————————————————————
■□■　平林良人の『つなげるツボ』Vol.276　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査19　＊＊＊
————————————————————
情報セキュリティについて内部診断の話をしていますが、
「ドコモ口座詐欺」のニュースが先週駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手
したかについていろいろ推測が行われています。その推測の
一つに先週お話ししたパスワードクラッカー※があります。
前回に引き続き情報セキュリティプロセスの内部診断に
ついてお話しします。

※ 「パスワードクラッカー」は機械的にパスワードを推測
する機能を持ったツールです（詳しくは275号）。

■□■　テレワーク―在宅勤務■□■
テレワークは、ネットワークを通じて企業内サーバ（又は
クラウド）から必要データを在宅勤務職員が呼び出し、クラ
イアント端末（最低限の機能に絞られている）で作業を行う
という業務形態です。

新型コロナウイルスの蔓延により、テレワークが推奨されて
いますので、サーバの重要性が高まっています。テレワーク
のような業務形態は、職員の端末には重要な情報は保存され
ない、ソフトウェアのメンテナンスは情報管理担当者により
一元的に行われる、という点から情報セキュリティ対策とし
て有効なものと言えます。ただ、外部に持ち出した端末の
盗難や紛失への備えは大切ですし、ファイルの保護を行うこと、
ファイルが失われた場合に備え、重要情報のバックアップは
随時行うことが必須です。

■□■　社内サーバの診断ポイント ■□■
組織によってはクラウドサービスを使わずに、組織内に所有
のサーバで業務推進しているところも多くあります。特に
企業競争力に直接関係するような、重要機密情報は社内
サーバに蓄積している組織が多いようです。
その場合、社内サーバの情報セキュリティ対策は、今まで述
べてきた要点と比べて、なお重要度の高いものと言えます。
その社内サーバの情報セキュリティ対策のポイントは次の
ようなものです。
１．サーバは、使用後に常にログアウトしておくように
ルールを徹底する。
２．停電対策として、サーバには無停電電源装置UPSを
設置する。電気を供給できる時間はバッテリによって
異なり、数分から数十分程度であるが、無停電電源装置
の設定によって一定時間電気の供給が停止した場合には、
サーバを自動的にシャットダウンすることができる。
３．サーバに障害が発生したときのために、定期的にバック
アップをとっておくことが大切。社内の基幹サーバなど
のように、サーバの停止が業務に大きな影響を与える
場合には、あらかじめ同じソフトウェアをインストール
した交換用のサーバを用意しておくこともよい。
４．容易に推測されにくいログインパスワードを設定して、
他人には利用できないようにする。
５．ハードディスクを暗号化して利用する。

■□■　スマートフォンの診断ポイント ■□■
スマートフォンを業務で利用する機会も増えています。
スマートフォンは携帯電話と比較すると、紛失・盗難の場合
の影響が格段に大きくなります。常に持ち歩く、どこかに
置いたまま放置しないなど、紛失・盗難のリスクを最小限に
する対策が必要です。また、スマートフォンでは、紛失した
場合に備え、GPS機能を使ってスマートフォンの位置を
検索する、遠隔操作で端末のロックや内部データの消去など
を行うことのできる技術が、セキュリティ対策ソフトや、
企業向けの携帯情報端末管理システムなどにより提供されて
います。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.275　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査18　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■　ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■　情報漏洩（じょうほうろうえい） ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■　インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■　パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット（大文字、小文字）と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報（ID、パスワードなど）の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール　パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し（123やabc、
aaaなど）を自動的に組み合わせることでパスワードを探し出そうと
します。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.274　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査17　＊＊＊
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。

■□■　情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。

■□■　情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。

診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
＜技術的診断項目＞
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア

＜管理的診断項目＞
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
　と対策
・サーバの設置と管理
・機器障害への対策

