情報セキュリティ対策研修会
自社診断ツールを利用したセキュリティ指導(後編)
講演者:独立行政法人情報処理推進機構(IPA)登録セキュリティプレゼンター、辻ICT総合利活用研究所 辻 麻友さん
パソコンやスマートフォンなどを活用し、電子メール、ウェブサイトやSNS、クラウドサービス等の利用を通じて膨大な情報のやり取りや閲覧、蓄積が行われている現代社会は、便利な一方、常に情報漏洩やサイバー攻撃等の危機にさらされています。翻訳通訳業界においても言うまでもなく、情報セキュリティ対策は最重要課題の一つです。
そこで、JTFでは2025年12月18日にオンラインにて「情報セキュリティ対策研修会」を開催し、辻ICT総合利活用研究所の辻麻友氏に、IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ自社診断」をもとにした情報セキュリティ対策についてお話しいただきました。今回の特集では、前回につづいて本講演の内容をお伝えします。
●情報セキュリティ 従業員としての対策
前編では「基本的対策」を見てきましたが、後編では、「5分でできる! 情報セキュリティ自社診断」の中の「従業員としての対策」6項目(No.6~No.11)をまず見ていきます。
診断編No.6 電子メールのルール①添付ファイルやURLに注意
6-1. 身に覚えのないメールは疑ってみる
電子メールの添付ファイルや、本文中のURLリンクを介したウイルス感染に気をつけていますか。
添付ファイルを開いたり、本文に記載されたURLリンクをクリックすることで、ウイルスに感染する事故が続いています。特に身に覚えのない電子メールは注意してください。
最近、私もちょっと引っかかりそうになったケースがありました。JR東日本の「えきねっと」から来たメールで、メールアドレスは本物なんです。リンクのURLを見ると最後に「.cn」と付いていたので、JR東日本ではないサイトに案内しようするもので、これはまずいと思って消しました。このように最近、メールアドレスは巧妙に偽装してくるケースがあるので、送られてきたメールは一度怪しんだ方がいいと思います。知り合いや実在の組織になりすましたメールが送られてくる場合もあります。
少しでも不審な点が見られる場合は、添付ファイルやURLリンクは開かないようにしましょう。そして、不審な電子メールの情報を社内に周知し共有しましょう。
6-2. 添付ファイルを開かせる手口
特定の企業を狙ったサイバー攻撃で、標的型攻撃メールというものもあります。2015年に日本年金機構で、不審メールに起因する不正アクセスにより約125万件の個人情報が外部流出したケースがあります。
添付ファイルを開かせる手口は、下の例を見ていただくとわかりやすいです。
4番目の例のようにファイル拡張子の偽装でテキスト(.txt)と見せかけておいて、実は実行ファイル(.exe)、アプリケーションだったというケースが実際にあります。
添付ファイルの場合、特に狙われるのはWindowsなので、Windows8以降はファイル名の拡張子は表示しておいたほうがいいと思います。表示させる方法は以下です。
診断編No.7 電子メールのルール②宛先の送信ミスを防ぐ
電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか。
FAXを使っている方もだいぶ減ってきたと思いますが、私が以前支援していた会社でも宛先の送信ミスはあったので、送る前に必ず確認してください。余計な情報を漏洩すると大変なことになってしまいます。
誤送信を防ぐために以下を徹底しましょう。
- 送信前に必ず宛先を目視確認する
- メーラーの設定で送信ボタンを押した後にも確認できるようにする
誤送信防止機能のあるメールソフトもあります。例えば、Microsoft社のOutlookは、オプションの送信設定で即時送信をしないようにすることができます。Mozilla社のThunderbirdも、アドオン(機能を追加するソフト)を利用して、送信前に内容の確認を促すダイアログを表示したり、送信ボタンを押してから送信するまでの時間を遅らせることができます。
「メールアドレス」は個人情報に該当しますので、十分注意して扱ってください。たまにいるのですが、メールアドレスの宛先「TO」のところに複数のメールアドレスをたくさん羅列すること。これはやめた方がいいです。グループメンバー限定のクローズドメールの場合であっても、私はあまり推奨しません。それならBCCを使うか、もしくはGoogleグループのメーリングリストを使った方がまだよいと思います。
BCCは効果的に活用してください。必要であれば無料でGoogle Groupsなどでメーリングリストを作れますので、そういうサービスを使っていただくのもよいと思います。
診断編No.8 電子メールのルール③重要情報の保護
