中田亨
 情報をどう使うかの問題  事故を受けて、指摘を受けて、やる泥縄ではダメ  仕事が速くかつ安全に回ることを目指す
 「目的は情報漏洩したくない」 なら廃業すれば よい。  本当は何のために情報を使うの?  本当は何のためにコンピュータを使うの?  目的例:「お客様にすぐに提案できるようにした い」等
 「電子メールは厳重に管理」でも、「まちがい FAXダダ漏れ」ではダメ  使っている装置、情報の流れを、全部棚卸しして、 一番弱いところに注目する
 「出先に行く。プレゼンする。交渉する。メール を出す・・・」というシナリオ  どんな情報がいつ、どこで、なぜ、どれだけ、欲 しいかが分かる  「情報は何でも厳重に管理」では何もできない
 情報事故の9割以上は、内部人員による紛失や誤 送付、誤設定で起こる  ガードレールがないのに、飛ばしすぎ  ガードレール:「メールソフトが誤送付を阻止し てくれる」  飛ばしすぎ:「家に持ち帰って仕事しよう」「面 倒くさいからメールで...
 「安全のため、ネットから隔離する」  「ファ イルの輸送をUSBメモリで」  「USBメモリを紛 失」  どんなに素晴らしいセキュリティ技術であっても、 副作用がある。  比較せよ。一番副作用の小さいやり方を選べ  副作用を知って...
 「情報セキュリティは裏方の仕事」ではダメ  「安全投資をケチって大損害」もよくある話  「一番デキる人が担当する」という慣例にせよ
 「事故が起きてから何かする」ではダメ  プロアクティブ:前もって備える  定期的に活動する  対事故訓練する
 サイバー攻撃詐欺の3戦法  ニセ警官型:「このメールは情報セキュリティ本 部からのものです。添付を開きなさい」  パニック型:「大至急の案件なんです!パスワー ド教えて」  薄味型:「駐車場でランプが点いている車があり ます。その写真...
 振り込め詐欺撃退法  電話の前に「ヒロシかい?」と書いた紙を貼って おく。(ヒロシなんて息子はいないけど。)  どんな電話にも、「ヒロシかい?」と答える。振 り込め詐欺は「ヒロシだよ」と答える。  会社を標的とするサイバー攻撃も、詐欺...
 パスワードだけでは、使わせない方式  「登録済のパソコンでないとダメ」  「登録済のICカードもないとダメ」  パスワードを盗聴されることへの備え
 安易なもの「123456」「password」 「admin」は即死する  ちょっと複雑なものも、オフライン攻撃でも死 ぬ。(ファイルは暗号化しても、敵の手に渡れ ば、その手元で無限にアタックされる)  複雑なものは覚えきれないので、紙...
 生年月日  電話番号  車のナンバー  郵便番号  の、どれかである。  「4桁暗証番号」の方式は使うな
 「今まで使ってきて便利で安全だった」は、それ ほど便利でも安全でもない  FAX で送付? まちがえて漏れますよ  BCCで一斉メール配信? 事故多発ですよ  金があるなら、最新の技術を買う  ないなら、危険な現状を縮小する
 「122」は、「112」と読み間違える  3桁以上の数字の連続は、事故の種  区切りを入れよう「12-2」  まぎらわしい文字は、パソコンに読み上げさせよ う
 リスクを抱え込んでいる人が多い  「実は、規則違反の装置を持ち込んでいる」  「実は、パソコンがウィルスに感染」  「実は、その人しか使い方を知らない」  その人がいない時に起こる変化で、リスクがわか る
 膨大な情報が退職者と共に出ていく  漏洩はゼロにはできない。脳内記憶は残る  面談して、何がどれだけ漏れるのか、話し合おう。  電子的なアカウントは即刻無効に。
 「人間、十把一絡げ管理」は、大事故の常連  “誰でも読めるファイル”  “誰でも使えるパソコン”  “管理者は、いつでも管理者権限行使”
 情報を漏らさないと、相手も教えてくれない  「実は弊社はこう計画しているが、御社はどう思 う?」  何がWin-Winの情報なのか見極めよ  「漏らしても、自分に損なし、相手喜ぶ」  「教えてもらっても、自分喜ぶ、相手損なし」
 来たるべき大災害に打ち勝つことが大目標  情報が一番欲しい。「家書万金に抵る」  2014年豪雪。市長がtwitter で情報提供呼びかけ  普通は、有益な情報を集めることは難しい  交換の場の用意。使用法の事前策定(誰が呼びか け...
Upcoming SlideShare
Loading in...5
×

情報漏洩対策 20のツボ

1,227
 -1

Published on

情報セキュリティー、情報漏洩対策、人的要因について20のコツを解説。

Published in: Business
License: CC Attribution License
0 Comments
6 Likes
Statistics
Notes
no profile picture user

  • Be the first to comment

Show More
No Downloads
Views
Total Views
1,227
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
28
Comments
0
Likes
6
Embeds 0
No embeds

