今まで紙で保管されていた情報が、データとしてコンピューター上で保管されるようになりました。情報は、紙ではなくメールなどのデータ形式でやりとりされ、顧客台帳や個人名簿などもコンピューター上でデータベース化されています。便利になった反面、情報漏えいへの対策の必要性が高まっています。
この章では、情報セキュリティのために、守らなければならない基本的なことを学んでいきます。何をしなければならないのか、してはいけないのかを具体的に説明しています。この章で言及している事柄は最低限守らなければならない事項です。しかし提示している事項以外にも注意すべき点はありますので、みなさんの会社のルールや周りの状況などから判断してください。
1.1 パソコンの利用
パソコンには顧客情報や機密情報など大切な情報がたくさん入っています。これらが流出したらどうなるでしょう?
また、いざパソコンを使用しようとしたときに起動しなかったり、大切な情報が書き換えられていたりしたらどうなりますか?業務はそこでストップ、もしくは間違った方向へ進んでしまい、大きな問題や損害になりかねません。
パソコンそのものをしっかりと守るためには、次の「してはいけない」ことがあります。
【してはいけない】
許可を得ていないPCの持ち出し
許可を得ていないソフトウェアのインストール
許可なく持ち出したパソコンを紛失したり、盗難にあったりするケースが後を絶ちません。紛失・盗難後に情報漏えいが発覚することもあります。パソコンには大切な情報がたくさん入っています。基本的に持ち出さないようにしましょう。
やむを得ず持ち出す際には、不要な情報をパソコンから削除し、許可を得てから持ち出しましょう。「持ち出し中は、肌身離さず」を原則として、盗難・紛失・置き忘れがないように気をつけましょう。
また、会社で許可されていないソフトウェアをパソコンにインストールしてはいけません。
ソフトウェアには、バグがつきものです。中にはセキュリティに影響を及ぼすようなバグもあります。これをソフトウェアの脆弱性と言います。 会社側では、利用するソフトウェアを限定することで、それらソフトウェアの脆弱性を常に把握することが可能です。仮に利用を許可しているソフトウェアに脆弱性が見つかっても、全社にアナウンスすることで適切な対処が可能になります。
ところが、社員が勝手にインストールしたソフトウェアに関しては、たとえソフトウェアの脆弱性があったとしても、会社側では把握できないため、適切な対処ができません。
さらに、インターネットで公開されているフリーのソフトウェアなどには、コンピューターウイルスがまぎれている危険があり、勝手なダウンロードはウイルス感染につながる恐れもあります。
コンピューターウイルスに関しては、上記以外にも、USBメモリーやインターネット経由で侵入してくることが考えられます。
そのため、パソコンに関しては次の「しなければならない」ことがあります。
【しなければならない】
パッチの適用
ウイルス対策ソフトの適切な利用
先に説明したようにソフトウェアには脆弱性があります。大半のコンピューターウイルスは、このソフトウェアの脆弱性を悪用しています。そのため、まずはソフトウェアの脆弱性を修正する必要があります。
一般的に、各ソフトウェアベンダーは自社の製品にソフトウェアの脆弱性が発見された場合、パッチと呼ばれるソフトウェアの脆弱性を修正するためのプログラムを提供します。該当するソフトウェアを利用している場合には提供されたパッチを速やかに適用しましょう。次の図は、マイクロソフト社が提供しているWindowsのパッチを適用するためのサイトのイメージです。
ただし、パッチを適用することにより自社で作成したシステムの利用ができなくなるなどのトラブルが発生することがあります。したがって、パッチの適用は、会社からの指示に従って行うようにしましょう。
コンピューターウイルスの中には、パッチやアップデートが提供されるよりも前に広がるものもあります。そのため、ウイルス対策ソフトのインストールは必須です。また、インストールするだけではなく、常に最新の状態にしましょう。
1.2 アカウントの取り扱い
アカウントとは、コンピューターを利用する際に入力する「ユーザー名」と「パスワード」のことです。アカウントの入力を間違えて、「パスワードが違います」というエラーメッセージが表示された経験はありませんか?アカウントはコンピューターの利用許可証なのです。
アカウントに関しては次の「してはいけない」ことがあります。
【してはいけない】
アカウントの共有
同じアカウント名、パスワードを異なるシステムで使いまわす
なぜアカウントを共有してはいけないのでしょうか?たとえば、あるコンピューターのアカウントを部員全員で共有すると、部員はいつでも誰でもコンピューターを利用することができ便利なように思えます。しかし、アカウントを共有することで、アカウント、特にパスワードの変更が簡単にはできない、アカウント情報が漏えいしやすくなるなどの問題がでてきます。アカウント情報が漏えいすると第三者に勝手にコンピューターを利用され重要な情報が壊されたり盗まれたりします。アカウントは共有せず、一人ずつ割り当てる必要があります。
システムが増えてくると、それぞれのシステムごとにアカウントやパスワードを覚えておくのが困難になります。そのため、異なるシステムであっても同じアカウント名やパスワードを使いまわす方がいらっしゃいます。しかし、これもとても危険です。
なぜなら、他のシステムから漏れたアカウント情報を用いて、ログインを試行するという「パスワードリスト攻撃」が急増しているからです。これにより、「同じアカウントやパスワードを使いまわしている」方たちが不正にログインされるなどの被害にあいました。
同じアカウント名、パスワードを異なるシステムで使いまわさないようにしましょう。
第三者によりシステムに不正ログインされると、そのアカウントの権限で操作をされてしまいます。そうならないためにも、以下のように適切なパスワード管理をしましょう。
【しなければならない】
適切なパスワードの管理
(強固なパスワードの設定、不要アカウントの削除)
パスワードは適切なものを設定しなければなりません。適切なパスワードとは、簡単に推測できないものです。パスワードを設定しなかったりユーザー名と同じパスワードを設定したりすると、誰からでも簡単に推測されてしまいコンピューターを勝手に使われてしまいます。名前や誕生日、電話番号などから連想出来るパスワードも同様に危険です。
設定したパスワードは、メモを取ったり、コンピューターに貼り付けたり、コンピューターのデスクトップに表示させたりせず、きちんと管理しなければなりません。メモなどは他人の目に触れやすく、パスワードが漏えいする危険があります。勝手にパスワードを使われコンピューターを不正利用されるかもしれません。
