定をよく理解せずに
利用しているケースが非常に多い。
初期設定時には、不要な機能が有効になっていたり、アクセス制限が
設定されていないソフトウェアやクラウドサービスがある。
利用開始時の設定確認や定期的な設定の見直しを行い、
情報漏えいや乗っ取りなどの被害を防止するようにしたい。
2015年5月に起きた日本年金機構の個人情報漏えい事件では、
標的型攻撃メールにより職員のPCがウイルス感染し、
年金受給者や加入者の氏名、基礎年金番号など約125万件の
個人情報が流出した。標的型攻撃の対象は省庁、自治体、
大手企業が多いが、これからはけっして中小企業は関係ないと
思わないことだ。この事件から得られる教訓がある。
ウイルスが添付されたメールを開封したことで、PCにウイルスが
感染したのである。さらに問題なのは、セキュリティルールでは
PC上に保存するデータを暗号化するよう定めていたにも関わらず、
それを遵守していなかったことだ。
どうだろう。これまでにもセキュリティルールを定め、ルールを遵守する
組織づくりの重要性を説明してきたが、日本年金機構においても
そのことが遵守できていなかった。
ネット犯罪の防止には、ルールを継続的に遵守していく組織力、
いわば組織のアナログ力が不可欠であることを改めて
認識しなければならない。
――――――――――――――――――――――
(近藤 昇 著 2015年9月30日発刊
『ICTとアナログ力を駆使して中小企業を変革する』
第6章 アナログとICTの境界にリスクあり
-ネット犯罪は防げるのか より転載)