————————————————————
■□■　平林良人の『つなげるツボ』Vol.277　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査20　＊＊＊
————————————————————
「ドコモ口座詐欺」のニュースが、先々週全国を駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手したか
についていろいろ推測が行われています。その推測の一つに
275号でお話しした「パスワードクラッカー」があります。
銀行口座にアクセスするには、一般に口座番号とパスワード
が必要になりますが、今回はパスワードを取り上げます。

■□■　パスワードの記憶 ■□■
今まで述べてきたように情報セキュリティ対策の前提には、総て
の場面において他人に知られないパスワード管理が大切です。
パスワードは、その作成だけでなく、他人に知られないようかつ
自分でも忘れないようにしなければなりません。この他人に知ら
れないようかつ自分でも忘れないようにすることは結構難しい
ことです。例えば、パスワードを忘れないようにメモを作成した
場合は、それを肌身離さず持ち歩くことは却って無くす危険性を
増やします。しかもパスワードは世の中いろいろなところで必要
とされる時代になりました。しかし、覚えておくためにパスワード
を複数のサービスで使い回すことは推奨できません。

■□■　パスワードの診断ポイント ■□■
パスワードは複数のサービスで使わないようにします。ある
サービスから流出したアカウント情報を使って、他のサービスへ
の不正ログインを試す攻撃の手口が知られています。もし、重要
情報を利用しているサービスで、他のサービスからの使い回しの
パスワードを利用していた場合、他のサービスから何らかの原因
でパスワードが漏洩してしまえば、第三者に重要情報にアクセス
されてしまう可能性があります。
利用するサービスによっては、パスワードを定期的に変更する
ことを求められることもありますが、実際にパスワードを破られ、
情報が流出した事実がなければ、パスワードを変更する必要は
ありません。むしろ定期的な変更をすることで、パスワードの
作り方がパターン化し簡単なものになることや、数回前に使った
パスワードをまた使うことの方が問題となります。定期的に変更
するよりも、機器やサービスの間で同じパスワードを使わない、
それぞれ固有な頑強なパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、
2017年に、米国国立標準技術研究所（NIST）からガイドライン
として、サービスを提供する側がパスワードの定期的な変更を
要求すべきではない旨が示されています※１。
※１　NIST SP800-63B（電子的認証に関するガイドライン）
また、日本においても、内閣サイバーセキュリティセンター
（NISC）から、パスワードを定期変更する必要はなく、パスワード
流出時にだけ速やかに変更する旨が示されています※２。

※２ https://www.nisc.go.jp/security-site/handbook/index.html

■□■　パスワードの活用 ■□■
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に
復帰する際にパスワードの入力を促す設定を行うことができます。
このように設定することで、離席中に不正な利用者がそのパソコン
を操作することを防ぐことができるようになります。ただし、
スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログア
ウトを行い、パスワードを入力してログインしなければパソコンを
操作できないようにするなど、利用者が自発的にロックする方法が
有効です。

■□■　アフターコロナの世界 ■□■
これまで5回にわたって情報セキュリティの診断について話して
きました。このコロナ禍の中で多くの組織が売り上げの減少、欠損
に苦しんでいますが、その様子を横目に見ながら業績を伸ばしている
企業群があります。言わずと知れた情報関係の企業で、その代表が
GAFAと呼ばれるグーグル、アップル、フェイスブック、アマゾンです。
アフターコロナの世界を語るのにテレワーク、テル会議、リモート
イベント、リモート講義などへの重要性について触れない人はいない
でしょう。これらの世界に必須となるのがコンピュータなどの情報
機器、それらを操る情報リテラシー、そして情報セキュリティです。
今後の世界に対応するために「情報セキュリティポリシー」を作って
おきましょう。

■□■　情報セキュリティポリシー ■□■
情報セキュリティポリシーとは、組織の情報漏洩対策の基本的な
考え、対応策をいいます。組織の業態、組織規模、目的、予算、
期間などによって大きく異なります。ここでは、代表的な策定
手順を紹介します。
1.策定の組織決定（責任者、担当者の選出）
2.目的、情報資産の対象範囲、期間、役割分担などの決定
3.策定スケジュールの決定
4.基本方針の策定
5.情報資産の洗い出し、リスク分析とその対策
6.対策基準と実施内容の策定