また、業務上不要になったアカウントはすぐに削除・停止しなければなりません。不要なアカウントを放置しておくと、悪用される可能性があります。退職した方のアカウントを利用してサーバーに不正にアクセスし、情報を盗む事件も起きています。
アカウントはコンピューターだけではなく、さまざまなシステムに存在します。メールシステム、業務システム、管理システム(たとえばWebサイト管理)などです。これらのアカウントが漏えいすると、単に個人情報や企業情報の漏えいだけではなく、社会的信用が低下しビジネスに大きな影響を与えてしまいます。
1.3 Webの利用
業務上、ブラウザーを使用して社内や社外のサイトを利用する必要が出てくることがあります。 Webはとても便利なものですが、同時にさまざまな危険が潜んでいます。
Webの利用に関しては、次の「してはいけない」ことがあります。
【してはいけない】
業務に関係のないサイトへのアクセス
会社のパソコンから業務に関係のないサイトへアクセスすると、仕事の効率が低下すると同時にネットワークの通信速度の低下を起こし他の人にも迷惑をかけてしまいます。 会社のネットワークの容量にも限りがあるので、他の人の業務を妨げるような行動をしてはいけません。
社員にインターネット環境を提供している会社は、インターネット上での社員の行動などに責任を負っています。 インターネットに接続しているコンピューターには、「IPアドレス」と呼ばれる住所のようなものが設定されていて、閲覧したサイトや書き込んだ掲示板、ブログなどに足跡を残すことになります。サイトの管理者は、IPアドレスを調べて利用者の情報を調べることもできます。会社のパソコンから社外のサイトへアクセスするときは、個人の利用者ではなく、会社が利用していると認識されることになるのです。
サイトにはウイルスが潜んでいる場合があり、中にはブラウザーからサイトを閲覧しただけで感染してしまうものもあります。 また、ウイルスによっては、パソコンの設定を変更して外部からのアクセスを許可してしまうものもあります。攻撃者はそこから侵入しパソコン内部の情報を盗み出します。 ほかにも、ファイルをダウンロードすることで、その中に紛れ込んでいる「スパイウェア」というプログラムが知らないうちにインストールされてしまうこともあります。スパイウェアは破壊行動を行うことはありませんが、パソコンにプログラムを追加したり内部の設定を変更したりして、パソコン利用者の行動や入力した情報を読み取り、スパイウェアの作成者に送ります。
このように、業務に関係のないサイトへのアクセスにはさまざまな危険が潜んでいるということを、常に意識しておく必要があります。
Webを利用する際には、次の「しなければならない」ことがあります。
【しなければならない】
パソコンの設定の見直し(ブラウザー、メールソフト)
ブラウザーの設定の中にはセキュリティに関するものがあります。サイトからのファイルやプログラムのダウンロード、ユーザー認証などがあり、これらを適切に設定します。メールソフトの設定としては、HTML形式のメールに関するものがあります。HTML形式のメールは、メールの書式をWebと同じHTMLで記述したもので、メールソフトの画面上でブラウザーと同じような表示が可能です。HTMLメールが利用出来るかどうかはメールソフトによりますが、先に説明したようなWebの危険性はメールにも当てはまるのです。
ブラウザーの設定画面
メールソフトの設定画面
具体的な設定内容は、社内規定などで定められています。みなさんが使用しているパソコンの設定は、購入時のままではないでしょうか? 必ず確認し、適切な設定を行いましょう。
また、家庭から個人用のパソコンでWebを利用する場合も注意しなければならないことがあります。SNSや掲示板、ブログに企業の秘密情報や業務上入手した個人情報を勝手に公開することは、企業倫理に反する行為です。SNSや掲示板、ブログに不用意な書き込みをしてしまい、損害賠償の訴訟を起こされた例もあります。
1.4 メールの利用
メールは、情報のやり取りを行う上で非常に便利です。パソコンのメールソフトから利用するだけでなく、携帯電話やブラウザーなどから幅広く利用されています。 しかし、問題点もたくさんあります。
例えば、送信時に送信先を間違えることによる情報漏えいやウイルス付きのメールによる感染などの問題です。
メール特有の問題は、メール送信時とメール受信時で異なります。
そこで、本節ではメール送信時の場合とメール受信時の場合にわけて解説します。
1.4.1 メールの利用(送信)
メール送信時は、次の「してはいけない」ことがあります。
【してはいけない】
機密情報のやり取り
私的な利用
メールによる情報漏えいには十分に気をつけてください。お客様、社員のプライバシーにかかわる情報などの機密情報はメールで送信しない、複数のあて先に一度にメールを送信する場合は各受信者が他の受信者のメールアドレスを閲覧できないようにする、などの注意が必要です。
過去に、某放送局が放送開始予定である新番組の企画で募集した人のメールアドレスを誤送信するという事故が発生しました。この事故は、メールアドレスが明らかになるカーボンコピー(cc:)で一斉送信したことによるものです。
一方、「しなければならない」こともあります。
【しなければならない】
メールソフトは会社指定のものを使用する
会社で作成している設定の手引きに従い設定する
あて先の確認
メールの利用にあたっては、必ず会社指定のメールソフトを使用するようにします。
また、合わせてメールソフトの設定、ウイルス対策ソフトとの連携なども必要となります。これらは利用している製品によって異なるので、会社で作成している設定の手引きなどに従い、決められた通りに設定しましょう。
メール送信時は、あて先のメールアドレスをきちんと確認してください。メールアドレスは、メール送信時に使われる「住所」です。 郵便の場合は、あて先を少し間違えても配達してもらえますが、メールアドレスは一文字でも間違っていると相手に届きません。 そればかりか、まったく関係のない相手にメールを送ってしまい情報漏えいにつながってしまうこともあるのです。 メールアドレスの入力には、くれぐれもミスのないよう気をつけてください。メール作成画面でメールアドレスを直接入力しなくて済むように、アドレス帳を利用することも対策のひとつです。アドレス帳にメールアドレスを登録することで、入力ミスのリスクを減らすことができます。 メール送信時にも、あて先メールアドレスを確認しましょう。
