2012年4月29日日曜日

知らないと危ない情報セキュリティ-情報セキュリティ編-:株式会社インストラクション


>> Issue INDEX

知らないと危ない情報セキュリティ −情報セキュリティ編−


●情報漏えいが命取りになるかも

会計事務所のビジネスは、クライアントに、「信頼」というサービスを提供し続けることで成り立っています。 クライアント(顧客)は、会計事務所を信じているからこそ、自らのプライバシーそのものである会計情報ゃ人事情報、さらには役員の資産情報といったデータを預けているのです。

もし、この「信頼」が簡単にくずれるものだと言われたら、皆様はどう思いますか?

近年、「個人情報保護法」やプラバシーマーク・J-SOX法といった、内部統制をキチンと行わないと法律違反や多大な損害賠償の対象となる制度がぞくぞく導入されつつあります。これらは、数年のうちには大企業のみならず、中小・零細企業にも適用されるだろうことが予想されます。 このことは、情報をコントロールする技術を持たないと、企業経営はできない時代に突入したことを示唆しています。

皆様の事務所では、この「情報」の取り扱いに対して、危機認識をもった対策をとっていらっしゃいますでしょうか?ウィルスソフトを入れている程度のセキュリティでは会計事務所の職責は、もはやはたせないのです。

これからは、スタッフによる顧客の情報漏洩は、間違いなく会計事務所経営の命取りになります。情報セキュリティのリスクは外部からよりも内部からの方がより高いことをご認識ください。

●事務所内をチェックしよう

アブナイ、アブナイ、あぶないぞーと言われても自分は大丈夫と思うのが人の常です。
何が危ないのか、どこに穴があるのか、とにかく事務所内のデータを扱う人・場所・OA機器をすべてチェックしてみませんか。

大企業では、「情報セキュリティポリシー」といわれる取り扱いマニュアルを多大なコストをかけて策定しています。 クライアントのデータを預かり、処理する会計事務所は、中小企業といえども大企業なみの「情報セキュリティポリシー」を持たなければなりません。


巨大なPPUファイルを持っている...何それであり、私はそれを削除できますか?

それが、「信頼」というサービスを提供し続ける会計事務所の社会的責任なのですから。

●ネットの私的利用を許可していますか?

■あなたの事務所は、インターネットの私的利用を許可していますか?

■あなたの事務所は、仕事に関係のないホームページやメールの利用を監視していますか?

例えば、事務所内で新人歓迎会があったとしましょう。そのとき、ネットでお店を探し、メールで出欠の意志を確認するということは、会計事務所では一般的に行われていることでしょう。

これを私用とするか、公用とするかが実は情報セキュリティ意識の分岐点になるのです。インターネット利用に鷹揚な態度が会計事務所を経営危機に陥れる最大の要因であると申し上げたら、皆様はどう思いますか。

情報漏洩は難しく言うと、「意図しないで実行される、被害者による第二の被害者に対する加害行為」でもあるのです。つまり、所員の皆様にインターネット利用を自由にさせていることが情報漏えいのスタートになっているということ。

ウィルスやスパイウェアなどを事務所内のパソコンに持ち込むのは、殆どが所員のインターネットの私的利用からなのです。 クライアントに安心してもらうには、即刻インターネットの私的利用を制限することです。インターネットの私的利用は勤務時間の2割を消費すると言われています。

しかし、このロスよりもクライアントのデータを漏洩するリスクの方がどれほど重要かは論をまたないことでしょう。

  

●情報漏洩は先生が一番ソンをする

会計事務所の情報セキュリティ対策は、1にクライアントのため、2に所員のため、3に社会のためにあります。しかし、万一、情報セキュリティの穴から情報漏洩があれば、最大の被害者は他でもなく先生になるのが厳しい現実なのです。

情報漏洩による損害賠償や法的制裁は、頭では理解されていることでしょう。しかし、自分のところはマァ大丈夫だろうと、対策の必要性を身をもって感じておられる先生は少ないのではないでしょうか。


