Deep Webとは、深層Webとも呼ばれ検索エンジンに登録されないコンテンツを指します。Deep Webに似た言葉にDark Webがあり、アクセスしてしまわないか、個人情報などが不正に利用されていないか不安に思う方もいるでしょう。 この記事では、Deep webについて、Surface Web・Dark Webとの違いや、Deep Webの違法性、アクセスするリスク、脅威への対策などを詳しく解説します。   目次 Deep Webとは？ 表層にあるSurface Web さらに深層にあるDark Web Deep WebとDark Webの違い Deep Web・Dark Webは違法？ Deep Web・Dark Webにアクセスするリスク Deep Web・Dark Webの脅威への対策 従業員への教育 セキュリティソフトによる対策 まとめ   1. Deep Webとは？ Deep Web（ディープウェブ）とは、検索エンジンに登録されないWebコンテンツのことです。深層Webとも呼ばれます。Googleなどで検索しても検索エンジンに登録されていないため、Deep Webは検索結果にヒットしません。 検索エンジンに登録されるか否かは、検索サイトを巡回して情報を登録するクローラーが、Webコンテンツにアクセスできるかどうかで変わります。たとえば、ログインが必要なWebページや非公開のSNSなどは、IDとパスワードが必要なためクローラーがアクセスできません。認証情報が必要で、検索しても外部からたどり着けないWebコンテンツはDeep Webに分類されます。     1-1. 表層にあるSurface Web Deep Webの対義語に、Surface Web（サーフェスウェブ）があります。Surface Webとは、検索サイトを通じて誰でもアクセスできるWebコンテンツのことです。表層Webとも呼ばれます。 Surface Webには、国・自治体・企業などのサイト、ECサイト、一般公開されているブログやSNSなど、アクセス制限がかかっていないWebコンテンツが該当します。     1-2.　さらに深層にあるDark Web Dark Web（ダークウェブ）はDeep Webの一種であり、GoogleやEdgeなどの一般的なブラウザではアクセスできないWebコンテンツです。Dark Webは非常に匿名性が高く、アクセス元の特定が困難になる「オニオン・ルーティング」という技術が使われています。 Dark Webにアクセスするには、「Tor（トア）」という匿名通信を可能にしたWebブラウザが必要です。Torブラウザを用意すれば一般人でもDark Webにアクセスできますが、違法なコンテンツが多くを占め、サイバー攻撃のリスクも潜んでいます。       2. Deep WebとDark Webの違い Dark WebはDeep Webに含まれますが、アクセス性や規模など、以下のようにさまざまな点で違いがあります。 ・対象範囲 Deep Webの対象範囲は、検索エンジンでたどり着けないWebコンテンツ全般です。パスワードで保護されていれば、Webサイトだけでなくメール・SNS・チャットも含みます。一方で、Dark WebはDeep Webよりも範囲がより狭く限定されています。 ・アクセス性 Deep Webへアクセスするために、特定のブラウザや独自のプロトコルを用意する必要はありません。ID・パスワードがあればアクセス可能です。Dark Webへは、暗号化されたTorブラウザでないとアクセスできません。Dark WebのURLの末尾は必ず「.onion」であり、特定のブラウザのみがアクセスできるように仕組まれています。 ・規模 Deep Webは、Surface Webの400～500倍もの規模があります。Dark WebはDeep Webの0.01％であり、インターネット全体で見ると5％ほどしかありません。 ・活用例 Deep Webは、企業などの内部ネットワーク、メールサービス、会員専用サイトなど、一般的に多くのユーザーが利用しています。一方で、Dark Webは匿名性を利用し、犯罪目的で利用されるケースがあります。 ・安全性 Deep Webは基本的に安心して利用できますが、個人データを狙ったサイバー攻撃の標的になるため、十分なセキュリティ対策が必要です。Dark Webも一般的には安全ですが、違法コンテンツをダウンロードすると、マルウェアやウイルスに感染するリスクがあります。     3. Deep Web・Dark Webは違法？ Deep Webは違法ではありません。検索エンジンに登録されていないWebコンテンツにアクセスしたからといって、違法行為が助長されるとは限りません。実際、Deep Webがなければ、インターネット上のほとんどのWebサービスを利用できなくなります。 Dark Webも、Torブラウザを利用したアクセス自体は違法ではありません。ただし、Dark Webを利用して違法取引することは犯罪行為になります。Dark Webでアクセスできるコンテンツでは違法なものを取り扱っていることが多く、違法薬物購入や児童ポルノなど、犯罪行為を助長するきっかけにもなります。Dark Webの利用はできるだけ避けたほうがよいでしょう。     4.　Deep Web・Dark Webにアクセスするリスク Deep Webを利用するには、ID・パスワードといったアカウント情報が必要です。アカウント情報を盗むために、フィッシングメールや偽のログイン画面表示などを利用して、詐欺を行う犯罪者もいます。Deep Webの利用はサイバー犯罪にあう可能性があることに留意しておきましょう。 Dark Webも、有害コンテンツにアクセスするリスク、個人情報が盗まれるリスク、犯罪に巻き込まれるリスクなどがあります。Dark Webはサイト運営者とユーザーの両方の素性が隠されているため、攻撃を受けても助けになるものがありません。Dark Webには多くのリスクがあるため、利用する際は細心の注意を払う必要があります。     5.　Deep Web・Dark Webの脅威への対策 Deep Web・Dark Webにはさまざまなリスクが潜んでおり、企業は自社で扱う機密情報や個人情報を守るために対策を講じる必要があります。