中小企業の情報セキュリティ対策

/セキュリティ

概要

中小企業の情報セキュリティ対策ガイドラインは、中小企業を対象に、セキュリティ対策を行う際の手順や手法がまとめられたガイドラインで、情報処理推進機構(IPA)から公開されています。

ガイドラインは1部と2部から構成され、1部は経営者編、2部は実践編となっています。1部では経営者が認識すべき3原則が挙げられています。この3つは、サイバーセキュリティ経営ガイドラインの経営者が認識すべき3原則と一致します。

  1. 情報セキュリティ対策は経営者のリーダシップで進める
  2. 委託先の情報セキュリティ対策まで考慮する
  3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる

    また、中小企業で情報セキュリティを確保するための経営者の役割りとして、7つの取組みは以下になります。

    1. 情報セキュリティに関する組織全体の方針を定める
    2. 情報セキュリティ対策のための予算や人材を確保する
    3. 情報セキュリティ対策の検討と実施を指示する
    4. 情報セキュリティ対策は適宜見直しを指示する
    5. 緊急時の対応や復旧のための体制を整備する
    6. 委託や外部サービス利用の際は情報セキュリティに関する責任を明確にする
    7. 情報セキュリティに関する最新動向を収集する

      情報セキュリティ5か条

      多くの中小企業にとっては、いきなり大掛かりなセキュリティ対策は難しいため、まずは基本的な5つの対策が示されています。

      1. OSやソフトウェアは常に最新の状態にする
      2. ウィルス対策ソフトを導入する、ウィルス定義ファイルを常に最新にする
      3. パスワードを強化(長く、複雑)する、使いまわさないようにする
      4. 共有設定を見直し、無関係な人が情報を閲覧できないようにする
      5. 脅威や攻撃の手口を知る

        情報セキュリティ基本方針

        経営者が定めた情報セキュリティに対する基本方針を、従業員や関係者に伝えるための文書を作成します。IPAからは、以下の項目のサンプルが公開されています。

        1. 経営者の責任
          経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努める旨を記載
        2. 社内体制の整備
          情報セキュリティの維持及び改善のための組織を設置し、情報セキュリティ対策を社内の正式な規則として定める旨を記載
        3. 従業員の取組み
          従業員の情報セキュリティのために必要とされる知識、技術の習得に取り組む旨を記載
        4. 法令及び契約上の要求事項の遵守
          情報セキュリティに関わる法令、規制、契約上の義務を遵守する旨を記載
        5. 違反及び事故への対応
          情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合の適切な対処と再発防止についての記載

          情報セキュリティ自社診断

          自社のセキュリティ対策がどのくらい実施できているかを把握するため、以下のような25項目のチェックリストが用意されています。

          • 基本的対策
            1. OSやソフトウェアは常に最新の状態にしているか?
            2. ウィルス対策ソフトの導入し、ウィルス定義ファイルを最新にしている?
            3. 破られにくい “長く” “複雑な” なパスワードを設定しているか?
            4. 重要情報に対する適切なアクセス制限を行っているか?
            5. 新たな脅威や攻撃の手口を知り社内共有する仕組みはあるか?
          • 従業員としての対策
            1. 電子メールの添付ファイルやURLリンクを介したウィルス感染へ注意しているか?
            2. 電子メールやFAXの宛先の送信ミスを防ぐ取り組みを行っているか?
            3. 重要情報はメール本文には書かず、添付ファイルに書いてパスワード保護しているか?
            4. 無線LANの適切な暗号化方式の設定しているか?
            5. インターネットを介したウィルス感染やSNSへの書込みなどのトラブルへの対策をしているか?
            6. ウィルス感染などによる情報消失に備えたバックアップを取得しているか?
            7. 重要書類は机上に放置せず、鍵の掛かる書庫へ保管しているか?
            8. 重要書類や電子媒体の持ち出し時の盗難や紛失の対策をしているか?
            9. 離籍時のパソコン画面の覗き見や勝手な操作を防止しているか?
            10. 関係者以外の事務所への立ち入りを制限しているか?
            11. 退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしているか?
            12. 事務所が無人になる時の施錠忘れ対策を実施しているか?
            13. 重要な書類やデータを破棄する際は復元できないようしているか?
          • 組織としての対策
            1. 従業員に対し守秘義務やルールを順守させているか?
            2. 従業員へのセキュリティ教育や注意喚起を行っているか?
            3. 個人所有の情報機器を業務で利用する場合のセキュリティ対策を行っているか?
            4. 取引先との契約書への機密保持条項を規定している?
            5. クラウドサービスなど外部サービスの安全・信頼性を把握して選定しているか?
            6. セキュリティ事故発生時の対応体制や手順の整備など準備をしているか?
            7. 上記のセキュリティ対策をルール化に従業員に明示しているか?