■□■　情報セキュリティポリシー診断のポイント ■□■
効果的な情報セキュリティポリシーを策定するには、以下の点に
留意する必要があります。すなわち、情報セキュリティポリシー
診断のポイントとなるものを以下に示します。
・守るべき情報資産を明確にする。
・対象者の範囲を明確にする。
・できる限り具体的に記述する。
・社内の状況を踏まえて、実現可能な内容にする。
・運用や維持体制を考慮しながら策定する。
・形骸化を避けるために、違反時の罰則を明記する。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.276　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査19　＊＊＊
————————————————————
情報セキュリティについて内部診断の話をしていますが、
「ドコモ口座詐欺」のニュースが先週駆け巡りました。
まだ真相は藪の中ですが、犯人が暗証番号をどのように入手
したかについていろいろ推測が行われています。その推測の
一つに先週お話ししたパスワードクラッカー※があります。
前回に引き続き情報セキュリティプロセスの内部診断に
ついてお話しします。

※ 「パスワードクラッカー」は機械的にパスワードを推測
する機能を持ったツールです（詳しくは275号）。

■□■　テレワーク―在宅勤務■□■
テレワークは、ネットワークを通じて企業内サーバ（又は
クラウド）から必要データを在宅勤務職員が呼び出し、クラ
イアント端末（最低限の機能に絞られている）で作業を行う
という業務形態です。

新型コロナウイルスの蔓延により、テレワークが推奨されて
いますので、サーバの重要性が高まっています。テレワーク
のような業務形態は、職員の端末には重要な情報は保存され
ない、ソフトウェアのメンテナンスは情報管理担当者により
一元的に行われる、という点から情報セキュリティ対策とし
て有効なものと言えます。ただ、外部に持ち出した端末の
盗難や紛失への備えは大切ですし、ファイルの保護を行うこと、
ファイルが失われた場合に備え、重要情報のバックアップは
随時行うことが必須です。

■□■　社内サーバの診断ポイント ■□■
組織によってはクラウドサービスを使わずに、組織内に所有
のサーバで業務推進しているところも多くあります。特に
企業競争力に直接関係するような、重要機密情報は社内
サーバに蓄積している組織が多いようです。
その場合、社内サーバの情報セキュリティ対策は、今まで述
べてきた要点と比べて、なお重要度の高いものと言えます。
その社内サーバの情報セキュリティ対策のポイントは次の
ようなものです。
１．サーバは、使用後に常にログアウトしておくように
ルールを徹底する。
２．停電対策として、サーバには無停電電源装置UPSを
設置する。電気を供給できる時間はバッテリによって
異なり、数分から数十分程度であるが、無停電電源装置
の設定によって一定時間電気の供給が停止した場合には、
サーバを自動的にシャットダウンすることができる。
３．サーバに障害が発生したときのために、定期的にバック
アップをとっておくことが大切。社内の基幹サーバなど
のように、サーバの停止が業務に大きな影響を与える
場合には、あらかじめ同じソフトウェアをインストール
した交換用のサーバを用意しておくこともよい。
４．容易に推測されにくいログインパスワードを設定して、
他人には利用できないようにする。
５．ハードディスクを暗号化して利用する。

■□■　スマートフォンの診断ポイント ■□■
スマートフォンを業務で利用する機会も増えています。
スマートフォンは携帯電話と比較すると、紛失・盗難の場合
の影響が格段に大きくなります。常に持ち歩く、どこかに
置いたまま放置しないなど、紛失・盗難のリスクを最小限に
する対策が必要です。また、スマートフォンでは、紛失した
場合に備え、GPS機能を使ってスマートフォンの位置を
検索する、遠隔操作で端末のロックや内部データの消去など
を行うことのできる技術が、セキュリティ対策ソフトや、
企業向けの携帯情報端末管理システムなどにより提供されて
います。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.275　■□■
―　つなげるツボ動画版はじめました　―
＊＊＊　内部診断と内部監査18　＊＊＊
————————————————————
新型コロナウイルスはいったんコントロールされたかに見えま
したが、また感染が広がり出しました。3月からのコロナ禍の
経緯をみますとコロナが終息するには相当後ろの世界になりそう
です。もしかするとインフルエンザと同様に生涯付き合っていか
なければならないウイルスかもしれません。
前回に引き続き情報セキュリティプロセスの内部診断について
お話しします。

