日本翻訳連盟(JTF)

JTFジャーナル WEB版

翻訳業界の情報を伝えるメディア

特集 

情報セキュリティ対策研修会
自社診断ツールを利用したセキュリティ指導(前編)

Editor

講演者:独立行政法人情報処理推進機構(IPA)登録セキュリティプレゼンター、辻ICT総合利活用研究所 辻 麻友さん

パソコンやスマートフォンなどを活用し、電子メール、ウェブサイトやSNS、クラウドサービス等の利用を通じて膨大な情報のやり取りや閲覧、蓄積が行われている現代社会は、便利な一方、常に情報漏洩やサイバー攻撃等の危機にさらされています。翻訳通訳業界においても言うまでもなく、情報セキュリティ対策は最重要課題の一つです。

そこで、JTFでは2025年12月18日にオンラインにて「情報セキュリティ対策研修会」を開催し、辻ICT総合利活用研究所の辻麻友氏に、IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ自社診断」をもとにした情報セキュリティ対策についてお話しいただきました。特集では、本講演の内容を2回に分けてお伝えします。今回はその前編です。

●多岐にわたる情報セキュリティの脅威

辻ICT総合利活用研究所のIPAセキュリティプレゼンター、辻麻友と申します。私はもともと社内SEとしてほぼ20年近く勤務し、現在は長野市内でITコーディネーターとして活動しております。技術と経営の両面からのアドバイスや、「コストはかけられないが対策は必須」という経営者様へ、現場のリアリティを踏まえた「身の丈に合った情報セキュリティ」をご提案しています。

また、28年ほどフランス在住経験があり、フランス語の翻訳もやろうかなと考えていたこともありますので、翻訳業の皆様のお悩みもなんとなくわかる気がします。そういうところも踏まえながら、本日のセミナーをやらせていただきます。

IPAが推進する「SECURITY ACTION」という制度があります。、中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言するもので、取り組み段階に応じて「一つ星」「二つ星」があるのですが、このセキュリティアクション一つ星を取っていただくとよろしいかなと思います。そんなに難しくはないので、今日のセミナーを踏まえてご検討いただけると幸いです。

では早速ですが、最初にIPAの情報セキュリティに関する動画をご覧ください。

IPA Channel「あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~」

いかがでしたか。ちょっと古いところもありますが、今でも役に立つところがけっこうあると思います。ではこの動画を踏まえた上で次の表をご覧ください。

■情報セキュリティ10大脅威 2025年(組織)

上の表はIPAが毎年出している「情報セキュリティ10大脅威」2025年の組織向け脅威のデータです。10年連続で「ランサムウェアによる被害」が1位になっています。2位が「サプライチェーンや委託先を狙った攻撃」、3位が「システムの脆弱性を突いた攻撃」です。

ランサムウェアと言えば、直近の大きいところでアサヒビールやアスクルがやられました。大企業が狙われると思われがちですが、けっこう中小規模の病院などでも起きています。それから、「内部不正による情報漏洩」や「リモートワーク等の環境や仕組みを狙った攻撃」など、情報セキュリティの脅威は多岐に渡ります。

特に組織向けだけを見ると、意外と起きやすいのが「リモートワークを狙った攻撃」。「ビジネスメール詐欺」「不注意による情報漏洩」などもけっこうあります。

次に、同じ10大脅威ですが、今度は個人向けです。

■情報セキュリティ10大脅威 2025年(個人)

こちらはトップが「インターネット上のサービスからの個人情報の窃取」、2位が「インターネット上のサービスへの不正ログイン」、3位が「クレジットカード情報の不正利用」、それから「スマホ決済の不正利用」「誹謗・中傷」「フィッシング」などもけっこうあります。

つい最近、私が対応させていただいた案件としては、後ほども出てきますが、Facebook やInstagramのMessengerを使ってアカウントを乗っ取られるケースがあります。乗っ取りのケースは、2要素認証を設定していなかったからということがあります。これはいかにパスワードがだんだん脆弱になってきているかという証拠でもあるんですね。ここ最近は、Instagramとそれに付随したMeta社のサービスであるWhatsApp、この辺を利用して不正ログインをしてくるケースが多くあるので、特にInstagramなどを使っている方はなるべく早い段階で2要素認証を入れていただくとよいと思います。

それから、「クレジットカード情報の不正利用」や「スマホ決済の不正利用」もけっこうあります。クレジットカード情報の不正利用は、下から4番目の「フィッシングによる個人情報の詐取」と紐づいていたりします。要は偽サイトに誘導されてクレジットカード番号などを入力するというケースがあるので、その辺をよく気を付けて使っていただくとよろしいかと思います。幸いにもクレジットカードには不正決済があった場合、早めに申請すれば払い戻してくれる保険が付いていたりはしますが、やはりクレジットカードの情報は重要ですから十分注意してください。