は、Microsoft Office 95で何だったの

情報セキュリティが甘いと、第三者がクライアントをとったり、意図的な信用失墜をおこしたりと、ひどいときには大きな金銭的な賠償につながることを簡単に行うことができるのです。この場合、最終的にはすべて経営者である先生の責任になるのです。つまり、セキュリティ対策をしない会計事務所の先生は一番ソンをする立場になるワケです。

●退職者が犯人にならないように

情報流失は内部の人間からとよく言われます。中でも、退職者が関与するケースが一番多いようです。
意図的にこれが行われる場合と、管理の外にいってしまったためにモラルに破綻をきたし、情報漏洩する場合が考えられます。

退職した時点でセキュリティ対策をキチンとしておかないと、退職者を犯人にしてしまうことがあります。
事務所の重要な情報の置き場、パスワードなどを知っている退職者は、情報セキュリティ上は深刻な脅威になりえます。
退職した方のアカウントを停止するなどの対策をとらずにいると、退職者に不正使用をしてくださいと勧めることになりかねないのです。

●セキュリティの考え方

■「セキュリティポリシー」に「情報」が付くには理由があります

コンピュータをネットワーク環境で利用する際に、会計事務所が守るべきものは何かと考えてみますと、クライアントの情報、所員の住所録などの個人情報、税務申告の資料、事業計画提案書など、例を挙げればきりがないのですが、これらすべてに共通することは、会計事務所の「情報」であるということです。

「情報」は会計事務所にとって重要な「資産」であるのですが、この「情報資産」という考えが日本人に根付いていないため、守るべきものが何であるのかを見誤ってしまうことが多いのです。 しかし、例えば、物理的に誰かが事務所に侵入しパソコンを盗んだとして、その損害を考えたときに、本当に損害が大きいのはパソコン自体よりもむしろその中に入っている「情報資産」を盗まれたことでしょう。つまり、本当に守るべきものは事務所の「情報資産」なのです。


カーネルは何ですか?

また、セキュリティというと、一般的にはコンピュータのネットワーク上にある情報漏えいの危険性などが示唆されるが、企業が守るべき「情報資産」は必ず しも電子的なものではなく、情報を印刷した紙、ひいては人間が話す話の内容などさまざまな形態で存在します。クライアントの「情報」をあつかう会計事務所は、真剣にセキュリティを考える時代を迎えました。

●もったいないがモット危ない

「ロハス」なる言葉を聞いたことはありますか?「環境にやさしい」、「スローライフ」、「もったいない」のような言葉を聞くと、少なからず私たちは心を動かされます。しかし、言葉の表面的なところを捉えてうかつに行動をすると逆効果になりやすいのがこれらの考え方の特徴なのです。

例えば、事務所で裏紙を積極的に活用している場合、「もったいない」ことはしない反面、表紙に書かれた情報はぞんざいに扱わられることになります。事務所では、元帳や試算表を毎日のように印刷しています。また、クライアントから預かった資料もコピーされ、その都度、消費されています。クライアントからすれば、自社の貴重なデータが会計事務所で裏紙となり、他の用途に転用され、へたをするとそのままの形で放棄されることをご覧になったらどう思うでしょうか。 万一、それらが流失することになれば、クライアントの「信頼」を失うことは必定でしょう。

●スパイウェア、Winnyがこわい

WinnyはP2P(ピア・ツー・ピア)ファイル共有ソフトと呼ばれます。このピア・ツー・ピア方式はネットワーク用語のひとつで、通信をする両方のコンピュータが対等の立場で機能します。これに対して、「クライアント・サーバー方式」と呼ばれるネットワークは、プログラムを提供する「サーバー」と、そのサーバーを利用する「クライアント」に分かれ、主従の関係で機能します。

Winnyはこのピア・ツー・ピア方式を使い、お互いがお互いにファイルを共有する仕組みになっています。これをダウンロードするとみんながファイルを共有しあう仕組みが完成するのです。