適切に対策して、情報流出のリスクを減らしましょう。 ここでは、主な対策方法として従業員への教育、セキュリティソフトの導入について解説します。     5-1.　従業員への教育 自社で取り扱う情報を守るには、従業員へDeep Web・Dark Webのリスクを説明し、安全対策について教育することが大切です。 代表的な安全対策には、パスワードの設定があります。従業員の中には、複数のWebサービスでパスワードを使い回している人もいるでしょう。仮にパスワードが流出すると、各サービスへの不正ログインを許して被害が拡大します。 パスワードは、Webサービスごとに違うものを設定することが大切です。セキュリティを強化するため、二段階認証や安全性の高いパスワードの自動生成ツールを導入するのもよいでしょう。 他にも、心当たりがないメールやメッセージは開かない、パソコンのOSは最新状態に保つなど、従業員に情報セキュリティへの意識を高める教育を実施しましょう。     5-2.　セキュリティソフトによる対策 Dark Webに個人情報が流出していないか確認できる、セキュリティソフトの導入もおすすめです。メールアドレスや電話番号、住所、銀行口座情報、クレジットカード情報などがDark Web上で取引されていないか監視できます。 情報が流出していた場合は、セキュリティソフトが通知で知らせてくれます。どこから情報漏洩したかどうかも分かるため、流出のきっかけになったWebサービスのアカウント情報を変更するなどの対応を取ることが可能です。     まとめ Deep Webは、認証情報が必要で、検索にはヒットしないコンテンツです。一方で、Surface Webは検索により誰にでもアクセスできるコンテンツを指します。Deep Webの一部である　Dark Webは一般的なブラウザではアクセスできないコンテンツです。匿名性の高さゆえに、違法コンテンツ・違法取引などが行われることもあり、アクセスにはリスクが伴います。Deep Webにアクセスするリスクは、Dark Webに比べて低いものの、ログインに個人情報の登録が必要なケースも多く、サイバー犯罪にあう可能性はゼロではありません。 企業でできるDeep Web・Dark Webに関する脅威への対策としては、従業員への教育やセキュリティソフトの導入などが挙げられます。危険なコンテンツへのアクセスには注意し、安全に業務を行いましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

企業のテレワーク導入に伴い、利用が増加しているクラウドサービス。クラウド上でデータの一元管理ができることやどこからでもアクセスできるため、多くの企業に導入されています。 しかし、クラウドサービスにおける利便性の反面、セキュリティや情報漏洩のリスクについて心配される方もいらっしゃるのではないでしょうか。 本記事では、クラウドサービスにおける情報漏洩の原因や実際に発生した事例、情報漏洩を防ぐ対策について解説していきます。   目次 クラウドサービスにおける情報漏洩の原因とは？ 悪意のあるサイバー攻撃による情報漏洩 サーバーやデータセンターにおける障害や災害によるデータ消失 クラウドの設定ミスによるアクセス制限情報を一般公開 ユーザーアカウントの情報漏洩による不正ログイン クラウドサービスで発生した情報漏洩の事例 クラウドサービス導入における情報漏洩に備えた対策 テレワーク就業規則の策定 ハードディスクとクラウドにバックアップを分散する OSやアプリの脆弱性を発見したら対処する 情報漏洩した際のプロセス整備 セキュリティ担当者の教育 セキュリティソフトの導入 まとめ   1. クラウドサービスにおける情報漏洩の原因とは？ クラウドサービスにおける情報漏洩には、サイバー攻撃・システム障害・人為的な設定ミス・不正ログインなどがあります。原因を把握して、導入前の検討における情報収集や現在の状況見直しを行いましょう。     1-1. 悪意のあるサイバー攻撃による情報漏洩 利用しているクラウドサービス事業者のサーバーに対して、外部からのサイバー攻撃により情報漏洩する可能性があります。この場合、クラウドサービス事業者が最新のセキュリティ対策を行うなどが必要です。 利用者側では直接的な対策はできませんが、情報漏洩に備えてデータのバックアップを取得するなど、万が一に備えた対策を行いましょう。また、どのレベルまでの情報をクラウド上に保管するか慎重に判断することをおすすめします。     1-2. サーバーやデータセンターにおける障害や災害によるデータ消失 サーバーやデータセンターにおけるシステム障害や自然災害に伴う機器の故障によりデータ消失する可能性があります。クラウドサービス事業者側のシステム改修やメンテナンスが原因で障害の発生や地震や火災などの自然災害による機器の故障・破損でデータ消失が発生することもあり得るでしょう。 システム障害や自然災害は必ず発生しないとは言い切れませんよね。そのため、データ消失に備えてデータのバックアップ方法や代替クラウドサービスなどを検討しておきましょう。     1-3. クラウドの設定ミスによるアクセス制限情報を一般公開 使用しているクラウドサービスの人為的な設定ミスにより、機密情報を一般公開してしまう可能性があります。クラウドの設定で、人によって閲覧できる範囲を設定する権限管理やアクセス制御などが可能です。 クラウドサービスやセキュリティなどの知識がない方が誤って設定をしてしまい、インターネット上の誰もが機密情報を閲覧できてしまうリスクがあります。クラウドサービスの管理者や担当者に対して、教育を行うなど知識の底上げを行いましょう。     1-4. ユーザーアカウントの情報漏洩による不正ログイン 利用しているクラウドサービスのユーザーアカウントが流出すると不正ログインされ、情報漏洩につながります。ユーザーアカウントの流出には、不審なメールのリンクを開いた際のウイルス感染やユーザーアカウントの使い回し、会社外の場所でのログイン覗き見などが挙げられます。 