個人情報の適切な保護体制が整備されていることにより、JAPHICマークは初めて取得できるものです。
このような体制の整備は、一度マークを取得した後も継続しなければいけません。
また強固なセキュリティ体制を維持するにあたって、障害となるのがなりすましです。
今回は、JAPHICマーク取得企業におけるなりすまし対策を解説します。
なりすましの概要
なりすましは、別の人物を詐称し、第三者とコミュニケーションを図る行為です。
インターネット上では、以下はすべてなりすまし行為に該当します。
・不正な手段でWebサイトにアクセスし、個人情報を窃取する
・別の人物のフリをしてメールで不正送金を指示する
・別の人物のIDやパスワードなどを無断使用し、サービスにログインする など
なりすましの被害は世界規模で問題視されていて、日本国内でも被害件数は増加傾向にあります。
JAPHICマークのなりすまし対策4選
JAPHICマーク取得企業がなりすましの被害に遭わないようにするには、以下のような対策が必要です。
・ブラックリスト管理
・多要素認証
・法的対策の強化
・情報セキュリティ教育の実施
各項目について詳しく説明します。
ブラックリスト管理
JAPHICマーク取得企業は、なりすまし対策としてブラックリスト管理を実施しましょう。
具体的には、IPアドレスの管理や監視です。
IPアドレスは、インターネットに接続された機器を識別するための番号です。
こちらはパケットを送受信する機器を判別するために使用されますが、機器ごとに単一の番号が割り当てられているため、ブラックリスト管理が可能です。
ただし、IPアドレスは変更や偽装を行うことができます。
そのため、ブラックリスト管理の効果はそれほど長期間ではありません。
多要素認証
多要素認証は、複数の認証要素を組み合わせたなりすまし対策です。
具体的にはパスワードや秘密の質問といった知識要素、スマホや身分証明書などの所持要素、指紋や虹彩などの生体要素を組み合わせます。
中でも生体要素を含む多要素認証は、突破が難しくなりすましの防止には有効です。
スマホの技術進歩に伴い、今後はさらに利用の拡大が予想されます。
多要素認証は従業員などのユーザーへの負担が大きく、全員に強制しづらいという欠点がありますが、なりすましを防止するためには必要不可欠だと言えます。
法的対策の強化
JAPHICマーク取得企業がなりすまし行為の対策を取るには、法的な手段を強化することも大切です。
具体的には、個人情報に関連する各種の法令規則を把握し、その範囲内で適切に対応する必要があります。
またなりすまし行為が発覚した場合には、速やかに警察などの公的機関に報告し、法的なプロセスを進めることも大切です。
これにより、攻撃者を摘発できるだけでなく、被害拡大の防止にもつながります。
情報セキュリティ教育の実施
JAPHICマーク取得企業がなりすましに対抗するにあたっては、組織全体における情報セキュリティ意識を向上させることが求められます。
そのためには、全従業員の情報セキュリティ教育を実施し、個人情報を含む管理の方法やリスクの認識を深めましょう。
また情報セキュリティ教育のプログラムとしては、主になりすましの手口や被害に遭った場合のリスク、実際の被害事例などが挙げられます。
従業員が業務においてどういった行動を取るべきなのか把握できれば、情報セキュリティリスクは最小限に抑えられます。
まとめ
強固な情報セキュリティ体制を敷いているJAPHICマーク取得企業であっても、ほんの少しの油断でなりすましなどの被害に遭うことがあります。
また一度被害に遭っただけでも、事前に対策を取っていなければ、大きく被害は拡大するおそれがあります。
そのため今回解説した対策が不十分だと感じる場合は、一からなりすましに関する項目を洗い出し、見直してみることをおすすめします。