中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

サイバーセキュリティ相談対応ハンドブック(概要)【2017年5月26日】

1 今起きてる事象?
1.1 【緊急】サイバー犯罪行為の届出
1.1.1 警視庁所轄への相談を促す
1.2 【緊急】サイバー犯罪の可能性(情報漏えい・改ざん・サービス妨害等)
1.2.1 警視庁サイバー犯罪対策課への相談を促す
1.3 【緊急】ウイルス感染・不正アクセスに遭っているようだ
1.3.1 まずは、導入しているセキュリティ対策ソフトのホットラインへの相談を促す
1.4 セキュリティ被害の届け出
1.4.1 iIPAセキュリティセンタへの届出を促す
1.5 インシデント発生元等への連絡、対処、調査の実施依頼
1.5.1 JPCERT/CCへの届出を促す
1.6 PCがおかしい?
1.6.1 セキュリティ上の問題の可能性あり
1.6.1.1 IPAセキュリティセンターへの相談を促す
1.6.2 セキュリティ上の問題ではなさそう
1.6.2.1 PCの保守業者への相談を促す
1.7 セキュリティ案件以外
1.7.1 消費者ホットラインへの相談を促す
2 一般論での相談
2.1 予防対策【事前対策】
2.1.1 インターネットを安全に利用するための情報セキュリティ対策9か条【NISC・IPA】+情報セキュリティ5か条【IPA
2.1.1.1 OS やソフトウェアは常に最新の状態にしておこう
2.1.1.1.1 新たにひろまるコンピュータウイルスに対抗するため製造元から無料で配布される最新の改良プログラムにアップデートしましょう。
2.1.1.2 パスワードは貴重品のように管理しよう
2.1.1.2.1 パスワードは自宅の鍵と同じく大切です。パスワードは他人に知られないように、メモをするなら人目に触れない場所に保管しましょう。
2.1.1.3 ログインID・パスワード絶対教えない用心深さ
2.1.1.3.1 金融機関を名乗り、銀行口座番号や暗証番号、ログインIDやパスワード、クレジットカード情報の入力を促すような身に覚えのないメールが届いた場合、入力せず無視しましょう。
2.1.1.4 身に覚えのない添付ファイルは開かない
2.1.1.4.1 身に覚えのない電子メールにはコンピュータウイルスが潜んでいる可能性があります。添付されたファイルを開いたり、URL(リンク先)をクリックしないようにしましょう。
2.1.1.5 ウイルス対策ソフトを導入しよう
2.1.1.5.1 ウイルスに感染しないように、コンピュータにウイルス対策ソフトを導入しましょう。(家電量販店などで購入できます)
2.1.1.6 ネットショッピングでは信頼できるお店を選ぼう
2.1.1.6.1 品物や映画や音楽も購入できるネットショッピング。詐欺などの被害に遭わないように信頼できるお店を選びましょう。身近な人からお勧めのお店を教わるのも安心です。
2.1.1.7 大切な情報は失う前に複製しよう
2.1.1.7.1 家族や友人との思い出の写真など、大切な情報がパソコンの故障によって失われることのないよう、別のハードディスクなどに複製して保管しておきましょう。
2.1.1.8 外出先では紛失・盗難に注意しよう
2.1.1.8.1 大切な情報を保存したパソコン、スマートフォンなどを自宅から持ち出すときは機器やファイルにパスワードを設定し、なくしたり盗まれないように注意して持ち歩きましょう。
2.1.1.9 困ったときはひとりで悩まず まず相談
2.1.1.9.1 詐欺や架空請求の電子メールが届く、ウイルスにより開いているウェブページが閉じないなどの被害に遭遇したら、一人で悩まず各種相談窓口に相談しましょう
2.1.1.10 共有設定を見直そう!
2.1.1.10.1 データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。
2.1.1.11 脅威や攻撃の手口を知ろう!
2.1.1.11.1 巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。
2.1.1.11.2 正規のウェブサイトを改ざん
2.1.1.11.3 ウェブサイトにアクセスするだけでマルウェア感染
2.1.1.11.4 標的型メールでの不正サイトへの誘導
2.1.1.11.5 不審なメールのマルウェア添付
2.1.1.11.6 テクニカルサポート詐欺
2.2 緊急対応【事後対策】
2.2.1 ■緊急対応(自然災害、大火災、感染症、テロ、、、)
2.2.1.1 予兆検知から原状復旧まで
2.2.2 事象の検知、報告受付(Detect)
2.2.3 事実確認、対応の判断
2.2.4 被害の局所化(拡大防止)(Triage)
2.2.4.1 該当システムをネットワークから切り離し、使用を中止する。
2.2.4.2 被害の範囲を確認し、使用を停止する
2.2.5 早期復旧・事業継続(Respond)
2.2.5.1 分析、対処、エスカレーション、連携
2.2.6 原因調査
2.2.6.1 なぜ情報セキュリティ侵害が起きたか?
2.2.7 復旧
2.2.7.1 システム管理者に連絡してその指示に従って、適切な復旧を行う。
2.2.8 再発防止策
2.2.8.1 インシデントからの知見の学習
2.2.8.2 恒久的対策
2.3 恒久的対策
2.3.1 定期的なバックアップ
2.3.1.1 ランサムウェアも含めた対策
2.3.2 ルールの策定
2.3.2.1 事業継続計画(BCP)の策定
2.3.2.2 情報セキュリティポリシーの策定
2.3.2.2.1 情報資産台帳の作成及びリスク分析
2.3.2.2.2 重要度(リスク×脆弱性×(機密性+完全性+可用性確保の必要性))の高いものから優先的に、管理的・人的・技術的・物理的対策を実施
2.3.3 フールプルーフ対策
2.3.3.1 人間が間違えても危険にならない仕組みにしておく、
2.3.4 フェールセーフ対策
2.3.4.1 機械が壊れても危険にならない仕組みにしておく
2.3.5 ルールの遵守、監査
3 相談窓口業務
3.1 相談者に的確な回答のために
3.1.1 FAQの作成
3.1.1.1 FAQは、本来過去に多い質問と回答を提示するものであるが、Qが溜まらない段階では、想定で準備する
3.1.2 予測調査
3.1.2.1 相談が来そうな内容をあらかじめ調べておくことが重要
3.1.2.2 レファレンス用情報の収集と、情報提供のための整理
3.1.2.2.1 日々のサイバーセキュリティ関連情報の収集と整理
3.1.2.2.2 サイバーセキュリティ関連の情報の所在、内容の確認とインデキシング
3.1.2.2.2.1 参考とする関連ガイドラインの内容構成のリストの作成及び更新
3.1.3 ナレッジデータ、レファレンスデータの収集と整理
3.1.3.1 相談窓口として、次にとるべきことを、的確に示唆するためには、事前に有用と思われる情報源、情報の内容を把握し、それを参考に回答するテキストデータベースを構築
3.1.3.2 的確な情報へのナビゲーションのためのインデキシング
3.1.3.3 セキュリティ関連のナレッジデータベースの構築
3.1.3.3.1 全文検索が可能なWebページ、電子書籍形式
3.2 相談されない大多数の人に一般論として対策を知ってもらうために
3.2.1 FAQの公開
3.2.2 予測調査内容の後悔
3.2.3 ガイドブックのWeb公開
3.2.4 ガイドブックの配布
3.2.5 緊急情報の発信、情報源へのナビゲート

サイバーセキュリティ相談対応ハンドブック(詳細)

1 プロローグ
1.1
1.1.1
1.1.1.1
1.1.1.1.1 世界の注目を集める東京オリンピックパラリンピック。4年に1度のスポーツの祭典ですが、サイバー犯罪者の暗躍も懸念されています。あなたの会社の備えは大丈夫ですか?
1.1.2
1.1.3
1.2 はじめに
1.2.1 対象者
1.2.1.1
1.2.1.1.1 この冊子は、中小企業におけるサイバーセキュリティ対策として最低限必要な事項を記載しています。一口に中小企業と言っても、規模に大小があり、業態によってITの活用状態も異なります。
1.2.1.1.2 主な想定企業としては、従業員50名未満で、ITスキルに通じたシステム管理者がおらず、IT機器を活用して事業活動を行っている(行う予定の)企業です。
1.2.2 目標
1.2.2.1
1.2.2.1.1 中小企業の経営者及びシステム管理者がサイバーセキュリティ対策について、自社の問題であると認識をもち、自社の規模・業態に合わせた対策をとるようになる一助となることを目指しています。
1.3 今やろう。
1.4 今やろうマーク
1.5 『東京都中小企業サイバーセキュリティ対策』とは?
2 【01】サイバー攻撃シミュレーション
2.1
2.1.1
2.1.1.1
2.1.1.1.1 もしも今、あなたの会社にサイバー攻撃が起きたら、あなたならどうする? サイバー攻撃発覚の瞬間から被害拡大防止、復旧までのシミュレート。自社自身に置き換えて、今、想像しよう。
2.1.2
2.2 サイバー攻撃発生
2.2.1 攻撃準備①計画立案②攻撃準備
2.2.1.1 攻撃者は、標的の組織に関する情報調査搾取する。
2.2.1.1.1 攻撃者は、標的の組織に関する情報について、インターネットや他組織から取得した情報を基に調査する。また、攻撃者は、攻撃の最終目的を設定し、攻撃に必要となる環境等(標的型メール、改ざんされたウェブサイト、C&Cサーバ、ハッキング用のツール等)を準備する。
2.2.1.1.1.1 「高度サイバー攻撃対処のためのリスク評価等のガイドライン付属書 」 内閣サーバセキュリティセンター p19
2.2.2 サイバー攻撃発生その瞬間 ③初期潜入段階
2.2.2.1 侵入段階 標的型メールの送付し開封によるウイルス感染
2.2.2.1.1 標的型メールによるウイルス感染と内部侵入
2.2.2.1.1.1 「標的型メール攻撃」対策に向けたシステム設計ガイド」 IPA 2013.8
2.3 サイバー攻撃直後
2.3.1 発生直後の行動 ④基盤構築段階
2.3.1.1 内部情報搾取 基盤構築段階
2.3.1.1.1 コネクトバック通信の確立及びマルウエアのダウンロード
2.3.1.1.1.1 「標的型メール攻撃」対策に向けたシステム設計ガイド」 IPA 2013.8
2.3.2 侵入拡大 ⑤内部侵入・調査 ⑥目的遂行
2.3.2.1 侵入範囲の拡大と機密情報の外部送信
2.3.2.1.1 感染端末を起点としたネットワークやホストの情報の収集 ID/PWを搾取しながら端末やサーバへ侵入拡大、機密情報の搾取や重要システムの破壊・業務妨害
2.3.3 自社に潜む危機
2.3.3.1 攻撃がどの段階まで到達しているのか?
2.3.3.1.1 標的型攻撃は標的とする組織に気ずかれないよう行うものであることから、当該組織がその攻撃や被害そのものを認知していない、または攻撃による被害者であることを認知できていない場合も多く、例えば、被害が発覚した時点で既に数年前から情報が搾取されていたという事案も存在している。
2.3.3.1.1.1 「高度サイバー攻撃対処のためのリスク評価等のガイドライン付属書 」 内閣サーバセキュリティセンター p19
2.3.4 関連先企業(サプライチエーン)に潜む危機
2.3.4.1 サプライチエーン全体でのサイバーセキュリティ確保する。一企業での対策では限界がある。
2.3.4.1.1 サプライチェーン全体でのサイバーセキュリティの確保 ビジネス基盤(サプライチェーン)に参画してりるビジネスパートナーやシステム委託先などのほんの一部のセキュリティ対策が不十分であった場合でも自社から提供した重要な情報が流出してしまうなどの問題が生じるおそれがある。
2.3.4.1.1.1 「企業経営ためのサーバセキュリティの考え方の施策について」 内閣サイバーセキュリティセンター 平成28年8月2日 p4
2.3.5 サイバー攻撃発生時のNG行動と開示・報告すべき情報とは
2.3.5.1 サイバー攻撃や標的型攻撃に関する不安ついてセキュリlテイの専門家へ相談する事項を事前に纏めておく。
2.3.5.1.1 「やられたかな?その前に」ガイドISOG-J20151014
2.3.5.2 被害発覚後の必要な情報の把握、開示体制の整備
2.3.5.2.1 サイバー攻撃の被害が発生した際に円滑な状況把握ができるよう、収集すべき項目や情報を整理し、被害を受けたことを通知すべき相手方のリスト整備、経営者による説明の準備をあらかじめ進めておくことが大切です。①開示・報告すべき情報の把握②通知先のリスト化と通知用のフォーマット作成③通知に必要な情報の整理と周知④組織の内外への開示・報告、タイミング⑤開示・報告先について留意すべき点
2.4 被害拡大防止
2.4.1 継続的再侵入 ⑦再侵入防止と経路の特定
2.4.1.1 放置していたセキュリティ上の問題点、脆弱性を再確認し継続的に監視を行う。
2.4.1.1.1 侵入された要因を特定し、適切な対策を実施しない限り、再侵入を受ける可能性があり、危険です。
2.4.1.1.1.1 インシデント対応手順JPCERT 技術メモコンピュータセキュリティインシデントへの対応
2.4.1.2 不正アクセスと再侵入範囲の拡大防止
2.4.1.2.1 コンピュ―タセキュリティインシデントの典型的な例としては、侵入、サービス妨害、破壊、データの盗用や、それらの準備段階と推測されるアクセス、そのほか他サイト/システムからの原因不明のアクセスなどが挙げられます。また、サイト外部から、自サイトの関与するインシデントについての情報提供を受ける可能性もあります。
2.4.2 安全防止チエックポイント
2.4.2.1 サイバー攻撃被害の一形態は多肢に渡ります。自社固有の事情を考慮すること
2.4.2.1.1 (a)システムのアクセス権限に対する影響(b)システムの可用性、サイトの業務に対する影響(c)外部への影響(d)顧客のプライバシーや組織の信用に対する影響
2.4.2.1.1.1 コンピュターセキュリティインシデントへの対応 IPA 技術メモ
2.5 復旧回復
2.5.1 日常業務への復旧に向けて
2.5.1.1 ①手順の確認、②作業記録の作成、③責任者、担当者への連絡、④事実の確認,⑤スナップショットの保存、⑥ネットワーク接続やシステムの遮断もしくは停止⑦影響範囲の特定⑧要因の特定
2.5.1.1.1
2.5.1.1.1.1 コンピュターセキュリティインシデントへの対応  IPA 技術メモ
2.5.2 復旧作業に踏み出す
2.5.2.1 ①システムの復旧②再発防止策の実施②監視体制の強化③作業結果の報告、③作業の評価、ポリシー、運用体制・運用手順の見直し
2.5.2.1.1
2.5.2.1.1.1 コンピュターセキュリティインシデントへの対応  IPA 技術メモ
2.5.3 コラム
2.5.3.1 サイバー攻撃の被害は日々の業務、経営に直決
2.5.3.1.1 Webサイト」のサービス停止、機能低下 33% Webサイトの改ざん 25% 業務サーバの改ざん 22% 業務サーバのサービス停止、機能低下 19%
2.5.3.1.1.1 「情報管理はマネーです。」 JIPDEC(日本情報経済社会推進機構)
2.5.3.2 サイバー攻撃被害者の声に学ぶ
2.5.3.2.1 中小企業を狙ったサイバー攻撃は増加傾向にあります。攻撃を受けると「自社のWebサイトが表示されなくなる」「Webサイトで注文を受け付けられなくなる」「Webサイトの内容が勝ってに変えられてしまう」といった被害が。日々の業務や経営に大きな影響を及ぼします。
2.5.3.2.1.1 「情報管理はマネーです。」JIPDEC(日本情報経済社会推進機構)
2.5.4 サイバー攻撃そのとき備え「情報管理ポイント」
2.5.4.1 利益を生むのも、損害をうむのも、「情報管理」次第です。正しい情報の利用活用を知ることが経営を大きく左右することにつながります。
2.5.4.1.1
2.5.4.1.1.1 「情報管理はマネーです。」JIPDEC(日本情報経済社会推進機構)
2.5.4.2 「やってるはず」「知ってるはず」は落とし穴 まずは、ここから「情報管理」を始めませんか?