そのため、不審なメールが届かないような迷惑メール設定やセキュリティソフトの導入、ユーザーアカウントはサービスごとに個別のパスワードを設定するなど対策を行いましょう。       2. クラウドサービスで発生した情報漏洩の事例 実際にクラウドサービスで発生した情報漏洩の事例をご紹介します。 実例からどのような原因で発生し、その影響範囲かどれくらいか学んでいきましょう。   3. クラウドサービス導入における情報漏洩に備えた対策 クラウドサービス導入における情報漏洩対策には、テレワークの就業規則策定・バックアップ手段の選定・脆弱性対策・情報漏洩に備えたプロセス整備・セキュリティ担当者の教育・セキュリティソフトの導入などがあります。情報漏洩を未然に防ぐため、それぞれの対策を確認していきましょう。     3-1. テレワーク就業規則の策定 クラウドサービス導入により、テレワークなど会社外においても情報にアクセスできてしまいます。サービスをどこでも使用できるメリットがありますが、どこでも使用できることにより情報漏洩するリスクも高まります。 テレワーク時の就業規則を策定していない場合、カフェで作業している社員が覗き見されて情報漏洩するパターンも考えられるでしょう。会社外で使用する際は、自宅やコワーキングスペースなど場所を規制するルールを策定することも情報漏洩対策の1つです。     3-2. ハードディスクとクラウドにバックアップを分散する クラウドデータのバックアップは定期的に取得する運用を取りましょう。こまめに取得することで、データ消失時の被害を最小に抑えることが可能です。 クラウドサービス上だけでバックアップを取得していると、クラウドサービスの障害や管理者の操作ミスに起因したデータ消失の可能性もあります。ハードディスクにもバックアップを取得することで、万が一クラウドデータが消失しても業務影響を抑えられるでしょう。 また、バックアップの保管期間を定めることで、クラウドサーバーやハードディスクの容量圧迫を抑えられます。     3-3. OSやアプリの脆弱性を発見したら対処する OSやアプリケーションの脆弱性を原因とした情報漏洩もあります。脆弱性があると、マルウェアなどのウイルスに感染してパソコン内のファイルやパスワードの情報漏洩、スパムメールが大量に送られパソコンが遅くなり使い物にならないなど、さまざまなリスクが発生するでしょう。 リスクを避けるためにも定期的に脆弱性診断やウイルススキャンを行い、セキュリティソフトの導入も検討することをおすすめします。     3-4. 情報漏洩した際のプロセス整備 情報漏洩してしまった際は、企業には迅速な対応が求められます。2022年4月に施行された改正個人情報保護法により、個人情報取扱事業者に対して個人情報が漏洩した際の報告が義務化されました。情報漏洩対策だけでなく、報告期日までのプロセスの整備などが企業に求められます。 まずは、報告を行う必要がある情報漏洩のレベルについて確認を行い、報告義務がある「速報」と「確報」それぞれの報告期限を確認しましょう。次に、社内の報告ルートと個人情報保護委員会へのルート整備の２軸が必要です。報告ルートを策定することで、迅速な対応が可能になります。     3-5. セキュリティ担当者の教育 情報漏洩の発生原因に担当者のクラウドサービスの設定ミスがありましたね。たった一人の操作ミスで情報漏洩する可能性があります。設定ミスの原因には、クラウドサービスについての理解不足やセキュリティ関連の知識不足があげられるでしょう。 そのため、セキュリティ担当者に対して教育を行うことで設定ミスなどの情報漏洩を未然に防げます。クラウドサービスを理解するには利用しているサービス事業者が行っているセミナーや担当の営業に説明会を設定してもらうこと、セキュリティ関連の研修に参加することで知識不足を補えるでしょう。     3-6. セキュリティソフトの導入 情報漏洩を防止するために、セキュリティソフトの導入をおすすめします。導入することで、マルウェアからの感染防御や疑わしいサイトへのアクセスを遮断してくれます。 人はふとしたときに、怪しいメールのリンクを開いてしまうことがどうしてもあるので、セキュリティソフトを導入すると安心できるでしょう。 導入する際の注意点は、導入が簡単なことや誰でも操作できるユーザーインターフェースかの確認が必要です。ITの専門知識がない担当者でも使えるセキュリティソフトを導入しましょう。     まとめ クラウドサービスにおける情報漏洩について、原因や対策、実際に発生した事例について解説しました。 これからクラウドサービスの導入を考えている方は、どの業務において、どのデータをクラウド化するのかを検討しましょう。既に導入している場合は、現状の対策に抜け漏れや脆弱性がないかを再確認してみてください。 社内に情報システム部門がない場合は、最新マルウェアなどのウイルスから社内情報を防御してくれるセキュリティソフトを導入してみてはいかがでしょうか。その中でも簡単に導入できて、誰でも使いやすいようなユーザインターフェースのソフトがおすすめです。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

企業のWeb活用が国内でも積極的に行われていますが、注意したいのがWebサイトを狙ったサイバー攻撃です。クロスサイトスクリプティング(XSS)がWebサイトの脆弱性を狙った攻撃手法として増加傾向にあり、十分な対策が求められます。 この記事ではクロスサイトスクリプティングの具体的な手法や攻撃によってもたらされるリスク、そして効果的な対策方法について、解説します。   目次 クロスサイトスクリプティングとは クロスサイトスクリプティングの仕組み SQLインジェクションとの違い クロスサイトスクリプティングの種類 クロスサイトスクリプティングの被害リスク Webページ改ざん セッションハイジャック 個人情報流出 クロスサイトスクリプティングを防ぐための対策方法 バリデーション処理を行う サニタイジングを施す WAFを設置する 入力可能なリンクを制限する まとめ   1. クロスサイトスクリプティングとは クロスサイトスクリプティングは、Webサイトを狙ったサイバー攻撃方法の一種です。