えごうしゅうどっとぷろふぇっしょなるわーくす

地元長崎の活性化!異業種交流会の会合衆です!!

社内のネット関連セキュリティは大丈夫ですか??

完全版を表示する

池PONです。

ちょっと気になる情報流出事故が有りましたので、アップしました。

情報流出事故発生

その、気になる内容は、退職した従業員が『元』勤めていた会社のシステムに簡単にログインできてしまった。と言う、『情報流出事故』が発生していましたので、原因と対策を下記にまとめます。心当たりの有る経営者の方や、管理責任者の方はこの機会に是非、事故防止にお役立てください。

社員用のPC大丈夫?

社員用のPC,まさか・・・・個人のノートパソコンやタブレットを使わせている・・・そんな方、いらっしゃらないですよね??以前、大問題になった情報漏洩事故のほとんどが会社のPCを自宅に持ち帰ったり、会社のエクセル等のファイルを自宅に持ち帰り、個人のPCを用いて業務を行っている時に発生しています。もちろん、会社内で会社のPCを用いて業務を行っている時にウィルス等により漏洩したこともありましたが、大半は、社員の自宅等の社外や社員個人所有のPCからの流出なのです。

社員用のPCを会社が準備しなければいけない理由

社員用のPCを会社が準備しなければならない理由は次の通りです。(勿論他にもたくさんありますが3つに絞って書き込みました。)

1・PCの詳細を会社が掌握出来ない
  • インストールしてあるソフト等環境を会社で管理できない→ウィニーでの流出事故が有名ですが、その他にも、多種多様な悪意の有るソフトウェアやサイトが数多く存在している為流出のリスクが異常に高くなる
  • 閲覧するサイトの制限がない→悪意の有るサイトで地雷を踏んで大爆発。。。有り得ます!会社では、いかがわしいサイトや、それに類する不適切なサイト、海外の良く分からないサイト等は見る事が出来なくても、自宅ではどうでしょう??え?会社でも見てる??それって、業務命令でなければ、服務規程違反や背任、場合によっては業務上横領・・・『クビ』ですぜ??それはさておき、会社内からのWEBアクセスで有れば、IP等の制限をルーターで行ったり、他にも多種多様な方法でブロックする事が出来ます^^b・・・
  • 機械の状態が分からない→会社側でPCを管理していないと、会社のデータにアクセス中にクラッシュし、大事なデータが『あぼ~ん』道連れで大量に消えてなくなったり・・・有ると思います。。。
2・社内の重要なデータを容易に持ち出す事が出来る
  • 考えれば直ぐにわかりますが、毎日持ち出されている状態ですね・・・
  • 社外のPC等不特定多数の見慣れないPCの中に悪意が有るPCが紛れていても分からない・・・・
  • 会社が知り得ない内容のプログラム(バックドア等のウイルス系やP2系等)により、ネットワークを介して簡単に転送が出来、且つ履歴を残せない

社内のPC利用。ホントにそれだけで大丈夫?

今回ピックアップした流出事故の実例としては、PCは社用のPCを使用させていましたが流出してしまいました。。。。では、情報流出事故がどのようにして起こったのか時系列で見てみましょう

情報流出事故が起こるまでの経緯

  1. 前会社では貸与されたPCのみ使用。自宅への持ち帰りは無い。
  2. 該当職員退職に伴いそのPCは使用されなくなった。
  3. 該当職員自宅に於いて新しく購入したPCで該当職員が別件の作業を行う際たまたま前会社のシステムログイン画面が表示。
  4. そのまま前会社システムへログインできてしまった。
  5. 情報流出事故発生!!

あれ??特に情報流出事故が発生する要因は見当たりませんが、流出事故につながっていますね!!問題は、会社PCを貸与しており、仮に持ち出せない状態で運用していたとしても情報流出事故が起こっていた案件なのです。では、詳しく紐解いていきましょう。

 

グーグルアカウント等は会社が管理してる?

今回の情報流出事故は、

PCは会社が管理していたが、グーグルクローム他アカウント管理型ブラウザを利用する際のアカウントが個人のアカウントで有った為

クラウド上に有る会社システムへのログインIDとPWを個人のアカウントで保管(記憶)していた事が原因で発生しました!

IDとパスワードの保管方法で情報流出事故は起こります!

では、今回の情報流出事故のケースで注意する(気になった)点をあげていきます。

  1. PWの定期変更を怠っていた。
  2. IDPWをインターネットブラウザ等に記憶させて運用していた
  3. 会社にブラウザ利用の規定が無く、個人のアカウントにてアクセスしていた

わざわざ記事にしてアップした理由

上記3です!!

1や2の徹底で防げた情報流出事故ではありますが、上記3に於いては野放しの会社も多いのではないでしょうか?又、IEのセキュリティ上の脆弱性がマイクロソフトより発表されたタイミングで、『IEを利用しない事』や、ネット利用の際はグーグルクロームを利用する。等の取り決めを行っている会社は多数知っていますが、利用するアカウントを会社が指定している所は・・・・・

保険屋さん等はもっと厳しいセキュリティがかかっているようですが、今の所中小企業では・・・・『無い』です・・・

又、視点を変えて、退職した元従業員の立ち位置でも考察してみましょう!

 

ブラウザから個人情報ダダ漏れですよ??