2.5.4.2.1 3分でできる「情報管理」意識チエック (10項目)
2.5.4.2.1.1 「情報管理はマネーです。」JIPDEC(日本情報経済社会推進機構) P13
3 【コラム】復旧おさらいクイズ
3.1 クイズ
3.1.1 正確に何がいっ起きたか。?
3.1.1.1 インシデント対応の最も大切な部分のひとつであり、最も省略されがちなのが、学習と改善である。各インシデント対応チームは新しい脅威に対して進化し、技術を向上させ、教訓を学ぶべきである。
3.1.1.1.1 ①正確に何がいっ起きたか。②スタッフとマネジメント層がどの程度うまく事件に対処したか。文書化された手順に従ったか。それは適切だったか。③すぐに必要なった情報はなにか。④復旧を妨げたかもしれないステップやマネジメント層は、どのような行動をとるか。⑤次に同様なの事件が起きた場合、スタッフやマネジメント層は、どのような違った行動をとるか。⑥どのような是正措置があれば、将来にわたって同じような事件が起きるのを防げるか。⑦将来事件を検出、分析、軽減するために、どのようなツールやソースが追加で必要」となるか。
3.1.1.1.1.1 コンピュターセキュリティインシデント対応ガイド NIST800-61(参照IPA和文訳)
4 【02】すぐやろうサイバー攻撃アクション
4.1
4.1.1
4.1.1.1
4.1.1.1.1 今すぐできるサイバー攻撃の備えをまとめました。しっかりとした事前の備えが、もしもの時、あなたの会社や大切な従業員をまもります。今やろう。
4.1.2
4.2 今やろう!4+1の備えと社内使用パソコンへの対策
4.2.1
4.2.1.1
4.2.1.1.1
4.2.1.1.1.1 帰ったら確認!セキュリティ対策!(東京都中小企業サイバーセキュリティ対策シンポジウム 平成27年)
4.2.2 OSとソフトウェアのアップデート
4.2.2.1 常にサイバーセキュリティについて点検を怠らない パソコンにインストールされているソフトウェア製品の「バージョンをチェックする」
4.2.2.1.1 □MyJVNバージョンチェツカの利用
4.2.2.1.1.1  「MyJVNバージョンチェッカ」 IPA
4.2.3 ウイルス対策ソフトの導入
4.2.3.1 □重要なデータについては、定期にバックアップがとられているかを、確認する。
4.2.3.1.1ウイルス対策ソフトウェアがインストールされているか確認する。□ウイルス対策ソフトウェアのパター(定義ファイル)が最新になっているかを、確認する。□ウイルス対策ソフトウェアでウイルスが検知された場合、そのことをIT担当者もしくは経営部門等、適切な部門がきちんと把握できる仕組みがあるかを、確認する。
4.2.3.1.1.1 情報セキュリティ5か条 IPA中小企業の情報セキュリティガイドライン
4.2.4 定期にバックアップ
4.2.4.1 □重要なデータについては、定期にバックアップがとられているかを、確認する。
4.2.4.1.1 システムが改ざんや破壊などを受けが場合には、バックアップ名メディアあるいはシステム配布媒体から復旧する。
4.2.4.1.2 バックアップデータを記録した時点で既に改ざんやウイルスが潜在している可能を考慮する。"
4.2.4.1.2.1 技術メモ コンピュータセキュリティインシデントへの対応 IPA
4.2.5 パスワードの管理
4.2.5.1 パスワードは「長く」「複雑に」「使いまわさない」ようしましょう。
4.2.5.1.1 パスワードが推測や解析されたり、ウェーブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。
4.2.5.2 パスワードを強化しよう
4.2.5.2.1 ・英数字記号を含め8文字以上にする・名前、電話番号、誕生日、簡単な英単語などはパスワードに使わない・同じID、パスワードをいろいろなうウェブサービスで使いまわさない
4.2.5.2.1.1 情報セキュリティ5か条 IPA中小企業の情報セキュリティガイドライン
4.2.6 アクセス管理
4.2.6.1 『明確に禁止していないことは、原則的に禁止する』という前提に基づいた規則の設定
4.2.6.1.1 不正ログオン対策/アカントとパスワードの設定 特権的アクセス権の割り当て及び利用は、制限し管理することが望ましい。
4.2.6.1.1.1 ISO27002:2014情報セキュリティ管理策の実践
4.2.6.2 知る必要性(Need to Know)
4.2.6.2.1 各人は、それぞれの職務を実施するために必要な情報へのアクセスだけが認められる。
4.2.6.3 使用する必要性(Need to Use)
4.2.6.3.1 各人は、それぞれの職務、業務及び/又は役割を実施するために必要な情報処理施設(IT機器、アプリケーション、手順、部屋など)へのアクセスだけが認められる。
4.2.6.4 アクセス制御における役割分担
4.2.6.4.1 アクセス要求者、アクセス認可、アクセス管理)の分離
4.2.6.4.2 □ユーザー毎にアカントを割り当てる□「共有アカント」を利用しない□特権アカントを利用者(標準ユーザ権限)、管理者(PC管理者権限)に分割し付与する□既定のパスワード(Admin、123456、PASS等)を利用しない□既定のAdminstratorアカント、Guestアカントを無効にし、管理者用の固有のアカントを設定する□不要になったアカントを削除する(退職者等)
4.2.6.4.2.1 ISO27002:2014情報セキュリティ管理策の実践
4.2.7 +粉出や盗難による情報漏洩対策
4.2.7.1 PCディスクの暗号化とパスワード
4.2.7.1.1 パソコン、モバイル端末が適切に管理されていない場合は、不正利用、粉失、盗難、情報漏えいの被害が発生する。
4.2.7.1.2 【推奨事項】□電源起動時のBIOSパスワードの設定□取り扱う情報の重要度に応じてパスワード以外に指紋認証等の二要素認証の併用□パソコンのデータの暗号化等の機能の有効化(例 Windows BitLocker ドライブ暗号化) 
4.2.7.1.2.1 帰ったら確認!セキュリティ対策!(東京都中小企業サイバーセキュリティ対策シンポジウム 平成27年)
4.2.7.1.2.2地方公共団体における情報セキュリティポリシーに関するガイドライン」平成27年3月総務省 P45
4.3 電子メール利用への備え
4.3.1 電子メール安全利用
4.3.1.1 電子メールの誤送信防止のために 電子メールを介したトラブルこんな対策が必要です。
4.3.1.1.1 □誤送信防止のためのメーラの設定□メールの暗号化(添付ファイルの暗号化)
4.3.2 標的型メールへの対応
4.3.2.1 コンピュータウイルス「や標的型攻撃から身を守るために
4.3.2.1.1メーラーのセキュアな設定□標的型攻撃メール□不審な電子メールの取り扱い
4.3.2.1.1.1 「電子メール利用時の危険対策のしおり」 IPA
4.4 インターネットの利用への備え
4.4.1  安全なウエブサイト利用
4.4.1.1 インターネットに潜む悪意こんな手口に騙されないで
4.4.1.1.1 ①インターネット上での悪意②悪意の傾向③攻撃者の変化④メールヤインスタントメッセージサービス(IM)を介した悪意⑤ウエブサイトを介した悪意⑥現状での利用者の対策
4.5 重要情報の保管への備え
4.5.1
4.5.1.1 組織の情報及び情報処理施設に対する認可されていない物理アクセス、損傷及び妨害を防止するため
4.5.1.1.1
4.5.1.1.1.1 ISO27002:2014情報セキュリティ管理策の実践 (11物理的及び環境的セキュリティ)
4.5.2 入退室
4.5.2.1 セキュリティを保つべき領域は、認可された者だけにアクセスを許すしることを確実にするために、適切な入退管理策によって保護することが望ましい。
4.5.2.1.1 "取引先または関係者以外が入室した場合い、発見者は声をかけ用件を確認する。最終退室者は作業をルール化する。
4.5.2.1.1.1 ISO27002:2014情報セキュリティ管理策の実践11 中小企業の情報セキュリティ対策ガイドライン IPA
4.5.2.2 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、保護することがなお望ましい。
4.5.2.2.1 全員のパソコン、プウリンター、複合機、暖房器具、湯沸し器など発熱器の電源OFF確認。.全ての出入口の施錠する。退室者の時刻と氏名を記録する。
4.5.2.2.1.1 ISO27002:2014情報セキュリティ管理策の実践11 中小企業の情報セキュリティ対策ガイドライン IPA
4.5.3 重要情報の持ち出し
4.5.3.1 ノートパソコン、タブレット端末、重要な情報を保存したり、小型ハードディスク、CD等の電子媒体及び重要書類を社外に持ち出すときには以下を徹底する。
4.5.3.1.1 ①ノートパソコンまたはタブレット端末に保存するデータは最小限にする。②電子媒体はケースに入れ、USBメモリはタグ、ストラップ、鈴などを付ける。③書類はひも付き封筒に入れる。④ノートPCはBIOSパスワードとWindowsログインパスワードを設定する。⑤電子データはファイル暗号化またわUSBメモリ暗号化機能により暗号化する。
4.5.3.2 携帯時には以下に注意する
4.5.3.2.1 ①電車内では網棚に置かない。離席する場合は携行する。他社から覗き見できない状態で扱う。②自動車では室内、トランク内保管した状態で車外に出ず、携行する。
4.5.4 クリアデスク・クリアスクリーン
4.5.4.1 □重要書類、スマートフォン、携帯電話、重要な情報を保存したUSBメモリ、小型ハードディスク、CD等の電子媒体を業務用以外のときは机上に放置せず。クリアディスクを徹底する。
4.5.4.2 □離席時には以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
4.5.4.2.1 ①スクりーンセーバー起動時間を10分以内に設定し、パスワードを設定する。②スリープ起動時間」を10分以内に設定し、解除時」のパスワード保護を設定する。③離席時には[Windows]+[L]キーを押してコンピュータをロックする。
4.5.5 重要情報の保管と廃棄
4.5.5.1 退社時、未使用時にはモバイル用パソコン」、USBメモリ、小型ハードディスク、CD等の電子媒体及び重要書類を机の引き出しまたは所定のキャビネットに保管し施錠する。
4.5.5.2 媒体ば不要になった場合は、正式な手順を用いて、セキュティを保って処分する。
4.5.5.2.1 【2-5仕事中」のルール 電子媒体・書類の廃棄 参照】
4.5.5.2.1.1 中小企業の情報セキュリティ対策ガイドライン IPA
4.6 モバイル機器(スマホ)機器の利用への備え
4.6.1 私有情報機器利用への備え
4.6.1.1 モバイル機器の情報セキュリlテイ方針で、個人所有のモバイル機器の使用が許されている場合は、その方針及び関連するセキュリティ対策において機器の私的な使用と業務上の使用を区別する。
4.6.1.1.1 【3-1全社共通」のルール 私有情報機器の利用 参照】
4.6.1.1.1.1 ISO27002:2014情報セキュリティ管理策の実践11 中小企業の情報セキュリティ対策ガイドライン IPA
5 【03】経営者は事前に何を備えればよいのか
5.1
5.1.1
5.1.1.1
5.1.1.1.1 サイバーセキュリティの被害に遭った場合、組織の存立が危ぶまれる事態になりえることを自覚する ・世の中で起こっているセキュリティ被害を対岸の火事だと思っている経営者、ITは導入しているにも関わらずセキュリティ対策のための費用はないとして対策に後ろ向きの経営者、最も重要な情報にアクセスする権限を持ちながら、セキュリティに関しての意識の低い経営者。これらの経営者が最大のセキュリティリスク
5.1.1.1.2 国は、大企業のみならず、中小企業も、「サインバーセキュリティ経営ガイドライン」を参照することを求めている
5.1.2
5.2 サイバーセキュリティ対策は、事業継続を脅かすリスクの1つ。
5.2.1 わかっていますか?
5.2.1.1
5.2.1.1.1 情報セキュリティ対策は、経営に大きな影響を与えます!
5.2.1.1.2 経営者が法的・道義的責任を問われます!
5.2.1.1.3 組織として対策するために、担当者への指示が必要です!
5.2.1.1.3.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.2.1.1.4 セキュリティ侵害を受ける70~80%が人為的なミス、故意
5.2.1.1.5 サイバーセキュリティ対策の中で最もコストがかかるのが技術的対策。しかし全てのリスクに対して技術的対策をすることは困難。悪意があれば技術的な対策はすり抜けられる
5.2.1.1.6 セキュリティー被害を受けた場合、その被害に対し会社が被る損害の可能性が高い順に投資をすることが重要。
5.2.1.1.7 また、システムを入れる際に、セキュリティーも同時に入れるなど、ITとセキュリティー対策を一緒にすることも大切である。
5.2.1.1.8 更に、経営者を含め、社員全員に対し、セキュリティーポリシーやガイドブックを作成したり、併せてITパスポートの試験を受けさせることも大切である。
5.2.2 情報セキュリティ対策を怠ることで企業が被る不利益
5.2.2.1
5.2.2.1.1 (1) 金銭の喪失,(2) 顧客の喪失, (3) 業務 の喪失, (4) 従業員 への影響
5.2.2.1.1.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.2.3 経営者が負う責任
5.2.3.1
5.2.3.1.1 (1) 経営者などに問われる法的責任
5.2.3.1.2 ・個人情報・他社から預かった秘密情報・自社の秘密情報・株価に影響を与える可能性のある未公開内部情報
5.2.3.1.3 (2) 関係者や社会に対する責任
5.2.3.1.4 ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン・法令順守・顧客・取引先・従業員
5.2.3.1.4.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.3 投資効果(費用対効果)を認識する
5.3.1
5.3.1.1
5.3.1.1.1 セキュリティ対策の投資は、人的対策、管理的対策、物理的対策、それでもカバーできないことを技術的対策
5.3.1.1.2 サイバーセキュリティはやむを得ない「費用」でなく、ITを利活用した積極的な経営への「投資」と位置付ける
5.4 【自社の対策状況把握】自社のIT活用・セキュリティ対策状況を自己診断する
5.4.1 ITの活用診断
5.4.1.1 費用対効果
5.4.1.1.1 IT化による想定利益>IT化投資額(IT導入、運用、セキュリティ対策費)
5.4.1.1.2 IT化の目的は、既存ビジネスの効率化、新ビジネス展開等であり、IT化のための投資が、IT化によって得られる利益を上回っている場合は、IT化投資を削減すべきである
5.4.2 サイバーセキュリティ対策診断
5.4.2.1 費用対効果
5.4.2.1.1 セキュリティ侵害による想定被害額(経済的損失、社会的信用)>セキュリティ対策費
5.4.2.1.2 セキュリティ対策費が、セキュリティ侵害による想定被害額を上回っている場合は、対策費を削減すべきである
5.4.2.1.3 セキュリティ侵害発生時に許容可能対策費>残留リスクによる想定被害額
5.4.2.1.4 重大なセキュリティ侵害が発生した時の想定被害額が、支出可能な対策費を上回っている場合は、事業継続が困難になる。支出可能な対策費に収まるように、残留リスクを下げる対策を講ずるか、支出可能な対策費を捻出する必要がある
5.4.2.1.5 ただ、技術的対策はどれだけ投資してもリスクは残る。管理的対策、人的対策を優先するほうが効果的である
5.4.2.1.6 残留リスクをどこまで許容できるかは、経営者の判断である
5.4.3 情報セキュリティ対策診断
5.4.3.1
5.4.3.1.1 物理的なセキュリティ対策も合わせて実施しているか。物理的セキュリティ対策は、直接的にはサイバーセキュリティ対策ではないが、IT関連機器の設定変更など、サイバーセキュリティ侵害のきっかけを作る可能性がある
5.5 ビジネスを継続するために(守りのIT投資とサイバーセキュリティ対策)
5.5.1
5.5.1.1
5.5.1.1.1 組織を維持するために経営者、管理者が認識し、実践すべきことは?
5.5.2 業務の効率化、サービスの維持
5.5.2.1
5.5.2.1.1 中小企業にとって、業務の効率化、生産の効率化、人材確保は重要な課題であり、業務、生産工程等の運用コストの削減、効率化のためにITを活用してきた。
5.5.2.1.2 より一層、効率化を図っていかなければ、ビジネスは継続できず、モバイル端末の活用、外部クラウドサービスの活用も、効率化に有効な手段の一つとして普及が進んできている
5.5.2.1.3 しかし、ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。
5.5.2.1.4 業務やサービスの改善のために、インターネットに接続してITを活用する際には、同時に、サイバー攻撃等への備えが必要である
5.5.2.1.5 ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない
5.5.2.1.6 ITを導入する際に、併せてセキュリティ対策をすることにより、コストを削減できる
5.5.3 【コラム】
5.5.3.1 クラウドサービスのメリットは?
