中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

情報セキュリティ侵害の予兆を発見したら(緊急時対応)

セキュリティ FIX

【緊急】どんな環境で何が起きてますか?まずは落ち着いて今起きている事象を確認しましょう

【緊急】セキュリティ侵害の可能性があるが、どこに問い合せていいかわからない?

【緊急】情報の漏えい・改ざんが起きている?

  • 犯罪の可能性がある場合は、警視庁へ
    • サイバー犯罪に係る電話相談
    • サイバー犯罪の届出(東京都)
  • 犯罪ではなさそうな場合は、下記へ

【緊急】PCスマホの動きがおかしくなった、データが壊れた?

【緊急】実被害にあった場合

【相談】セキュリティ関連の各種相談、問合せ

【情報共有】サイバーセキュリティに関する情報の共有

【一般】セキュリティに限らず、消費生活全般に関する苦情や問合せ先は?

【事前予防】情報セキュリティ侵害に遭わないように事前に対処しておきましょう

【知識】情報セキュリティ対策の必要性を認識し、網羅的な対策を知るには?

参考情報

信頼性の高いセキュリティ対策情報を提供しているサイトの内容を解説します

    • 「ここからセキュリティ!」のサイト内情報を検索・選択しやすいように、1ページ内に全リンクを表示し、その内容によってレベル表示をし、また必要に応じで内容の解説を加えたもの。
    • 検索の際はWebブラウザの検索機能を利用してください
    • 緊急対応の段階と、情報セキュリティ対策の基本要件

中小企業向けサイバーセキュリティ関連ニュース

他のページへのリンク

 

中小企業サイバーセキュリティ対策関連の備忘録

FIX セキュリティ

サイバーセキュリティに対する備えとして、特に中小企業、学校、個人が考慮すべき事項にフォーカスしてわかりやすく解説した備忘録です。

■緊急対応時のピックアップ情報

■相談対応手引き関連

■事例(FAQ候補

■攻めのIT活用のためのセキュリティ対策

●デジタルトランスフォーメーション時代のセキュリティ対策

■中小企業向けの情報セキュリティ対策関連

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構(2016年11月)

●サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA】

●企業経営のためのサイバーセキュリティの考え方

●その他

家庭個人向け

重要インフラ関連

政府機関等

情報セキュリティマネジメント関連

人材育成・人材確保

関連基準、法規、対策機関等

セキュリティ関連情報提供サイト一覧

ニュース

その他

 

【ニュース】「セキュリティができる会社とできない会社に分かれる理由」

ニュースウォッチ

「セキュリティができる会社とできない会社に分かれる理由」
http://www.itmedia.co.jp/enterprise/articles/1701/13/news010.html

啓発活動を行う側で意識を共有しておいたほうがいいと思われる内容です。

 経営者の意識は、ますます二極化されていくと思われますが、TVや新聞報道などで様々な形でサイバーセキュリティの脅威と被害事例が報道されているにも関わらず、対岸の火事だとか、セキュリティ対策のお金がないと言っている経営者は、一度危うい目に遭わないとわからないのでしょうか。

 ~~~以下、記事の抜粋~~~
●「ある一面」「局所的」な防御策では、別の局面での穴を空けることができれば、それで攻撃の目的を成し遂げられる。防御側には全方位での対策が求められる。
・個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みは同じ。

●2017年に見直すべきセキュリティ対策の内容とは?
・情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしい。
・いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。
・経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。
・CSIRTの設置が普及してきたが、NISCなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった
 ・「攻撃対象になりづらい」体制にしておくことが必要。万一攻撃されても被害を極小化、無害化することが重要。⇒そこで効果的なのがCSIRT。
・最も改善すべきは経営者であり、経営者はその事実を認めないといけない。

●2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。

重要インフラ・大企業向けサイバーセキュリティ対策

セキュリティ

●重要インフラの情報セキュリティ対策に係る第3次行動計画の見直しに向けたロードマップ(案)【NISC】

●サイバーセキュリティ経営ガイドライン【2016年12月METI】

●サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA】

 

政府機関等向けサイバーセキュリティ対策

セキュリティ FIX

■NISC第9回会合(持ち回り開催)【平成28年8月31日NISC】

【ニュース】サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)の公開

ニュースウォッチ セキュリティ

http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf

サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)が12月8日付けで、METIのWebサイトで公開されました。

特にVer1.0との差分資料は、変更履歴がわかる形で掲載されており、政府としての現状認識、対策、用語の使い方等の見直しの方向性がわかるので、変更履歴の部分だけでも一読の価値があると思います。

■サイバーセキュリティ経営ガイドライン【2016年12月METI

http://www.meti.go.jp/policy/netsecurity/mng_guide.html

■サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA

http://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html

【ニュース】過少と過剰で揺れるセキュリティ対策、求められる「原価」の発想(2016/11/24 日経コンピュータ)

ニュースウォッチ ブックマーク

http://itpro.nikkeibp.co.jp/atcl/column/14/531236/112100070/

セキュリティ関連も含めたシステムの費用は、会計上もデジタルビジネスにおける原価となるが、「セキュリティは重要」と言われるわりには、企業のセキュリティ関連投資が進まない企業と、デジタルビジネスなどの取り組みに支障をきたすほどセキュリティ対策を厳格に行う企業の両極に分かれている。

「セキュリティはビジネスにとっての原価」として、会計上はセキュリティ対策費が原価に計上されたのに、中小企業の経営者は、その原価の費用対効果を認識せずに、過小もしくは過大なセキュリティ対策投資をしていることに関して、両極のそれぞれの企業実態に応じた意識改革の啓発活動が必要ではないでしょうか。