重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか。
電子メールで、重要情報を保護する時には、パスワードを設定したり暗号化して送る方法があります。
PPAPと言われている、先にファイルを送って後からパスワードを送るという方法もありますが、これはできれば避けた方がいいです。例えばzipファイルを添付しました、それにパスワードかけました。そして後からパスワードを送りましたと言ってもあまり意味がありません。
それを避けるためには、どうやってファイルのやり取りをするかということを相手先と事前に取り決めしておいて、URLからダウンロードできるようにした方がいいと思います。「この共有フォルダからダウンロードしてください」という方が確実です。その上で、ファイルの暗号化というのはありだと思います。
一例として、下図はマイクロソフトの暗号化のやり方をあげておきます。
診断編No.9 無線LANのルール
9-1. 通信の暗号化による盗聴対策
無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか。
最近は、事業所でも個人事業主でも、有線を使ってやり取りしている方はそれほど多くないのではと思います。中にはいらっしゃると思いますが、今はだいたい無線LANを使ってテザリングしてやるというケースが多いですね。
適切なセキュリティ設定がされてない無線LANは、通信内容を盗聴されたり、社内ネットワークに不正にアクセスされて、情報漏洩や改竄の被害を受ける可能性があります。そこで、盗聴や不正アクセスなどを防ぐために、セキュリティ設定をしましょう。
通信の暗号化による盗聴対策は、下図を見てください。
暗号化方式は「WPA2-PSK」、最近のパソコンであれば、より強力な「WPA3」にも対応しています。暗号化キーは、文字数は最低でも20文字。16文字でもかなりやられにくいと思いますが、あまり簡単なものではなく、なるべく複雑に、半角英数字プラス記号を使って設定していただくとよいと思います。特にWPA2/WPA3混在モードにしていただくとそれだけでも違います。もし古い機械を使っていないというのであれば、WPA3に切り替えてしまってもよいと思います。
9-2. 認証強化による不正アクセス対策
SSIDはなるべく判読されにくい、わかりづらいものにした方がいいです。デフォルトはメーカー名が入っていたりするので、何かしらわかりづらいものに変えた方がいいと思います。無線LAN機器の機種、使用者、部署、企業名などを想起しにくい値にし、暗号化キーも推測しにくい値にしてください。
複数の機器を一括管理できる無線LANスイッチや、ユーザーを判別する認証サーバーなどの技術を利用するとよいでしょう。
その他の対策としては、次のようなものがあります。
- 攻撃や不正アクセスを早期に検出し迅速に対応するため、ログを収集する。
- 従業員に無線LAN特有のリスクや対策を教育する。
- 電波が社外に漏れることを防ぐため電波の届く範囲を把握し、無線LAN機器の選定や設置場所を考慮する、または電波の漏れない環境を構築する。
無線LANは便利な反面、けっこうリスクもあるので、対策を怠らないようにしてください。
9-3. 公衆無線LANに注意
公衆無線LAN(公衆Wi-Fi)は、電波の届く範囲内の不特定多数が受信可能なため、悪意のある第三者による盗聴や、なりすましによる不正アクセスなど、思わぬ被害を受ける可能性があります。
ご利用になる方もいらっしゃると思いますが、個人的にはあまり推奨しません。理由としては、例えばキャリア系のドコモのdWi-Fi やauWi-Fiなどはそれなりにセキュリティ対策が実施されてはいるものの、けっこう遅かったりします。お店が独自で提供しているようなものだと、繋がっている人のパソコンの状態が見られてしまうケースがあります。いわゆるプライバシーセパレーター(機器間での通信制限機能)がオンになってない可能性があるので、それならテザリングでやった方がいいと思います。
基本的には公衆無線LANはあまり使わない方がいいと思います。
それでも利用する場合は、次のような必要なセキュリティ対策を必ず実施しましょう。
知らないアクセスポイント、特に外部で無線LANで接続する時やテザリングする時は、ファイル共有機能は必ず解除しておいてください。オンのままにしておくと、プライバシーセパレーターが入ってないところだと丸見えになってしまいます。
また、電子証明書エラーが出たら、これは完全に怪しいと思って接続しない方がいいです。
基本的には公衆無線LANは使わないに越したことはありません。個人の場合でも、例えば仕事兼用のパソコンを公衆無線LANで使うのはよくないと思います。ですから、私の場合はいつもテザリング用の機器を持ち歩いています。