5.5.3.1.1 ITシステムに関する技術に詳しい人材がいない場合は、外部サービスを利用したほうが、コストとセキュリティ対策との両面から有利な場合も多い
5.5.3.1.2 ・社内サーバーが不要・IT投資のリスク軽減・常に最新でメンテナンスが不要・導入や維持に関する社内担当者の負担軽減
5.5.3.2 クラウドサービス導入の留意点
5.5.3.2.1 できるだけしっかりした会社から提供されているサービスを選ぶために
5.5.3.2.2 取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断する
5.5.3.2.3 クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定
5.5.3.2.4 クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とする
5.5.3.2.5 クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定める
5.5.3.2.6 クラウドサービスに対する情報セキュリティ監査による報告書の内容 、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断する
5.5.4 【経営者が認識すべき】サイバーセキュリティ経営の3原則
5.5.4.1
5.5.4.1.1 経営者は、以下の3原則を認識し、対策を進めることが重要である。
5.5.4.1.1.1 サイバーセキュリティ経営ガイドライン Ver 1.1【2016年12月8日METI】
5.5.4.1.1.2 中小企業の情報セキュリティ対策ガイドライン(第2版)
5.5.4.2 (1)経営者のリーダーシップが重要。経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
5.5.4.2.1 ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
5.5.4.2.2 また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。
5.5.4.2.3 このため、サイバーセキュリティリスクを多様な経営リスクの中での一つとし適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。
5.5.4.3 (2)自社以外(ビジネスパートナー等)にも配慮。自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
5.5.4.3.1 サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
5.5.4.3.2 自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。
5.5.4.4 (3)平時からのコミュニケーション・情報共有。平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
5.5.4.4.1 事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。
5.5.4.4.2 万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。
5.5.4.4.3 事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。
5.5.5 【経営者がやらなければならない】サイバーセキュリティ経営の重要10項目
5.5.5.1
5.5.5.1.1 経営者は、CISO等に対して、以下の10項目を指示し、着実に実施させることが必要である。
5.5.5.1.1.1 サイバーセキュリティ経営ガイドライン Ver 1.1【2016年12月8日METI】
5.5.5.1.1.2 中小企業の情報セキュリティ対策ガイドライン(第2版)
5.5.5.2 (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
5.5.5.2.1 サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?
5.5.5.2.2 情報セキュリティ対策を組織的に実施する意思を、関係者に明確に示すために、情報セキュリティに関する方針を定め、要求に応じて提示できるようにしておきます。
5.5.5.2.3 事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。
5.5.5.3 (2)サイバーセキュリティリスク管理体制の構築
5.5.5.3.1 サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか?
5.5.5.3.2 各関係者の責任は明確になっていますか?
5.5.5.3.3 また、防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?
5.5.5.4 (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
5.5.5.4.1 サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか?
5.5.5.4.2 その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか?
5.5.5.4.3 また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?
5.5.5.5 (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
5.5.5.5.1 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか?
5.5.5.5.2 その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか?
5.5.5.5.3 また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?
5.5.5.5.4 情報セキュリティ対策について、定期または随時に見直して、必要な改善や追加の対策を決めるように担当者に指示します。
5.5.5.6 (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
5.5.5.6.1 自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?
5.5.5.7 (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
5.5.5.7.1 サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか? また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
5.5.5.7.2 情報セキュリティ対策を実施するために、必要な予算と人材を確保します。
5.5.5.8 (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
5.5.5.8.1 サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?
5.5.5.8.2 契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する必要があります。
5.5.5.9 (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
5.5.5.9.1 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?
5.5.5.9.2 新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。
5.5.5.10 (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
5.5.5.10.1 適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?また、定期的かつ実践的な演習を実施させていますか?
5.5.5.10.2 情報セキュリティ対策を実施するとともに、万が一のインシデントに備えて、緊急時の連絡体制を整備します。さらに、その連絡体制がうまく機能するかをチェックするためインシデントを想定した模擬訓練を定期的に行うと理想的です
5.5.5.11 (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
5.5.5.11.1 外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?
5.6 ビジネスを発展させるために(攻めのIT投資とサイバーセキュリティ対策)
5.6.1
5.6.1.1
5.6.1.1.1 組織を発展させるために経営者、管理者が認識し、実践すべきことは?
5.6.1.1.2 柔軟にかつ大企業に先駆けて、IT関連の次世代技術、デジタル情報を活用していくことが、中小企業の発展につながる。デジタル情報、IT技術の進展を受入れ、それを活用して顧客サービスの強化を図る企業に、大きなビジネスチャンスがある。
5.6.1.1.3 ビジネスの拡大・発展のための「攻めのIT投資」は、確立していない世界であり、セキュリティリスクも高くなる。
5.6.2 【コラム】すでにデジタルトランスフォーメーション(デジタル変革)は始まっている
5.6.2.1 現状認識
5.6.2.1.1 今は、IoT、ビッグデータ、ロボット、AI等の技術革新による、第4次産業革命の入り口にいる
5.6.2.1.1.1 【参照】IT人材白書2017【2017年4月IPA】
5.6.2.1.2 あらゆるものがインターネットに接続するIoTの広がり、あらゆる情報がビッグデータとして活用され、AI技術により、様々な分野で定型的な業務はもとより、人海戦術では不可能だった業務まで、AI技術を適用したサービス、ロボットの適用が始まっている
5.6.2.1.3 既存のビジネスや業務に新技術を取り入れるだけでなく、ビジネスモデルを変え、経済活用のみならず、個人の生活や社会構造まで影響が及ぶ
5.6.2.1.4 デジタルフォーメーション(デジタル変革)とは、あらゆる情報がデジタル化され、IT技術によって、社会や産業、企業、人のあり方や働き方が変わっていくこと
5.6.2.1.5 第4次産業革命が進むにつれて、発展するビジネスと縮小するビジネスが明確になっていく
5.6.2.1.6 時代環境が大きく変わる時、それにそぐわないビジネスは淘汰されていく
5.6.2.1.7 匠の技的な高度な伝統的技能を要する作業や、旧来の延長線で仕組みの高度化、洗練により、生き残れるビジネスもあるが、現状維持のビジネスの多くは、相対的に意義を失う可能性が高い
5.6.2.1.8 IoT、ビッグデータ、ロボット、AI等の技術を、クラウドコンピューティングやモバイル環境で活用できるようになったことは、少ない投資で事業を立ち上げることが可能であり、中小企業、ベンチャー企業や個人の活躍のまたとないチャンスである
5.6.2.2 組織として
5.6.2.2.1 時代の潮流を捉えて、組織が社会の変化の中で、時代に適合して発展できる道を探り、ビジョンをはっきり示すことが重要であり、それは経営者の責務
5.6.2.2.2 「デジタル子ランスフォーメーション」を実現するには、ビジネスとデジタルのスキルを併せ持った人材の育成と獲得をしていく必要がある
5.6.2.3 個人として
5.6.2.3.1 自らも「デジタルトランスフォーメーション」の流れの中にあることの意識
5.6.2.3.2 求められるのは、周囲を巻き込みながら改革を進める能力やビジネスとデジタルを結び付けて全体をデザインする能力を持った人材になること
5.6.2.3.3 目の前の業務だけにとらわれることなく、広く視野を持って進むべき道を探り、学ぶ。勉強会やコミュニティなど、学びの場は周囲にある。自己研さんによって能力を高めれば高めただけ、社会をリードしていく人材になっていく
5.6.3 次世代技術を活用したビジネス展開
5.6.3.1 IoT、ビッグデータ, AI、ロボットの活用
5.6.3.1.1 中小企業での活用事例「IoTユースケースマップ」
5.6.3.1.1.1 http://usecase.jmfrri.jp/#/
5.6.3.1.2 深刻な人手不足に対応した。省力化、自動化のための投資
5.6.3.1.3 人が行ってきたことをセンサー化し、センサーからの膨大な情報を機械的に分析することにより、今までできなかった高度な分析と、その結果を踏まえて業務やサービスを効率的、効果的に行える
5.6.3.2 IoTが果たす役割と効果
5.6.3.2.1 中小企業にとって、経費削減と人材確保は大きな課題
5.6.3.2.2 各種センサーによる自動測定や電子タグ等(RFID)を人やモノに貼り動きの情報を計測し収集することにより、リアルタイムで状況が把握できる
5.6.3.2.3 その際に、センサーが誤動作したり、誤った情報を発信すると、正確な状況を把握できなくなり、業務やサービスが混乱する
5.6.3.3 人工知能(AI)が果たす役割と効果
5.6.3.3.1 人工知能は、中小企業の既存の業務の人材不足の解消に留まらず、既存の人材で新たな業務を行えるようになることが期待できる。
5.6.3.3.2 不足している労働力を補完する。既存の労働力を省力化する。既存の業務効率・生産性を高める。既存の業務の提供する価値(品質や顧客満足度など)を高める。これまでに存在しなかった新しい価値をもった業務を創出する。既存の業務に取組む意欲や満足度を高める。新しい業務に取組む意欲や満足度を高めること。
5.6.3.3.2.1 【参照】平成28年度情報通信白書【総務省】
5.6.3.4 活用する際のサイバーセキュリティ上の留意点
5.6.3.4.1 IoT装置は、十分なセキュリティ対策がされていないものが多い。特に以前のIoT製品に関しては管理者権限パスワードの変更手順や、ファームウェアのアップデート機能はほとんど実装されていない。
5.6.3.4.2 利用者側として、IoT製品は十分なセキュリティ対策がされていないことを前提とした対策が必要
5.6.3.4.3 製造者は、IoT製品のファームウェアの自動アップデート機能を実装し、脆弱性に対して速やかに対応する等の「IoT製品ガイドライン」に沿った対応が必要
5.6.3.4.4 膨大な情報をビッグデータとして活用に当たっては、「改訂個人情報保護法」の個人情報に該当する可能性の「グレーゾーン」の情報も増える。また、利用の仕方によっては著作権侵害になるケースもある。さらに、情報をビッグデータとして公開する際に、故意・過失に関わらず、機密性の高い情報を公開してしまう可能性もある
5.6.3.5 IoTを活用する一般利用者のためのルール
5.6.3.5.1 • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える:インターネットに接続する機器やサービスの問合せ窓口やサポートがない場合、何か不都合が生じたとしても、適切に対処すること等が困難になる。問合せ窓口やサポートがない機器やサービスの購入・利用は行わないようにする。
5.6.3.5.2 • 初期設定に気をつける・機器を初めて使う際には、IDやパスワードの設定を適切に行う。パスワードの設定では、「機器購入時のパスワードのままとしない」、「他の人とパスワードを共有しない」、「他のパスワードを使い回さない」等に気をつける。・取扱説明書等の手順に従って、自分でアップデートを実施してみる。
5.6.3.5.3 • 使用しなくなった機器については電源を切る:使用しなくなった機器や不具合が生じた機器をインターネットに接続した状態のまま放置すると、不正利用される恐れがあることから、使用しなくなった機器は、そのまま放置せずに電源を切る。
5.6.3.5.4 • 機器を手放す時はデータを消す:情報が他の人に漏れることのないよう、機器を捨てる、売るなど機器を手放す時は、事前に情報を削除する。
5.6.3.5.4.1 IoTセキュリティガイドラインver1.0【2016年7月5日総務省・経済産業省】
5.6.4 【コラム】
5.6.4.1 【コラム】IoT、ビッグデータ、AI、ロボットは繋がっている
5.6.4.1.1 ①センサー、機器、ロボットによりデータが取得され、②データのやり取りや通信により③集約されることによりビッグデータ化し、④人工知能等を用いて分析され⑤ロボット等を通じて実環境でのアクションとして実行される
5.6.4.1.1.1 IoT、AI、ロボットに関する経済産業省の施策について【2016年2月METI
5.6.4.1.2 IoT、ビッグデータ、AI、ロボットを利用することにより、人が行ってきたことが効率化されるとともに、これらを使いこなすことにより、人の仕事の質を高める能力が付加価値となる
5.7 【コラム】
5.7.1 【コラム】5分でできる自己診断シート
5.7.2 【コラム】ITおよびサイバーセキュリティに関する組織の視点6分類
5.7.2.1
5.7.2.1.1 「企業経営のためのサイバーセキュリティの考え方」を参考に、分類を追加してみたもの
5.7.2.1.1.1 【参照】「企業経営のためのサイバーセキュリティの考え方」【2016年8月3日NISC】
5.7.2.2 【理想的に】ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業
5.7.2.2.1 (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)
5.7.2.2.2 ITの利活用と情報セキュリティ対策のバランスが取れている企業
5.7.2.2.3 情報のオープン化、外部情報の活用、機密情報の保護をきちんと行い、ITの利活用により新しいサービスを展開
5.7.2.3 【もっと積極的に】IT・セキュリティをビジネスの基盤として捉えている企業
5.7.2.3.1 (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)
5.7.2.3.2 ITを積極的に活用してビジネスの発展を目指すことが必要
5.7.2.4 【無駄な投資】過剰なセキュリティ意識により、ITの利活用を著しく制限し、ITの利活用を競争力強化に活用させていない企業
5.7.2.4.1 ITの利活用と情報セキュリティ対策のバランスが取れていなく、費用対効果の悪い企業
5.7.2.4.2 基本姿勢として、情報は全て機密、IT環境は必要最低限に利用を制限
5.7.2.4.3 必要以上のセキュリティ対策により、無駄に費用をかけ、業務効率、サービスの向上を阻害している企業
5.7.2.4.4 過剰なセキュリティ意識により、ITの利活用を著しく制限し、競争力強化に活用させない企業
5.7.2.4.5 過剰なリスク意識により、インターネットでの情報発信、情報収集や、IT活用による業務効率を向上させる意識のない企業
5.7.2.4.6 セキュリティ偏重の判断は、業務の現場の不便をもたらし、柔軟な発想や市場変化に対する機敏性を損なわせる。最悪の場合、ビジネスイノベーションの規格をも潰してしまう。
5.7.2.4.7 組織内のITリテラシーの向上が十分でないために、低いレベルの人に合わせたセキュリティ対策のために、意識の高い人の業務の効率化を阻害している
5.7.2.4.8 リスクを再評価して過度にならない適切なセキュリティ対策の再構築が必要
5.7.2.5 【危険】情報セキュリティ対策の必要性は理解しているが、必要十分なセキュリティ対策が出来ていないにも関わらず、ITの利活用を進めている企業
5.7.2.5.1 ITの利活用と情報セキュリティ対策のバランスが取れていない企業
5.7.2.5.2 (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)
5.7.2.5.3 業務効率とのバランスが取れているセキュリティ対策を実施しようとしている企業
5.7.2.5.4 情報セキュリティポリシーの策定と実践、定期的な監査
5.7.2.5.5 創造力、発想力のある人材の育成
5.7.2.5.6 ITスキルと知識を持った人材の育成が必要
5.7.2.6 【危険】情報セキュリティの必要性を理解していない企業 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業
5.7.2.6.1 (主に小企業・零細企業でセキュリティの専門組織を保持することが困難な企業)
5.7.2.6.2 まずは、最低限の情報セキュリティ対策を理解し、コストを掛けずに効果の大きいことから実施することが必要
5.7.2.7 【対象外】ITを利用していない企業
5.7.2.7.1 サイバーセキュリティ侵害が起こりえず、対象外だが、業務効率化のためにITの活用を促すか??