          本格的なセキュリティ対策

          自社に適したセキュリティ対策を行うためには、自社にどのようなセキュリティ上のリスクがあるかを把握し、事業に大きな影響を及ぼす事故を防ぐ対策を実施します。

          1. 管理体制の構築
            情報セキュリティの責任者から従業員への情報の伝達経路を確立し、またセキュリティ事故が発生した場合は、情報セキュリティ責任者へ状況が迅速に報告されるような連絡体制を整備します。

            • 責任分担と連絡体制の整備
            • 緊急時対応体制の整備
          2. IT利活用方針と情報セキュリティの予算化
            自社で利用している情報システムについて把握した上で、対策を検討し、予算を確保します。
          3. 情報セキュリティ規定の作成
            対策すべきリスクを特定し、対策を決定し、規定類を作成します。規定の内容の例は以下になります。

            • 組織的対策
              情報セキュリティのための管理体制の構築と点検、情報共有のルールの策定
            • 人的対策
              役員や従業員の教育、人材育成などのルールの策定
            • 情報資産管理
              情報資産の管理や持ち出し方法、バックアップ、破棄などのルールの策定
            • アクセス制御および認証
              情報資産に対するアクセス制御方針や認証のルールの策定
            • 物理的対策
              セキュリティ領域の設定や注意事項などのルールの策定
            • IT機器利用
              IT機器やソフトウェアの利用などのルールの策定
            • IT基盤運用管理
              サーバやネットワークなどのITインフラに関するルールの策定
            • システム開発および保守
              開発および保守を行う情報システムに関するルールの策定
            • 委託管理
              委託先業者の選定や契約、評価のルールの策定
            • 情報セキュリティインシデント対応ならびに事業継続管理
              セキュリティ事故の対応や事業継続管理などのルールの策定
            • 個人番号および特定個人情報の取り扱い
              マイナンバーの取り扱いに関するルールの策定
          4. 委託時の対策
            外部の委託業者に重要な情報を渡す場合は、委託先にも情報セキュリティ対策を実施してもらいます。
          5. 点検と改善
            計画したセキュリティ対策や情報セキュリティ規定が正しく実行されているか、定期的に点検を行います。

          より強固にするための方策

          情報収集と共有

          情報セキュリティに関する脅威や攻撃の手口を知って組織内に共有することは、組織の対策レベルの向上につながります。

          IPAセキュリティセンター
          JPCERT/CC
          日本シーサート協議会
          警察庁

          Webサイトの情報セキュリティ

          Webサイトは誰でもアクセスできるため攻撃の対象になり易く、顧客情報の漏洩や不正サイトへの誘導のための改ざんにより、自社だけでなく、利用者にも被害が発生する可能性があります。Webサイトの対策は以下の3段階があります。

          1. Webサイト運用形態の検討
            オンプレミスやクラウドサービスなど、Webサイトの運用形態によりセキュリティ対策が異なるため、目的や要件に合った運用形態を検討する。
          2. Webサイトの構築
            Webサイトの技術的な脆弱性を洗い出し、必要なセキュリティ対策を設計段階から検討する。
          3. Webサイトの運用
            運用開始後に発覚したセキュリティ上の問題にも適切に対応し、Webサイトの安全性を維持向上する。
          クラウドサービスの情報セキュリティ

          クラウドサービスを利用することで、情報システムの一部がサービスを提供する業者の管理下に置かれるため、オンプレミスとは異なる観点でのセキュリティ対策が必要になります。

          1. クラウドサービスの選定
            • どの業務で利用するか明確する
            • クラウドサービスの種類を選ぶ
            • 取り扱う情報の重要度を確認する
            • 自社のセキュリティルールと矛盾しないようにする
            • クラウド事業者の信頼性を確認する
            • クラウドサービスの信頼性を確認する
          2. クラウドサービスの運用
            • 運用担当者を決める
            • 利用者の範囲を決める
            • 利用者の認証を厳格に行う
            • バックアップに責任を持つ
          3. クラウドサービスのセキュリティ対策
            • 付帯するセキュリティ対策を確認する
            • 利用者サポートの体制を確認する
            • 利用終了時のデータを確保する
            • 適用法令や契約条件を確認する
            • データ保存先の地理的所在地を確認する
          情報セキュリティサービスの活用

          外部のセキュリティサービスを利用することで、より強固で有効な対策を実施することができます。

          • 情報セキュリティコンサルティング
          • 情報セキュリティ教育サービス
          • 情報セキュリティ監査サービス
          • 脆弱性診断サービス
          • デジタルフォレンジックサービス
          • セキュリティ監視・運用サービス
          技術的対策例と活用

          コンピュータやインターネットを利用するときに施す技術的対策は以下になります。

          • ネットワーク脅威対策
            • ファイヤウォール
            • IDS(Intrusion Detection System:不正侵入検知システム)
            • IPS(Intrusion Prevention System:不正侵入防御システム)
            • WAF(Webアプリーケーションファイヤウォール)
            • PVN(Virtual Private Network)
          • コンテンツセキュリティ対策
            • マルウェア対策
            • メールフィルタリング
            • URLフィルタリング
          • アクセス管理
            • アクセス制御
            • 多要素認証
            • 特権ID管理
          • システムセキュリティ管理
            • IT資産管理
            • 脆弱性管理
            • ログ管理
          • 暗号化
            • データ暗号化
            • TLS(Transport Layer Security)または SSL(Secure Sockets Layer)
          • データ破棄
          詳細リスク分析の実施方法

          もれなくリスクを対策を検討する手順を説明します。

          1. 情報資産の洗い出し
            どのような情報資産があるか洗い出して重要度を判断する
          2. リスク値の算定
            優先的・重点的に対策が必要な情報資産を把握する
          3. 情報セキュリイティ対策の決定
            リスクの大きな情報資産に対して必要とされる対策を決める
          セキュリティリスク分析とは
          対象システムの資産の重要度・事業被害・脅威・脆弱性をもとに算定、リスク分析の種類、制御システムのセキュリティリスク分析ガイド
          www.sansakuro.com
          2024.01.09

           

          IT
          マネジメント、セキュリティ、ネットワーク、システム
          www.sansakuro.com
          2021.04.25
          散策路TOP
          数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
          www.sansakuro.com
          2021.03.24

           

           

           

          タイトルとURLをコピーしました