その他の注意事項として、必要のないメール送信や、容量の大きすぎるメールの送信などで、ネットワークに負荷をかけないようにしましょう。 また、業務以外での利用はしてはいけません。
1.4.2 メールの利用(受信)
メール受信時にも、次の「してはいけない」ことがあります。
【してはいけない】
メールの添付ファイルを確認せずに開く
不審なメール内のURLをクリックする
メールでは、さまざまなファイルを添付してやり取りすることができます。しかし、添付ファイルを悪用した攻撃が後を絶ちません。こうした攻撃では、細工をしたファイルを添付し、ウイルスに感染させたり、攻撃者が設置したサーバーに誘導し、攻撃を行ったりします。
また、同様にメール本文中のリンクにも気を付ける必要があります。一般的なメールソフトは、リンクをクリックすると、自動的にブラウザーが起動しリンク先のサーバーに接続します。これを悪用した攻撃がとても増えています。攻撃者は事前に罠を仕掛けたサーバーを用意しておき、メールでこのサーバーに誘導、攻撃を行います。不審なメールに設定されているリンクは不用意にクリックしてはいけません。
一方、しなければならないこともあります。
上記のような攻撃は、ほとんどの場合、OSや使用しているアプリケーションの既知の脆弱性を利用しています。そのため、パッチを適用し、脆弱性を悪用されないようにする必要があります。
また、ウイルス対策ソフトウェアにも攻撃を防ぐ効果があるので、導入すべきです。
【しなければならない】
OSや使用しているアプリケーションのパッチの適用
ウイルス対策ソフトの導入
なお、これらの対策は、特にメール受信のためというわけではなく、一般的なセキュリティ対策としても必要です。
1.5 媒体・書類の取り扱い
客先での作業などのため、ノートパソコンやUSBメモリ・CDなどの媒体や書類を持ち出すことがあります。 特にUSBメモリやCDなどの媒体はたくさんの情報を保存することができ、かさばることもなく簡単に持ち歩くことが出来るのでとても便利ですが、情報漏えいにつながる危険があります。
媒体や書類の取り扱いに関しては、次の「してはいけない」があります。
【してはいけない】
許可なき持ち出し
媒体や書類を安易に持ち出してはいけません。社員が自由に持ち出していると、他の社員が使いたいときに使えないなど、業務への影響が出ることがあります。 安易に持ち出すという気軽な行為が気をゆるめることになり、持ち出したことを忘れてしまうかもしれませんし、最悪の場合、紛失したり盗難にあったりして情報漏えいに発展するかもしれません。
そのため、媒体や書類の取り扱いに関しては、次の「しなければならない」ことがあります。
【しなければならない】
媒体・書類の適切な管理
(保管、持ち出し、廃棄に関するルールの徹底)
データの暗号化、廃棄時の消去
媒体や書類を適切に管理するためには、管理責任者を定めたり、管理台帳などを用意したりすることが必要です。 まず、鍵のかかる場所に保管し、台帳などで管理するなどの運用ルールを作り、それに従います。
送付が必要な場合は、通常の郵送や宅配便などを使用せず、セキュリティの確保された手段で送付してください。 持ち歩く際には必ず携帯し、盗難・窃盗・紛失・置き忘れがないよう気をつけてください。
不要となった媒体や書類は、復元して情報を見られることのないよう再生不能な状態に破壊してから廃棄してください。 きちんと対応せずに廃棄してしまうと、勝手に内容を持ち出されてしまう場合があります。
USBメモリやCDなどに機密情報を入れて持ち出す場合は、データを暗号化しておきましょう。そうすることで、万が一の盗難や窃盗などによる情報流出を食い止めることができます。USBメモリの中には、データを格納する領域全体を暗号化するものもあります。より強力なセキュリティ機能を持つ機種を利用しましょう。また、利用終了時にデータを消去することも重要です。
パソコンの廃棄の際にもハードディスク上のデータ消去が必要です。ハードディスクや媒体の処分を外部業者に委託する場合、秘密保持と勝手な再利用を禁止する内容を契約文書に含めます。
「社団法人 電子情報技術産業協会(JEITA)」から、パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項」(http://home.jeita.or.jp/cgi-bin/page/detail.cgi?n=75&ca=14)が出ていますので、参考にしてください。
1.6 日常業務
情報漏えいを防ぐために、職場内での環境にも気を配っておく必要があります。 日常の何気ない所に意外な落とし穴があるものです。
日常業務に関しては、次のような「してはいけない」ことがあげられます。
【してはいけない】
FAX、コピー機、プリンターなどにおける書類の放置
会社の機密情報をむやみに話す
重要な資料をプリンターに出力したらあいにく他の人が大量印刷中だったので、後で取りに行ったら資料が見当たらない!!ということがありませんか?もしかしたら、これが情報漏えいにつながり大事件になるかもしれません。
書類以外では、ホワイトボードなどに書いた内容やパソコンに貼り付けた付箋紙なども放置すると危険です。 そのほか、エレベーターホールなどでの会話にも注意しましょう。会社の機密情報を話していると、盗み聞きされてしまいそこから情報漏えいにつながることもあります。ついうっかり放置した・口にした、では済まされません。
日常業務に関しては、次の「しなければならない」ことがあります。
【しなければならない】
機密を漏らさない
社員証の着用
離席時の対策
使用していない書類や媒体は、机の上に放置せずキャビネットなどへ保管しておきます。重要度の高い書類や媒体は、鍵のかかる場所に保管します。FAXやコピー機、プリンターなどで入出力した書類も放置せず、常に機器に立ち会ってすぐに書類を回収するようにしましょう。 ホワイトボードなどに書いた内容は、使用後必ず消しましょう。
エレベーターホールなど社外の人が出入りする場所では、会話から情報漏えいすることもあります。これを防ぐには、社員証の着用が有効です。社内ではその場に部外者がいるかどうか、社員証で確認するようにしましょう。
そのほか、自席から離れるときは、パソコンを不正に操作されたり盗み見されたりすることのないように、ログオフするか、画面・キーボードロックなどの保護機能を使用します。IDやパスワードまたは重要な情報を付箋紙に書いてパソコンに貼り付けることもやめるべきです。「大切な情報を放置しないこと」が基本です。
最近では銀行のATMに隠しカメラを仕掛けて暗証番号を盗む、という事件等も発生しています。常に他人から見られているという意識を持つことが必要です。
1.7 情報セキュリティに対する意識向上
