情報漏えい３つのポイント　6月セミナー開催報告

平成30年6月25日(月)に、横浜情報機器株式会社主催のセミナーを開催させて頂きました。

今回のセミナーは、品川駅から徒歩2分のAP品川にて、情報漏洩の事例についてクローズアップした内容で開催致しました。企業が負う金銭的被害の事例や、情報漏えい発覚後に企業がするべき対応、またRAT（遠隔操作ツール）やキーロガー（キーボードの入力が全て記録されるツール）を使ったデモンストレーションを実施致しました。

第１部では情報漏えいした際にかかる被害金額の種類について株式会社ブループラス鈴木社長より、損害保険の仕事を通して得た経験を元に具体的なお話をして頂きました。１つめは重要情報を管理する方法がずさん、重要情報の持ち出し、重要情報の紛失が発生し、社員のご家族から訴訟を起こされた建設会社のケースを。２つめは重要情報にもランクがあり、賠償金額も違うということが漏えい後に判明し、顧客から訴訟を起こされた美容業の会社のケースを。３つめは顧客情報が外部に漏えいし、顧客から訴訟を起こされた呉服屋のケースを通して、全てを解決するまでに、どの項目で、どのくらいの金額がかかったかということをお話しして頂きました。またサイバーセキュリティ保険へ加入する際に、実施していると大きな割引を受けやすいポイントについてお話しをして頂きました。

第二部では弊社代表が、インシデントレスポンスの際に、お客様先に伺った際に、準備するツールや、そのツールを使用し、どんな情報を得る為に、何をするのかお話しさせて頂きました。その中で、得た経験や、感じたことを元に注意するべき点をお話しさせて頂きました。

それに対して、インシデント発生から終息まで早かった企業の事例を用いて比較をさせてもらい、予めインシデントが発生したら、いつ誰がどこにどの様な連絡をするのか明確にする為に、インシデント対応ガイドラインが必要だということを呼びかけました。

また事例の中で登場した遠隔操作をイメージしてもらう為に、「RAT（Remote Administration Tool）」と2台のPCによる情報漏洩を想定したデモンストレーションを行いました。

最後に平成29年11月にver2.0が発表されたサイバーセキュリティ経営ガイドラインの中から、認識しておくべきポイントについてお話しさせていただきました。その中のひとつである脆弱性への対応について、お話しをする中で、情報システムの担当者様が苦労している点として、「脆弱性情報の把握」、「アプリケーションの存在と、バージョンの把握」をした後に、情報を突き合わせて「緊急度が高いのがどうかの判断」をし、「パッチ適用計画」、「告知、実施要請」をしても最終的にその結果が不明だったりと把握することが非常に難しい点をお話し致しました。手動で実施することが担当者様の負担になっている企業が多いので、比較的、安価で運用しやすいツールがあるので簡単に触れさせていただきました。また脆弱性を分かりやすく認識してもらう為に、弊社で提供しているプラットフォーム脆弱性診断で成果物として提出するレポートの一部を参考資料として用意しました。

いずれにしてもセキュリティ対策を実現するための手段として、いくつかある選択肢のひとつとしてセキュリティ機器の導入があります。しかしセキュリティ機器の導入自体が目的となり、その後の運用、PDCAについて考慮されていないケースが非常に多かったこと、技術的対策は充分だけど、それに比べて、組織的対策や、人的対策がおろそかになっているケースに触れる経験があったことが、このお話をするに至った背景でした。お忙しい中、お集まりいただきました、各企業の皆様におかれましては心より感謝申し上げます。また弊社は社内向けのセミナーや、業界団体向けの研修も開催しておりますのでお気軽にご相談ください。