5.7.2.7.2 情報セキュリティ対策は必要
5.7.3 【コラム】セキュリティホールを減らす網羅的・体系的な対策の策定方法
5.7.3.1
5.7.3.1.1 JIS Q 27001:2014に準拠したセキュリティポリシーの策定
5.7.3.1.2 規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業等を対象に、すぐにできることから開始して、段階的にステップアップすることで、企業それぞれの事情に適した対策が実施できるように進め方を説明するとともに、実践のために各種の付録を用意しました。次図を参考に自社の状況にあった進め方をしてください
5.7.3.2 5分でできる自己診断シート
5.7.3.2.1 組織として最初に取り組むべき、情報セキュリティ対策の自社診断シート
5.7.3.2.2 組織においてあまり費用をかけることなく実行することで効果がある情報セキュリティ対策を25項目に絞られてます
5.7.3.2.3 組織として最初に取り組むべき情報セキュリティ対策の自社診断シート 基本的対策、従業員としての対策、組織としての対策、全25項目
5.7.3.2.4
5.7.3.2.4.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.7.3.2.4.2 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/keihatsu/sme/guideline/
5.7.3.2.4.3 情報セキュリティ対策ベンチマーク https://www.ipa.go.jp/security/benchmark/
5.7.3.3 情報セキュリティハンドブックひな型(従業員向け)
5.7.3.3.1 パワーポイント形式のサンプルをテンプレートとして、自社に合うように加筆訂正して作成すると効率的。
5.7.3.3.2 全社基本ルール・OSとソフトウェアのアップデート・ウイルス対策ソフトの導入・パスワードの管理・アクセス制限・セキュリティに対する注意
5.7.3.3.3 仕事中のルール・電子メールの利用・インターネットの利用・データのバックアップ・クリアデスク・クリアスクリーン・重要情報の持ち出し・入退室・電子媒体・書類の廃棄
5.7.3.3.4 全社共通のルール・私有情報機器の利用・クラウドサービスの利用
5.7.3.3.5 従業員のみなさんへ・従業員の守秘義務・事故が起きてしまったら
5.7.3.4 情報資産台帳
5.7.3.4.1 サンプルをテンプレートとして記入する形で作成すると効率的。
5.7.3.4.2 組織の事業継続のためにセキュリティを確保すべき情報資産としてどのようなものがあるかをリストアップし、個々の情報の重要度を判断する
5.7.3.4.3 ・機密性、完全性、可用性それぞれの評価値を記入する・機密性、完全性、可用性の評価値から重要度を判定する
5.7.3.4.3.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.7.3.4.4 被害発生可能性=(対象・脅威の内容ごとの脅威の発生頻度×脆弱性への対応レベル)を3段階で
5.7.3.4.5 リスク値=重要度×被害発生可能性
5.7.3.5 情報セキュリティポリシーの明文化
5.7.3.5.1 ひな型をテンプレートとして自社の分析状況を踏まえて加筆訂正する形で作成すると効率的。
5.7.3.5.1.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
5.7.3.6 実施状況の確認(経営者)
5.7.4 【コラム】<ツールB>情報セキュリティポリシーひな型【2016年11月30日IPA】
5.7.4.1 組織的対策(基本方針)
5.7.4.1.1 1.情報セキュリティ基本方針 2. 個人番号及び特定個人情報の適正な取扱いに関する基本方 針 3.安全管理措置に関する事項 4.委託の取り扱い 5.継続的改善 6.特定個人情報等の開示
5.7.4.2 組織的対策(当社全体)
5.7.4.2.1 1.情報セキュリティのための組織 2.情報セキュリティ取組みの監査・点検/点検 3.情報セキュリティに関する情報共有
5.7.4.3 人的対策(全従業員(役員、社員、派遣社員、パート・アルバイトを含む))
5.7.4.3.1 1.雇用条件 2.取締役及び従業員の責務 3.雇用の終了 4.情報セキュリティ教育 5.人材育成 <情報セキュリティに関わる推奨資格>
5.7.4.4 情報資産管理(当社事業に必要で価値がある情報及び個人情報)
5.7.4.4.1 1.情報資産の管理 2.情報資産の社外持ち出し 3.媒体の処分 4.バックアップ
5.7.4.5 マイナンバー対応(特定個人情報(マイナンバーを内容に含む個人情報))
5.7.4.5.1 2.特定個人情報等の取り扱い 2.1利用目的の特定 2.2取得に際しての利用目的の通知等 2.3取得の制限 2.4個人番号の提供の求めの制限 2.5本人確認 2.6利用目的外の利用の制限 2.7特定個人情報ファイルの作成の制限 2.8特定個人情報等の保管 2.9データ内容の正確性の確保 2.10特定個人情報等の提供 2.11特定個人情報等の削除・廃棄 2.12特定個人情報等を誤って収集した場合の措置 2.13安全管理措置
5.7.4.5.2 3. 組織及び体制 3.1事務取扱担当者・責任者 3.2苦情対応 3.3従業員の義務
5.7.4.5.3 4.委託の取扱い 4.1委託 4.2再委託
5.7.4.5.4 5.安全管理措置 5.1組織的安全管理措置 5.2人的安全管理措置 5.3物理的安全管理措置 5.4技術的安全管理措置
5.7.4.5.5 6.特定個人情報等の開示、訂正等、利用停止等
5.7.4.6 アクセス制御及び認証(情報資産の利用者及び情報処理施設)
5.7.4.6.1 1.アクセス制御方針 2.利用者の認証 3.利用者アカウントの登録 4.利用者アカウントの管理 5.パスワードの設定 6.従業員以外の者に対する利用者アカウントの発行 7.機器の識別による認証 8.端末のタイムアウト機能 9.標準設定等
5.7.4.7 物理的対策(情報処理設備が設置される領域)
5.7.4.7.1 1.セキュリティ領域の設定 2.関連設備の管理 3.セキュリティ領域内注意事項 4.搬入物の受け渡し
5.7.4.8 IT機器利用(業務で利用する情報処理設備・機器)
5.7.4.8.1 1.ソフトウェアの利用
5.7.4.8.2 2.IT機器の利用
5.7.4.8.3 3.クリアデスク・クリアスクリーン 3.1クリアデスク 3.2クリアスクリーン
5.7.4.8.4 4.インターネットの利用 4.1ウェブ閲覧 4.2オンラインサービス <インターネットバンキング・電子決済> <オンラインストレージ> 4.3SNSの利用 4.4電子メールの利用 <誤送信防止> <メールアドレス漏えい防止> <傍受による漏えい防止> <クラウド型メールの利用> <禁止事項> 4.5ウイルス感染の防止
5.7.4.8.5 5.私有IT機器・電子媒体の利用 5.1利用開始時 5.2利用期間中 5.3利用終了時
5.7.4.8.6 6.標準等 6.1標準ソフトウェア 6.2ソフトウェアのアップデート方法 6.3ウイルス対策ソフトウェアの定義ファイルの更新方法
5.7.4.9 IT基盤運用管理(情報資産を扱うサーバ・ネットワーク等のITインフラ)
5.7.4.9.1 1.管理体制 1.1 IT基盤の情報セキュリティ対策 1.1.1サーバー機器の情報セキュリティ要件 1.1.2サーバー機器に導入するソフトウェア 1.1.3ネットワーク機器の情報セキュリティ要件
5.7.4.9.2 2.IT基盤の運用
5.7.4.9.3 3.クラウドサービスの導入
5.7.4.9.4 4.脅威や攻撃に関する情報の収集
5.7.4.9.5 5.廃棄・返却・譲渡
5.7.4.9.6 6.IT基盤標準 6.1サーバー機器情報セキュリティ要件 6.2IT基盤標準ソフトウェア 6.3標準ネットワーク機器 6.4ネットワーク機器情報セキュリティ要件 6.5クラウドサービス情報セキュリティ対策評価基準
5.7.4.10 システム開発及び保守(当社が独自に開発及び保守を行う情報システム)
5.7.4.10.1 1.情報システムの開発
5.7.4.11 外部委託管理(情報資産を取り扱う業務の委託)
5.7.4.11.1 1.委託先の評価(クラウドサービスの利用を除く)
5.7.4.12 情報セキュリティインシデント対応ならびに事業継続管理(情報セキュリティ事故対応及び事業継続管理
5.7.4.12.1 1.対応体制
5.7.4.12.2 2.情報セキュリティインシデントの影響範囲と対応者
5.7.4.12.3 3.インシデントの連絡及び報告
5.7.4.12.4 4.対応手順 4.1漏えい・流出発生時の対応 4.2改ざん・消失・破壊・サービス停止発生時の対応 4.3ウイルス感染時の初期対応 4.5届け出及び相談 <届け出・相談先>
5.7.4.12.5 5.情報セキュリティインシデントによる事業中断と事業継続管理 5.1想定される情報セキュリティインシデント 5.2復旧責任者及び関連連絡先 5.3事業継続計画
5.7.4.13 社内体制図(当社の情報セキュリティ管理)
5.7.4.13.1 1.情報セキュリティのための組織
5.7.4.14 委託契約書機密保持条項サンプル(外部委託契約の締結時)
5.7.4.14.1 1.委託契約時の機密保持契約条項<機密保持条項サンプル>
6 【04】さまざまなサイバー攻撃と被害
6.1
6.1.1
6.1.1.1
6.1.1.1.1 企業を襲うサイバー攻撃は様々種類がります。サイバー攻撃に潜む被害と対策をまとめました。今、知識をつけよう。
6.1.2
6.2 ウェブサービスへの不正ログイン
6.2.1
6.2.1.1 ウェブサービスから窃取したIDとパスワードを用いて、不正ログインされる被害が発生している。利用者が同じパスワードを複数のウェブサービスで使いまわしている場合、被害が拡大する。
6.2.1.2 ウェブサービスに不正ログインされることにより、個人情報の漏えいや金銭被害等、様々な被害が発生する可能性がある。
6.2.1.2.1 <被害手口>パスワードリスト攻撃 脆弱なウェブサイトから窃取したIDとパスワードの組合せを用い、他のウェブサイトに不正ログインを試みる方法である。パスワードの推測 名前や誕生日」、IDと同じ文字列、連続した英数字等、安易で使われやすい文字列をパスワードとして攻撃者が入力し「、不正ログインをこころみる。
6.2.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.3 ウエブサイトの改ざん
6.3.1
6.3.1.1 閲覧するだけでウイルスに感染するよう、CMS等の脆弱性を悪用しウェブサイトが改ざんされる事例が多く発生した。
6.3.1.2 ウェブサイトを改ざんされると、ウェルスを配布する水飲み場攻撃への悪用や政治的主張の掲載等され、結果ウェブサイト運営者が社会的信用を失う影響が懸念される。
6.3.1.2.1 <被害手口>ソウフトウエア製品の脆弱性 OS,ミドルウエア等やCMS及びプラグイン脆弱性を悪用される。ソフトウエアの脆弱性 広く使われているオープンソースや市販のソフトウエア製品は、攻撃手法が判明すれば、多くの攻撃対象を攻撃できる。
6.3.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.4 ウエブサービスからの個人情報の搾取
6.4.1
6.4.1.1 ウェブサイトの脆弱性を突き、ウェブサービス保有する住所や氏名等の個人情報が窃取され事件が国内で発生した。
6.4.1.2 ウェブサービスは様々なソフトウェアで構成されており、セキュリティ上の問題を内包しやすい。また、インターネットに公開さているため、攻撃者の標的になりやすい。
6.4.1.2.1 <攻撃手口>独自に開発したウェブアプリケーション脆弱性脆弱性の作りこみ)ソフトウェアの脆弱性 OS/ミドルウエア等のサーバーソソフトウェアに存在する脆弱性を悪用する
6.4.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.5 インターネットバンキングやクレジットカード情報の不正利用
6.5.1
6.5.1.1 ウイルス感染やフイッシング詐欺により、個人および組織から情報を搾取し、本人になりすましした不正送金や利用が行われた。
6.5.1.2 サイトが十分なセキュリティl機能を提供していなかったり、利用者がセキュリティ対策怠ったりしている。攻撃者はウイルス感染やフイッシング詐欺等の攻撃により、利用者から情報を搾取し、利用者になりすまし不正送金等を行っている。
6.5.1.2.1 <攻撃者の手口>ウイルス感染(金融情報の取得に特化したウイルスも存在する)とフイッシング詐欺が挙げられる。
6.5.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.6 悪意のあるスマホアプリ
6.6.1
6.6.1.1 スマートフォンにインストールしてしまった悪意あるアプリにより、スマートフォン内の情報が窃取されてしまう。公式マーケットに悪意あるアプリケが紛れ込む事例もあり、利用者は一層の注意が求められる。
6.6.1.2 画面上にはアプリのアイコンを表示せず、スマートホンに保存されているメール、写真、位置情報等を秘密裏に収集して攻撃者へ送信するアプリやスマートフォンを乗っ取ることが可能なアプリが見つかっている。
6.6.1.2.1 <攻撃手口>公式マーケットに悪意あるアプリを公開。公式マーケットは安全と思い込んでいる利用者が安易インストール。インストール後アップデート時に悪意ある機能が追加される。利用者に同意なく勝手に悪意あるアプリをインストールさせる。
6.7 巧妙・悪質化するワンクリック請求
6.7.1
6.7.1.1 アダルトサイトや出会い系サイトといった有料サイトや、セキュリティソフト購入推奨等の金銭請求画面が表示され、金銭を不正に請求されるワンクリック請求の被害が発生している。
6.7.1.2 ブラウザに「ウイルスを検出した」という警告が表示され偽りのウイルスソフトを購入させたり、スマートフォンのシッター音を鳴らし不安や焦燥感を煽り、支払いを誘発させる巧妙な手口も発生している。
6.7.1.2.1 <攻撃の手口>・悪意あるウェブサイトの閲覧・差出人を偽造したメールに記載されたURLのクリック・悪意のあるソフトウェアのダウンロード 偽りメッセージの誘導により悪意のあるサイトをアクセス中に発生する。・悪意あるスマートフォンアプリインストールした時に偽りメッセージによる誘導
6.8 ランサムウェアを使った詐欺・恐喝
6.8.1
6.8.1.1 悪意あるプログラムによってPC内のファイル」が閲覧・編集できない形」に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害が増えている。このプログラムを「ランサムウェ」と呼ぶ。
6.8.1.2 メールの添付ファイルやウェブサイトの閲覧等を介して、利用できないようPC内のファイlㇽを暗号化し、復号のために組織や個人に金銭を要求するランサムウェアの被害が拡大した。
6.8.1.2.1 <攻撃の手口>ランサムウェア添付したメールを送付し、添付を開かせ感染。
6.8.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.9 サービス妨害によるサービス停止
6.9.1
6.9.1.1 ハッカー集団によるウエブサイトを狙ったサービス妨害攻撃により、ウエブサイトが高負荷状態となり、利用者がアクセスできなくなる被害が発生した。攻撃手口は攻撃者に乗っとられた複数のマシン(ボットネット)等から大量に負荷をかけるDDoS(分散型サービス妨害)攻撃が主流であった。
6.9.1.1.1 DDoS攻撃手口 ボットネットの悪用による標的組織のサーバ負荷をかける攻撃。DDoS攻撃手口 ボットネットの悪用による標的組織のサーバ負荷をかける攻撃・リフレクター攻撃 送信元を標的組織のサーバに詐称して、ルータやDNSの応答結果を大量に送り負荷をかける。・DNS水責め攻撃 ボットネット等で、標的組織のランダムなサブドメインへ問い合わせ、ドメイン名の権威DNSサーバに負荷をかける攻撃。
6.10 内部不正による情報漏えいとそれに伴う業務停止
6.10.1
6.10.1.1 内部の人間が悪意を持つと、正当な権限を用いて情報を窃取出来る為、情報の重要度に応じたアクセス権限の設定や離職者のアクセス権の抹消等、厳格な管理と監視を継続的に行う必要がある。
6.10.1.2 組織内部の権限を持つ職員や離職者が悪意を持ち、内部情報を外部に持ち出し、販売したり、私的に利用する事件は、幾度も発生している。顧客情報や内部情報の漏えいを引き起こした企業・組織には、賠償や株価下落、信用失墜による競争力の低下等、事業に多大な悪影響が発生する。
6.10.1.2.1 <対策/対応>「資産の把握と体制の整備」は、組織が保持する資産を重要度等分類し、経営者層が責任を持ち、積極的に推進することが重要である。内部不正の対策は、多肢に渡って網羅的に行う必要がある。IPA「組織における内部不正ガイドライン」 参照
6.10.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.11 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
6.11.1
6.11.1.1 攻撃者は公開さている脆弱性対策情報によりその対策がなされていないシステムやソフトウエアを狙っており、近年、脆弱性対策情報の公開から攻撃までの期間が短くなっている傾向がある。
6.11.1.2 脆弱性対策情報の公開から利用者が対策を実施するまでのタイムラグを利用し、攻撃者は脆弱性を悪用する攻撃を行う。
6.11.1.2.1 <要因>・脆弱性対策情報を知らない・利用している製品ソフトが影響を受けることを知らない・公開された対策をすぐに実施できない。
6.11.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
6.12 IoT機器を踏み台にした攻撃
6.12.1
6.12.1.1 自動車、情報家電、医療機器、インフラ設備、流通用機器等、日常生活に関する多種多様な機器がインターネットにつながるようになってきた。従来インターネットねつながることを想定していない機器が、インターネットにつながることにより脆弱性が顕在化してきた。
6.12.1.2 攻撃者がインターネット越しにその機器の脆弱性や設定不備をついて攻撃を行い、不正アクセスやウイルス感染等が行われる可能性がある。
6.12.1.2.1 <攻撃手口>Dos/Ddos Lotに関する機器の脆弱性を悪用 他機器からのウイルス感染
6.12.1.2.1.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
7  【コラム】サイバーセキュリティおさらいクイズ
7.1 標的型攻撃について
7.1.1
7.1.1.1 標的型攻撃とはメール添付ファイルやウェブサイトを利用してPCにウイルスを感染させ、そのPCを遠隔操作して組織や企業の重要情報を窃取する攻撃。
7.1.1.1.1 攻撃手口は、ソーシャルエンジニアリング(人の行動のミス等につけ込む手口)を駆使した攻撃により主に以下のシナリオに沿って遂行される。標的型攻撃メールでは、実在する企業や官公庁から窃取したメール本文や差出人アドレスを使いメール受信者の警戒感を解く。その上で業務に関係ありそな添付ファイル、URLリンク先をクリックさせる。攻撃シナリ段階でソーシャルエンジニアリング(騙しの手口)が使われるのは主にどの段階か?