ここまで説明してきたように、私たちは情報セキュリティに対して、常に高い意識を持って行動しなければなりません。
今まで企業の資産と呼ばれていたものは、目に見える形のあるものがほとんどでした。しかしインターネットの普及などにより、形のない「情報」が資産として認識されるようになりました。情報を守ることを「情報セキュリティ」と言います。
企業による個人情報漏えい事件が、テレビや新聞で頻繁に取り上げられています。それだけ情報の価値が重要視されているからだと言えます。 どうして漏えいしてしまったのか、管理体制はどうなっていたのかということが問われています。問題を起こした企業は信頼を失い、対応のためにかかる費用はとても大きなものになります。
ITが普及している現代社会で、情報漏えいを防止するには、まず情報を活用する社員1人ひとりがモラルを持って行動することが大切です。
メディアでは毎日のようにサイバー攻撃や情報漏えいによる被害が報じられています。
このような被害に合わないためにも事件のことをよく知ることが重要です。
この章では具体的な事例をもとに、サイバー攻撃がどのように行われるのか、どのようにして情報が漏えいしたのかを紹介します。
これらの事例からセキュリティの大切さを学んでください。
2.1 多発するサイバー攻撃
ここ数年、サイバー攻撃が世界中で多発しています。
日本も例外ではなく、企業や官公庁などを狙ったサイバー攻撃が相次いでいます。
サイバー攻撃のひとつに大量のデータを送りつけることでサーバなどに過剰な負荷をかけ、サービスを低下させることを目的としたDDoS攻撃があります。
日本国内においては、2016年1月だけでも、大手自動車会社、金融庁、空港、厚生労働省、警察庁、財務省のWebサイトがDDoS攻撃を受け、閲覧障害が発生しています。
被害組織 事件の概要
大手自動車会社 2016年1月12日 21時40分頃、 大手自動車会社Webサイトで異常な負荷が発生、同社はその日のうちにWebサイトを停止した。翌日未明、SNS上に攻撃を示唆する投稿が行われた。1月18日に復旧した。
金融庁 2016年1月18日、金融庁がDDoS攻撃を受け、Webサイトにつながりにくい状態が発生した。事前に攻撃を示唆する投稿がSNSに行われていた。
2016年1月31日以降も断続的に攻撃を受け、接続しづらい状態となった。
A空港 2016年1月22日から3日連続でWebサイトがDDoS攻撃を受け、断続的に接続しづらい状態となった。和歌山県のイルカ漁に反対する米国籍男性がA空港で入国を拒否され入管施設に収容されたことに対し攻撃を示唆する書き込みがSNS上に投稿されていた。
厚生労働省 2016年1月25日、厚生労働省のWebサイトで閲覧障害が発生した。また、約4時間にわたり省外とメール送受信ができない障害が発生した。
2016年1月31日も攻撃を受け、接続しづらい状態となった。
B国際空港 2016年1月27日、Webサイトで閲覧障害が発生した。計10時間半程度、閲覧できない状態が続いた。
C空港 2016年1月27日、Webサイトで閲覧障害が発生した。約3時間程度、閲覧できない状態が続いた。
警察庁 2016年1月27日、警察庁のWebサイトで閲覧障害が発生した。直後に攻撃を示唆する投稿がSNS上に行われた。約2時間程度、閲覧できない状態が続いた。
財務省 2016年1月31日、財務省のWebサイトで閲覧障害が発生した。その後、SNS上に攻撃を示唆する投稿が行われた。
2.1.1 事例~ハクティビストによるサイバー攻撃
2016年1月31日以降、厚生労働省、財務省、金融庁、衆議院のWebサイトが相次いでDDoS攻撃を受け、それぞれのWebサイトで閲覧障害が断続的に発生しました。
サイバー攻撃により閲覧障害が発生している財務省のWebサイト(http://www.mof.go.jp/)
この攻撃は「Anonymous」と呼ばれるハクティビスト(政治的主張を目的としたハッキング活動者)によるものとみられています。
「Anonymous」による攻撃では、攻撃の前後に攻撃を予告したり示唆したりする投稿がSNSに対して行われることがあります。上記の事例では、厚生労働省を除き、攻撃後に投稿がありました。
警察庁がインターネット上で確認した「Anonymous」による犯行声明は2015年9月以降、140件を超えるなど活動が活発化しています。
2.2 マルウェア被害動向
コンピューターが普及し、インターネットの利用者が増加するにつれてさまざまな問題が増えています。
そのひとつがマルウェアです。マルウェアは、「悪意のある」という意味の英語「malicious(マリシャス)」と「software」を組み合わせた造語です。コンピュータウイルスやワーム、トロイの木馬、スパイウェア、攻撃用のツールなどはマルウェアの一種です。
以前は、特定のコンピュータウイルスやワームなどのマルウェアが爆発的に広がり大きな被害をもたらすことがありましたが、最近は特定の組織を狙った標的型攻撃(「3.6 標的型攻撃」で詳しく解説)において、未知のマルウェアが用いられるケースが増えています。
以下は、最近発生した主な標的型攻撃による被害事例です。
被害組織 事件の概要
石油関連団体
2015年4月、外部組織によりマルウェア感染の疑義について連絡が入ったが内部調査の結果、感染は確認されなかった。その後、専門機関からも連絡が入り、再確認したところ、6月にマルウェア感染および外部と通信を行っていたことが判明した。
某市
2015年6月、専門機関による通報により、庁内端末のマルウェア感染が判明した。感染端末を踏み台として別の機関に不正アクセスが行われた形跡が確認された。
某病院
2015年6月、県警より不正な通信が繰り返し発生しているとの連絡を受け、発覚した。実在する学会を名乗った案内文を偽装したメールの添付ファイルを開封したことでマルウェアに感染、他の団体のサーバに対する攻撃が行われた。
某大学
2015年7月、学内端末がマルウェアに感染し、利用者IDやパスワードを含む情報が漏えいした可能性がある。職員がメールに添付されたファイルを開封したことで感染した。メールの文面は実在する学内の会議が取り上げられており、添付ファイル名は「会議変更0617(水).exe」だった。
某鉄道会社
2015年8月、2通の標的型攻撃メールが届き、うち1通を社員が開封しマルウェアに感染した。その後、感染端末を通じ、6台のPCに感染が拡大した。外部サーバへの不審な通信により発覚した。
法務省
2016年2月、法務省に対し、標的型攻撃メールが大量に送りつけられていることが判明した。添付ファイルを開くとマルウェアに感染する恐れがあるため、職員に対しファイルを開かないように注意を呼びかけるなどの対応を行った。
