情報セキュリティ事故管理ガイドライン:事故発生から初動対応まで(その2)

ここでは、利用者に対する「情報セキュリティ事故管理ガイドライン:事故発生から初動対応まで」のうち、以下について説明します。

  • 紛失・盗難の場合
  • 誤送信・Webでの誤公開の場合
  • 内部犯行の場合
  • Winny/Share等への漏えいの場合
  • 不正プログラム(ウイルス、スパイウェア等)の場合
  • 不正アクセスの場合
  • 風評・ブログ掲載の場合
はかせ
はかせ

情報セキュリティ事故かもしれないと思ったら速やかに報告すること、初動対応がポイントです。

スポンサーリンク

4.情報流出のタイプによる対応内容と注意事項

4.1 紛失・盗難の場合

4.1.1 発見及び報告

(1)発見から報告までの流れ

  • 「情報流出共有シート」に記録し、報告する。
  • 紛失・盗難が間違いないか、もう一度確認する。
  • 紛失場所の管理者(鉄道会社担当窓口、店舗窓口等)に連絡する。

(2)事故事例

  • パソコンやUSBメモリ等を電車の中、居酒屋等に置き忘れた。
  • パソコンやUSBメモリ等が入った鞄をひったくりにあい盗まれた。
  • 置き引きや車上荒らしに遭い、パソコンやUSBメモリ等盗まれた。
  • 自宅が空き巣に遭い、保管していたパソコンを盗まれた。
  • 事務所荒らしに遭い、事務所のパソコンを盗まれた。
  • 請負業者に送ったCD-ROMが、輸送中に紛失した。

(3)発覚のきっかけ

  • 自己申告
  • 警察からの連絡
  • 取得者からの連絡

4.1.2 初動対応

(1)何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 紛失、盗難の当事者は誰か?
  • 何(物)が紛失、盗難に遭ったのか?
  • 紛失、盗難の対象物に格納されていた情報は何か?
  • いつ紛失、盗難が発生したのか?
  • どこで紛失、盗難が発生したのか?
  • なぜ紛失、盗難が発生したのか?
  • 紛失、盗難が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?

(2)警察に届け出る。

この際、製造番号や製品固有の特徴情報があると発見しやすくなる。

(3)アカウント情報が含まれる場合はパスワードの変更やアカウントの停止を行う。

応急処置の例

  • 紛失物の捜索、回収
  • 警察への届出
  • 流出したアカウントの停止、パスワード変更

留意点

  • 鞄の形状、大きさ、色等の特徴、パソコンの機種、製造番号等
スポンサーリンク

4.2 誤送信・Webでの誤公開の場合

4.2.1 発見および報告

(1)発見から報告までの流れ

  • ミスをした本人、もしくはそれを発見した第三者からの指摘により発見される。
  • 外部からの指摘を受けた場合は連絡先を確認する。
  • 「情報流出共有シート」に記録し、報告する。

(2)事故事例

  • 相手のメールアドレスを打ち間違え、他人に誤送信した。
  • 同報メールの宛先をBCC:に書くべきところ、CC:にして送信した。
  • FAXで相手の電話番号を間違えて送信した。
  • 郵便で、相手の住所を間違えて郵送した。
  • Web関係のぜい弱性により、非公開情報が参照できていた。
  • Webアプリケーションのミスで、他人の個人情報を表示した。
  • Webサイトから他の会員に誤ってIDパスワードを送信した。
  • Webで誤って非公開情報を公開情報としていた。
    • 非公開情報削除もれ
    • IDパスワードで保護されるべき情報がサーバの設定ミスで公開エリアに保管

(3)発覚のきっかけ

  • 自己申告(内部発見)
  • 受信者からの指摘(風評を含む)

4.2.2 初動対応

(1)何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 誤送信・Web誤公開の当事者は誰か?
  • 何(物)を誤送信・Web誤公開したのか?
  • 誤送信・Web誤公開の対象物に格納されていた情報は何か?
  • いつ誤送信・Web誤公開が発生したのか?
  • どこで誤送信・Web誤公開が発生したのか?
  • なぜ誤送信・Web誤公開が発生したのか?
  • 誤送信・Web誤公開が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、パスワード保護等)

(2)誤送信で送信先が明らかな場合は、受信者に対しミスについてお詫びし、受信した情報について削除を依頼する。

(3)誤公開の場合は直ちに当該情報を削除するか、アクセス制限措置を施し外部から参照できないようにする。

応急処置の例:【メール・FAX・郵便の誤送信/誤譲渡】

  • 受信者への連絡と情報の廃棄
  • 誤ってWebに公開した情報の削除

留意点

  • 受信者に連絡が取れない場合の対応
  • 該当Web情報を保持または掲載している第三者が情報削除に応じない場合の対応
スポンサーリンク

4.3 内部犯行の場合

4.3.1 発見及び報告

(1)発見から報告までの流れ

  • 一般的には、ダイレクトメールや架空請求、振り込め詐欺等、顧客から自分の情報が不正に利用されているようだとの問い合わせを受け発覚するケースが多い。
  • 外部から名簿を買い取ってくれというような脅迫を受けたり、マスコミ等から情報が漏えいしているようだとの問い合わせを受け発覚することもある。
  • 相手の連絡先を確認し、どういった情報を持っているのか提示してもらい漏えいの事実を確認する。
  • 「情報流出共有シート」に記録し、報告する。

