インシデント事例紹介とその対策~ソーシャルエンジニアリング編 <対策>~
| ソーシャルエンジニアリング 事例 | ソーシャルエンジニアリングへの対策 |
ソーシャルエンジニアリングによって、企業ネットワークが被害を受ける結果にならないようにするために、どのような対策があるのでしょうか。
電話対応での対策
電話で、IDやパスワードなどに関する問い合わせを受けた場合、安易に教えないようにし、なりすましによる漏えいを防ぎましょう。
- 折り返し連絡をし、本人確認を行った上で質問に答える
- 公衆電話など、本人が特定できない電話からの問い合わせは答えない
情報の機密性確保
トラッシングやのぞき見により、情報はどこから第三者に漏えいするか分かりません。油断は禁物です。
実際にこれらの事柄を情報セキュリティポリシーに規定している企業も多いでしょう。企業の情報の中には、顧客の個人情報など厳重な管理を要する情報も含まれています。情報の機密性を確保し、情報を本当に必要な人に対してのみ、正当な手続きかつ必要最小限の範囲で、情報を提供するようにしましょう。
- 文書は機密性を考慮した廃棄を行う
― 決められた箱の中に回収して、溶解処理業者へ
― シュレッダー処理をする - 媒体は破砕する(再読不可能な状態にする)
― 物理的に叩いて壊す
― 媒体用のシュレッダーを使用する - 自席を離れるときも情報漏えい対策
― ディスプレイの電源を落とす、画面をロックする、ログオフするなどの対策を行う(クリアスクリーンポリシー)
― 書類などを放置しないよう、机の上を整頓する(クリアデスクポリシー)
実際にこれらの事柄を情報セキュリティポリシーに規定している企業も多いでしょう。企業の情報の中には、顧客の個人情報など厳重な管理を要する情報も含まれています。情報の機密性を確保し、情報を本当に必要な人に対してのみ、正当な手続きかつ必要最小限の範囲で、情報を提供するようにしましょう。
注意! シュレッダーを過信しない
シュレッダー処理された書類も、細い帯状に裁断するだけのタイプの場合、書類の復元は不可能ではありません。複数の袋に分けて業者に引き渡す、あるいは更に細かく粉砕するタイプのシュレッダーを使用するなど、万全の処理を行うことも必要です。
シュレッダー処理された書類も、細い帯状に裁断するだけのタイプの場合、書類の復元は不可能ではありません。複数の袋に分けて業者に引き渡す、あるいは更に細かく粉砕するタイプのシュレッダーを使用するなど、万全の処理を行うことも必要です。
| ソーシャルエンジニアリング 事例 | ソーシャルエンジニアリングへの対策 |