Webサイトの脆弱性を突いて第三者が不当にWebサイトにスクリプトを組み込むことで、サイトを訪問したユーザーに別のサイトへのアクセスを促そうとプログラムすることができます。 攻撃対象のWebサイトを直接改変できなくとも、訪問者を悪質サイトへ誘導することで攻撃者の目的は達成できるため、サイト管理者に直接被害はなくとも、間接的に大きなダメージを被ることになります。   2, クロスサイトスクリプティングの仕組み クロスサイトスクリプティングの実行に当たっては、問い合わせフォームや掲示板などの、サイト内に設置された動的な機能が標的となります。 自由記述が可能なフォームにスクリプトを書き込まれると、それが自由に実行されてしまうため、サイトの遷移などを自由にコントロールされることとなります。   3. SQLインジェクションとの違い クロスサイトスクリプティングと似たような攻撃方法に一つに、SQLインジェクションが挙げられます。SQLインジェクションもクロスサイトスクリプティング同様、Webサイトへの攻撃を行うものですが、こちらはサイトのデータベースに攻撃を仕掛けます。 会員登録やログインフォームを悪用して不正なSQL構文を注入することにより、データへの不正アクセスや情報流出といった、重大な危害を加えます。   4. クロスサイトスクリプティングの種類 クロスサイトスクリプティングには大きく分けて、 • non-persistent/Reflected XSS（反射型XSS) • Stored/Persistent XSS（格納型／蓄積型／持続型XSS) • DOM Based XSS という3つの種類があります。 反射型XSSはサイトに不正なスクリプトをリンクに仕掛けた上で、信頼性に問題のあるサイトへ誘導し、訪問者への不正アクセスやマルウェアのインストールを促す手法です。 格納型／蓄積型／持続型XSSは、Webアプリに直接攻撃者が不正なスクリプトを仕掛ける手法です。そのため攻撃を仕掛けたページが開かれるたびに不正スクリプトが立ち上がり、悪質サイトへの遷移を勝手に行ったりするため、不快感と危険性の強い攻撃手法です。 ユーザーをリンクに誘導する必要がないので、攻撃者にとっては都合の良い方法であると言えます。 DOM Based XSSは、Web上のJavascriptの脆弱性を攻撃する手法です。サーバー側で起動するスクリプトではなく、訪問者のWeb上で起動するスクリプトであるため、他の手法とは異なる対策が求められます。 いずれのクロスサイトスクリプティング手法も危険であることに変わりはなく、柔軟な防止策を検討する必要があるでしょう。   5. クロスサイトスクリプティングの被害リスク クロスサイトスクリプティング攻撃を受けることで、Webサイト運営者は以下のようなリスクに備える必要があります。     5-1. Webページ改ざん クロスサイトスクリプティングは、攻撃者がWebページを書き換えることができるサイバー攻撃手法です。一見すると健全な企業のコーポレートサイトでも、脆弱性を抱えていれば攻撃者はその弱点を突き、不正なプログラムを潜り込ませ、訪問者に危害を加えることができます。 基本的な機能やデザインはそのままでありながら、訪問者に危害を加えるため、攻撃を受けた被害者はなぜ、どこで被害を被ったのかが当初はわからないケースもあります。 5-2. セッションハイジャック セッションハイジャックは、管理者のIDやCookieを不正に抜き取り、不当に管理権限を与えてしまうものです。セッションハイジャックが行われてしまうと、Webサイトのサーバー内に保管された情報の流出やデータの書き換え、不正出金などの被害を受ける可能性があり、その際には甚大な被害を覚悟しなければなりません。 5-3. 個人情報流出 サーバーへの自由なアクセスを許して仕舞えば、社員はもちろん顧客の個人情報流出も十分起こり得る事態です。社内の情報流出ならまだしも、顧客情報の流出は既存顧客の信頼を失い、新規顧客の獲得も困難になってしまうため、事業そのものが危険に晒されることとなります。 こういった事態を回避するためにも、あらかじめ徹底した対策を施し、被害を未然に防ぐ、あるいは最小限にとどめる必要があります。   6. クロスサイトスクリプティングを防ぐための対策方法 クロスサイトスクリプティングに備えるためには、正しい対策を事前に施しておくことが大切です。具体的な対策方法は以下の通りです。 6-1. バリデーション処理を行う バリデーション処理は、入力できる英数字やその他の文字に制限を加えるものです。電話番号入力欄で数字以外の文字入力を拒否したり、パスワードの入力文字数を制限したりといった処理を施すことで、不正なスクリプトの入力を回避できます。 6-2. サニタイジングを施す サニタイジングは、スクリプトを入力する際に発生する「<」や「"」といった文字をフォームに入力した際、別の無意味な文字列に変換する処置です。 これらの文字をそのまま入力させないことにより、文字列がスクリプトとして認識されるのを回避し、クロスサイトスクリプティングを防止できます。 6-3. WAFを設置する WAFは「Web Application Firewall」の略称で、いわゆるWebサイト用のファイアウォールです。Webアプリを対象とした攻撃を自動で検知し、不審なパターンを見つけた際には自動的に排除してくれます。 6-4. 入力可能なリンクを制限する 不審なリンク先への遷移を回避するため、「http」や「https」から始まるURLだけをリンクとして入力可能なように制限することも大切です。 悪攻撃者はこれ以外のURLで構成された遷移を密かに挿入するケースもあり、信頼性が高く誤って遷移するケースの少ない上記のURLに限定し、不要なリスクの高まりを回避します。 まとめ クロスサイトスクリプティングは、Webサイトの脆弱性に目をつけた悪質な攻撃手法で、時には甚大な被害を運営者やユーザーにもたらすことがあります。 クロスサイトスクリプティングのリスクは、Webサイトの立ち上げが増加している近年こそ注意すべきもので、あらかじめ万全の対策を施しておかなければなりません。 サイバー攻撃を一度受けてしまうと、その被害をカバーしたり、攻撃によって失われた企業の信頼を回復したりするのに多くの時間を要します。あらかじめ対策方法をよく理解し、リスクの回避に努めましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

