16.09.18 | 所長メルマガ

先日、税理士向けの情報セキュリティーの研修会がありました。中小零細企業は、情報セキュリティーの重要性を十分に認識していなかったり、認識はあっても費用が掛かることと利益に直接結びつかないことから、後回しとなっている場合が多いようです。ところで極端な例ですが、外での商談等の途中でスマートフォンを机に置いたままトイレに立ったとします。もしもパスワードなどの設定をしてなかったら、メールやSNSなどが見られてしまう可能性があると普通は考えると思います。危険性はそれだけなら大したことは無いと言う人をいるでしょう。ところが・・・

ハッカーなど高度な知識を持った人が操作すれば、早くて30秒、遅くても５分あれば外部のパソコン等からスマートフォンをコントロール出来るツール（プログラム）を入れ込むことが出来るそうです。そうなったスマホは最も安全なスパイとして、GPSで持ち主の居場所を知らせます。マイクで周囲の会話等を拾います。表と裏のカメラから画像を撮ります。もちろんメールやSNSも監視出来ます。あり得ないことではないのです。ところで今のパソコン等は大抵インターネットにつながっています。そしてパソコン同士は社内（家庭内）LANでつながっています。従って、外部からの攻撃（侵入）が可能な環境にあります。ウチの会社のパソコンには盗まれて困る大事な情報などないと言う人もいます。だからといってセキュリティー対策を全くしていないと攻撃の中継基地としてパソコンが利用されることになりかねません。犯人として疑われたりします。（場合によっては損害賠償を求められたりしないとも限りません）。ワクチンソフトは必修ですが、最新のウイルスには効果は低いそうです。（20～70％程度有効。カタログで97％などは過去５年のものに対してです）。過信しないこと。ところで、情報セキュリティー対策は大きく２つに分けられます。一つは、ハード・システム面です。より安全な環境を構築するには費用が掛かります。また、どこまでやっても完璧には成りません。中小零細企業でも最低限は必要です。二つ目は、人の教育の面です。不用意な重要情報の持ち出し不注意による情報の漏洩の防止、メールの怪しい添付ファイルやリンクのクリックを防ぐなど社内ルールの設定と正しい運用、報告、記録などです。多少面倒ですが被害を最小限にするため、あるいは情報漏洩の範囲・程度を決定するため、もしくは過失が無いことや潔白を証明するためにも必要となります。
　情報セキュリティー対策の基本
①ソフトウェアの更新　②　ウイルス対策ソフトの導入　③パスワードの適切な管理　
④認証の強化　⑤設定の見直し　⑥脅威・手口を知る　⑦クリック前に確認　⑧バックアップ
　
　最近はランサムウェアを使った詐欺・恐喝が話題になっています。これは、悪意のあるプログラムによってパソコン内のファイルが閲覧・編集出来ない形に暗号化され、ファイル復元の身代金として、金銭を要求される被害です。ビットコインなどで支払わさせる場合もあるそうです。この場合、手続きなどはクリックすると懇切丁寧に解説され、その通り操作すれば誰でも正しく完了出来るそうです。
　国は「独立行政法人情報処理推進機構」などを通じ積極的に情報セキュリティー対策の啓蒙活動を行っています。今回の研修会の目的も、なかなか進まない中小零細企業のセキュリティー対策を加速させるため、まずは税理士に関心を持ってもらい、関与先企業に周知させる意図があったと思います。独立行政法人情報処理推進機構のホームページには、セキュリティー対策に役立つ情報やツールなど掲載されています。ご活用下さい。http://www.ipa.go.jp/security/