しかし、Winnyをインストールしただけですべての情報が流出するわけではありません。その犯人はWinny上で広まるウイルスなのです。これにはいくつか種類があり、一番有名なのがAntinnyというウイルスとその亜種といわれています。

●コンサルティングとコーチングについて

コンサルティングによって出された「答え」では、IT化のような 複雑、かつ細分化された問題は簡単には解決できません。

それらは、自ら悩んで出した解答ではないため、これを実行するモチベーションが社員の間で高まらないからなのです。 I情報セキュリティも同じように、その構築は試行錯誤の後に ようやく到来します。 私たちはお客様のこの「試行錯誤」を側面から支援し、見守り 励ます情報セキュリティコーチングを行っております。

●セキュリティソリューションとは

2005年の4月に完全施行された個人情報保護法や、現在法制化が検討されている「日本版SOX法」などの影響により、ITシステムを活用してコンプライアンスの遵守を確保する動きが活発化しています。

これまで多くの会計事務所は、基幹である記帳システムにより大きな投資を続けてきましたが、これからはビジネス基盤であるセキュリティソリューションへの投資を一層重視しなければならないでしょう。 それは、クライアントが世の中から求められるポリシーであり、クライアントが会計事務所に求める社会的責任であるからなのです。

弊社は「情報セキュリティコーチング」という顧問契約を通じて、士業事務所や中小企業がすぐに成果を出せるセキュリティ対策や、ネットワーク支援を行っております。先生方の現状に合わせ、コーチングというゆるやかな手法でセキュリティ構築をお手伝いしております。

通信ネットワーク構築から社員教育まで、一貫した情報セキュリティポリシーにもとづいた支援をお約束いたします。



These are our most popular posts:

【コラム】違法にならないネットライフ (19) 「マジコン」は法的にどう問題な ...

マジコンとは、複製されたゲームプログラムを正規に購入したプログラム同様に遊べる ようにするツールです。 ... 19 「マジコン」は法的にどう問題なのか. 英知法律事務所編 [ 2009/05/23] ... ここ最近、ゲーム業界では「マジコン」に関する話題が多く聞かれました 。 ... などを「ニンテンドーDS」上で実行できる機械、いわゆる「マジコン」(マジック コンピューター)を輸入販売していた業者に対し、任天堂とソフトメーカーが販売の 差し止めを求め ... read more

FEAって何ですか?

すなわち、有限要素法の理論体系に基づき開発されたソフトウェア(FEMプログラム)を 用いて、コンピュータ上で様々な工学問題の ... 有限要素法は、1950年代に最初に航空 構造力学の分野で考案され、その後多くの研究者によって改良・育成されてきた数値 解析手法です。 ... そのためFEAでは、コンピュータ上に製品の解析モデルを定義し、 それが受ける荷重などの条件を設定して解析を実行します。 ... このように、製品の設計 開発工程においてFEAのようなシミュレーションを積極的に活用することを、「 コンピュータ支援 ... read more

MSPとは? ~特集!!コンピューター・フォレンジック(フォレンジックス)~

コンピューター・フォレンジック』とした場合には、多くは「訴訟対応のための解析手段」と した意味合いで使われています。ずばりそのまま対応した日本語が今のところは無い ようですが、「法的問題の解決を図る手段。コンピュータの状態や過去に発生した事象の ... read more

チェーンメール - Wikipedia

チェーンメール(chain mail, chain letter)は、連鎖的に(チェーン)不特定多数への配布 をするように求める手紙である。 ... 内容としては「○○が殺されたので犯人を探している 」「こんなコンピュータウイルスが出回っています」などの場合がほとんどであるが、「 ... する。単なる書き間違いである場合が多いが、より多くの人を引っ掛けるために説得力の ある文に書き換えられるということもある。 ... 実行した場合罰せられることがあります。 ... 探偵事務所の最新型のパソコンによりメールを回したことを確認できるようになってい ます ... read more

Related Posts



投稿者 Max 時刻: 16:55

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)