Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セキュリティ管理者の行く年来る年

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/12/16号)」に掲載されたものです

師走も半ば過ぎ。まもなくホリデーシーズンを迎えるわけだが、長期休暇といえば、セキュリティの問題を無視するわけにはいかない。来年は個人情報保護法の本格施行などセキュリティ関係者には忙しい年となるだろう。年始早々足下をすくわれないよう、万全の体制で望みたいところだ。

ホリデーシーズン、素直に喜べないセキュリティ担当者

悲しいことにセキュリティ担当者に「年末年始」はない。長期休暇中にセキュリティホールが発見されることもあり得る。最近では、セキュリティホールが発見から、その脆弱性を攻撃する悪意あるプログラムが発生するまでの時間が急激に短縮されている。長期休暇中に発生すれば、休暇中にそれら問題を攻撃するプログラムが発生する可能性も高い。

万が一、長期休暇に突入してから企業内でウイルスの感染やサーバへの踏み台行為が発生すれば、他者への攻撃という「加害行為」も同時に発生する。社員への注意喚起や被害者への連絡など行わなければならない。しかも、長期休暇中は、平常時より連絡が取りにくい。泣きっ面に蜂だ。だからこそ、それら状況へも柔軟に対応できる体制を今のうちに整えておかなければならない。

望まぬクリスマスプレゼント「ウイルスメール」

年末年始といえば、ウイルスも多数発生する。IPAも警報を発令したが、それとほぼ同時にクリスマスメールを偽装したウイルスが登場、拡散している。

クリスマスシーズンや年始のあいさつなど、電子メールが多用される。愉快犯のクラッカーがそれらを狙っているというわけだ。実際、すでにそれらメールの発生が確認されており、米国などでは拡散を始めている。

クライアントPCは、電源が落としておけば感染を防げるが、仕事始めの際、必ずセキュリティパッチの存在確認、ウイルス定義ファイルのダウンロードを最初に行うよう、周知徹底することが重要だ。また、不審な年賀メールなどを開かないよう事前に説明しておく必要がある。

年末の不審メールにご用心 - IPAが年末年始警報
http://www.security-next.com/001152.html

ワーム「Zafi」の新亜種、クリスマスメッセージを装って拡散
http://www.security-next.com/001155.html

個人情報の取り扱いにも注意

年末といえば大掃除だ。今年1年のオフィスのアカを落とし、心機一転、新年を迎えることとなる。

大掃除では、社内の不要になった書類やCD-Rなど大量に処分することも多い。そこで気を付けなければならないのは、個人情報の処分だ。破棄したゴミから重要情報を入手する「トラッシング」という手口は、悪意ある反社会的団体やクラッカーの常套手段だ。

すでに「プライバシーポリシー」や「個人情報取扱規程」が用意されていれば、個人情報の破棄作業は繁雑ではない。それらに従い、正しく処理を進めれば良い。ただし、大量のゴミが出る大掃除は、忙殺されて通常と同様に遵守されない恐れもある。再度運用徹底を促しておきたいところだ。

もし、現時点でプライバシーポリシー等が策定されていないのであれば、臨時アナウンスを行い、個人情報漏洩が発生しないよう気を配る必要があるだろう。

シュレッダーなど、紙類は再生ができない形で必ず処理する。CD-Rなども、最近では再利用できないようにする装置が手軽な価格で発売されている。もちろん、手で割ったりすることも可能だが、思いの外、丈夫なので、ケガをしないよう注意したい。

個人情報を台帳管理をしているのであれば、1年の区切りとして棚卸しを行い、必要な情報と不要な情報を選別し、保有リスクの整理を実施するのも良いだろう。もし、今後利用しない情報があれば、破棄し、リスクを低減させておく。

また、個人情報保護法施行前ということで、個人情報の徹底管理が実施されていない企業も少なくないはずだ。個人情報保護法が施行されれば、否が応でも管理徹底が求められる。これを機会に不要な情報を処分したり、保有している個人情報を整理、把握し、個人情報保護対策のスムーズな導入に結びつけたいところだ。

(Security NEXT - 2004/12/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

「baserCMS」に7件の脆弱性 - リモートより悪用のおそれ
個人情報保護委、「Privacy Awareness Week」を実施 - 啓発活動を展開
理学療法士免許申請書類を紛失 - 千葉県
パスワード認証の無効化で「パスワードリスト攻撃」に対抗 - ヤフー
6割強がGDPRを理解せず - 半数以上で過去に域内個人情報が流出
「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース
ルータ改ざん攻撃の誘導先不正アプリが進化 - iOS狙うフィッシング機能も
管理甘い「Cisco Smart Install Client」の探索行為が増加 - 警察庁が注意喚起
攻撃狙う「Cisco Smart Install」は「デフォルトで有効」 - IOS利用者は注意を
擬似フィッシング攻撃によるトレーニングサービスをバージョンアップ - ソフォス