(2)事故事例

  • 社内データベースから顧客情報を不正に持ち出し転売した。
  • 社外Webシステムに、過去に業務で使用していたIDを利用してアクセスし、不正にデータを持ち出した。
  • 社内から設計機密情報を不正に持ち出し、他社に渡した。

(3)発覚のきっかけ

  • 外部からの指摘(風評を含む)

4.3.2 初動対応

(1)何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 内部犯行の当事者は誰か?
  • 何(物)を持ち出したのか?
  • 内部犯行の対象物に格納されていた情報は何か?
  • いつ内部犯行が行われたのか?
  • どこで内部犯行が行われたのか?
  • なぜ内部犯行が発生したのか?
  • 内部犯行が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどの程度くらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

(2)内部犯行の場合は漏えいの規模や範囲が大きくなる傾向があり、慎重な対応が必要となる。

(3)社内に情報を持ち出した犯人がいると思われる場合は、重要な情報を証拠隠滅されないよう注意する。

応急処置の例

  • 社内対象サイト(イントラネットサーバ、共有ファイルサーバ等)のID停止やアクセス制限の実施
  • 内部犯行当事者の使用した関連装置の確保(証跡保存)

留意点

  • 証跡保存を実施する際には、コンピュータフォレンジック(コンピュータに関する科学捜査)を考慮した確保が必要なため、専門家への依頼等慎重に対応する。
スポンサーリンク

4.4 Winny/Share等への漏えいの場合

4.4.1 発見及び報告

(1)発見から報告までの流れ

  • 一般的には、外部からの通報により発見することが多い。
  • 後々の調査のために通報者の連絡先を必ず確認する。
  • どのような情報が漏えいしているかについてなるべく詳しい情報を聞き、可能であれば取得した情報を提供して頂く。
  • 「情報流出共有シート」に記録し、報告する。

(2)事故事例

  • 社員が会社の機密情報や個人情報を自宅に持ち帰り(USBメモリでの持ち出しや社内メールを自宅メールに転送する等)、個人パソコンに情報を保存していた。本人や家族がファイル交換ソフトを利用中に暴露ウイルスに感染し、ファイル交換ネットワークに情報が漏えいした。

(3)発覚のきっかけ

  • 外部からの指摘(風評を含む)

4.4.2 初動対応

(1)漏えい情報の内容、範囲を確認する。

(2)漏えい元を特定し、調査に対する本人の協力を得る。

この際、事実関係を5W1Hで整理する。

  • Winny/Shareネットに流出させた当事者は誰か?
  • 何(物)をWinny/Shareネットに流出させたのか?
  • Winny/Shareネットに流出した情報は何か?
  • いつWinny/Shareネットへの流出が発生したのか?
  • どこでWinny/Shareネットへの流出が発生したのか?
  • なぜWinny/Shareネットへの流出が発生したのか?
  • Winny/Shareネットへの流出が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

(3)現在もWinny/Shareを使用しているようであればただちに停止する。

応急処置の例

  • インターネットからのパソコンの切り離し(Winny/Shareの利用停止)
  • 漏えいしたファイル(情報)の確保

留意点

  • パソコンは調査に必要なファイル等が削除されないように、極力使用時の状態に手を加えないままで提出してもらいます。
スポンサーリンク

4.5 不正プログラム(ウイルス、スパイウェア等)の場合

4.5.1 発見及び報告

(1)発見から報告までの流れ

  • 不正プログラムの存在は多くの場合、ウイルス対策ソフトやネットワークの監視、メール等を受信した外部からの通知により発覚する。
  • 「情報流出共有シート」に記録し、報告する。

(2)事故事例

  • ウイルスに感染し、パソコンを不正操作され、パソコン内の会社機密情報が悪意のある第三者に窃取された。
  • ウイルスに感染し、会社機密情報がWebサイトに掲載され、不特定多数の人に閲覧可能な状態になった。
  • スパイウェアを送り込まれ、パソコンで入力した内容が外部に送信された。

(3)発覚のきっかけ

  • 自己申告/内部発見
  • 外部からの指摘(風評を含む)

4.5.2 初動対応

(1)何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • ウイルス感染した当事者は誰か?
  • 何(物)がウイルス感染したのか?
  • ウイルス感染により漏えいした情報は何か?
  • いつウイルス感染したのか?
  • どこでウイルス感染したのか?
  • なぜウイルス感染したのか?
  • ウイルス感染が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