■□■　クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。

■□■　インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩（ろうえい）してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.273　■□■　　　　
＊＊＊ ちょっと、横道に　＊＊＊
————————————————————
内部診断の話だけでは単調で飽きますので、今回は「ちょっと、横道に」
にそれたいと思います。
最初にテクノファの動画ポータルサイトの宣伝をさせてください。
新型コロナウイルスの渦中にあって集合教育がしづらくなっており、
当社でもオンラインでのライブ講座が増えていますが、それに連動
させていろいろなトピックス（例えば、リモート監査など）を気軽
に動画で見ることができるサイト「テクノファ動画ポータル」を
新設しました。私が執筆している当メールマガジン「平林良人の
つなげるツボ」の動画版も、私の出演で配信しております。この
動画版では、メルマガでは伝えきれないこともお話していますので、
どうぞお立ち寄りください。

■□■　PCR検査 ■□■
さて、最近はPCRという言葉を聞かない日はありません。
このメルマガでもPCR検査について品質管理の視点から閑話休題
としてお話ししたことがあります（Vol.267）。検査ですから必ず
誤りがあるという話ですが、繰り返しになりますので詳しく触れ
ません。PCR検査の精度（約70％と言われている）に関して、
「ぼんやり者の誤り」、「あわて者の誤り」という2種類の誤りが
あるという話をしました。　

■□■　PCRとは何か調べました　■□■
PCRを調べてみますと、Polymerase Chain Reactionの略で
「 ポリメラーゼ連鎖反応」という試薬を使った増幅応用技術の
ことだと分かりました。DNA（遺伝子）の量を大幅に増やす技術
のことだそうです。
DNAは4種類のパーツ（Aアデニン、Tチミン、Gグアニン、
Cシトシンと呼ばれるアミノ酸）が長く繋がったものです。
DNAの塩基である、AとT、GとCは互いに強く結びついており、
2本の鎖を構成し、2重はしご状になったものが螺旋（らせん）
状に結びついた構造を作っています。

■□■　DNAを増幅させる　■□■
この構造を加熱すると二重らせん状がほどけて2本の鎖に分か
れるので、そこにポリメラーゼという酵素※とその他の試薬を
加えると2本に分かれた鎖が二本ずつ倍に増えるのだそうです。
※酵素とは、生体で起こる化学反応に対して触媒として
機能する分子。

この操作を何回も繰り返すとコピーされたDNAは4本、8本と
倍々と増えていき、理論上は10億倍以上にも増幅します。実際
の操作は新聞などで報道されているように、数時間もかかる面倒
なステップが含まれているようです。
PCR検査は人の喉からウイルスを採取します。そのウイルスの
遺伝子を解析して、新型ウイルスの特有な配列が認められれば
その人は感染者（陽性）と判定されます。
PCR検査の精度が低いと言われるのは、採取できるウイルスの
数が極めてわずかであるからだそうです。

■□■　PCR検査の発明者　■□■
PCRの原理はアメリカのMr.キャリー・マリスが1980年台初め
に思い付きました。
マリスは当時の同僚で交際相手のジェニファーを乗せてのドラ
イブ中に、DNA増幅方法のアイデアが突然に頭に浮かんだと
後日回想しています。この閃きに自分でも驚き車を路肩に寄せて、
手元にある紙片に化学式を書き留めながら、興奮の中で「自分が
思いつく位なら、他の者が既に発表しているはずだ」と過去の
関係しそうな論文を総て当たったそうです。

1983年12月、実験に成功しましたが、分子生物学を揺る
がすことになる発明を同僚らに話しても、重要性は伝わら
なかった代わりにビジネスマンの友人が「パテントを取得
してはどうか」と提案してくれた、という話が伝わっています。

■□■　ノーベル賞受賞　■□■
マリスはその功績により、1993年にノーベル化学賞を受賞
しました。彼のお陰で、それ以降遺伝子鑑定ができるようになり、
世界中で科学研究、犯罪捜査などに使われてきました。私は今回
PCR検査の精度が70％位だと知り、親子鑑定などに使われている
現状に気がかりですが、きっとそれなりの補正を掛けたり、いろ
いろな工夫をしているのだろうと思います。
DNAは自然界のなかで自らを複製するように特化された極めて
稀有な存在ですが、PCRはその特性を利用して検査ができる程に
までDNAの数を増幅させる画期的な発明であったことを知りました。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.272　■□■　　　　
＊＊＊ 内部診断と内部監査16　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ
禍の経緯をみますとコロナが終息するには相当後ろの世界に
なりそうです。もしかするとインフルエンザと同様に生涯
付き合っていかなければならないウイルスかもしれません。
引き続き組織の内部診断についてお話しします。

