内部診断と内部監査18 | 平林良人の『つなげるツボ』

————————————————————
■□■ 平林良人の『つなげるツボ』Vol.275 ■□■
― つなげるツボ動画版はじめました ―
*** 内部診断と内部監査18 ***
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■ ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■ 情報漏洩(じょうほうろうえい) ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■ インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■ パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット(大文字、小文字)と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報(ID、パスワードなど)の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し(123やabc、
aaaなど)を自動的に組み合わせることでパスワードを探し出そうと
します。