(2)不正プログラムの存在が確認された場合は、直ちにシステムの使用を停止し、システムから不正プログラムの除去等の対応を行う。

(3)不正プログラムの種類が特定できる場合は、IPAやウイルス対策ベンダ等の情報に基づき対処する。

応急処置の例

  • ウイルス感染したパソコンの特定
  • ウイルス感染したパソコンのネットワークからの切り離し
スポンサーリンク

4.6 不正アクセスの場合

4.6.1 発見及び報告

(1)発見から報告までの流れ

  • 不正アクセスの多くは企業がインターネットに接続しているサーバに対して行われ、ログの確認やセキュリティ対策機器の警報によって発見されることが多い。
  • 重要な情報が格納されているパソコンやサーバに対する不正アクセスが確認された場合は、情報流出の危険性があるため対策が必要である。
  • 不正アクセスが明らかな場合は、警察に相談する。
  • 「情報流出共有シート」に記録し、報告する。

(2)事故事例

  • WebでのIDパスワードを不正利用され、情報を他のサイトに掲示された。
  • Webでのぜい弱性を悪用し不正アクセスされ、非公開情報を窃取された。
  • Webアプリケーションのぜい弱性を悪用され、データベースサーバの非公開情報を窃取された。Webサーバにウイルスを埋め込まれた。

(3)発覚のきっかけ

  • 自己申告/内部発見
  • 外部からの指摘(風評を含む)

4.6.2 初動対応

(1)何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 不正アクセスした当事者は誰か?
  • 何(物)を不正アクセスされたのか?
  • 不正アクセスされた情報は何か?
  • いつ不正アクセスが行われたのか?
  • どこで不正アクセスが行われたのか?
  • なぜ不正アクセスが発生したのか?
  • 不正アクセスが発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

(2)不正アクセスにより個人情報や機密情報が漏えいする危険性が確認された場合は、直ちにネットワークから切り離してサービスを停止する等の処置を取る。

(3)クレジットカードやアカウント情報が漏えいした場合は、カード会社への通知やアカウント停止等の緊急処置を行う。

応急処置の例

  • 不正アクセスを受けた機器(サイト)のネットワークからの切り離し
  • 不正アクセスを受けた機器(サイト)の停止
  • 代替サイトの立ち上げ

留意点

  • 不正アクセスされた原因、経路を特定せずに、代替サイトを立ち上げると、再び不正アクセスされる可能性が高い。
スポンサーリンク

4.7 風評・ブログ掲載の場合

4.7.1 発見から報告

(1)発見及び報告までの流れ

  • 風評・ブログ掲載については、社員・職員が発見する場合と、第三者が通報してくる場合がある。
  • 「情報流出共有シート」に記録し、報告します。

(2)事故事例

  • 社内の機密情報が匿名掲示板に書き込まれた。
  • 社員個人が公開しているブログで、会社の機密情報について記載していた。

(3)発覚のきっかけ

  • 外部からの指摘(風評を含む)

4.7.2 初動対応

(1)何の情報がどの程度含まれていたのか、確認する。

この際、事実関係を5W1Hで整理する。

  • 掲示板、ブログに書き込んだ当事者は誰か?
  • 何(物)を掲示版、ブログに書き込まれたか?
  • 掲示版、ブログに書き込まれた情報は何か?
  • いつ掲示版、ブログに書き込まれたのか?
  • どこで掲示版、ブログに書き込まれたのか?
  • なぜ掲示版、ブログへ書き込まれたのか?
  • 掲示版、ブログへの書き込みが発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

(2)漏えい情報の範囲、内容を確認する。

(3)個人のブログ等の場合は、本人が悪意を持っていないことが多いので、本人に注意し削除させる。

(4)掲示板への書き込みについては反論を書き込む等表立った反応はせずに、掲示板の管理人に対して削除を依頼する。

(5)管理人が削除に応じない場合は、プロバイダ責任制限法に基づく法的手続きをとることも検討する。

(6)また従業員等が勝手に反論したりすることのないよう周知徹底する。

応急処置の例

  • 掲示板に書き込まれた情報の削除
  • ブログに書き込まれた情報の削除

留意点

  • 掲示板の管理人が削除に応じてくれない場合の対応

まとめ

ここでは、利用者に対する「情報セキュリティ事故管理ガイドライン:事故発生から初動対応まで」のうち、以下について説明しました。

  • 紛失・盗難の場合
  • 誤送信・Webでの誤公開の場合
  • 内部犯行の場合
  • Winny/Share等への漏えいの場合
  • 不正プログラム(ウイルス、スパイウェア等)の場合
  • 不正アクセスの場合
  • 風評・ブログ掲載の場合
タイトルとURLをコピーしました