7.1.1.1.2 <攻撃シナリオ>(1)計画立案(2)攻撃準備(標的組織の調査)(3)初期潜入(ウイルス感染)(4)基盤構築(感染拡大)(5)内部侵入・調査(文書や情報探作)(6)目的遂行(外部へのデータ送信)(7)再侵入
8 【05】もしもマニュアル
8.1
8.1.1
8.1.1.1
8.1.1.1.1 サイバー攻撃発生時に役立つ数々の「知恵」や「工夫」を図説付きで分かりやすく解説します。章末のワークショップも実践しよう。
8.1.2
8.2 緊急時対応用マニュアルの作成
8.2.1
8.2.1.1 マニュアルに記載すべき事項
8.2.1.1.1 情報セキュリティインシデント対応ならびに事業継続管理(情報セキュリティ事故対応及び事業継続管理) (セキュリティポリシーから抜粋して作成する)
8.2.1.1.1.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】 <ツールB>情報セキュリティポリシーサンプル【2016年11月30日IPA】
8.2.1.1.2 1.対応体制
8.2.1.1.3 2.情報セキュリティインシデントの影響範囲と対応者
8.2.1.1.4 3.インシデントの連絡及び報告
8.2.1.1.5 4.対応手順 4.1漏えい・流出発生時の対応 4.2改ざん・消失・破壊・サービス停止発生時の対応 4.3ウイルス感染時の初期対応 4.5届け出及び相談 <届け出・相談先>
8.2.1.1.6 5.情報セキュリティインシデントによる事業中断と事業継続管理 5.1想定される情報セキュリティインシデント 5.2復旧責任者及び関連連絡先 5.3事業継続計画
8.3 緊急時対応
8.3.1
8.3.1.1
8.3.1.1.1 事象が発生した場合に、混乱しないように事前に対応策を明確にしておくことが肝要
8.3.2 1.対応体制
8.3.2.1
8.3.2.1.1 最高責任者、対応責任者、一次対応者を明確にする
8.3.3 2.情報セキュリティインシデントの影響範囲と対応者
8.3.3.1
8.3.3.1.1 想定する影響範囲を事故レベル(0~3)で分類し、それぞれの対応者を明確にする
8.3.4 3.インシデントの連絡及び報告
8.3.4.1 レベル1以上のインシデントが発生した場合、発見者が速やかに指示を仰ぐべき対応者を明確にする
8.3.5 4.1漏えい・流出発生時の対応
8.3.5.1 事象:社外秘又は極秘情報資産の盗難、流出、紛失
8.3.5.2 事象の検知、報告受付(Detect)
8.3.5.2.1 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
8.3.5.3 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
8.3.5.3.1 ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
8.3.5.3.2 ③インシデント対応責任は被害者/本人対応を準備する。
8.3.5.3.3 ④インシデント対応責任は問合せ対応を準備する。
8.3.5.4 緊急連絡、公表
8.3.5.4.1 ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。
8.3.5.4.2 ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。
8.3.5.4.3 ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。
8.3.5.4.4 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
8.3.5.5 原状保全
8.3.5.6 原因調査
8.3.5.7 早期復旧・事業継続 (Respond)
8.3.5.8 恒久的対策(再発防止策)
8.3.5.9 通常運用
8.3.6 4.2改ざん・消失・破壊・サービス停止発生時の対応
8.3.6.1 ①情報資産の意図しない改ざん、消失、破壊、②情報資産が必要なときに利用できない
8.3.6.2 事象の検知、報告受付(Detect)
8.3.6.2.1 手順の確認
8.3.6.2.2 作業記録の作成開始
8.3.6.2.3 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
8.3.6.3 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
8.3.6.3.1 ②システム管理者は原因を特定し、応急処置を実行する。影響範囲の特定、ネットワーク接続やシステムの遮断もしくは停止
8.3.6.4 緊急連絡
8.3.6.4.1 ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
8.3.6.5 原状保全
8.3.6.5.1 各種ログの保全
8.3.6.5.2 後日の詳細な調査のために、スナップショットを保存 場合によっては、ストレージ装置全体を
8.3.6.6 原因調査
8.3.6.6.1 ⑦システム管理者は原因の特定と応急的な対策を実施する。不明の場合は、外部の専門機関に問い合せる
8.3.6.7 早期復旧・事業継続 (Respond)
8.3.6.7.1 ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
8.3.6.7.2 ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
8.3.6.7.3 ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
8.3.6.8 恒久的対策(再発防止策)
8.3.6.8.1 再発防止策の実施
8.3.6.8.2 監視体制の強化
8.3.6.8.3 作業結果の報告
8.3.6.8.4 作業の評価、ポリシー・運用体制・運用手順の見直し
8.3.6.9 公表
8.3.6.9.1 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
8.3.6.10 通常運用
8.3.7 4.3ウイルス感染時の初期対応
8.3.7.1 悪意のあるソフトウェアに感染
8.3.7.1.1 従業員は、業務に利用しているパソコン、サーバー又はスマートフォンタブレット(以下「コンピュータ」といいます。)がウイルスに感染した場合には、以下を実行する。
8.3.7.2 ①ネットワークからコンピュータを切断する。
8.3.7.3 ②システム管理者に連絡する。
8.3.7.4ウイルス対策ソフトの定義ファイルを最新版に更新する。
8.3.7.5ウイルス対策ソフトを実行しウイルス名を確認する。
8.3.7.6ウイルス対策ソフトで駆除可能な場合は駆除する。
8.3.7.7 ⑥駆除後再度ウイルス対策ソフトでスキャンし、駆除を確認する。
8.3.7.8 ⑦システム管理者に報告する。
8.3.7.8.1 以下の場合など従業員自身で対応できないと判断される場合はシステム管理者に問い合わせる。①ウイルス対策ソフトで駆除できない。②システムファイルが破壊・改ざんされている。③ファイルが改ざん・暗号化・削除されている。④⑤.。。
8.3.8 4.5届け出及び相談
8.3.8.1 <届け出・相談先>
8.3.8.1.1 システム管理者は、インシデント対応後に以下の機関への届け出又は相談を検討する。
8.3.8.1.2 <届け出・相談先>独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
8.4 5.情報セキュリティインシデントによる事業中断と事業継続のための事前準備
8.4.1
8.4.1.1 代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合に備え、以下を定める。
8.4.2 5.1想定される情報セキュリティインシデント
8.4.2.1 以下のインシデントによる事業の中断を想定する。
8.4.2.2 情報セキュリティインシデント:大型地震の発生に伴う設備の倒壊、回線の途絶、停電等にによる○○システム停止
8.4.2.3 想定理由:当社の事業は、商品の販売から請求回収までの業務を○○システムに依存しているため、停止した場合は事業の継続が困難になり多大な損失が発生
8.4.3 5.2復旧責任者及び関連連絡先
8.4.3.1 被害対象毎に、復旧責任者、関係者連絡先をリスト化しておく
8.4.4 5.3事業継続計画
8.4.4.1 インシデント対応責任者は、想定する情報セキュリティインシデントが発生し、事業が中断した際の復旧責任者の役割認識及び関係者連絡先について、有効に機能するか検証する。
8.4.4.2 復旧責任者は、被害対象に応じて復旧から事業再開までの計画を立案する。
8.5 ワークショプ
8.5.1 自社でやろうサイバー攻撃への対応アクション
9 【06】知っておきたいサイバーセキュリティの被害
9.1
9.1.1
9.1.1.1
9.1.1.1.1 中小企業に関するサイバーセキュリティに関してより深く理解できる情報をまとめました。 知っておくことで、さらに安心して対応することができます。
9.1.2
9.2 標的型サイバー攻撃
9.2.1 標的型攻撃メールとは
9.2.1.1
9.2.1.1.1 近年、特定の組織や個人を狙って情報窃取等を行う標的型攻撃が多くなっています。不特定多数に対する攻撃ではなく、ある特定の対象を狙って攻撃が行われることから、「標的型攻撃」の呼び名があり、中でもメールを使った「標的型攻撃メール」はソーシャルエンジニアリングの手口を使っており、だまされやすいため注意が必要です。
9.2.1.1.2 メール受信者が不審を抱かないように様々な騙しのテクニックが駆使されているため、メール受信者は本物のメールと勘違いしてしまい、ウイルス感染の仕掛けが施された添付ファイルを開いたり、メール本文に記載されたウイルス感染の仕掛けが施されたサイトへのリンクをクリックしたりしてしまいます。
9.2.1.1.3 添付ファイルを実行したり、本文のリンク先にアクセスしたりすると、遠隔操作ウイルス(RAT :Remote Access Trojan/Remote Administration Tool)に感染し、新たなウィルスのダウンロード、組織システム内へのウイルス拡散、情報収集、機密情報の外部への漏えい、システムの破壊といった大きな被害へ発展することになります。
9.2.1.1.4 しかもそれら一連の攻撃は、情報が外部に漏えいしたことに気付くまで、長期間にわたり行われることが多いのです。
9.2.1.1.4.1 jnsa http://www.jnsa.org/ikusei/spam/07_01.html
9.2.1.1.4.2 IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方」 https://www.ipa.go.jp/files/000043331.pdf
9.2.2 入口対策から内部対策・出口対策
9.2.2.1 標的型メールの見分け方
9.2.2.1.1 標的型攻撃メールには、受信者が不審をいだかないように、高度な騙しのテクニックが用いられる。
9.2.2.1.2 ◆知らない人からのメールだが、メール本文のURL や添付ファイルを開かざるを得ない内容(取材申込み、講演依頼、履歴書送付、就職活動や製品の問合せ、クレーム、アンケート)
9.2.2.1.3 ◆心当たりのないメールだが、興味をそそられる内容(議事録、演説原稿などの内部文書送付等)
9.2.2.1.4 ◆これまで届いたことがない公的機関からのお知らせ(情報セキュリティに関する注意喚起、感染症流行情報、災害情報)
9.2.2.1.5 ◆組織全体への案内(人事情報、新年度の事業方針、資料の再送、差替え)
9.2.2.1.6 ◆ID やパスワードなどの入力を要求するメール(メールボックスの容量オーバーの警告、銀行等からの登録情報確認)
9.2.2.1.7 ◆メール本文がおかしい(日本語の言い回し、日本語で使用されないフォント(繁体字等)、表示URLとリンク先URLが異なる、署名の内容が誤っている)
9.2.2.1.8 ◆添付ファイルがある(実行形式ファイル(exe/scr/cpl他)、zipファイル、データ形式ファイル、ショートカットファイル、アイコン(文書ファイル等への)偽装、ファイル拡張子の偽装(二重、大量の空白文字等))
9.2.2.2 標的型メール対策
9.2.2.2.1 標的型攻撃メールを発見した場合は、発見者が自分に届いたメールだけを削除するだけでは対応として不十分
9.2.2.2.2 不審メールに気付いたメール受信者は、組織で定められている運用ルールに従い、組織内の情報集約窓口に速やかに報告する。
9.2.2.2.3 情報集約窓口に集約された情報を基に、情報システム担当部門などは、当該メールを含め類似の不審メールが他に届いていないかを、メールサーバのログなどにより調査する。
9.2.2.2.4 情報システム担当部門などは、不審メールが届いたすべての端末で、添付ファイルを開いたり、不審なURL にアクセスしたりしていないかなどを確認する。
9.2.2.2.5 情報システム担当部門は、利用者が不審なメールに気づいた際の情報集約の体制、及び運用ルールを整備するとともに組織内に周知し、迅速に情報の集約が行える体制を整える必要がある。
9.2.2.2.6 さらに、これまでの攻撃の初期侵入防止(入口対策)対策に加え、利用者(社員等)が標的型攻撃メールを見抜けずにウイルスに感染してしまうなどの入口対策が突破され内部に侵入されることを前提とした上で、「侵害拡大防止」、及び「監視強化」を目的としたシステム設計(内部対策)も講じていく必要がある。
9.2.2.2.6.1 IPA テクニカルウォッチ「標的型攻撃メールの例と見分け方 」 https://www.ipa.go.jp/files/000043331.pdf
9.2.3 インターネットバンキングやクレジットカード情報の不正利用
9.2.3.1
9.2.3.1.1
9.2.3.1.1.1 ・ウイルスやフィッシング詐欺により、ログインにかかる認証情報が窃取され、不正送金される
9.2.3.1.1.2 ・日本のインターネットバンキング利用者を狙うウイルスが横行
9.2.3.1.1.3 ・2015年の被害額は30億7,300万円。法人口座も被害に
9.2.3.1.1.3.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
9.2.3.2 ランサムウェアを使った詐欺・恐喝
9.2.3.2.1ランサムウェア」により、PC内のファイルが暗号化され、ファイル復元に身代金を要求
9.2.3.2.2 日本語対応やスマートフォンを標的とする等、巧妙化
9.2.3.2.3 ・メールの添付ファイルやリンクからランサムウェア感染
9.2.3.2.4 ・ウェブからランサムウェアに感染(脆弱性等を悪用)
9.2.3.2.5 ・感染すると感染したPCだけではなく、共有サーバー等にも影響
9.2.3.2.5.1 情報セキュリティ10大脅威 2016 https://www.ipa.go.jp/files/000052126.pdf
9.2.4 過去の大規模被害
9.2.4.1 日本年金機構情報漏 2015年 (個人情報125万人)
9.2.4.1.1 日本年金機構における不正アクセスによる情報流出事案
9.2.4.1.2 平成27年5月21日~同23日にかけて、日本年金機構において、年金に関する約125万件の個人情報が外部に流出した。個人情報には、基礎年金番号、氏名、生年月日等が含まれていた。
9.2.4.1.3 データ解析の結果、5月8日、外部通信時に職員のメールアドレスの一部が窃取され、以降、同機構において標的型メールを合計で124通受信し、そのうちメールの添付ファイル等を開封した同機構の職員は合計5名、感染した端末は合計31台にのぼったことがわかっている。
9.2.4.1.4 また、5月20日には、攻撃者が管理者権限を窃取して他の端末への感染を拡大させたことが判明。
9.2.4.1.5 同機構においては、個人情報等の重要情報は共有ファイルサーバに保管しないことや、例外的に保管する場合のパスワード設定などの規定があったが、徹底が図られず、また、インターネット接続環境下にある共有ファイルサーバに個人情報を置くという、外部からの脅威に対する認識が甘かったことから、本件流出事案につながったものである。
9.2.4.1.5.1 日本年金機構 調査報告書(H27.8.20) http://www.nenkin.go.jp/oshirase/topics/2015/0104.files/E.pdf
9.2.4.2 大手旅行会社のグループ会社における情報流出事案 2016年(約678万件)
9.2.4.2.1 平成28年3月、インターネットを活用して旅行商品の販売を行っている大手旅行会社のグループ会社で、取引先に成りすました不正な添付ファイルを開いたことにより、パソコンがマルウェアに感染し、その後外部からの遠隔操作により感染が拡大、過去に旅行商品を予約した客の個人情報を保存しているサーバへ攻撃者が侵入する事案が発生。調査の結果、攻撃者が作成されたと推測される、個人情報を収集した複数のファイルが作成、削除された痕跡があった。
9.2.4.2.2 (漏えいした可能性のある顧客情報の項目)氏名(漢字、カタカナ、ローマ字)、性別、生年月日、メールアドレス、住所、電話番号、パスポート番号等
9.2.4.2.3 合計6,788,443名分
9.2.4.2.3.1 JTB http://www.jtbcorp.jp/jp/160824.html
9.2.4.3 その他
9.3
9.4 インフォメーション
9.4.1 緊急連絡先
9.4.1.1 警視庁サイバー犯罪対策課