個人情報保護法とは、個人情報、つまり個人の特定やプライバシーに関する情報に伴う権利や利益を守ることを目的とした法律です。現行の個人情報保護法には3年ごとの見直しが行われるようになっており、令和2年に改正され4年に施行されることが注目されています。 この記事では、個人情報保護法について、改正の背景や中諸企業が注意すべき点、セキュリティ対策のポイントまでを詳しく解説します。経営者や個人情報を扱う部署の方はぜひ参考にしてください。   目次 個人情報保護法とは？ 改正の背景 個人情報保護の改正に関して中小企業が注意すべき点 「違法な行為を助長するおそれ」があるだけで違反となる トラブル発生時に報告・本人通知が義務づけられている 請求があればデジタル開示に対応する必要がある 罰則が強化されている 個人情報保護のためのセキュリティ対策｜3つのポイント 個人情報を把握する 情報漏洩対策を行う ルール作りや研修を行う まとめ   1. 個人情報保護法とは？ 個人情報保護法とは、個人情報に伴う個人の権利や利益を守ることを目的とした法律です。氏名や生年月日、性別、住所などの、個人の特定やプライバシーに関する情報が個人情報にあたります。 個人情報は、サービスの質の向上や業務効率化のために、医療や行政、ビジネスなどの分野で広く活用されています。しかし、情報化社会の急速な発展に伴い、個人情報を収集・活用することにより個人の権利・利益が侵害されるリスクが高まりました。また個人情報保護に関する諸外国の法制定の影響も受けたことから、個人情報保護法は平成15年5月に交付・平成17年4月に全面施行されるに至りました。 その後、情報通信技術の進展やグローバル化に伴う社会情勢の変化、個人情報に対する社会的な関心の高まりなどによって、個人情報保護法は3度大きく改正されています。 出典：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」     1-1. 改正の背景 個人情報保護法には、平成29年に現行法となって以降、3年ごとに法律を見直すという内容が盛り込まれています。これは、目まぐるしく変化する国際的な動向や技術の進歩を個人情報保護法に反映させ、実態に見合った形で法律を運用するためです。そして令和2年には、3年ごとの見直しの規定に基づき、初めて個人情報保護法の改正が行われました。 令和2年の個人情報保護法改正の背景には、個人情報に該当するおそれのある情報の範囲が拡大したことがあります。技術革新により、これまで個人の識別には利用できなかった情報が、個人を識別できるものとして機能するようになったためです。高度情報化社会の進歩は、個人情報保護への対応のあり方にも大きな影響を与えていると言えます。 令和2年に改正された個人情報保護法は、令和4年に全面施行される予定です。       2, 個人情報保護の改正に関して中小企業が注意すべき点 個人情報保護法の改正は、中小企業にも影響を与えます。よくニュースなどで個人情報流出などが問題となっていますが、個人情報を取り扱う上で注意すべきは流出についてのみではありません。予期せぬトラブルを回避するためにも、中小企業も個人情報保護の改正内容を知っておく必要があります。 ここからは、個人情報保護の改正項目に関して中小企業が注意すべき点や知っておくべきポイントについて解説します。     2-1. 「違法な行為を助長するおそれ」があるだけで違反となる 個人情報保護の改正によって、事業者が守るべき責務が追加されました。旧法では個人情報の不適正な利用の禁止について明文化されていませんでしたが、改正後の法律では「違法な行為を助長するおそれ」がある行為をはっきりと禁止しています。 これによって、「違法な差別などが誘発されるおそれがあるにもかかわらず、公表されている個人情報をデータベース化して公開する行為」などが違法になりました。例えば、官報で公表されている破産者の氏名などをデータベース化してインターネットに公開した場合、差別を誘発するおそれがあるため個人情報保護違反にあたります。     2-2. トラブル発生時に報告・本人通知が義務づけられている 改正後の個人情報保護法では、個人情報漏洩・流出などのトラブルが発生した場合、個人情報保護委員会への報告と本人への通知が義務づけられるようになりました。トラブル発生時の対応について、改正前は企業ごとの個別対応に委ねられていましたが、改正後は「トラブルが発生するおそれがある」だけでも報告の対象となります。 改正後の法律では、例えば決済機能があるWebサイトのID・パスワードなど、個人の財産的被害が生じるおそれがある情報の流出についても報告義務が生じます。     2-3. 請求があればデジタル開示に対応する必要がある 本人は、個人情報取扱事業者に対し、自身の個人情報についてデータの請求が可能です。しかし事業者の保有個人データの量は膨大なため、書面による交付が適さない場合もあります。また、動画や音声など、そもそも書面による交付自体が適していない個人情報もあるでしょう。 令和2年の法改正では、個人情報のデジタル開示の請求が可能になりました。基本的には請求者がデジタルデータの提供を含む開示方法を指定できるため、事業者はデジタル開示請求への対応体制を事前に築いておく必要があります。     2-4. 罰則が強化されている 個人情報に関する事業者への抑止力を強化するために、法改正後は個人情報保護法に違反した場合の罰則が強化されました。例えば、個人情報保護委員会からの命令に違反した法人に対する罰金は、30万円以下から1億円以下に大幅に引き上げられています。 また、法人と個人の資金力の差を考慮して、法改正後は、法律違反者が法人である場合は個人よりも重いペナルティを課す内容に変更になりました。   3. 個人情報保護のためのセキュリティ対策｜3つのポイント 個人情報保護法の改正によって、中小企業を含む事業者には守るべき責務が増え、個人情報保護法違反をした場合の罰則も強化されました。