■□■　ウイルスに感染する経路 ■□■
ウイルスの感染経路として最も多いものが電子メールの添付
ファイルです。電子メールに添付されてきたファイルをよく
確認せずに開くと、それが悪意のあるプログラムであった
場合はウイルスに感染してしまいます。

次に多いのがUSBメモリからの感染です。多くのコンピュータ
では、USBメモリをコンピュータに差し込んだだけで自動的に
プログラムが実行される仕組みが用意されています。この仕組
みを悪用して、コンピュータを感染させるウイルスがあります。
このようなウイルスの中には、感染したコンピュータに後から
差し込まれた別のUSBメモリに感染するなどの方法で、被害を
拡大させるものまであります。

高度なウイルスになると自己増殖するウイルスがあります。
インターネットやLANを使用して、他の多くのコンピュータに
感染するワーム型と呼ばれるウイルスです。ワーム型は、自分
自身の複製を電子メールの添付ファイルとして送信したり、
ネットワークドライブに保存されているファイルに感染したり
するなど、利用者の操作を介さずに自動的に増殖していきます。

■□■　情報漏洩（じょうほうろうえい） ■□■
ウイルスに感染することで一番被害が大きいものは、個人情報
の漏洩です。組織は個人情報保護法により顧客などの情報は個人
が特定されないように保護する責任を負っています。もし、
保有している個人情報が漏洩すると組織の被害は莫大なものに
なります。 漏洩した情報がインターネットに掲載され、公開
されてしまった場合は、その情報をネットワーク上から完全に
消去することは非常に困難です。組織の信用が失われ、財務的
にも場合によっては億を超える金銭的な賠償をせざるを得なく
なります。

■□■　インターネットの時代 ■□■
インターネットでは、通信している相手が本人かどうかを確認
する手段として認証と呼ばれる方法がとられます。
インターネットの認証は、利用者を識別する情報と、それを確認
する情報を組み合わせることで行われます。利用者を識別する
情報はIDと呼ばれサービス提供者が一人ひとりの利用者を区別
する符号です。IDと組み合わせて確認する情報がパスワードです。
パスワードは、IDを割り振られた本人だけが知る情報で、本人
であることを確認するための符号です。他人に自分の登録した
アカウントを不正に利用されないようにするには、適切なパス
ワードの設定と管理が大切です。

■□■　パスワードの内部診断 ■□■
情報セキュリティ内部診断の要点の一つにパスワードを挙げたい
と思います。 安全なパスワードとは、他人に推測されにくく
自動推定ツール※などで簡単に割り出されない次のようなものを
言います。
(1) 名前など個人情報は使用しない。
(2) 英単語などをそのまま使用しない。
(3) アルファベット（大文字、小文字）と数字が混在している。
(4) 10桁以上の長さの文字列である。
(5) アルファベットの並び方が乱数的である。

最近では、ノートPCなどを外部に持ち出すなどの機会が増えた
ため、利用者のPCが直接の不正アクセスの対象になっています。
アカウント情報（ID、パスワードなど）の管理の重要性は飛躍的
に高まっています。

※ 自動推定ツール　パスワード自動推定ツールは、「パスワード
クラッカー」と呼ばれ機械的にパスワードを推測する機能を持って
います。パスワードでよく使われる単語が辞書として登録されており、
この辞書に載っている単語や簡単な英数字の繰り返し（123やabc、
aaaなど）を自動的に組み合わせることでパスワードを探し出そうと
します。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.274　■□■　　　　
　―　つなげるツボ動画版はじめました　―　　　　
＊＊＊　内部診断と内部監査17　＊＊＊
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。

■□■　情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。

■□■　情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。

診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
＜技術的診断項目＞
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア

＜管理的診断項目＞
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
　と対策
・サーバの設置と管理
・機器障害への対策

■□■　クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。

■□■　インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩（ろうえい）してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。