2.2.1 事例~マルウェアを悪用した標的型攻撃
2015年に発覚した標的型攻撃の中でも、日本年金機構が標的となった事件では約125万人もの年金情報が漏えいするなど被害が甚大でした。
この事件では、マルウェアが組み込まれた添付ファイル付きのメールやマルウェアをダウンロードするリンク先が記載されたメールがきっかけとなりました。これらのメールは、日本年金機構の複数の職員宛に送付され、一部の職員が添付ファイルを開いたり、メール内に記載されたリンクをクリックしたりすることでマルウェアに感染しています。その後、感染したマルウェアにより大量の年金情報が漏えいすることになりました。
年金情報が格納されている基幹システムは論理的に独立したネットワークで利用されており、本来は安全なはずでしたが、業務で利用するため職員が一部データを抽出し、イントラネット内のファイルサーバ上に保管していたため、この情報が感染した端末を経由して漏えいしました。
標的型攻撃では、標的である組織や個人に合わせてカスタマイズしたメールが届きます。日本年金機構の際には、以下のようなメールが使われました。
サブジェクト 添付ファイル名/URL
「厚生年金基金制度の見直しについて(試案)」に関する意見 オンラインストレージサービスへのリンク
給付研究委員会オープンセミナーのご案内 給付研究員会オープンセミナーのご案内.lzh
厚生年金徴収関係研修資料 厚生年金徴収関係研修資料(150331 厚生年金徴収支援G).lzh
【医療費通知】 医療費通知のお知らせ.lzh
標的型攻撃に用いられるメールは、サブジェクトや本文、添付ファイルが工夫されているため、つい騙されてファイルを開いてしまったり、リンクをクリックしがちです。また、未知のマルウェアが使われることが多いため、ウイルス対策ソフトでは検出できないケースもあります。
普段から、このようなメールが来る可能性を意識することは重要ですが、未知のマルウェアに備えてOSや使用しているアプリケーションを最新に保つとともに、万が一感染しても情報が漏えいしないような対策を検討するとよいでしょう。
2.3 不正アクセス被害動向
不正アクセスとは、アクセスする権限のないコンピューターへ、許可なく侵入することを言います。
不正アクセスされたシステムは、サイトを改ざんされたり、マルウェアを埋め込まれたり、機密情報を盗まれたりといった被害を受けることがあります。
以下は、最近発覚した主な不正アクセスの事例です。
被害組織 事件の概要
某協会 2015年5月、某協会の会員専用サイトが国際的な抗議集団「Anonymous」を名乗る何者かに不正アクセスされ、同協会会員のメールアドレスやパスワードを含む2,347件のデータが盗まれ、公開される被害が発生した。
某印刷業者 2015年9月、印刷事業などを展開する事業者のサーバが不正アクセスを受け、業務を受託する17社の顧客情報26万7,000件が流出した可能性があることが判明した。同社サーバは、2012年5月から2015年8月までの間に不正アクセスが行われた形跡があり、外部から制御可能な状態であった。
某オンラインストア 2015年10月、某オンラインストアが不正アクセスを受け、購入者のクレジットカード情報が外部へ流出した可能性があることが判明した。システムの脆弱性が原因だった。
某映画館 2015年10月、某テーマパーク内にある映画館のWebサイトが不正アクセスを受け、クレジットカードを含む個人情報が外部へ漏えいしていたことがわかった。
某大学 2015年12月、某大学のメールサーバが不正アクセスを受け、約39,000通の迷惑メール送信に悪用された。
2.3.1 事例~不正アクセス後、恐喝
2016年1月、某セキュリティベンダー宛に同社を恐喝する匿名の封書が届きました。調査を行ったところ、不正アクセスを受けていたことが発覚しました。同社は警察に相談後、不正アクセスならびに恐喝の事実を公表しました。
不正アクセスを受けたのは社外のデータセンター内に設置したバックアップサーバで、顧客企業の情報、最大3,859社分が窃取された可能性がありました。また、恐喝文には、「サーバーに不正にアクセスし顧客の情報を盗んだ。現金を支払わなければ情報を公開する」という内容が記述されていました。
その後の調査で、不正アクセスにより、管理者アカウントのID及びパスワードを窃取され、管理者になりすまされた可能性が高いことがわかりました。
通常使用しているサーバはもちろんですが、バックアップサーバも不正アクセス対策は必要です。特に管理者アカウントの情報が悪用されると、情報の窃取はもちろん、そのサーバに対しなんでも実行可能となるので、注意が必要です。
この章では、攻撃者が実際に行う攻撃手法とそれらに対する対策方法を学びます。主な攻撃手法は、「コンピューターウイルス」、「スケアウェア」、「ソーシャルエンジニアリング」、「パスワードクラッキング」、「フィッシング」などです。また、最近、特に注目を集めている「標的型攻撃」に関しても紹介します。
被害を防ぐには、敵の攻撃手法を知ることも重要です。「脆弱性」を知るとともに、システムに被害をもたらす「脅威」との関係、「脅威」を引き起こす攻撃者たちについて紹介します。
3.1 攻撃者たち
脅威をもたらす者を攻撃者と呼びます。攻撃者は、次のように分類できます。
攻撃者たち
スクリプトキディ ある種のクラッカーに対する俗称で、技術を有さずにツールに頼って興味本位に攻撃する者を指す。攻撃用のツールがWeb上などに出回ることにより増えたと考えられている。技術力は低く、ツールに頼って興味本位の攻撃をする。
ハッカー ネットワークに深い知識や高度なテクニックを持ちシステムへ侵入などを行うが、基本的に悪質な意図はなく好奇心や探究心、あるいはゲーム感覚で行っていることが多い。
クラッカー 悪意を持ってシステムやネットワークに侵入したり、不正に利用したり、データの改変、盗み見、破壊などの犯罪行為を行う者を指す。
内部犯 不正行為を行う組織内部の者。犯人が特定されないことも多い。情報漏えいの70%以上が内部犯によるものであるという説もある。
上記以外にも、次のような攻撃者が考えられます。
サイバー犯罪者
産業スパイ
サイバーテロ
また、攻撃者とはいえないものの、被害をもたらす存在として以下も忘れてはいけません。
未熟練者(操作ミスなど)
3.2 コンピューターウイルス
コンピューターウイルスは新聞やテレビなどで報じられることが多いので、ほとんどの人が耳にしたことがあると思います。また、ウイルス対策ソフトによる警告を目にしたり、実際に感染したりしたことがある方もいらっしゃるかもしれません。では、そもそもコンピューターウイルスとはなんでしょう?