■□■　支援分野－情報セキュリティ ■□■
組織には３つのプロセス分野、すなわち、(1)経営（マネジメント）
分野、(2)主要（プロフィットセンター）分野、(3)支援（サポート）
分野のプロセスがあります。
前回まで(2)主要（プロフィットセンター）分野の内部診断に
ついてお話ししてきましたが、今回から(3)に入りたいと思い
ます。

支援（サポート）分野のプロセスとは、主要分野と経営分野の
仕事を文字通り支援する仕事のことを意味します。最初の診断
対象プロセスとして情報セキュリティプロセスを取り上げます。
情報セキュリティのプロセスは大変多岐に渡ります。

■□■　システムの脆弱性（ぜいじゃくせい）■□■
情報セキュリティを語るにはシステムの脆弱性（ぜいじゃくせい）
を知らなければなりません。システムを構成するOS（Operating
System）やソフトウェアには開発者が人智を尽くしてもプログ
ラムの不具合や設計上のミスに基づく欠陥が必ずどこかにあり
ます。
この欠陥のことを「システムの脆弱性」と言います。 脆弱性は、
セキュリティホールとも呼ばれ脆弱性が残された状態でコン
ピュータを利用していると、不正アクセスに晒されたり、ウイ
ルス（悪事を働くソフトウェア）に忍び込まれたりする危険性
があります。逆に言えば、ハッカー（PC内を覗く人、という
意味）は、 システムやソフトウェアの脆弱な部分をついて不正な
アクセスをして、ウイルスをまき散らします。
脆弱性が発見されると、多くの場合、ソフトウェアを開発した
メーカーが更新プログラムをユーザに提供し対策とします。
しかし、セキュリティホールは完全に対策を施すことが困難で
あり、次々と新たな脆弱性がハッカーに発見されているのが
現状です。

■□■　情報セキュリティとは ■□■
情報セキュリティとは、たとえセキュリティホールがあっても
組織の情報資産を守ることを言います。
そのために、「機密性」、「完全性」、「可用性」を確立し、運用し、
維持することが必要です。
情報資産とは、組織が保有している顧客情報や販売情報など
の情報自体に加えて、それらを記載したファイルや電子メール
などのデータ、データが保存されているパソコンやサーバなど
のコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙
の資料も含めた情報に関与する資源を言います。
機密性（Confidentiality）とは、許可された者だけが情報にアク
セスできるようにすることです。許可されていない利用者は、
コンピュータやデータベースにアクセスすることができないよ
うにします。
完全性（Integrity）とは、保有情報が正確であり情報が不正に
改ざんされたり、破壊されたりしないことを指します。
可用性（Availability）とは、許可された者が必要なときにいつ
でも情報にアクセスできるようにすることです。

■□■　診断のポイント ■□■
情報セキュリティプロセスの診断の第一視点は、情報資産を
脅かす機密情報の漏洩（ろうえい）、不正アクセス、データ
の改ざんに対して、具体的対策を取っているかどうかにあり
ます。

組織においては、たった一人の不注意が、ウイルスへの感染や
情報漏洩（ろうえい）といった脅威につながります。社員一人
一人が、情報セキュリティ対策の必要性を理解し、自覚を
もって取り組むことが必要です。
組織によって、策定されている情報セキュリティ対策は異な
りますが、内部診断においては以下のことをチェック項目と
して診断することをお奨めします。
パスワード管理
ウイルス対策
電子メールの誤送信対策
標的型攻撃への対策
偽ホームページ対策
サーバのバックアップ
安全な無線LANの利用
廃棄するパソコンやメディアからの情報漏洩
外出先で業務用端末を利用する場合の対策
持ち運び可能なメディアや機器を利用する上での
危険性と対策、など