————————————————————
■□■　平林良人の『つなげるツボ』Vol.273　■□■　　　　
＊＊＊ ちょっと、横道に　＊＊＊
————————————————————
内部診断の話だけでは単調で飽きますので、今回は「ちょっと、横道に」
にそれたいと思います。
最初にテクノファの動画ポータルサイトの宣伝をさせてください。
新型コロナウイルスの渦中にあって集合教育がしづらくなっており、
当社でもオンラインでのライブ講座が増えていますが、それに連動
させていろいろなトピックス（例えば、リモート監査など）を気軽
に動画で見ることができるサイト「テクノファ動画ポータル」を
新設しました。私が執筆している当メールマガジン「平林良人の
つなげるツボ」の動画版も、私の出演で配信しております。この
動画版では、メルマガでは伝えきれないこともお話していますので、
どうぞお立ち寄りください。

■□■　PCR検査 ■□■
さて、最近はPCRという言葉を聞かない日はありません。
このメルマガでもPCR検査について品質管理の視点から閑話休題
としてお話ししたことがあります（Vol.267）。検査ですから必ず
誤りがあるという話ですが、繰り返しになりますので詳しく触れ
ません。PCR検査の精度（約70％と言われている）に関して、
「ぼんやり者の誤り」、「あわて者の誤り」という2種類の誤りが
あるという話をしました。　

■□■　PCRとは何か調べました　■□■
PCRを調べてみますと、Polymerase Chain Reactionの略で
「 ポリメラーゼ連鎖反応」という試薬を使った増幅応用技術の
ことだと分かりました。DNA（遺伝子）の量を大幅に増やす技術
のことだそうです。
DNAは4種類のパーツ（Aアデニン、Tチミン、Gグアニン、
Cシトシンと呼ばれるアミノ酸）が長く繋がったものです。
DNAの塩基である、AとT、GとCは互いに強く結びついており、
2本の鎖を構成し、2重はしご状になったものが螺旋（らせん）
状に結びついた構造を作っています。

■□■　DNAを増幅させる　■□■
この構造を加熱すると二重らせん状がほどけて2本の鎖に分か
れるので、そこにポリメラーゼという酵素※とその他の試薬を
加えると2本に分かれた鎖が二本ずつ倍に増えるのだそうです。
※酵素とは、生体で起こる化学反応に対して触媒として
機能する分子。

この操作を何回も繰り返すとコピーされたDNAは4本、8本と
倍々と増えていき、理論上は10億倍以上にも増幅します。実際
の操作は新聞などで報道されているように、数時間もかかる面倒
なステップが含まれているようです。
PCR検査は人の喉からウイルスを採取します。そのウイルスの
遺伝子を解析して、新型ウイルスの特有な配列が認められれば
その人は感染者（陽性）と判定されます。
PCR検査の精度が低いと言われるのは、採取できるウイルスの
数が極めてわずかであるからだそうです。

■□■　PCR検査の発明者　■□■
PCRの原理はアメリカのMr.キャリー・マリスが1980年台初め
に思い付きました。
マリスは当時の同僚で交際相手のジェニファーを乗せてのドラ
イブ中に、DNA増幅方法のアイデアが突然に頭に浮かんだと
後日回想しています。この閃きに自分でも驚き車を路肩に寄せて、
手元にある紙片に化学式を書き留めながら、興奮の中で「自分が
思いつく位なら、他の者が既に発表しているはずだ」と過去の
関係しそうな論文を総て当たったそうです。

1983年12月、実験に成功しましたが、分子生物学を揺る
がすことになる発明を同僚らに話しても、重要性は伝わら
なかった代わりにビジネスマンの友人が「パテントを取得
してはどうか」と提案してくれた、という話が伝わっています。

■□■　ノーベル賞受賞　■□■
マリスはその功績により、1993年にノーベル化学賞を受賞
しました。彼のお陰で、それ以降遺伝子鑑定ができるようになり、
世界中で科学研究、犯罪捜査などに使われてきました。私は今回
PCR検査の精度が70％位だと知り、親子鑑定などに使われている
現状に気がかりですが、きっとそれなりの補正を掛けたり、いろ
いろな工夫をしているのだろうと思います。
DNAは自然界のなかで自らを複製するように特化された極めて
稀有な存在ですが、PCRはその特性を利用して検査ができる程に
までDNAの数を増幅させる画期的な発明であったことを知りました。