そのため中小企業でも、個人情報の管理をより一層徹底する必要があります。 ここからは、中小企業が個人情報保護のために行うべき情報セキュリティ対策を、3つのポイントに分けて紹介します。     3-1. 個人情報を把握する 個人情報保護法を守るためには、個人情報とは何かをしっかりと把握しておくことが必要不可欠です。 個人情報保護法第2条第1項では、個人情報は以下のように定義されています。 引用：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」 個人情報とは、文字通り生存する「個人に関する情報」のことです。氏名や住所、生年月日など、ほかの情報との照合が容易で、個人の識別や特定が可能な情報のことを指します。 また、特定の人物の身体や財産、職種、肩書など、個人の事実や評価を表すすべての情報が個人情報と言えるため、これらの情報の取り扱いにも注意が必要です。     3-2. 情報漏洩対策を行う 事業活動の一環として中小企業も個人情報を取り扱う機会が増えている現在では、企業の規模に関係なく、堅固な情報漏洩対策を行う必要性が高まっています。 情報漏洩の原因は、ウイルス感染や不正アクセスによる外部の脅威が原因であるものから、誤表示・誤送信、紛失といった人的ミスなどさまざまです。しかし、過去に発生した情報漏洩事例の中には、管理者の意識次第で回避できたものも多くあります。ミスによる情報漏洩を防ぐためにも、社内情報の持ち出しや端末の放置の禁止、適切な廃棄処理の徹底など、個人情報取扱事業者としての基本的な対策を確実に行いましょう。 また、万が一情報漏洩が発生した場合や、情報漏洩の可能性が懸念される事態に陥った場合は、個人で判断するのではなく早急に報告させるよう徹底することも大切です。     3-3. ルール作りや研修を行う 中小企業が個人情報保護を確実に行うためには、全従業員に個人情報の適性管理の重要性を認識させる必要があります。そのために、個人情報に関する明確な取扱規定やルールを作って社内に浸透させましょう。個人情報の取り扱いに対して一人ひとりの意識が変われば、うっかりミスによる情報漏洩や誤破棄などの可能性を下げられます。 また、実感の伴わないルールや業務に対する慣れは、従業員の個人情報の取り扱いに対する意識を低下させます。定期的に個人情報に関する研修を行い、従業員に個人情報の適性管理の重要性を再認識させることも有効なセキュリティ対策となるでしょう。     まとめ 個人情報保護法は、情報通信技術の発展やグローバル化、社会的な関心の高まりなどを背景に改正が重ねられ、現行法でも3年に一度の見直しが行われる形となっています。令和2年改正では、違法な行為を助長するおそれがある行為への規制や、トラブル発生時の通知義務などの変更点があり、中小企業でも注意が必要な点が多々あります。 企業の担当者は、今後も個人情報保護法の動向を注視しつつ、社内でのルール作りや情報漏洩対策を積極的に行いましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

情報システム部門、通称「情シス」はIT化が進む企業においては不可欠な部門ですが、売上への直接的な貢献が小さいこともあり、十分なリソースが割かれないケースも見られます。 このような理由から、企業では十分な人員を配置しない「ひとり情シス」状態の問題を抱えている場合があり、多くのリスクをもたらす原因となっています。 この記事では、ひとり情シスの何が問題なのか、そしてなぜひとり情シスとなってしまうのかについて、解決策とともに解説します。   目次 情シスの役割 ひとり情シスとは ひとり情シスの問題 業務負担が大きい セキュリティ対策が行き届かない 業務が属人化しやすい 引き継ぎができない ひとり情シスが発生する背景 IT人材の確保が難しい 既存人材の流出 経営者のITリテラシー不足 ひとり情シスの解決策 予算と人員の見直し IT研修や教育の実施 新しいツールの導入 業務のアウトソーシング まとめ   1 情シスの役割 情シスは、企業のITインフラの管理や社内におけるIT運用のサポートを一手に引き受ける部門です。システムの安定的な稼働を支えるための保守管理や、運用上問題が発生した社員や部門のトラブルシューティングに活躍します。 最近ではデジタルトランスフォーメーション(DX)需要の高まりに伴い、情シス部門のニーズも大きくなっていますが、一方で肝心の人の数は以前のまま、という企業も少なくありません。       2, ひとり情シスとは ひとり情シスとは、その名の通り情シス部門をワンオペレーションで運用している状況を指す言葉です。通常、情シス部門は他の部門同様、組織の規模にもよりますが、そのスケールに応じた十分な人員配置が行われるはずです。 ただ、営業活動などに比べると企業収益への関連性は低いことから、他の部門に比べて少ない割り当てとなるケースも見られます。企業によっては情シス担当者がひとり、ということもあり、このような状況を揶揄する言葉として「ひとり情シス」が叫ばれるようになりました。       3. ひとり情シスの問題 情シス部門はひとりが当たり前、というところも増えてしまった中、ひとり情シスという言葉が問題視されているのは、さまざまなリスクがもたらされると考えられているためです。     3-1. 業務負担が大きい 情シス部門は企業の収益に直接貢献しないとはいえ、一つの部門で組織全体のITの面倒を見るわけですから、その負担は決して小さくありません。近年はITツールを活用する動きが一層強まっているため、ヘルプデスクに従事する機会も増えています。 社内のインフラ保守管理だけでなく、社員のトラブルシューティングにも対応しなければならず、残業が常態化するようなケースも出てきています。     3-2. セキュリティ対策が行き届かない 情シス担当者が一人だけとなると、日々の業務に追われ、長期的なITシステムの拡充まで手が回りません。特にセキュリティ対策は喫緊の課題と言われていますが、十分な対策をこの状況下で実現することは非常に困難です。 セキュリティ対策の遅れは、企業に致命的なダメージを与える可能性があり、そのリスクは日に日に大きくなっています。