9.4.1.1.1 インターネットに関連するトラブル相談 03-3431-8109 受付時間 平日の8:30~17:15
9.4.1.1.1.1 http://www.keishicho.metro.tokyo.jp/sodan/madoguchi/sogo.html
9.4.1.2 警視庁フイッシング110番
9.4.1.2.1 フィッシングに関する情報提供 03-3431-8109 受付時間 平日の8:30~17:15
9.4.1.2.1.1 http://www.keishicho.metro.tokyo.jp/kurashi/cyber/security/cyber406.html
9.4.1.3 情報処理推進機構IPA) 情報セキュリティ安心相談窓口
9.4.1.3.1 ウイルス(マルウェア)および不正アクセスに関する技術的な相談受付窓口03-5978-7509 受付時間 平日の10:00~12:00、13:30~17:00
9.4.1.3.1.1 https://www.ipa.go.jp/security/anshin/
9.4.1.3.2 事前に次のような情報を整理してください。 •対象となる端末の種類(パソコン、スマートフォンなど)•対象となる端末のOS(Windows 10、Androidなど)•インストールしているセキュリティソフトの名称•利用しているクラウドサービスの名称•時系列を含めた具体的な事象•ウイルスまたは不正アクセスによる原因と判断された根拠•他に相談をした窓口や機関
9.5 予防に関するお問い合わせ
9.5.1
9.5.1.1 JPCERT コーディネーションセンター (JPCERT/CC)
9.5.1.1.1 インターネットを介して発生する侵入やサービス妨害などのコンピュータセキュリティインシデント (以下、インシデント) について、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっている。
9.5.1.1.2 相談の例 Web サイト改ざんに関する相談:サイトの改ざん箇所の特定や、改ざんされた際の復旧手順について 不正アクセスに関する相談:サーバへの侵入やDoS 攻撃が発生した際の対処について マルウエア感染の相談:マルウエアに感染した際の駆除方法、復旧方法について
9.5.1.1.3 Web フォームでの報告:https://form.jpcert.or.jp/ 電子メール:info@jpcert.or.jp FAX:03-3518-2177 (インシデント報告以外のものは 03-3518-4602) 電子メールまたは FAX による報告の場合には、インシデント報告様式記入の手引をご一読の上、インシデント報告様式に必要事項を記入し、JPCERT/CC まで送付 電話:03-3518-4600 (夜間: 留守番電話)
9.5.1.1.3.1 https://www.jpcert.or.jp/form/
9.5.1.2 日本シーサート協議会(CSIRT)
9.5.1.2.1 インターネットを介して発生する侵入やサービス妨害などのコンピュータセキュリティインシデント (以下、インシデント) について、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっている。
9.5.1.2.2 相談の例 Web サイト改ざんに関する相談:サイトの改ざん箇所の特定や、改ざんされた際の復旧手順について 不正アクセスに関する相談:サーバへの侵入やDoS 攻撃が発生した際の対処について マルウエア感染の相談:マルウエアに感染した際の駆除方法、復旧方法について
9.5.1.2.3 Web フォームでの報告:https://form.jpcert.or.jp/ 電子メール:info@jpcert.or.jp FAX:03-3518-2177 (インシデント報告以外のものは 03-3518-4602) 電子メールまたは FAX による報告の場合には、インシデント報告様式記入の手引をご一読の上、インシデント報告様式に必要事項を記入し、JPCERT/CC まで送付 電話:03-3518-4600 (夜間: 留守番電話)
9.5.1.2.3.1 http://www.nca.gr.jp/
9.5.1.3 消費者庁 消費者ホットライン
9.5.1.3.1 188(いやや!) 電話が話中でつながらない場合、国民生活センターの「平日バックアップ相談」の電話番号が流れる。 03-3446-1623 平日の10:00~12:00、13:00~16:00
9.5.1.3.1.1 http://www.caa.go.jp/region/shohisha_hotline.html
9.5.1.4 迷惑メール相談センター/財団法人日本データ通信協会
9.5.1.4.1 広告又は宣伝目的の「特定電子メール」に関する相談窓口 03-5974-0068 平日の10:00~12:00、13:00~17:00 ※架空請求・誹謗中傷などのトラブル、間違いメールや誹謗中傷メールの相談は受付けていない。
9.5.1.4.1.1 http://www.dekyo.or.jp/soudan/denwa/
9.5.1.5 フイッシング対策協議会
9.5.1.5.1 フィッシング詐欺に関する事例情報、技術情報の収集及び提供を中心に行うことで、日本国内におけるフィッシング詐欺被害の抑制を目的として活動。 電子メールのみ受付:info@antiphishing.jp ※フィッシングの疑いがあるメールを受け取った場合には、メールのリンクを安易にクリックせず、そのメールを転送、もしくは、フィッシングメールのタイトル、本文、差出人名、送信日時、概要などを記載の上、メール送信
9.5.1.5.1.1 https://www.antiphishing.jp/contact.html
9.5.1.6 NPO日本ネットワークセキュリティ協会
9.5.1.6.1 JNSAは、相談等は受け付けていない
9.5.1.7 サイバー攻撃被害イエローページ
9.5.1.7.1 未発見
9.5.1.8 なりすましECサイト対策協議会
9.5.1.8.1 「なりすましECサイト」とは、実在するサイトの外観(屋号、商標、サイト意匠・構成、使用している画像等)を模倣することにより、あたかも当該サイトである又は当該サイトと関係のあるサイトであるかのように消費者を誤認させ、商品代金をだましとったり、模倣品、海賊版その他購入しようとした品と全く別個の物を送りつけるサイトを指します。 なりすましECサイト対策対応マニュアル ダウンロード先 https://www.saferinternet.or.jp/system/wp-content/uploads/narisumashi_manual.pdf
9.5.1.8.1.1 https://www.saferinternet.or.jp/narisumashi/
9.6 情報セキュティベンダー一覧
9.6.1
9.6.1.1 日本マイクロソフト株式会社
9.6.1.1.1 ◆0120-41-6755 (法人のお客様)◆0120-54-2244 (個人のお客様)
9.6.1.1.1.1 https://support.microsoft.com/ja-jp/help/13948/global-customer-service-phone-numbers
9.6.1.2 トレンドマイクロ株式会社
9.6.1.2.1 Virus Support Web (ウイルスサポートウェブ)
9.6.1.2.1.1 http://esupport.trendmicro.com/ja-jp/enterprise/virus_support/top.aspx?cm_re=ECS-_-service-_-threat_step4#step4
9.7 安全のしおり
9.7.1 今やろう自分の情報を自分で守る
9.7.2 家族友人の情報を守る
9.7.3  メモ
9.7.3.1
9.7.3.2
10 【07】おわりに
10.1 TcySS 相談窓口について
10.1.1
10.1.1.1
10.1.1.1.1  東京都では、中小企業のサイバーセキュリティ対策の強化を支援するため、警視庁、中小企業支援機関、サイバーセキュリティ対策機関等と連携し、「東京中小企業サイバーセキュリティ支援ネットワーク(Tokyo Cyber Security Support network for small and medium enterprises 以下「」という。)」設立に基づき、サイバーセキュリティ相談窓口を設置しました。
10.1.1.1.2  Tcyss参加団体等 
10.1.1.1.3  1 中小企業支援機関 東京商工会議所、東京都商工会議所連合会、東京都商工会連合会、東京都中小企業団体中央会、(公財)東京都中小企  業振興公社
10.1.1.1.4  2 企業 トレンドマイクロ株式会社、マカフィー株式会社、シマンテック株式会社、日本マイクロソフト株式会社、
10.1.1.1.5  3 サイバーセキュリティ対策機関JC3(一般財団法人日本サイバー犯罪対策センター)、IPA独立行政法人情報処理推進機構)、ISОGーJ (日本セキュリティオペレーション事業者協議会)、IIT(一般財団法人東京都情報産業協会)
10.1.1.1.6  4 大学 砂原秀樹教授(慶応義塾大学)、手塚悟教授(慶応義塾大学)、湯浅墾道教授(情報セキュリティ大学院大学
10.1.1.1.7  5 弁護士 TМI総合法律事務所宮下正彦弁護士、駒澤綜合法律事務所高橋郁夫弁護士
10.1.1.1.8  6 行政 東京都、警視庁
10.1.1.1.9  ○相談窓口について 相談窓口では、都内中小企業者等を対象に、情報セキュリティ対策の強化や情報流出事案等に関する相談をお受けします  相談内容により、Tcyss参加団体等と連携して対応しますので、お気軽にご相談ください。
10.1.1.1.10  ○ご利用方法 電話・ホームページ専用フォームでのご相談 電話 : 03-5320-4773 窓口でのご相談 設置場所 東京都産業労働局商工部内 Tcyss事務局(東京都新宿区西新宿2-8‐1都庁第一本庁舎30階北側)
10.1.1.1.10.1 http://www.metro.tokyo.jp/INET/OSHIRASE/2016/04/20q4i400.htm
10.2 用語解説インデックス
10.2.1 クラウドコンピューティングとは
10.2.1.1
10.2.1.1.1 NISTの定義によると、クラウドコンピューティングとは、共用の構成可能なコンピューティングリソース(ネットワーク、サーバー、ストレージ、アプリケーション、サービス)の集積に簡便に、必要に応じて、ネットワーク経由でアクセスすることを可能とするモデルであり、最小限の利用手続きまたはサービスプロバイダとのやりとりで速やかに割当てられ提供されるものである
10.2.1.1.1.1 https://www.ipa.go.jp/files/000025365.pdf
10.2.2 個人情報とは(個人情報保護法改正)
10.2.2.1
10.2.2.1.1 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるものをいいます。
10.2.2.1.1.1 ipa https://www.ipa.go.jp/about/privacypolicy/index.html
10.2.3 プライバシーマークとは
10.2.3.1
10.2.3.1.1プライバシーマーク制度」は、一般財団法人日本情報経済社会推進協会(JIPDEC)が、個人情報を適切に取り扱うことのできる企業や団体(事業者)を審査し認定する制度です。
10.2.3.1.2 この制度の認定基準は、日本工業規格「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」(平成18年5月20日改正)に基づいており、認定された付与事業者には「個人情報」を大切に取り扱う事業者として、プライバシーマークの使用が認められています。
10.2.3.1.3 制度の発足から現在まで、企業や団体など多くの事業者にプライバシーマークが付与されています。※ マークを付与された事業者は、個人情報の取り扱いについて適切に安全管理・保護措置をしていると認められた事業者になります。付与事業者は、プライバシーマークを通じて「個人情報」を適切に取り扱っていることを消費者のみなさんにお伝えしていくとともに、そこで働く人々は責任の自覚をもって取り組んでいます。あなたの「個人情報」を安心して提供するために、その企業や団体などの事業者がプライバシーマークを取得しているか確認してみてください。
10.2.3.1.3.1 https://privacymark.jp/wakaru/about.html
10.2.4 不正競争防止法(改正)と営業秘密とは
10.2.4.1
10.2.4.1.1 ○工業所有権の保護に関するパリ条約批准にあたり、条約上の義務を満たすべく、昭和9年に制定。以降、その時々のニーズ等に応じ、これまでに20回以上改正。
10.2.4.1.2 GATT・ウルグアイラウンド交渉を先取りし、「営業秘密」の保護を図るため部分改正(1991.6.15施行)
10.2.4.1.3 全面改正(①ひらがな化、②法目的の明記、③不正競争行為の類型拡充(著名表示冒用行為・商品形態模倣行為)、④損害賠償額の推定規定の新設、⑤法人重課規定の創設 等)(1994.5.1施行)
10.2.4.1.4 「知的財産戦略大綱」(2002年7月)における指摘事項の実施のため部分改正(①営業秘密の刑事的保護の導入 ②民事的救済措置の強化、③ネットワーク化への対応)(2004.1.1施行)
10.2.4.1.5 営業秘密の保護強化、模倣品・海賊版対策の強化、罰則の強化、条番号の整序のため部分改正(2005.11.1施行)
10.2.4.1.6 →周知表示の混同惹起行為となる商品等の税関での輸入差止制度の導入(関税定率法の一部改正)
10.2.4.1.7 営業秘密、秘密保持命令違反罪に係る刑事罰の強化、商品形態模倣行為の刑事罰の強化(2007.1.1施行)
10.2.4.1.8 →不競法違反物品の税関での輸出差止制度の導入(関税法の一部改正)(2007.1.1施行)
10.2.4.1.9 営業秘密侵害罪に係る刑事罰の強化のため部分改正(①営業秘密を不当に保有し続ける行為(領得行為)についても処罰対象に追加、②目的要件の拡大(不正の競争の目的→図利・加害の目的に変更) など)(2010.7.1施行)
10.2.4.1.10 ①営業秘密の内容を保護するための刑事訴訟手続の整備(秘匿決定、呼称等の決定、公判期日外での証人尋問等)、②技術的制限手段に係る規律の強化(規制対象装置の範囲の拡大、刑事罰の導入)のため部分改正(2011.12.1施行)
10.2.4.1.10.1 経済産業省 http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/27kaiseigaiyou.pdf
10.2.5 外部委託契約とSLA(サービスレベルアグリーメント
10.2.5.1
10.2.5.1.1 外部委託契約とSLA ◆SLA、という用語の定義はどのようなものか。 【解説】SLAという用語は、ISO/IEC20000-1:2005においては次のように定義されています。サービス及び合意されたサービスレベルを文書化した、サービスプロバイダと顧客間の書面による合意。ただしこれではわかりにくいと思います。そこで、「情報システムに係る政府調達へのSLA導入ガイドライン」でのSLAの定義を参考にしてみます。ITサービスの提供者と委託者との間で、ITサービスの契約を締結する際に、提供するサービスの範囲・内容及び前提となる諸事項を踏まえた上で、サービスの品質に対する要求水準を規定するとともに、規定した内容が適正に実現されるための運営ルールを両者の合意として明文化したもの。どちらについても、共通していえることは、・委託元と委託先との合意が必要・文書化(明文化)が必要といったことです。なお、後者ではガイドラインの性質上、「ITサービス」という用語を用いていますが、「IT」の文字を取り外して考えると、SLAの用語の定義が非常に見えやすくなるかと思います。【参考文献】(1)情報システムに係る政府調達へのSLAガイドライン独立行政法人情報処理推進機構、平成16年)参照:http://www.meti.go.jp/kohosys/press/0005140/1/040414it2.pdf
10.2.5.1.1.1 総務省 http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/local_support/pdf/cio_text18_t_18.pdf
10.2.6 マイナンバーのセキュリティ考慮事項
10.2.6.1
10.2.6.1.1 平成28年1月から、マイナンバーカードの交付が開始されます。  マイナンバーカードは、本人の申請により交付され、個人番号を証明する書類や本人確認の際の公的な身分証明書として利用でき、また、様々な行政サービスを受けることができるようになるICカードです。交付手数料は、当面の間無料です(本人の責による再発行の場合を除く)。表面には ?氏名 ?住所 ?生年月日 ?性別 ?顔写真 ?電子証明書の有効期限の記載欄 ?セキュリティコード ?サインパネル領域(券面の情報に修正が生じた場合、その新しい情報を記載(引越した際の新住所など)) ?臓器提供意思表示欄 が記載され、個人番号は裏面に記載されます。  マイナンバーカードは、金融機関等本人確認の必要な窓口で身分証明書として利用できますが(※)、個人番号をコピー・保管できる事業者は、行政機関や雇用主等、法令に規定された者に限定されているため、規定されていない事業者の窓口において、個人番号が記載されているカードの裏面をコピー・保管することはできません。 ※マイナンバーカードを身分証明書として取り扱うかどうかは、最終的には各事業者側の判断となりますので、一部の事業者では利用できない場合があります。
