2025年2月18日開催の「情報セキュリティ はじめの一歩から最前線まで」のご報告
今回のイベントには、NPO団体のセキュリティに関する問題に対して、強い関心をもってくださった方に参加いただきました。ねらったとおり、全体としてよい感じでまとまった場にもなっていました。
また団体運営に携わる立場の方の参加も得て、具体的な団体内の課題にかかわる率直な質問もあります。
会田和弘さんのスライドタイトルは『NPOの「情報セキュリティ超入門」を越えて』で、何回もの講演に分けて聞く分量のものです。それをわかりやすい語りで説明してくださいました。下の⽅の「全体の流れ」もご覧下さい。
お話のあとの質問タイムでは、例えばアカウントを乗っ取られた場合の対応、サーバーに問題が起こった時の対応、 USBの使い⽅といったものがあり、端的かつわかりやすい回答がなされ、それぞれの参加者にも役立っていました。トピックの一つとして、団体のアカウント管理についてはメンバーが共通アカウントを使うのではなく、別々のアカウントを対応させて管理する必要性がある、という話しも出ました。
アンケートなどに「実務ベースの⽅法⼿段」「お進めのセキュリティソフト・サーバー」「せっかくマニュアルを作っても守ってもらえない空気を変える⽅法はあるのか」(要約は吉野)がありました。今後の講座などに⽣かすことが出来ればいいなと思っています。参加者の方にも支えられた会でした。参加された方にお礼いたします。
全体の流れ
講座の語りは下記をわかりやすい言葉で説明したものです。
全体の流れは、⼤きく分けて
パート1.「デジタル社会」(スライド数︓6)
パート2.「デジタル社会の光と影」(スライド数︓27)
パート3.「対策」(スライド数︓22)になります。
パート2の「デジタル社会の光と影」の中では、サイバー攻撃を4分類(a~c)し、a.「なぜ」(意図、目的、動機)、b.「誰が」、c.「何を」、d.「どのようにしたか」を示し、それぞれについて説明がありました。a.「なぜ」の目的の中では、機密性・完全性・可用性という語を説明した上で、それをやぶることについての解説がありました。「動機」の部分ではサイバー戦争という言葉もでてきました。b.「誰が」では、ベネッセ事件を用いて、部外者・部内者という例を示しました。c.「何を」、d.「どのように」では、直接攻撃、間接攻撃、能動的攻撃、受動的攻撃、と分けて説明が続きました。
NPOにとっては、次の パート3の「対策」が非常に重要です。よくイメージされる対策に比べ、あるべき対策がいかに手間暇がかかるのかをしめすものです。情報セキュリティに関わる体制の構築については、対策の10段階のなかの5番目、「リスク値を分析する」が主に説明されました。もともと1番目の情報管理台帳による情報の洗い出しは、それだけでパワーのいる作業です。
説明の中の事例としてて印象深かったのは、通常のセキュリティ対策を丁寧にやっていたとしても、ルーターの脆弱性をねらわれて内部に侵⼊された事例があること、いまや、お⾦が有りそうな団体だけをねらうのでなく⼿当たり次第攻撃するということも起こっているということでした。
つまり、NPOだからあまり気にしなくてもよい、という時代ではなくなってきています。
※ 独立行政法人情報処理推進機構による「中小企業の情報セキュリティ対策ガイドライン」(https://www.ipa.go.jp/security/guide/sme/about.html)も非常に参考になります。