リスク回避のためには、情シス部門の改善から始めなければなりません。     3-3. 業務が属人化しやすい ワンオペの情シス部門は、会社のIT業務を全て一人の担当者に任せることとなります。担当者が一人しかいないと、その人物が会社からいなくなってしまった場合、社内のIT担当者はゼロになるため、業務の遂行が途端に困難になってしまいます。 こういった事態を避けるためのリスクヘッジとしても、情シス担当者は複数人確保することが大切です。     3-4. 引き継ぎができない 仮に情シス担当者が離職する場合になっても、担当者が一人しかいないと引き継ぎ作業も行えないため、やはり業務が停滞してしまうこととなります。 安定した企業の成長とリスクの小さい環境の維持のためには、ひとり情シスの状況は早期に解消しなければなりません。       4. ひとり情シスが発生する背景 ひとり情シスはよくないことだとわかっていても、このような状況に止むを得ず陥ってしまう企業はあるものです。ひとり情シスが発生する要因としては、以下のような理由が挙げられます。     4-1. IT人材の確保が難しい DXが各企業で始まったことで、市場のIT人材の需要は高騰し、その確保が困難になりつつあります。従来よりも優れた待遇をオファーしなければ、容易に他社に人材が流れてしまい、従来の待遇で優秀な人物を確保することはできません。 需要に対してIT人材の数は十分ではなく、海外企業に雇用されるケースも増えているため、今後も人材確保は厳しい状況が続くでしょう。     4-2. 既存人材の流出 このような市場の変化によって、すでに会社に勤めているIT人材の流出も増えてきています。特に近年は人材サービスが充実したことで、人材の流動性も高まり、満足の行く条件を求めて転職をしやすい環境となってきています。 今よりも優れた待遇を提供できなければ、次第に情シス担当者も会社を離れてしまうでしょう。     4-3. 経営者のITリテラシー不足 経営者に十分なITリテラシーが浸透していないことも、ひとり情シスが常態化する要因の一つです。 情シス部門の重要性や負担の大きさへの理解が浅く、予算や人員を削っても問題ないと考えてしまい、必要最低限の環境も与えられない状況が現場への負担増大を招いているケースです。 ITの存在が今まで以上に大きくなっているからこそ、十分な予算と人材を確保する必要があることを理解しなければなりません。     5. ひとり情シスの解決策 このようなひとり情シスの問題を解決するための方法として、企業ではさまざまな取り組みが進んでいます。     5-1. 業務負担が大きい ひとり情シスを解消するために最も必要なのは、やはり十分な人員を確保することです。情シス部門の重要性を見直し、リソースを割く必要があることを経営者含め社内全体で共有し、人員を配置します。     5-2. IT研修や教育の実施 ひとり情シスの状況は、担当者のスキルアップの機会を奪い、最新環境にキャッチアップできない問題ももたらします。 担当者には業務時間内でIT研修や最新の教育を受けられる機会を提供し、どうすれば効率化できるのか、どんなシステムが必要なのかを考えてもらえるよう促しましょう。     5-3. 新しいツールの導入 どうしても足りない人手については、ツール導入で業務効率化を図る必要もあるでしょう。特に近年はクラウドサービスが充実しており、従来よりも小さいコストや少ない時間で、従来と同じかそれ以上の業務を遂行することもできます。 最新ツールへの理解を深め、適切なシステム導入を進めましょう。     5-4. 業務のアウトソーシング 情シス部門が会社にとってコア業務ではない場合、業務そのものを外部に委託してしまうのも一つの手です。業務のアウトソーシングは、外部のプロフェッショナル企業に仕事を任せてしまうことができるので、ひとり情シスの状況を手っ取り早く解消できる手法です。 社内に情シスのノウハウを蓄積できないため、外部企業に依存することにはなるものの、迅速な人材の確保と技術力の確保が実現するので、情シスにリソースを割く余裕がない場合にはありがたいサービスです。   まとめ この記事では、ひとり情シスがもたらすリスクやひとり情シスに陥る背景について解説しました。人手不足が各企業で顕在化する中、情シス担当者の不足も深刻になってきており、それゆえにセキュリティリスクが高まる状況が発生しつつあります。 最新のツール導入や人材配置の見直し、アウトソーシングの活用などを通じて、満足のいく情シス部門運営を実現しましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら

マーケティング業界におけるトラッキングとは、ユーザーごとに適したWeb広告を配信するために行動を追跡・分析することを指します。近年はスマートフォンなどの端末でのトラッキングが話題となり、どういったものか気になる方も多いのではないでしょうか。 この記事では、トラッキングとCookieの関連性から、トラッキングのメリット・デメリット、仕組み、リスクまでを詳しく解説します。一般ユーザーだけでなく企業視点で注意すべき点にも触れるため、経営者やセキュリティ担当者もぜひ参考にしてください。   目次 トラッキングとは？ Cookieとは？ トラッキングのメリットとデメリット トラッキングの仕組み トラッキングのリスク セッションハイジャック セッションフィクセーション トラッキングについて企業が注意すべき点 端末におけるプライバシー設定 Cookie規制の動向 まとめ   1 トラッキングとは？ トラッキングとは、特定の物などを追跡・分析することを表す用語です。追跡・分析の意味から転じて、マーケティング業界では、ユーザーに適したWeb広告を配信するためにユーザーの行動を追跡・分析することを「トラッキング」と呼んでいます。 トラッキングの一般的な目的は、あくまで集めたデータを分析し、適切な広告配信に反映させることです。決して情報の窃取や悪用が目的ではないことを念頭に置いておきましょう。 トラッキングは、Cookie（クッキー）などによって収集されたユーザーの行動データを元に行われます。     1-1. Cookieとは？ Cookieとは、ユーザーが訪れたWebサイトや入力したデータ、利用環境などの情報が記録されたファイルのことです。こうした情報を記録する仕組みのおかげで、ユーザーは再び同じサイトを訪れた際に、ログイン情報や住所などを再入力する必要がなくなります。トラッキングでは、Cookie情報を活用して広告改善などを行う場合が多い傾向です。 Cookieは元々トラッキング用に開発された技術ではありませんが、マーケティング手法の変化に合わせてユーザーの行動データの把握に転用されるようになりました。現在ではトラッキングに必要な要素の1つとして一般的になっています。     1-2. トラッキングのメリットとデメリット トラッキングの許可・拒否にはそれぞれメリットとデメリットがあります。 トラッキングを許可した場合のメリットは、人によってはデメリットに感じられることもあるでしょう。例えば、他人にスマホを見せる際に、広告を通して自分のプライベートな趣味などが知られてしまう可能性があります。トラッキングはアプリごとに許可・拒否の設定ができるため、必要な場合は事前に対策をしておきましょう。     2, トラッキングの仕組み トラッキングは、インターネットにアクセスするほぼすべてのユーザーが、知らないうちに利用している仕組みです。ここからは、Cookieを利用したトラッキングの仕組みについて解説します。 ユーザーがWebサイトやアプリにアクセスする際、最初に行われるのはサーバーへのサイト情報の要求です。すると、サーバーからサイト情報が送信されると同時に、ユーザーのブラウザにCookieデータが保存されます。 ユーザーが再度同じWebサイトやアプリを訪れる時、ブラウザは保存されたCookieデータをサーバーへ送信することになります。この際サーバーが行うのは、初回の時のようにサイト情報をブラウザに送信することだけではありません。Cookieデータを照合し、固有のブラウザからのアクセスであることを識別する点が大きな特徴です。 このように、サーバーとブラウザとのやりとりの間に保存されるデータを利用して、各種情報の分析・追跡を行うことがトラッキングの仕組みとなります。       3. トラッキングのリスク トラッキング許可をしたユーザーは、広告表示が自分の興味に近い内容になるため、欲しい商品などを購入しやすくなるなどのメリットがあります。その反面、トラッキングにはセキュリティリスクがあることも認識する必要があるでしょう。 ここからは、トラッキングの代表的なリスクを2つ紹介します。     3-1. セッションハイジャック セッションハイジャックとは、攻撃者が他のユーザーのセッションIDを窃取し、セッションを乗っ取るサイバー攻撃です。 セッションとは、ユーザーがWebサイトにアクセスしてから終了するまでの一貫性を持った通信のことを指します。例えば、ユーザーがあるWebサイトにIDやパスワードを入力してログインした場合、ログアウトしてWebページを退出するまでが1セッションです。 セッションハイジャックでは、Webサイトにアクセスしたユーザーのセッションを認識するためのセッションIDを窃取し、本人に成り代わって通信を行います。いわゆるなりすまし行為であり、セッションハイジャックが行われるとアカウントの乗っ取りや個人情報の閲覧・変更などが可能になってしまいます。     3-2. セッションフィクセーション セッションフィクセーションも、セッションハイジャックと同じく悪意のあるユーザーによるサイバー攻撃の手法です。攻撃者が通常ユーザーとしてWebサイトからセッションIDを取得し、標的のユーザーに取得済みのセッションIDを強制的に利用させるトラップを使います。すると、標的のユーザーがWebサイトにログインすることにより、攻撃者も同じWebサイトにログイン可能になってしまいます。 セッションハイジャック対策としては、URLにセッションIDを埋め込まないことや、ログアウト後にセッションを破棄するといった行動が有効です。     4. トラッキングについて企業が注意すべき点 トラッキングのリスクに対して、ユーザー側が注意することはもちろん大切ですが、企業側の対策も不可欠となります。きちんと対策を行うことで、トラッキングに関するトラブルを予防したり、過度なトラッキングを防いで犯罪が起きるリスクを避けたりできるでしょう。 ここからは、トラッキングについて企業が注意すべきポイントを2つ紹介します。     4-1. 端末におけるプライバシー設定 過剰なトラッキングを防いでセキュリティ面を強化するためにも、端末におけるプライバシー設定を行いましょう。端末ごとの設定方法は以下の通りです。     4-2. Cookie規制の動向 企業のWebマーケティングなどで活用されるCookieですが、個人情報漏洩などのリスクの観点から、近年では徐々に規制強化が始まっています。 日本の改正個人情報保護法においては、Cookieは個人情報ではなく「個人関連情報」であり、特定の個人を識別できる要素ではありません。しかし、Cookieを利用したデータの取得や利用について、ユーザーに同意を得ることが義務付けられ始めました。また、世界の個人情報保護のための法律においては、Cookieを個人情報とみなすケースが増えています。 Cookieのあり方や個人情報の取り扱いについては、今後も変化していく可能性が高いです。そのため、Cookieを取り扱う企業はCookie規制の動向に注意し、状況の変化に柔軟に対応していく必要があるでしょう。   まとめ トラッキングには、ユーザーにとって興味のある広告が表示されやすくなるメリットがある一方で、必要以上に自分の情報を収集されるというデメリットがあります。また、セキュリティに関するリスクもあるため、端末やブラウザのプライバシー設定を見直すことが重要です。 なお、一般的なユーザーだけでなく、トラッキングやCookieを活用する企業も運用には注意する必要があります。近年、個人情報漏洩リスクなどの観点から規制が強まる傾向にあるため、動向には注意しておきましょう。       ウイルス対策セキュリティソフト「EXOセキュリティ」 EXOセキュリティのご利用料金はこちら EXOセキュリティの特徴はこちら