10.2.6.1.1.1 総務省 http://www.soumu.go.jp/kojinbango_card/03.html#security
10.2.7 物理(環境的)セキュリティとは
10.2.7.1
10.2.7.1.1 物理的セキュリティ対策の強化 企業では社員の他にさまざまな訪問客に加え、派遣社員、アルバイト、パートなど、多様な勤務形態の従業員がオフィスを出入りします。オフィスへの入退管理を強化して、正当な用件のない部外者を社内へ不正に侵入させないようにしましょう。 オフィスの施錠管理を行う 入退室の履歴を記録に残す(台帳記入など) 身分証を発行し、従業員に携帯させる 出入りが激しい場所については、不審者がいないかどうかを常に留意する また、可能ならば、以下のような対策を実施すると、より効果的です。 セキュリティカードなどで出入り口の制限を行う 出入り口に守衛を配置したり、監視カメラを設置したりする バイオメトリクス(生体認証)など、より強固なシステムを導入する
10.2.7.1.1.1 経済産業省 http://www.jnsa.org/ikusei/engineering/09_03.html
10.2.8
10.2.9
10.3
11 【付録】
11.1 便利お役立情報一覧
11.1.1 セキュリティお役立ちリンク
11.1.1.1
11.1.1.1.1 知っておくと、いざという時役に立つリンク集  インターネットのウイルスやセキュリティ、犯罪などについて、情報を得たい場合や困ったときに参考になる、便利なWebサイトをご紹介しましょう。
11.1.1.1.1.1 トレンドマイクロ http://www.is702.jp/column/441/
11.1.1.2 インターネットセキュリティの現状を知りたい
11.1.1.2.1 IPAセキュリティセンター  独立行政法人情報処理振興事業協会IPA)が提供する、セキュリティ情報のページ。情報セキュリティ(ウイルス、不正アクセスなど)の被害状況を公開しています。被害の届出を行うこともできます。
11.1.1.2.1.1 http://www.ipa.go.jp/security/index.html
11.1.1.3 インターネットを楽しむために
11.1.1.3.1  社団法人日本インターネットプロバイダー協会が提供する、初心者向けの情報ページ。 実際に困ったときに役立つ「トラブル対策」には、ウイルスへの対策も載っています。
11.1.1.3.1.1 http://www.jaipa.or.jp/elt/
11.1.1.4 「困った!」ときの相談窓口
11.1.1.4.1 インターネットホットライン連絡協議会  インターネットに関するさまざまな問題の相談・通報窓口の総合案内的ページ。トラブル内容別の相談窓口も紹介しています。
11.1.1.4.1.1 http://www.iajapan.org/hotline/
11.1.1.5 国民生活センター
11.1.1.5.1  消費者のためのトラブル相談窓口。インターネットトラブルに関する相談と回答も充実しています。全国各地の消費生活センターへのリンクもあり、近所のセンターを探すにも便利。
11.1.1.5.1.1 http://www.kokusen.go.jp/
11.1.1.6 警察庁サイバー犯罪対策
11.1.1.6.1  インターネットを利用した犯罪(不正アクセスやフィッシングなど)に関する注意事項や法律の概要などを掲載しています。各都道府県の相談窓口も掲載されています
11.1.1.6.1.1 http://www.npa.go.jp/cyber/
11.2 情報セキュリティ5か条(IPA
11.2.1
11.2.1.1
11.2.1.1.1 情報セキュリティ五か条 OSやソフトウェアは常に最新の状態にしよう! ● Windows Update(Windows OSの場合)/ソフトウェア・アップデート(Mac OSの場合)   OSバージョンアップ(Android の場合) ● Adobe Flash Player/Adobe Reader/Java実行環境(JRE)など利用中のソフトウェアを最新版にする OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。 対策例 2 ウイルス対策ソフトを導入しよう! 対策例 ● ウイルス定義ファイルが自動更新されるように設定する ● 統合型のセキュリティ対策ソフト(ファイアウォール脆弱性対策など統合的なセキュリティ機能を搭載したソフト)の導入を検討する ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。 3 パスワードを強化しよう! 対策例 ● パスワードは英数字記号含めて10文字以上にする ● 名前、電話番号、誕生日、簡単な英単語などはパスワードに使わない ● 同じID・パスワードをいろいろなウェブサービスで使い回さない パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう 4 共有設定を見直そう! 対策例 ● クラウドサービスの共有範囲を限定する ● ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する ● 従業員の異動や退職時に設定の変更(削除)漏れがないように注意する データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。 5 脅威や攻撃の手口を知ろう! 対策例 ● IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る ● 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する 取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。 IPAセキュリティセンターは誰もが安心、安全な頼れる「IT社会」を目指して、国民の皆 様に情報セキュリティに関する注意喚起や対策情報・対策手段の提供、届出制度や相 談窓口を設けるなどセキュアな社会の整備に貢献するための活動を行っています。 E-mail:isec-info@ipa.go.jp   URL:https://www.ipa.go.jp/security/ コンピュータウイルスに感染したと思ったらIPA情報セキュリティ安心相談窓口 電話番号:03-5978-7509(平日10:00-12:00
11.2.1.1.1.1 IPA https://www.ipa.go.jp/files/000055516.pdf
11.3 5分でできる!情報セキュリティ自己診断(IPA
11.3.1
12 【奥付】

【参考】サイバーセキュリティ関連各種ガイドブックの内容要約 (2017年5月25日)

【参考】サイバーセキュリティ関連各種ガイドブックの内容要約 (2017年5月25日)
1 一般ユーザ向け
1.1 インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】
1.1.1 OS やソフトウェアは常に最新の状態にしておこう
1.1.2 パスワードは貴重品のように管理しよう
1.1.3 ログインID・パスワード絶対教えない用心深さ
1.1.4 身に覚えのない添付ファイルは開かない
1.1.5 ウイルス対策ソフトを導入しよう
1.1.6 ネットショッピングでは信頼できるお店を選ぼう
1.1.7 大切な情報は失う前に複製しよう
1.1.8 外出先では紛失・盗難に注意しよう
1.1.9 困ったときはひとりで悩まず まず相談
1.2 ネットワークビギナーのための情報セキュリティハンドブック(小冊子)【2016年02月02日NISC】⇒【2016年12月02日NISC】
1.2.1 目次
1.2.1.1 人物紹介
1.2.1.2 おうちのCSIRTになってね
1.2.1.3 Black Hat the Cracker
1.2.2 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ
1.2.2.1 S1. サイバー攻撃のイメージ
1.2.2.1.1 S1. サイバー攻撃って誰がやっているの?どうするの?
1.2.2.1.2 コラム:攻撃者とハッカーとクラッカー
1.2.2.1.3 コラム:攻撃者が使う武器「マルウェア
1.2.2.1.3.1 どんな種類があるの?
1.2.2.1.3.2 どんな機能を持つの?
1.2.2.1.3.3 どんなものが感染したり、感染させたり、悪さするようになるのか
1.2.2.1.4 S2. サイバー攻撃の例
1.2.2.1.4.1 偽サイトでのフィッシング詐欺や重要情報の不正送信
1.2.2.1.4.2 ランサムウェアで身代金要求
1.2.2.1.4.3 ボットネットに組み込まれる
1.2.2.1.5 S3. サイバー関連の犯罪やトラブル
1.2.2.1.5.1 なりすましや略取・誘拐(連れ去り)
1.2.2.1.5.2 セクスティング
1.2.2.1.5.3 ネットいじめ
1.2.2.1.6 S4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃
1.2.2.1.6.1ソーシャルエンジニアリング」は現実でもネットでも心の隙を突いてだます
1.2.3 第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!
1.2.3.1 S1. 4つのポイントでセキュリティを守る
1.2.3.1.1 P1. システムを最新に保つ。セキュリティソフトを入れて防ぐ
1.2.3.1.1.1 様々な段階でセキュリティを守る
1.2.3.1.2 P2. 複雑なパスワードと多要素認証で侵入されにくくする
1.2.3.1.3 P3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする
1.2.3.1.3.1 守りを何重にもして侵入されにくくする
1.2.3.1.4 P4. 心の隙を作らないようにする(対ソーシャルエンジニアリング
1.2.3.2 S2. 環境を最新に保つ、セキュリティソフトを導入する
1.2.3.2.1 P1. セキュリティソフトを導入して守りを固めよう
1.2.3.2.1.1 単純なウイルス検知ソフト
1.2.3.2.1.2 進化したセキュリティソフト(ふるまい検知、ヒューリスティック分析)
1.2.3.2.1.3 手配書が間に合わないゼロディ攻撃も
1.2.3.2.2 P2. パソコン本体とセキュリティの状態を最新に保とう
1.2.3.2.2.1 本体もOSもセキュリティソフトも重要ソフトもアップデート
1.2.3.2.3 P3. スマートフォンやネットワーク機器も最新に保とう
1.2.3.2.3.1 アプリやセキュリティソフトの更新は基本的に自動にし、まめにチェック
1.2.3.2.3.2 ネットにつながる家電もファームウェア更新、設定ページのID・パスワードは変更しておくこと
1.2.3.2.4 P4. ソフトやアプリは信頼できる場ところ所から。権限にも気をつける
1.2.3.2.4.1 不審な場所からアプリをインストールしない。権限に気をつける
1.2.3.2.5 コラム:必要ならばスマホにはセキュリティパックを検討しよう
1.2.3.2.5.1 必要性を感じるなら、スマホにはセキュリティパック導入を検討しよう
1.2.3.2.5.2 スマホの改造をしてはいけません
1.2.3.2.5.3 スマート家電の中にはパソコンやスマホがある?
1.2.3.2.6 コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!
1.2.3.2.6.1 ゼロディ攻撃とは? 対処の例
1.2.3.2.6.2 ゼロディ攻撃に対抗するには?
1.2.3.3 S3. 複雑なパスワードと多要素認証で侵入されにくくする
1.2.3.3.1 P1. パスワードの安全性を高める
1.2.3.3.1.1 パスワードは少なくとも英大文字小文字+数字+記号で10桁
1.2.3.3.2 P2. パスワードの使い回しをしない
1.2.3.3.2.1 同じパスワードを使い回さない。似たパスワード、法則性のあるパスワードは×
1.2.3.3.3 P3. パスワードを適切に保管する
1.2.3.3.3.1 パスワードを使用する場所に置かない。パソコンの中も×
1.2.3.3.3.2 パスワードはノートに書いて保管するか、パスワード管理アプリで守る
1.2.3.3.3.3 ブラウザの自動入力にパスワードを覚えさせない
1.2.3.3.4 P4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う
1.2.3.3.4.1 秘密の質問にはまじめに答えない。答えは使い回さない
1.2.3.3.4.2 多要素認証やログイン通知でセキュリティを向上
1.2.3.3.5 コラム:パスワードはどうやって漏れるの?どう使われるの?
1.2.3.3.5.1 様々なID・パスワードの抜き取り方法
1.2.3.3.5.2 盗んだID・パスワードを使い様々なサービスを乗っ取れるか試す
1.2.3.4 S4. 攻撃されにくくするには、手間(コスト)がかかるようにする
1.2.3.4.1 攻撃されにくくするには手間がかかるようにする
1.2.3.4.2 金銭目的ではない攻撃にも備えよう
1.2.3.4.3 攻撃者に操られて内側から鍵を開けてしまわないように心がまえを持とう
1.2.3.5 S5. 心の隙を作らないようにする(対ソーシャルエンジニアリング
1.2.3.5.1 古典的なソーシャルエンジニアリング
1.2.3.5.2 デジタル世代のソーシャルエンジニアリング
1.2.3.5.3 標的型メールの例
1.2.3.5.4 フィッシングメールの例
1.2.3.5.5 悪意はないが拡散してしまう例
1.2.3.5.6 コラム:軍事スパイ、産業スパイに狙われてしまったら
1.2.3.5.6.1 職業スパイにはコストによる防御が効かない
1.2.3.5.6.2 スパイ活動の今昔
1.2.3.5.7 コラム:映画「ザ・ハッカー」にみるソーシャルエンジニアリング
1.2.3.5.8 コラム:スパムメールとその由来
1.2.4 第2章セキュリティを理解して、ネットを安全に使う
1.2.4.1 S1. パスワードを守る、 パスワードで守る
1.2.4.1.1 P1. パスワードってなに?
1.2.4.1.2 P2. 3種類の「パスワード」を理解する
1.2.4.1.2.1 1を「PINコード」
1.2.4.1.2.2 2を「ログインパスワード」
1.2.4.1.2.3 3を「暗号キー」
1.2.4.1.3 P3. 「PI Nコード」と「ログインパスワード」に求められる複雑さの違い
1.2.4.1.4 P4. 「暗号キー」に求められる複雑さ
1.2.4.1.5 P5. どちらの「パスワード」か、わかりにくい例
1.2.4.1.5.1 トピック:パスワードを破る手段は色々
1.2.4.1.5.1.1 ブルートフォース攻撃(総当たり攻撃)
1.2.4.1.5.1.2 リスト型攻撃(アカウントリスト/パスワードリスト攻撃)
1.2.4.1.5.1.3 辞書攻撃(ディクショナリアタック)
1.2.4.1.6 P6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御
1.2.4.1.6.1 トピック:多要素認証の構成要素は?
1.2.4.1.6.1.1 ①知っているもの
1.2.4.1.6.1.2 ②持っているもの
1.2.4.1.6.1.3 ③本人自身に関するもの
1.2.4.1.6.2 トピック:指紋認証が破られることも…
1.2.4.1.7 P7. パスワードの定期変更は必要なし。流出時は速やかに変更する
1.2.4.1.8 P8. パスワード流出時の便乗攻撃に注意
1.2.4.1.9 P9. 厳重なパスワードの保管
1.2.4.1.9.1 トピック:ブラウザにはパスワード保存しない
1.2.4.1.9.2 トピック:パスワード管理方法の例
1.2.4.1.9.3 トピック:パスワード管理方法のメリットデメリット
1.2.4.1.10 P10. パスワード情報をクラウドで利用する善し悪し
1.2.4.1.11 P11. ノートやスマホを失くした場合のリカバリ考察
1.2.4.1.12 P12. 次善の策のソーシャルログイン。二段階認証などで防御
1.2.4.1.13 P13. ソーシャルログインで連携される情報に注意
1.2.4.1.13.1 トピック:ソーシャルログインに使えるアカウント
1.2.4.1.13.1.1 二段階認証
1.2.4.1.13.1.2 ログイン通知
1.2.4.1.13.2 トピック:ソーシャルログインとサービス・アプリ連携の違い
1.2.4.1.13.2.1 ソーシャルログイン
1.2.4.1.13.2.2 アプリ・サービス連携
1.2.4.1.13.3 トピック:アプリなどの連携は定期的に棚卸ししよう
1.2.4.1.14 P14. ソーシャルログインとは性格が違うサービス連携
1.2.4.1.15 コラム:暗号化の超簡単説明
1.2.4.1.15.1 トピック:暗号化ってなに?
1.2.4.1.15.1.1 平文での通信は読めてしまう
1.2.4.1.15.1.2 暗号化の魔法は内容を読めなくする
1.2.4.1.15.1.3 暗号化したものを送れば攻撃者が読めない
1.2.4.1.15.1.4 事前に決めておいた方法(暗号化方法)と呪文(「暗号キー」)で暗号文を復元(復号)する
1.2.4.1.15.2 トピック:暗号が破られる場合
1.2.4.1.15.2.1 暗号化方法の種類はいろいろ
1.2.4.1.15.2.2 暗号破られ① 呪文がバレている!
1.2.4.1.15.2.3 暗号破られ② 方法が古くて解読可能!