コンピューターウイルスに関しては、広義と狭義で捉え方が異なります。通商産業省(現経済産業省)の「コンピューターウイルス対策基準」では、広義の定義を採用しています。
広義の定義では、自己伝染機能・潜伏機能・発病機能のいずれかをもつ加害プログラムをコンピューターウイルスとしています。
(1)自己伝染機能
自らの機能によって他のプログラムに自らをコピー、またはシステムの機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
(2)潜伏機能
発病するための条件(特定時刻、一定時間、処理回数など)を記憶させて、条件が満たされるまで症状を出さない機能
(3)発病機能
プログラムやデータなどのファイルの破壊を行ったり、コンピューターに異常な動作をさせたりなどの機能
これに対して狭義の定義では、ファイルに感染する機能を持つプログラムをコンピューターウイルスとします。
コンピューターウイルスにはいろいろな種類がありますが、次ページから「トロイの木馬」「ワーム」「ボット」について説明します。
3.2.1 トロイの木馬
一見、危害のないものであるかのように装ってコンピューターに入り込み、破壊活動などを行うプログラムを「トロイの木馬」と呼んでいます。
「トロイ」とは古代ギリシア時代に実在した国です。そのトロイとギリシアが戦争になり、ギリシアがトロイに攻め込みましたが、城の堅い守りに阻まれうまくいかず、巨大な木馬を残して撤退しました。トロイ側は勝利したと思い、戦利品として木馬を城内に引き入れました。しかし、巨大な木馬の内部に隠れていたギリシア軍の兵が木馬の中から出てきて、城内にギリシア軍を引き入れ、結果的にトロイは破れて滅亡しました。この故事が「トロイの木馬」の名前の由来です。
トロイの木馬はファイルに感染しないため、狭義ではコンピューターウイルスと区別されます。
トロイの木馬は、ゲームや便利なアプリケーションに埋め込まれるなどして、危害のないものであるかのように装い、コンピューターに侵入します。トロイの木馬が埋め込まれたゲームやアプリケーションを起動するとトロイの木馬もメモリ上に読み込まれ、次のような動きをします。
裏口(バックドア)を開ける
リモートコントロールのサーバーとして活動する
情報を盗む
キー入力を盗む
盗聴する
破壊活動を行うetc...
代表的なトロイの木馬には、次のようなものがあります。
PlugX
Zeus
Spyeye
3.2.2 ワーム
ワームはシステム中に単体として存在し、ネットワークを伝わって自己増殖します。他のプログラムに感染するわけではないので、狭義ではコンピューターウイルスと区別されます。
ワームには、次のような特徴があります。
他のプログラムに寄生せず、単独で活動する
人の手を介さずに、自己増殖を繰り返す性質を持つ
メールを利用して拡散するものが多かったが、最近はメールすら必要とせず、ネットワークを通じ感染するタイプが多くなっている。
代表的なワームには、次のようなものがあります。
Netsky
Mydoom
Autorun worm
3.2.3 ボット
ボットは、外部からの命令を待ちその命令に従って動作します。攻撃者によって操られる様子がロボットに似ていることから、このように呼ばれています。ファイルに感染しないため、狭義ではコンピューターウイルスと区別されます。
ボットがコンピューターに感染すると、ボット同士で構成される「ボットネット」と呼ばれる巨大なネットワークを形成します。攻撃者は、指令サーバーと呼ばれるコンピューターを利用して、ボットに命令を送ります。ボットは命令に従って、迷惑メールの大量送信や特定サイトの攻撃、個人情報の漏えいなどの行為を始めます。ボットネット上の多数のコンピューターが一斉に動作するため、被害の規模も甚大になります。
代表的なボットには、次のようなものがあります。
SpyBot
Rmnet
Zeus/Zbot
3.2.4 コンピューターウイルスの傾向
コンピューターウイルスに感染する原因のひとつに、OSなどソフトウェアの脆弱性があります。 ソフトウェアのベンダーは、プログラムに問題がないかをチェックし、脆弱性が発見されれば公表して修正プログラムを提供するなどの対応をとっていますが、脆弱性が公表されてからコンピューターウイルスが発見されるまでの期間は、年々短くなる傾向にあります。以下は少々古いデータですが、2001年に発見されたワーム「Nimda」と2003年に発見されたワーム「Blaster」の脆弱性公表からワーム活動までの期間の比較です。
また、脆弱性が発見された際に、脆弱性の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃を「ゼロデイアタック」といいます。脆弱性に対しては、ベンダーが公開した修正プログラムを即座に適用するのが基本ですが、ゼロデイアタックの場合は、脆弱性への対応を行う前に攻撃が行われてしまいます。
2015年には、Adobe社の「Flash Playerの脆弱性」を悪用したゼロデイアタックが発生しました。この脆弱性は2015年10月1日にセキュリティベンダーによって発見されました。その後、Adobe社が10月16日に脆弱性を修正したバージョンを公開しましたが、その間に攻撃が確認されています。また、攻撃用のツールが出回るなどしており、脆弱性を修正したバージョンにアップデートしていないユーザは依然として危険な状態です。
最近は、脆弱性発覚後、脆弱性を悪用する攻撃ツールがすぐに作られるため、OSやアプリケーションはパッチを適用したり、アップデートをしたりすることで、常に最新の状態を保つことが重要です。
また、ゼロデイアタックのように攻撃を完全には防げない状態が続くことがあります。その場合も、ベンダーなどから被害を軽減するためのアドバイザリーなどが提供されている場合があります。使用しているOSやアプリケーションの脆弱性情報には常に気を配り、ゼロデイアタックによる被害をできるだけ小さくする必要があります。
3.2.5 コンピューターウイルスへの対策
コンピューターウイルスの感染を防止する対策としては、ウイルス対策ソフトが有効です。ワクチンソフト、アンチウイルスソフトとも呼ばれます。ウイルス対策ソフトは、ネットワークや外部記憶媒体などから入ってくるウイルスを検出し、侵入を防止します。ウイルス対策ソフトの仕組みは、これまでに発見されたコンピューターウイルスのプログラムコードを検知パターンと呼ばれるファイルにあらかじめ記録し、そのパターンと照合することでウイルスかどうかを判断します。つまり、検知パターンに登録されていない「新種」に対しては機能しません。