逆に、退職した方の個人情報(至る所に保管した)は、、、、前職の会社PCに残っているんじゃないですか??又、ブラウザでの検索履歴やアカウントにログインする際のIDPW等残してきてませんか??????説明飛ばしていい人はココ押して

ブラウザって何?ID、PW、??ログイン???って方、いらっしゃいますよね?

念の為簡易?な解説を・・・

ブラウザと代表的なブラウザの種類

ブラウザ(browser・拾い読みするもの)とは、元々はPC上にあるファイルや画像を見る為のソフトウェア全般を差しますが、インターネット普及に伴いインターネットブラウザの呼び名が現在はインターネット上に有るコンテンツ(文書や画像や動画)を閲覧する為のソフトウェアの総称を指して呼称する事が多いです。(画像ブラウザ→画像ビューワー等に呼び方が変わってきている)

インターネットブラウザ→ネットブラウザ→ブラウザ

時代の流れと共に変わってきています!さて、その種類ですが、多種多様に有りキリがありませんので多くのネット上のサービスでサポート対象になっている確立が高い順に列挙していきます。

IE(インターネットエクスプローラー)

言わずと知れた、マイクロソフト標準装備のブラウザです。PC苦手の方は知らずに使っている(ネットを見るボタンと思っている)方も多い様です。後述のedge(エッジ)は、完全に別物ですが、気づかずに使っている人が異常に多い事実。。。。。。。

Google Chrome(グーグルクローム)

表示速度が速いとの謳い文句でグーグルがスタートした時はそんなに流行りませんでしたが、スマホやiPhonとの連携、フェイスブックやその他便利系と連動、シングルサインオンAPIの提供(ちょっと強引な説明ですが、グーグルアカウント一つであちこちのサイトやサービスがグーグル認証等の呼称で利用できる)により、内容はよく分からなくても利便性がよい為利用者が急増しています。

Firefox(ファイアーフォックス)

火狐やFF,Fxと略称で記載する場合も有り、表示速度も『ズバ抜けて』早かった。。。。現在はグーグルクロームに抜かれてしまった感が有ります。2016年10月時点では、アドオン(カレンダーとの同期等の拡張ツール群)の数は未だファイアーフォックスの方が優れていますので、拡張性の点ではまだファイアーフォックスに軍配が上がりますが一般の人はその恩恵にあやかれることは少ないと思います。

Safari(サファリ)

アップル社の、OS X標準のウェブブラウザとしてMac OS X v10.3より搭載されており、iPhoneやiPadで標準装備されている為、急激なユーザー数増加に伴いサポートの対象とならざるを得ない為サポートは普及したと言える。動作も軽く速い。

その他にもブラウザはいっぱい!

・edge(エッジ):ウインドウズ10の標準ブラウザ。ウインドウズ7や8からアップデートされた方は知らずに使っているケースが目立つ。更新等、事あるごとに他ブラウザ利用中の設定をエッジに戻すあたりは、マイクロソフトの必死さが伺える。。。

他にも、ネットスケープナビゲーター、オペラ、アバストセーフゾーン、他、最近では、ウイルス対策ソフトウェアが中心部はグーグルクロームでカスタマイズされたオリジナルブラウザを出したりと、多種多様なブラウザが有ります。。。ついてけない・・・(汗

ID・PW・ログイン・アカウントって?

  • ID(アイディー):個別の会員番号で有ったり、メールアドレスであったり、システムを利用する時にサービス側が識別する為に個別に割り振られた符号の事。
  • PW(パスワード):これは、読み方だけでよいかと。。。念の為に、、暗唱符号(暗証番号ではセキュリティ上良くない為最近はアルファベットと組み合わせる)
  • ログイン:IDPWを用いてシステムに接続する事
  • アカウント:システムを利用することが出来る権利者名を指すことが多い

ID=アカウントのシステムもあり、混同しがちですが、上記の様な”くくり”になります。(PC苦手の方にも分かる様に記載しましたので厳密に言えば違う部分や説明を簡潔にする為割愛している件はご了承下さい)

会社のID・PWの管理方法

さて、本題に戻ります。どういう対策により防げていたのでしょうか??

マニュアル通りの解説ですと、

  1. システム管理責任者の設定。
  2. 管理権限の設定。(機密レベルの設定)
  3. PWは毎月変更。
  4. 電子文書で保管する場合はネットワークから隔離されたPCにファイルにPWを設定して保管(もちろん、このPWも毎月変更)
  5. PWは使い回さない。

最低限でこれだけです。簡単に見えるでしょ??

マニュアル通りでは実質管理できていない!

 

理想と現実は程遠く、他にも、管理コストの問題もあったり、人員の問題も有ったり、、、でも、それって最終的に『お金結構かかるじゃん?』ですよね?それと、もう一つ大事な事が・・・上記PW管理方法では情報流出事故は防げなかった!ですね。。。

しかも、実際問題として出来ていない会社がほとんどです。あなたの会社は大丈夫ですか??

なぜ出来ないのか?理由をいくつか上げてみます

面倒くさい

面倒くさい

面倒くさい

そして、面倒くさい・・・

ですよね~~・・・・

そこで、極力コストを掛けず、やらなければならない最低限のPW管理のセキュリティ対策は次の記事へ・・・

  • B!

おすすめ記事

1
社内のネット関連セキュリティは大丈夫ですか??

池PONです。 ちょっと気になる情報流出事故が有りましたので、アップしました。 情報流出事故発生 その、気になる内容は、退職した従業員が『元』勤めていた会社のシステムに簡単にログインできてしまった。と ...