セキュリティ~その4~

マルウェアとは、malicious(マリシャス=悪意がある)とsoftware(ソフトウェア)を組み合わせた造語です。
ウイルス、バックドア、キーロガー、トロイの木馬、ランサムウェア、マクロウイルス、ブートセクタウイルス、スクリプトウイルス、クライムウェア、スケアウェア、スパイウェア、悪質なアドウェア、ミスリーディングアプリケーションなど、様々な脅威を総称したものをマルウェアと呼んでいます。

さて、このようなマルウェアやネットワークから不正侵入されて、情報が流出しているだけではないんです。
情報流出の一番大きな原因は「人」なんです。

「情報漏洩の多くは内部犯によるもの」そんな言葉を耳にしたことのある方は多いのではないでしょうか。
事実、多発する情報漏洩事件における原因の約8割は、ハッキングなどの外部要因ではなく、内部の人間による盗難、流出など内部要因が多くを占めているのです。

例えば、某通信教育会社。
外部からの不正侵入対策や、内部のセキュリティ対策(USBメモリの使用を設定で禁止しているなど)は行われていたそうです。
しかし「スマートフォン」の接続まで気を配っていなかったようで、それが内部の人間による、個人データの外部流出の発端となりました。

つまり、いくら外部からの情報流出防止に務めていたとしても、内部からの情報流出は防ぐことはできません。

■USBメモリに代表される物理的記憶装置や、GoogleDriveやiCloudやOneDriveなどのクラウドストレージ、VPNなどを使用した外部へのアクセスなどを包括的にコントロール(制限)する。
■パソコンを監視して「誰が、いつ、何を、どうした」などの個々の動きやログなどを記録する。
■最も重要なシステム(パソコンなどのデバイス)には、特定の方しかアクセスできないように顔認証や指紋認証や静脈認証など、アクセス方法を強固にする。

と、上記に挙げたように、システム面での見直しが必要となります。
しかし、一番大事なことがあります。

それは「セキュリティにおける社員教育」です。

社員個々の意識を向上させ、内部流出を防ぐ。
まずはそこから始まります。

連日のように報じられている企業の情報漏洩事件。
また、今後増えていくであろうものとして、罰則が非常に重くなっており、個人の最重要機密情報である「マイナンバー」の外部流出。
規模の大小、社員の多少を問わず、これを犯した企業が被るマイナスは、コスト面、イメージ面ともに非常に大きく、情報漏洩事件を改めて自社の経営課題の最重要項目として、改めて認識し直す必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です