No notes for slide

情報漏洩対策 20のツボ

  1. 1. 中田亨
  2. 2.  情報をどう使うかの問題  事故を受けて、指摘を受けて、やる泥縄ではダメ  仕事が速くかつ安全に回ることを目指す
  3. 3.  「目的は情報漏洩したくない」 なら廃業すれば よい。  本当は何のために情報を使うの?  本当は何のためにコンピュータを使うの?  目的例:「お客様にすぐに提案できるようにした い」等
  4. 4.  「電子メールは厳重に管理」でも、「まちがい FAXダダ漏れ」ではダメ  使っている装置、情報の流れを、全部棚卸しして、 一番弱いところに注目する
  5. 5.  「出先に行く。プレゼンする。交渉する。メール を出す・・・」というシナリオ  どんな情報がいつ、どこで、なぜ、どれだけ、欲 しいかが分かる  「情報は何でも厳重に管理」では何もできない
  6. 6.  情報事故の9割以上は、内部人員による紛失や誤 送付、誤設定で起こる  ガードレールがないのに、飛ばしすぎ  ガードレール:「メールソフトが誤送付を阻止し てくれる」  飛ばしすぎ:「家に持ち帰って仕事しよう」「面 倒くさいからメールで送ろう」
  7. 7.  「安全のため、ネットから隔離する」  「ファ イルの輸送をUSBメモリで」  「USBメモリを紛 失」  どんなに素晴らしいセキュリティ技術であっても、 副作用がある。  比較せよ。一番副作用の小さいやり方を選べ  副作用を知って使え
  8. 8.  「情報セキュリティは裏方の仕事」ではダメ  「安全投資をケチって大損害」もよくある話  「一番デキる人が担当する」という慣例にせよ
  9. 9.  「事故が起きてから何かする」ではダメ  プロアクティブ:前もって備える  定期的に活動する  対事故訓練する
  10. 10.  サイバー攻撃詐欺の3戦法  ニセ警官型:「このメールは情報セキュリティ本 部からのものです。添付を開きなさい」  パニック型:「大至急の案件なんです!パスワー ド教えて」  薄味型:「駐車場でランプが点いている車があり ます。その写真を添付に」
  11. 11.  振り込め詐欺撃退法  電話の前に「ヒロシかい?」と書いた紙を貼って おく。(ヒロシなんて息子はいないけど。)  どんな電話にも、「ヒロシかい?」と答える。振 り込め詐欺は「ヒロシだよ」と答える。  会社を標的とするサイバー攻撃も、詐欺電話でパ スワードを聞き出す。怪しい電話には、「企画部 のオオヒガシ部長ですか?」と架空部署名人名を 用意。
  12. 12.  パスワードだけでは、使わせない方式  「登録済のパソコンでないとダメ」  「登録済のICカードもないとダメ」  パスワードを盗聴されることへの備え
  13. 13.  安易なもの「123456」「password」 「admin」は即死する  ちょっと複雑なものも、オフライン攻撃でも死 ぬ。(ファイルは暗号化しても、敵の手に渡れ ば、その手元で無限にアタックされる)  複雑なものは覚えきれないので、紙に書いてしま い、盗み見られる。  パスワードは破られやすいので二要素認証を  同じパスワードをあれこれに使い回さない
  14. 14.  生年月日  電話番号  車のナンバー  郵便番号  の、どれかである。  「4桁暗証番号」の方式は使うな
  15. 15.  「今まで使ってきて便利で安全だった」は、それ ほど便利でも安全でもない  FAX で送付? まちがえて漏れますよ  BCCで一斉メール配信? 事故多発ですよ  金があるなら、最新の技術を買う  ないなら、危険な現状を縮小する
  16. 16.  「122」は、「112」と読み間違える  3桁以上の数字の連続は、事故の種  区切りを入れよう「12-2」  まぎらわしい文字は、パソコンに読み上げさせよ う
  17. 17.  リスクを抱え込んでいる人が多い  「実は、規則違反の装置を持ち込んでいる」  「実は、パソコンがウィルスに感染」  「実は、その人しか使い方を知らない」  その人がいない時に起こる変化で、リスクがわか る
  18. 18.  膨大な情報が退職者と共に出ていく  漏洩はゼロにはできない。脳内記憶は残る  面談して、何がどれだけ漏れるのか、話し合おう。  電子的なアカウントは即刻無効に。
  19. 19.  「人間、十把一絡げ管理」は、大事故の常連  “誰でも読めるファイル”  “誰でも使えるパソコン”  “管理者は、いつでも管理者権限行使”
  20. 20.  情報を漏らさないと、相手も教えてくれない  「実は弊社はこう計画しているが、御社はどう思 う?」  何がWin-Winの情報なのか見極めよ  「漏らしても、自分に損なし、相手喜ぶ」  「教えてもらっても、自分喜ぶ、相手損なし」
  21. 21.  来たるべき大災害に打ち勝つことが大目標  情報が一番欲しい。「家書万金に抵る」  2014年豪雪。市長がtwitter で情報提供呼びかけ  普通は、有益な情報を集めることは難しい  交換の場の用意。使用法の事前策定(誰が呼びか ける、誰に呼びかける、個人情報はどこまで書い てよいか)

  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×