日本ネットワークセキュリティ協会(JNSA)の『2013年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~』によると、2013年1月1日~12月31日の個人情報漏えいインシデント件数は1388件、想定損害賠償総額は1438億7184万円、インシデント1件当たりの平均想定損害賠償額は1億926万円に上る(※平均値は、被害者数が不明のインシデント72件を除いて算出されている)。
では情報漏えい事故の主な要因は何だろうか。同調査報告書によると、個人情報漏えいの要因の約7割は「誤操作」や「管理ミス」、そして「内部犯罪」などの内部要因であることが分かった。中にはアクセス権を持つ従業員がUSBポートにスマートフォンを接続し、大量の個人情報を持ち出すといった悪質な犯行も発生している。
多発する情報漏えい事件・事故を受けて、経済産業大臣から経済団体へ個人情報保護法の順守に関する周知徹底の要請が発生されるなど、もはや情報漏えいはあらゆる企業にとって人ごとではない。一度漏えいした情報は回収できないことはもちろんのこと、情報漏えい事件が発生すると株価の下落や補償対応など、企業存続の危機を招きかねない。企業にとってはトップダウンでのセキュリティ対策点検が重要になってくる。
そこでこのコンテンツでは、自社が抱える内部要因のセキュリティリスクを手軽に診断できる「セキュリティ診断」を提供する。5つの大項目、計18問の質問に答えるだけで、内部要因のセキュリティリスクと必要な対策が分かるように構成されている。本コンテンツを自社のセキュリティ課題の整理のために、ぜひ役立ててほしい。
「PC端末へのUSBデバイス接続について」に関する質問
Q1私物のUSBメモリなどが接続されないように、USBデバイスの利用を制限していますか? 例:指定のUSBメモリのみ利用できるように制限している
Q2スマートフォンやタブレット端末のMTP接続を制限していますか? ※MTP:Media Transfer Protcol
Q3許可したUSBデバイスへのファイル書出し時に暗号化を行っていますか?
「機密ファイルの管理について」に関する質問
Q5機密ファイルを利用者が意識しなくても自動的に暗号化されるようになっていますか? 例:復号したファイルを利用した後、自動的に再暗号化される
Q6暗号化されたファイルを利用する際、権限のある利用者のみ閲覧・操作できるようになっていますか?
「管理外端末(PCやスマートフォンなど)の社内ネットワーク接続について」に関する質問
Q7許可していない端末が社内ネットワークに接続された際に、検知/遮断できる仕組みはありますか?
Q8社内ネットワークに接続されている端末の数を把握できていますか?
Q9社内ネットワークに接続されている端末の情報(IPアドレス、MACアドレス、OS種別など)を把握できていますか?
「データベースの管理について」に関する質問
Q10データベース管理者であれば全てのデータにアクセスできることをご存知ですか?
Q11データベース管理者の権限を分散していますか?
Q12データベース管理者がデータを閲覧/取得した場合に、アラートをあげる仕組みはありますか? 例:個人情報が含まれるデータを深夜に閲覧/取得した場合など
「ファイルサーバのアクセス権限管理について」に関する質問
Q13各フォルダに誰がアクセスできるか把握できるようになっていますか?
Q14各フォルダに適切なアクセス権限が設定されていますか? 例:退職者の権限が残っていないか、人事異動後でも前所属部門のフォルダにアクセスできていないか
Q15グループ権限にどのユーザが含まれているか把握できるようになっていますか?
「ログの管理について」に関する質問
Q17禁止された操作が行われた場合、管理者へのアラートや利用者への通知が行われますか?
Q18収集したログを統合管理し、分析していますか?
Copyright © ITmedia, Inc. All Rights Reserved.