ウイルス対策ソフトは、導入しているだけでは効果がありません。きちんと、コンピューターウイルス検知パターンを最新のものに更新しないと、新しいコンピューターウイルスに対応できません。ウイルス対策ソフトには、スケジュールに従い自動的にウイルス対策ソフトベンダーのサイトへつなぎ、最新のコンピューターウイルス検知パターンが出ていないかチェックし、あれば自動的に更新する機能があります。こうした機能を利用して、常に新しいコンピューターウイルスに対抗出来るようにしておく必要があります。また、一般的に、ウイルス対策ソフトはウイルスの検知とともに駆除も行います。
もしコンピューターウイルスに感染した場合は、すぐにネットワークから切り離さなければなりません。ネットワークを通してウイルスが蔓延する可能性があるからです。被害を最小限にとどめることも大切なことです。
3.3 スケアウェア
スケア(scare)とは、「怖がらせる」「不安にさせる」という意味です。つまり、怖がらせることを目的に作られたソフトウェアです。スケアウェアの被害として、次のようなケースがあります。
あるWebサイトにアクセスしたところ、突然ポップアップ画面が表示され、コンピューターウイルスに感染したと告げられます。そして、対策ソフトの購入を勧めてきます。不安になった利用者は、このソフトを購入しようと するのですが、このソフトが偽者で、結果的に、お金を騙し取られたり、ソフト購入のために入力したクレジットカード番号を盗み取られたりします。
得体のしれないサイトはもちろんのこと、業務などで普段利用している社外のサイトでも、不正アクセス攻撃を受け、スケアウェアを埋め込まれることもあり得ます。突然の画面表示に慌てないよう、冷静な対応が大切です。
3.4 ソーシャルエンジニアリング
ネットワークやシステムの管理者などから、詐欺的な方法で、IDやパスワードなどセキュリティ上重要な情報を入手することをソーシャルエンジニアリングと言います。
代表的なソーシャルエンジニアリングは次のとおりです。
(1)なりすまし
メールや電話で管理者や上司、外部の第三者などになりすまし、情報を収集します。たとえば従業員に対し、「総務部」「厚生年金基金」などの名をかたって、「職場人員構成、社員名、職場のダイヤルイン番号、個人の住所など」を調査確認する電話が多数かかってくるなどのケースがあります。
(2)構内侵入
不正な手段で構内に侵入し、情報を収集したり、操作したりします。たとえば、出入り可能な人間(清掃業者、宅配便、派遣社員など)として、あるいはそれらになりすまして、フロア内に侵入するケースがあります。 また、共連れ(セキュリティドアなどが開いた隙に別人が入る )などの方法で侵入することもあります。
(3)ショルダーアタック(ショルダーハック)
肩越しにパスワードなどのキー入力を盗み見ます。建物外部より窓近辺の作業者のキー入力やディスプレイ上の情報などを盗むケースもあります。
(4)トラッシング(スカビンジング/スキッピング/ダストハント)
廃棄物(紙、フロッピーディスク、CD、ハードディスク)から情報を収集します。ハードディスクの廃棄は、容量も多いため特に注意してください。ファイルの削除、フォーマットなどではデータは完全に消去できない(復元可能)ということも知っておく必要があります。廃棄だけでなく、リース切れによる返却時や修理過程でのデータ盗難の可能性もあります。1979年、テヘランで発生したアメリカ大使館占拠事件で、裁断されたはずのCIA極秘文書が復元されてしまい、イラン政府によって公表されたケースがあります。
3.4.1 フィッシング
フィッシング(Phishing)は、正規でないサイトに誘導するのでソーシャルエンジニアリングのひとつです。主にネットバンクのユーザーをターゲットにして流行しています。
フィッシングは、メールなどを使い偽装したWebページに誘導することにより、銀行口座やクレジットカードの番号を搾取する行為のことを指します。「釣り」である“Fishing”が語源ですが、偽装の手法が洗練されている(sophisticated)ことから、“Fishing”ではなく“Phishing”になったとの説があります。
フィッシングの手口は、以前は、アドレスバーや画面を注意深く見れば見破れるものが多かったのですが、徐々に巧妙化し、最近ではWebブラウザーの脆弱性をつき、アドレスバーを偽造したり、コンピューターウイルスやトロイの木馬などと組み合わせたりする手法も出てきています。また偽の企業サイトを構築するフィッシングキットなども出まわっています。
フィッシングは、被害者の口座から現金が引き出されるという金銭的な被害を発生させることから、フィッシング詐欺と呼ばれることもあります。
3.4.2 ソーシャルエンジニアリングへの対策
ソーシャルエンジニアリングに対しては、ウイルス対策ソフトやファイアウォールといった技術的なものでは対応できません。ソーシャルエンジニアリングを防ぐには、ヒューマンエラーをなくすしかありません。そのために、社内のルールを整備したり、そのルールを社員に徹底させるために教育を実施したりします。
たとえば、電話でパスワードを聞き出す「なりすまし」行為に対しては、社内の人間に対しても、電話でパスワードを教えないというルールを決めておきます。電話で問い合わせがあったとしても、回答はあらためてメールで行うようにします。
構内侵入に対しては、フロアに入るときにIDカードでチェックしたり、指紋認証システムを利用したりするなどして、セキュリティ区画を設置します。コスト的にセキュリティ区画の設置が難しい場合は、名札の掲示だけでもある程度の効果があります。
ショルダーアタックに対しては、パスワードを入力する場面で、周りに気を配るように意識づける教育を行い、それを習慣とすることが対策となります。
トラッシングへの対策は、書類やメディアの廃棄方法をルール化して運用を徹底することです。たとえば、書類はシュレッダーにかける、フロッピーディスクやCDはそのまま廃棄するのではなく粉砕機にかけるなどのルールを必ず守ります。
フィッシングでは、偽のリンクをクリックしなければ不正サイトに誘導されてしまうことはありません。したがって、「メールに書かれているリンクを安易にクリックしない」、「リンク先にアクセスする必要がある際にはメールに書かれているリンクを使わずに、自分で登録したブックマーク(お気に入り)からアクセスするようにする」ということを習慣づけておくと対策になります。
3.5 パスワードクラッキング
パスワードクラッキングとは、パスワードを解析し、探り当てることです。
パスワードクラッキングには次のような方法があります。
名称 特徴
パスワード推測
ターゲットに関するさまざまな情報を収集した上で、パスワードを推測し、試す方法です。
たとえば、コンピューターからは、コンピューター名、ユーザー名などの情報を収集することができます。また、コンピューターからだけではなく、ターゲット組織の公開情報や社員の名刺、メールアドレスなどからもさまざまな情報が収集できます。これらの情報からパスワードを推測し、試します。安易なパスワードであれば、この攻撃でも簡単にパスワードが破られます。
