知らなかったで済まされない 情報セキュリティ

　警察庁では、宝くじ協会の助成を受けて警察協会が作成したサイバー犯罪対策の情報セキュリティ対策ビデオを、「警察庁・サイバー犯罪対策」のホームぺージ上で公開しています。
　ドラマ形式でサイバー犯罪の対策法などを紹介しており、会社での社員研修や家庭での教育等に役立てられる内容となっています。
　http://www.npa.go.jp/cyber/video/index.html

　今回は、星野真里が主演する情報セキュリティ対策ビデオ｢仕掛けられた罠｣が公開されました。

　インターネットに詳しいＯＬ（星野真里）の弟がネット・オークションで詐欺にあい、また、本人もフィッシングにあってネットバンキングのＩＤ・パスワードが盗まれたうえ、お金を引き出されてしまいます。
　最後は、警察のサイバー犯罪対策係が登場し、見事、犯人を特定し逮捕するというものです。
　約２０分の内容で、フィッシングの手法なども映像で示されいるので、あまり詳しくない人でも大変分かりやすい内容となっています。

　本サイトには、これまでの三津谷葉子、萬田久子、大河内奈々子、竹下景子が主演するネット犯罪に関するビデオが公開されています。


　ちなみに、市民の防犯意識や規範意識の高揚に資する映像コンテンツの配信を目的とした「ポリスチャンネル」では、情報セキュリティ対策ビデオの他、市民の生活の安全・安心に関する様々なビデオが無料で見られます。
　政府拉致対策本部が製作したアニメ「めぐみ」も見られます。
　http://www.police-ch.jp/

　休日に、ご家族と一緒にご覧になってはいかがでしょう。

　独立行政法人 情報処理推進機構（ＩＰＡ）セキュリティセンターの名をかたった「なりすましメール」が 出回っているそうですから、注意してください。

「セキュリティ調査報告」というタイトルで、ＩＰＡが公表しているセキュリティ関連の情報と、ＰＤＦファイルが添付されているとのことです。
　PDF閲覧ソフト Adobe Reader の脆弱性をついたもので、悪意あるサイトにアクセスしてマルウエアのダウンロードを開始するということです。

　http://www.ipa.go.jp/security/topics/alert20080416.html

　独立行政法人 情報処理推進機構（ＩＰＡ）は、2008年1月18日、19日に15歳（高校生）以上のＰＣインターネット利用者を対象に、情報セキュリティに関する認知、理解、意識、および行動の現状についてアンケート調査を行い、その結果を公開しました。
http://www.ipa.go.jp/security/fy19/reports/ishiki02/press.html

　情報セキュリティの重要性について、全体としては「非常に重要である＝55.7％」「まあ重要である＝41.3％」となっており、その重要性は少しずつ浸透しているようです。

　しかし、「非常に重要である」とする人を、年齢別に見てみると、「10代＝40.1％」と「40代＝61.4％」との間に大きな差が見られます。
　また、職種別では、「医者･弁護士等､専門職＝71.5％」、次いで「会社員･公務員･教員(情報システムおよび通信関係の技術者･研究者)＝65.6％」などが高いのに対して、学生や契約社員/派遣社員は40％台と低くなっています。
　それぞれの社会経験や職責の大きさなどが、こうした意識に影響を与えているように思います？

　「経営者・役員」「会社員・公務員・教員」「契約社員／派遣社員」の企業等の勤務者を対象とした「組織における情報セキュリティ関連ルールの策定状況」については、「300人以上の組織＝82.2％」に対して「300人未満の組織＝46.4％」となっており、中小企業では、情報セキュリティの重要性は理解できていても、組織的な取り組みはまだまだ充分ではないようです。
　中小企業は大企業に比べて安全だとか、社会的責任は軽いなどということは全くないのですが・・・・

　情報セキュリティ上の脅威は、年齢や職種、企業規模の大小などか変わりなく訪れることを認識していただきたいと思います。

　企業の情報セキュリティのレベル（信頼度の水準）を評価し、格付する世界初の情報セキュリティ格付専門会社「株式会社アイ・エス・レーティング」が5月2日付けで誕生します。

富士ゼロックス　ニュースリリース
　http://www.fujixerox.co.jp/release/2008/0408_israting.html

　これによると、松下電器産業、富士ゼロックス、富士通、野村総合研究所など、国内有名企業１８社が出資しますが、大株主は作らず、業種や企業グループを超えた中立な立場の第三者機関として、信頼される格付制度を確立し、グローバルスタンダード化を進めていくとしています。

