実際にセキュリティ上の問題が発生した場合、または起こりそうな場合(インシデント)、それを知った実務担当者は何をどうすればいいのか
マニュアルを作成して、周知(運用管理)して備える必要があります。
情報保護は極力、ハードウェアーで対処する
外部からの危険については、ファイヤーウォール、高機能ルーター、アンチウイルスなどで対処します。
内部からの漏えいなどの危険は、USBメモリー、CD・DVDの使用制限、プリンターの制限、管理域へ(カメラ付き)スマホの持ち込み制限、極力ハードー的に制限かけて、やり切れない部分は運用でカバーします。
それでも起こる問題については、即刻、正しく対応する必要があります。
対処情報はマニュアルとして全社員に開示するも、管理者がその場で的確に指示、実施する体制の確立が必要です。
不正アクセス、情報盗目的スパイウェアー発覚時対応マニュアル
不正アクセスは
- 1.無線LANやインターネットルーター経由で直接社内ネットに侵入して操作する直侵型と
- -1.メールに貼付されてくるもの
-2.Webブラウザから落ちてくるもの
があります。これはパソコンにリモート操作アプリが勝手にインストールされ、知らぬ間に外部から簡単にリモート操作され情報が盗まれたり書換えられたりします(ウィルス型)。
音楽共有Winny/Shareネットワーク+ウィルスで、個人情報が流出させられるのもこれにあたります。 高度なウイルスはWinnyのような機能をも知らぬ間にパソコンに仕込みます。
危機対応マニュアルの整備と運用体制を作るのはすぐできることなので、個人情報管理導入の一メニューとして行います。
このページの最初に言いました「情報保護は極力、ハードウェアーで対処する」、不正アクセスと情報盗目的スパイウェアー(ウィルス)防止策
時間は掛かりますが、順次対策すべきことです
不正アクセスと情報盗スパイウェアー防御策
対策だけ列挙しますと
- 社内ネットになるべく無線LANは使わない
- セキュリティコードを使う
- wifiは侵入された痕跡が残りにくい、なるべく設置しない
- 不要ポートの閉鎖
- ファイヤーウォールの設置
- ログ解析で侵入を定期的にモニター
- 知らいな送信者のメールは開かない社内告知
- 強力なアンチウイルスソフト導入
- 強力なメールフィルター機能を設定する
- User権限ではインストールできない設定にする
- ブラウザーの公告をブロックするプラグインを当てる
- UTMやウイルス対策ソフトでは防止できないので注意
個人情報保護 危機対応 管理者、業務担当者 履修チェック
前項で説明しましたように、確認シートを作成しておきます。
教育、履修台帳です。
