昨日,学内で,「大学と情報セキュリティ」と題して講演が行われました.
講師は,情報セキュリティ研究所の山地真嗣先生.
配布資料handoutに書かれていない,こぼれ話を.
- 「私はWinnyを使っていないから大丈夫」ではない.WinnyにせよShareにせよ,ファイル共有ソフトを使っていれば,情報が漏れていると思うこと.ウイルス対策ソフトは完全ではない.
- USBメモリの容量が32MBのころは,小まめにファイルを消していた.1GBになると,どこに何があるか分からず,消さないでいると,USBメモリを紛失したときに問題となる.
- 日本の会社はピラミッド型で,上司は部下の全ての情報にアクセスできる.これは,情報セキュリティ(機密性)の観点で不適切である.
- 情報を機密性に関して3段階に分けるとき,真ん中の段階は,「秘密文書ではないが,情報公開請求があれば,公開することになるもの」と言える.企業での情報の分類なら,この段階はない(秘密文書か否かの2種類).
- HDDを増設して,バックアップを同じ機械の上でとるのでは,バックアップの意味がない.
- 一人の優秀な人がシステム管理をしていると,手順などを記録していないことが多い.そういう人が異動すると,トラブル発生時に対応が取れなくなる.
- 生体認証のみでの認証には不安がある.認証システムから情報が漏れたら? 認証されなくなる?*1
- 失敗例
- 質疑
- 「災害訓練のような,『セキュリティ訓練』はあるか?」…緊急事対応計画を立て,そこに記載した手順や連絡体制がうまくいくか,訓練をすればよい.
- 「情報セキュリティポリシーでの対象は,電子データのみ? 紙は?」…民間では,情報資産というと紙を含むが,国などでは除外している.紙は,公文書取扱規程に従う.