　国際認証制度ISO27001に加え、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化して、組織等の情報セキュリティレベルをランク付けするもののようです。

　「提供サービス」の一つとして、「委託先・取引先の情報セキュリティ格付」というものがあります。委託先などからの情報漏洩が後を絶たないと言った背景もあるものと思います。
　これからは、形だけの「プライバシーマーク」や「ＩＳＭＳ」では対応できなくなる可能性があります。

　情報セキュリティへの取り組み姿勢が、企業競争力に大きく影響することになりそうです。

　独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)からの2008年3月および第1四半期のコンピュータウイルス・不正アクセスの届出状況のまとめによると、北京オリンピックに関するスケジュール表のような情報を表示すると同時に悪さをするウイルスが発見されたそうで、「北京オリンピックウイルス」と称して、注意を促しています。

　「OLYMPIC.XLS」や「SCHEDULE.XLS」などのファイル名で、北京オリンピックのスケジュール表などに偽装されたExcelファイルが電子メールに添付される形で送られてくるそうです。このファイルを開くと偽のスケジュール表が表示される裏で、マクロ機能（作業簡素化のために処理を自動実行させるためのプログラム機能）の不具合（ぜい弱性）をついたものです。

　実行形式のプログラムファイルではなく、エクセルのファイルとなっていることから警戒心が薄れてしまいます。
　Excelのみならず、Wordやその他のアプリケーションソフトのデータで悪用される懸念がありますので注意が必要です。

　「北京オリンピック」開催に便乗するビジネスはいろいろとありますが、
こんな便乗はやめてほしいものです。


※情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2008年3月分および第1四半期）
　http://www.ipa.go.jp/security/txt/2008/04outline.html

　（財）日本情報処理開発協会 情報マネジメントシステム推進センターは、「医療機関向けのＩＳＭＳユーザーズガイド」をISO27001／JISQ27001にあわせて改定し、公開しました。
　医療機関では、病歴、病気の症状等のセンシティブ（機微）な個人情報を数多く保有しており、個人情報の保護という側面から情報セキュリティを検討する必要があります。
　JISQ15001（個人情報保護マネジメントシステム―要求事項）に基づく、プライバシーマーク付与認定取得などによって、適切な個人情報の取り扱いに努めることも大変重要ですが、電子カルテシステムやレセプト電算処理システムの導入など、情報システムへの依存度が高まる中では、そうしたシステムの管理、システム内の情報の利活用について”情報セキュリティ”の観点から、ＩＳＭＳ（情報セキュリティマネジメントシステム）の構築も検討していただきたいと思います。

　医療機関向け版のＩＳＭＳユーザーズガイドは、一般向けのユーザーズガイドに加えて、医療機関として考えなければならない事項について書かれており、医療機関においてＩＳＭＳ構築の取り組むにあたって目を通していただきたい内容となっています。

　先に「認証マーク制度」が流行っていると書きましたが、同様に、様々な資格も大流行です。
　今度、「企業情報保護士認定試験」が創設されました。
　　http://www.joho-gakushu.or.jp/pcip/

　本試験は、文部科学大臣許可法人である（財）全日本情報学習振興協会が実施する、いわゆる民間資格です。
　同協会は、他に、「個人情報保護士認定試験」「個人情報保護法検定」「情報セキュリティ検定試験」などの情報セキュリティに関係する試験、その他情報系に関する試験も実施しています。

　仕事柄、情報セキュリティに関係する試験にはチェックを入れ、時間が許せば情報収集の一環として受験もし、とりあえず合格もしていますが、私個人は、職業的なレベルから言えばそれを名乗るほどのものではないと思いましたので公開もしていませんし、新たに有効期限が定められて更新が必要となり、つい先日、期限切れを迎えましたが更新もしませんでした。

　ただ、一般企業・特に中小企業等で専門家（情報処理技術者等）ではないものの、なんらかの形で情報システムに関わる方にとって、情報セキュリティ等に関する知識の習得と、その習得レベルを把握するために、こうした資格試験を受験されるのはとても良いことだと思っていました。
　とはいえ、あまり積極的にお勧めすことはありませんでした。
　しかし、今度の「企業情報保護士認定試験」はお勧めしても良いかな？と感じています。