●委託側にも委託先にも個人情報保護の責任や義務がある

最近の情報サイバーセキュリティを取り巻く環境として、顧客や取引先はどう考えているかというと、情報セキュリティに対する要求、期待は確実に高まっています。IPAの調査によると約93%の企業が「情報セキュリティ要求事項に関し、業務委託契約において、委託先の責任を明確にしたいと思う」と考えていますので、今からでも取り組めるところから取り組んでいただければと思います。

では、委託する側に責任や義務はあるのかというと、個人情報保護法では「委託先の監督」が求められます。翻訳業の場合、例えばフリーランスの方に委託するケースがあるかもしれません。そういう場合には、やはり個人情報保護法の委託先の監督が求められますので、くれぐれも怠らないようにしてください。

顧客や取引先から見て委託先に該当する場合は、監督される立場になり、どちらにおいても義務や責任は発生しますので、個人情報を扱う場合には十分気を付けていただければと思います。

では、情報セキュリティの目的とは何でしょうか。

どのような組織でも個人でも、電子データや書類などの情報を利用して業務を行っていますので、様々なデータが重要な情報を持っています。例えば、公的翻訳資料などであれば、個人名や住所、電話番号などが重要な情報になりますし、企業向けに関しても、特許を申請するとそのデータが重要になります。このように翻訳業においてもいろいろな情報が、いわゆるハッカーから見ると重要な情報資産だったりします。

情報資産の例
  • 顧客リストなどの個人情報
  • 設計図などの技術情報
  • 予約や注文を受けるECサイト

情報セキュリティの目的は、こうした重要な情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持することです。

 機密性 許可された者だけが情報にアクセスできるようにすること
 完全性 情報や情報の処理方法が、正確で完全であるようにすること
 可用性 許可されたものが、必要な時に情報や情報資産にアクセスできることを確実にすること

それぞれの頭文字を取って、いわゆる情報セキュリティのCIAと呼ばれるこの3つを特にしっかり押さえておかないと情報漏洩に繋がったりしますので、くれぐれも気を付けてください。

実際に、セキュリティ事故には下記のようなものがあります。

情報セキュリティ事故の例
  • 顧客リストが不正アクセスで漏えい(機密性の事故)
  • 設計図がランサムウェア感染で改ざん(完全性の事故)
  • ECサイトがDDos攻撃で停止(可用性の事故)

ランサムウェア ファイルを暗号化し、元の状態に戻すための金銭を要求する悪意のあるソフトウェア
DDos 攻撃複数のコンピュータから一斉に特定のサーバー等に対して過剰な負荷を与えたり、サーバー等の脆弱性を悪用することによってサービスの運用や提供を妨げる攻撃
例えばご自身でウェブページなどを持っている場合であれば、特にレンタルサーバーのアップデートなどはどうなっているのかに注意してください。企業においては、VPS(バーチャルプライベートサーバー)など自社で運用管理しているサーバーがあれば、OSのアップデートがきちんとされているかどうかも確認していただいた方がよいと思います。

●5分でできる情報セキュリティ自社診断で対策

では、何からセキュリティ対策を始めたらいいのでしょうか。端的に言えば、IPAが出している「5分でできる! 情報セキュリティ自社診断」を活用して、「セキュリティ対策25項目」をまず実施していただくとよろしいかと思います。先ほどの動画にも出てきましたが、下記のURLからダウンロードできます。

https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055848.pdf

基本的対策5項目、従業員としての対策13項目、組織としての対策7項目、合計25項目あり、それぞれ○を付けながらやっていただく形になります。

まず、自社の重要情報は何か、というところを認識していただくことが、セキュリティ対策の第一歩となります。自社の重要情報は、下図のように実はけっこうあります。

  • 顧客の氏名、住所、メアド、クレジットカード情報などの個人情報
  • 従業員のマイナンバー、履歴書、顔写真などの個人情報
  • 売上増加に不可欠な営業情報
  • ノウハウ、独自技術などの機密情報

この中の「独自技術」というと、翻訳の場合は、やはり翻訳のノウハウですね。この辺をしっかり管理しておかないといけないと思います。例えば、安易にAIを使って個人情報などを入れてしまうと、そのAIのサーバーがハッキングされる可能性はゼロではないので、そのあたりも注意しながら使っていただくとよいかと思います。

「自社の重要情報は何か」を認識することが情報セキュリティ対策の第一歩となります。

それでは、「5分でできる! 情報セキュリティ自社診断」の中から、基本的対策となる「脆弱性対策」「ウイルス対策」「パスワード管理」「機器の設定」「情報収集」の5項目を見ていきましょう。

次ページ >

共有