実際に、オークションサイトなどでは、ユーザー名と同じパスワードをつけるなど、安易にパスワードをつけていたユーザーが攻撃者になりすまされ、不正に利用されるなどの被害が出ています。
辞書攻撃
英単語辞書やパスワードに使われやすい単語を登録した辞書を用い、人名、地名、商標名、製品名などあらゆる単語を試す方法です。
orat、tAro、taro1、などのように逆順や大文字小文字、数値を付加するなどの変換規則を登録して試すこともできます。
John The Ripper、LC 6、Cain&Abelなどのツールを用います。
ブルートフォース
アタック
パスワードに用いられるすべての文字の組み合わせを試す攻撃です。 総当たり攻撃とも言います。
LC 6、Cain&Abel、Brutusなどのツールを用います。
3.5.1 パスワードリスト攻撃
パスワードクラッキングは、異なるパスワードを繰り返し試すことでパスワードを試します。しかし、この方法はあまり効率がよいとは言えません。
最近は、より効率のよい「パスワードリスト攻撃」と呼ばれる攻撃が増えています。
「パスワードリスト攻撃」では、過去に他のサイトなどで流出したアカウントとパスワードのリストを用います。複数のシステムを利用する際、システムごとに異なるアカウントとパスワードを使わずに、同じものを使いまわすユーザが少なくありません。このようなユーザは、「パスワードリスト攻撃」により、別のシステムのパスワードを特定されたり、不正になりすまされたりする可能性があります。
パスワードリスト攻撃は2013年以降、多発しています。このような攻撃により被害に合わないように、同じパスワードを異なるサイトで使いまわさないようにする必要があります。
3.5.2 パスワードクラッキングへの対策
パスワードクラッキングへの対策は、簡単に推測出来るような安易なパスワードを使わないことに尽きます。安易なパスワードは簡単に破られる可能性があるからです。たとえば、コンピューター名やユーザー名、社員番号や生年月日などをパスワードとして使うことは絶対にしてはいけません。
辞書攻撃に対しては、さまざまな辞書を想定する必要があります。
辞書攻撃に用いられる辞書は、一般的な辞書だけでなく、俳優やミュージシャン、TV番組のキャラクター、企業 名、製品名などさまざまなものが用いられます。これらの辞書は、インターネット上で配布されています。辞書攻撃用のツールには、そのまま単語を入力するだけでなく大文字と小文字を混在させたり数字を加えたりといった処理も加えて実行することが出来るものもあります。
安易なパスワードを使わないようにするために、コンピューターのOS機能を使う方法があります。OS機能を使う と、パスワードの最小文字数を制限したり、英字・数字・大文字・小文字・「&」などの特殊文字を必ず使わないといけないようにしたり、パスワードの有効期限を設定して定期的にパスワードを変更しなければいけないようにしたりすることができ、安易なパスワードが使えなくなります。
簡単に推測できず、辞書に載っているような単語は避け、文字数を長くし、使える文字種はすべて用い、パスワードを設定するようにしましょう。
また、同じアカウントや同じパスワードを複数の異なるシステムで用いることも避けましょう。
あなた自身がセキュリティホールにならないよう、パスワードには十分注意しましょう。
3.6 標的型攻撃
標的型攻撃とは、「特定の組織や個人」を対象として行われるサイバー攻撃の一種です。APT(Advanced Persistent Threat)とも呼びます。
標的型攻撃では、「あらかじめ定めた標的組織用にカスタマイズしたメール」を用いるケースが多く、このようなメールのことを標的型攻撃メールと呼びます。
標的型攻撃メールには、脆弱性を悪用したファイルが添付されており、そのファイルを標的組織の社員が開くことでマルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称)に感染させるなどします。
標的型攻撃で悪用される添付ファイルの多くはZIP、RAR、LZHといった圧縮形式です。解凍後に現れるファイルのアイコンが画像ファイルや文書ファイルのアイコンに偽装されていることが多く、ついうっかりファイルを開いてしまうことでマルウェアに感染してしまうケースが多発しています。
以前は、多数の宛先に細工を施した添付ファイル付きのメールを送付する「バラマキ型」の攻撃が主流でしたが、最近は、採用活動や取引等の業務連絡を装って何度かメールのやり取りを行った上で、添付ファイル付きのメールを送るといった「やりとり型」が増加しています。
3.6.1 標的型攻撃への対策
標的型攻撃では脆弱性を悪用されることが多いので、まずは利用しているOSやアプリケーションの修正プログラムをきちんと適用することが重要です。また、ウイルス対策ソフトウェアやパーソナルファイアウォール製品の導入も効果があります。
パーソナルファイアウォールは、あらかじめ用意された条件に合うアクセスのみ許可することで、不正アクセスからパソコンを守るソフトです。最近ではウイルス対策ソフトとパーソナルファイアウォールが一体化した製品が増えています。
一般的に標的型攻撃はメールを利用して行われます。そのメールは、通常のメールに見せかけるため、件名、本文、添付ファイルなどをそれらしいものに偽装しているため、ついうっかり開いてしまいがちです。常日頃からメールに添付されているファイルやリンクをうかつにクリックしないようにするなど注意を払う必要があります。
もし標的型攻撃を受けた場合は、ウイルスに感染したときと同じように、パソコンをネットワークから切り離してください。そしてすぐに管理者に連絡しましょう。
3.7 内部犯
内部犯による情報漏えいには、本人が意図せず漏えいさせるパターンと意図的に漏えいさせるパターンがあります。
前者は、Winnyの利用による情報漏えいやサーバーの設定ミスによるWebサイトでの誤った情報公開、メールの誤送信による情報漏えいなどです。このパターンに対する対策として、情報漏えいの重大さを意識させたるために教育を徹底したり、間違った操作をさせないためのマニュアルやチェックシートを整備したりします。
後者は、内部関係者が転売や恐喝を目的として情報を持ち出すパターンです。このパターンに対する対策としては、情報を簡単に持ち出せないような職場作りが大切です。たとえば、情報の転売や恐喝に対しては法的措置を含めた厳しい対応を行うことによって、安易な情報持ち出しが身の破滅につながることを強調します。USBメモリやCDを使った情報漏えいに対しては、媒体の利用台帳を使うなどして、いつ誰が情報を持ち出したかを管理します。また、簡単に情報を持ち出せないように、必要な人のみに最小限のアクセス権限を与えたり、コンピューターの利用を監視し記録を取ったりすることも重要です。