1.2.4.1.15.2.4 暗号破られ③ 呪文が簡単すぎて解読される
1.2.4.2 S2. 通信を守る、無線LANを安全に利用する
1.2.4.2.1 P1. それぞれの状況に合わせた暗号化の必要性
1.2.4.2.1.1 トピック:それぞれの状況に合わせた暗号化
1.2.4.2.1.1.1 通信の暗号化
1.2.4.2.1.1.2 ファイルの暗号化
1.2.4.2.2 P2. 無線LAN通信(Wi-Fi)の構成要素
1.2.4.2.2.1 トピック:暗号を使う無線LANの構成要素
1.2.4.2.2.2 トピック:公衆無線LANが安全とは限らない
1.2.4.2.2.3 トピック:「暗号キー」共有は接続しちゃダメ
1.2.4.2.3 P3. 暗号化なしや、方式が安全ではないものは危険
1.2.4.2.4 P4. 暗号化方式が安全でも「暗号キー」が漏れれば危険
1.2.4.2.5 P5. 家庭内での安全な無線LANの設定(暗号化方式
1.2.4.2.6 P6. 家庭内での安全な無線LANの設定(その他
1.2.4.2.6.1 トピック:家庭でのWi-Fiの利用
1.2.4.2.6.1.1 ①出荷時の管理者パスワード、「暗号キー」の変更
1.2.4.2.6.1.2 ②「暗号キー」は家族のヒミツ
1.2.4.2.6.1.3 ③ルータと機器の安全な運用
1.2.4.2.7 P7. 公衆無線LAN の安全な利用
1.2.4.2.8 P8. 個別の「暗号キー」を用いる方式の無線LAN
1.2.4.2.9 P9. 公衆無線LAN に関して新規に購入したスマホなどで行うこと
1.2.4.2.9.1 トピック:公衆無線LAN通信の表示の意味
1.2.4.2.9.1.1スマホやパソコンの画面から見た無線LAN暗号化
1.2.4.2.9.1.2 ②詳細な区分けから見た無線LAN暗号化
1.2.4.2.9.2 トピック:新しいスマホを購入したら…
1.2.4.2.10 P10. 公衆無線LAN が安全ではない場合の利用方法
1.2.4.2.11 P11. 自前の暗号化による盗聴対策
1.2.4.2.12 P12. まとめて暗号化するVPN、現状は過信できないが今後に期待
1.2.4.2.12.1 トピック:様々な場所から安全なアクセスを可能にするVPN新しいスマホを購入したら…
1.2.4.2.12.1.1 ①詳細なVPNのイメージ
1.2.4.2.12.1.2 ②簡単なVPNのイメージ
1.2.4.3 S3. ウェブを安全に利用する、暗号化で守る
1.2.4.3.1 P1. 無線LAN の暗号化とVPNの守備範囲
1.2.4.3.1.1 トピック:それぞれの暗号化の守備範囲
1.2.4.3.1.1.1無線LANの暗号化
1.2.4.3.1.1.2VPNによる暗号化
1.2.4.3.1.1.3 ③ウェブ、メールの暗号化
1.2.4.3.1.1.4VPNウェブメールの暗号化
1.2.4.3.2 P2. 全ての通信と、その一部であるウェブの通信
1.2.4.3.3 P3. httpsで始まる暗号化通信にはどんなものがあるか
1.2.4.3.4 P4. より厳格な審査の「EVSSL証明書
1.2.4.3.5 P5. 「EV-SSL証明書」を持つサイトを見分ける方法
1.2.4.3.6 P6. 有効期限が切れた証明書は拒否する
1.2.4.3.7 P7. 他にも証明書に関する警告が出るサイトは接続しない
1.2.4.3.8 P8. ウェブサービスのログインは二段階認証などを使う
1.2.4.3.8.1 トピック:httpsの暗号化通信で情報を守る
1.2.4.3.8.1.1 個人情報の入力は基本的には……
1.2.4.3.8.2 トピック:攻撃者が不正に取得した証明書に注意
1.2.4.3.8.3 トピック:証明書の内容をチェックする
1.2.4.3.9 P9. 二段階認証を破る「中間者攻撃」
1.2.4.3.9.1 トピック:間に入ってなりすます中間者攻撃の例
1.2.4.3.9.1.1 ①中間者攻撃で二段階認証が破られる例
1.2.4.3.9.1.2 ②中間者攻撃で二段階認証が破られにくい例
1.2.4.3.9.2 トピック:ウェブを使ったサイバー攻撃の例
1.2.4.3.9.2.1 ①メール等による感染
1.2.4.3.9.2.2 ②水飲み場攻撃による感染
1.2.4.3.10 P10. ウェブを使ったサイバー攻撃に対応する
1.2.4.4 S4. メールを安全に利用する、暗号化で守る
1.2.4.4.1 P1. メールにおける暗号化
1.2.4.4.2 P2. スパムメールの嵐と、メールの暗号化
1.2.4.4.3 P3. 受信側も暗号化で保護
1.2.4.4.4 P4. メールにおける暗号化の守備範囲
1.2.4.4.4.1 トピック:メールの送受信は暗号化されているか
1.2.4.4.4.1.1 メールソフトやアプリが暗号化(SSL)利用になっているか?
1.2.4.4.4.2 トピック:しかしSSLの通信は自分のサーバまで
1.2.4.4.4.3 トピック:暗号化している同じサービスを利用する
1.2.4.4.5 P5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化
1.2.4.4.6 P6. 怪しいメールとはなにか.. .
1.2.4.4.7 P7. マルウェア入りの添付ファイルに気をつける
1.2.4.4.7.1 トピック:ウェブメールの送受信は暗号化されているか
1.2.4.4.7.2 トピック:怪しいメールとはなにか
1.2.4.4.7.2.1 ①仕事のメールを装う
1.2.4.4.7.2.2 ② 銀行、カード会社、ECサイト、プロバイダ関係を装うメール
1.2.4.4.7.3 トピック:本当の仕事仲間のメールでも攻撃は来る
1.2.4.4.8 P8. メールアドレスのウェブサービスなどからの流出
1.2.4.4.9 P9. 流出・スパム対策としての、変更可能メールアドレスの利用
1.2.4.4.10 P10. 通信の安全と永続性を考えたSNSやメールの利用
1.2.4.4.10.1 トピック:マルウェア入りファイルの偽装
1.2.4.4.10.2 トピック:メールアドレスを変えてスパムメールから逃げる
1.2.4.5 S5. データファイルを守る、暗号化で守る
1.2.4.5.1 トピック:データの暗号化は保険
1.2.4.5.2 トピック:データを持ち運ぶときは必ず暗号化メディアを使う
1.2.4.5.3 トピック:「暗号キー」が1個の方式(共通鍵暗号方式)
1.2.4.5.4 トピック:「暗号キー」が2個の方式(公開鍵暗号方式
1.2.4.5.5 コラム:クラウドサービスからのデータ流出。原因は?
1.2.5 第3 章 スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方
1.2.5.1 1. スマホのセキュリティ設定.. .
1.2.5.1.1 1 スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×
1.2.5.1.2 2 情報漏れを防ぐ①
1.2.5.1.3 3 情報漏れを防ぐ②
1.2.5.1.4 4 スムーズな機種変更と、予期せぬデータ流出の防ぎ方
1.2.5.1.5 5 防水機能を過信してデータを失わないように
1.2.5.1.6 コラム:GPS、位置情報、ジオタグの管理
1.2.5.2 2. パソコンのセキュリティ設定..
1.2.5.2.1 1 パソコンを買ったら初期設定などを確実に
1.2.5.2.2 2 暗号化機能等でセキュリティレベルを高める
1.2.5.2.3 3 マルウェア感染に備え、バックアップ体制を整える
1.2.5.2.4 4 売却や廃棄するときはデータを消去する
1.2.5.2.5 5 盗難や紛失のとき、スマホとパソコン、どっちが安全?
1.2.5.2.6 コラム:ダブルラインでトラブルに備える
1.2.5.3 3. 屋外・海外でのネットワーク利用..
1.2.5.3.1 1 一見なにもないように見えて、危険がいっぱい
1.2.5.3.2 2 インターネットカフェの利用
1.2.5.4 4. それでも攻撃を受けてしまったときの対処..
1.2.5.4.1 1 兆候に気をつけて被害が出たら対処
1.2.5.4.2 コラム:究極の防御手段「ネットにつながない」エアギャップ
1.2.5.4.2.1 有線でも無線でも、つながっていないパソコンにはマルウェアは感染しない
1.2.5.4.2.2 しかし、USBメモリを介して感染することも
1.2.5.4.2.3 ネットに接続していなくても、少量のデータであれば盗める
1.2.5.4.2.4 オンラインで銀行口座が狙われるなら
1.2.5.4.2.5 インターネットバンキングを止めるという手も
1.2.5.4.3 コラム:無料ということの意味は何か
1.2.5.4.3.1 試食サービスのコストの例
1.2.5.4.3.2 無料ウェブサービスの例
1.2.5.4.3.3 無料の公衆無線LANサービスの例
1.2.6 第4章 被害に遭わないために、知らない間に加害者にならないために
1.2.6.1 1. 攻撃者に乗っ取られるとこんなことが起こる
1.2.6.1.1 1 被害に遭わない、そして加害者にならないために
1.2.6.1.2 2 盗まれた情報は犯罪に使われる
1.2.6.1.3 3 乗っ取られた機器はサイバー攻撃に使われる
1.2.6.1.4 4 IoTも乗っ取られる。知らずにマルウェアの拡散も…
1.2.6.2 2. サイバー関連でやってはいけないこと
1.2.6.2.1 1 アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権侵害
1.2.6.2.2 2 ゲームの不正行為。恋人や家族でもプライバシーは守る
1.2.6.2.3 3 クラッキングはクールじゃない!
1.2.6.2.4 コラム:モラルを逸脱すると炎上を生む
1.2.6.2.4.1 モラルを逸脱することが炎上を生む
1.2.6.2.4.2 自作自演やアオリ行為、嘘の書き込み
1.2.7 第5 章 自分を守る、家族を守る、災害に備える
1.2.7.1 1. SNSやネットとのつきあい方、守り方
1.2.7.1.1 1 SNSやネットの楽しみと気をつけること
1.2.7.1.2 2 SNSやネットの怖さ、こんなことが実際に起こっている
1.2.7.1.2.1 略取
1.2.7.1.2.2トーカー
1.2.7.1.2.3 犯罪勧誘
1.2.7.1.2.4 ネットいじめ
1.2.7.1.2.5 リベンジポルノ・デジタルタトゥー
1.2.7.1.3 3 SNSやネットとのつきあい方の基本
1.2.7.1.3.1 個人情報は基本的に公開しない
1.2.7.1.3.2 会ったことがない人とむやみに友だちにならない
1.2.7.1.3.3 現実世界で会おうとする人を警戒する。出会い系に近づかない
1.2.7.1.3.4 個人が特定される情報はSNSなどに投稿しない
1.2.7.1.4 4 存在するデータは流出することがある。流出したら消すことは難しい
1.2.7.1.5 コラム:SNS学校裏サイトを使ったいじめに備える(いじめ経験者からのアドバイス
1.2.7.1.6 コラム:デマに踊らされない! ソースを探せ! 確かめよう!
1.2.7.2 2. デジタルテクノロジーで家族を守る.. .
1.2.7.2.1 1 子ども達を守る
1.2.7.2.2 2 お年寄りを守る
1.2.7.3 3. 大災害やテロに備える..
1.2.7.3.1 1 まずは自分の身の安全を確保する
1.2.7.3.2 2 電池をもたす、情報収集をする
1.2.7.3.3 3 ラジオ、ワンセグを使った情報収集
1.2.7.3.4 4 徒歩帰宅。海外での災害やテロに備えて
1.2.7.3.5 コラム:屋外でのゲームを安全に楽しむ
1.2.7.3.6 5 ネットを使わない移動トレーニング(現代オリエンテーリング
1.2.7.3.7 コラム:デジタル遺産相続
1.2.8 エピローグ 来たるべき新世界
1.2.8.1 1 ネットの「今」と、どう守っていくか
1.2.8.2 2 デジタルネイティブと未来
1.2.8.3 3 バーチャル空間を超えて世界へ
1.2.8.4 4 おわりに
1.2.9 用語集.
1.2.10 情報セキュリティ関連サイト一覧
1.2.10.1 情報セキュリティ関連のサイト
1.2.10.2 海外旅行関連のサイト
1.2.10.3 災害時関連のサイト
1.2.10.4 災害時関連のサイト
1.2.10.5 いじめ対策関連
1.2.10.6 Twitterアカウント
1.2.10.7 アプリ(AndroidiOS
1.2.10.8 その他
1.2.11 索引..
1.3 マンガで学ぶサイバーセキュリティ【NISC】【初心者向け】
1.3.1 スマートフォンのセキュリティ
1.3.1.1 注意点
1.3.1.1.1 最近ではパソコンだけでなく、スマートフォンでも悪意のあるウイルスが横行している
1.3.1.1.2 ウイルス感染は「無料のアプリ」からが多い
1.3.1.1.3 OSやアプリのバージョンが古いままだと、ウイルス感染の危険性あり
1.3.1.2 対策
1.3.1.2.1 スマートフォンへのウイルス対策ソフトの導入を検討しよう
1.3.1.2.2 アプリの詳細、提供企業やレビューを確認し、信頼できるサイトからアプリをダウンロードしよう
1.3.1.2.3 OSやアプリは常に最新のバージョンにアップデートしよう
1.3.1.3 豆知識
1.3.1.3.1 最近ではマンガのような、画面をロックしてお金を要求するウイルス(ランサムウェアと呼ぶ)が流行している
1.3.1.3.2 スマートフォンだけでなく、PCも被害が出ているので注意しよう
1.3.1.3.3 迷惑メールの添付ファイルを実行すると、ウイルスに感染してしまうこともあるため、注意しよう
1.3.2 無線LANのセキュリティ
1.3.2.1 注意点誰でも接続できる無線LANのアクセスポイントの中には、悪意をもって設置されているものがある
1.3.2.1.1 悪意をもって設置されたアクセスポイントに接続すると、通信内容を見られてしまうことがある
1.3.2.1.2 インターネット接続業者が提供している公衆無線LANでも、通信が暗号化などで保護されていないものがあり、通信内容が傍受されるおそれがある
1.3.2.2 対策
1.3.2.2.1 不審な公衆Wi-Fiには接続しない
1.3.2.2.2 公衆Wi-Fiに接続する場合は、出来るだけ暗号化された、信頼できるWi-Fiを利用しよう
1.3.2.3 豆知識
1.3.2.3.1 ファイル共有機能をONにして公衆Wi-Fiに接続すると、同じWi-Fiにつないでいる人からデータが見られてしまう
1.3.2.3.2 公衆Wi-Fiを使う場合は、設定に注意しよう
1.3.2.3.3 自宅のWi-Fiにはきちんとパスワードをかけ、知らない人が接続できないようにしよう
1.3.3 インターネット上の詐欺
1.3.3.1 注意点
1.3.3.1.1 インターネット上には、ネットショッピングやインターネットバンキング等を利用する上で、お金に関する詐欺が存在する
1.3.3.1.2 ユーザを巧妙な偽サイト(フィッシングサイト)に誘導して騙す手法も増加している
1.3.3.1.3 安易にjメールを信用してUrlや添付ファイルを開くと、偽物のサイトに飛んでしまったり、ウイルスに感染してしまうことがある
1.3.3.2 対策
1.3.3.2.1 ウェブサイトのURLやメール所送付先が正規のものか、注意深く確認しよう
1.3.3.2.2 言語がカタコトだったり。連絡先が書いていないなど、疑わしいサイトは利用しない
1.3.3.3 豆知識
1.3.3.3.1 フィッシングサイトでは銀行のウェブサイトを模倣して、インターネットバンキングのIDやパスワードを盗むものも多く存在するため、注意しよう。
1.3.4 SNSの利用上の注意
1.3.4.1 注意点
1.3.4.1.1 SNSでは、悪意のあるユーザが、女性などの画像を使用してなりすまし、接触を図ってくることがある
1.3.4.1.2 悪意のあるユーザは「直接会おう」などと接近してくることもあり、犯罪に巻き込まれることもある
1.3.4.2 対策
1.3.4.2.1 見知らぬユーザとは、コンタクトをとらない
1.3.4.2.2 「会おう」などと誘われても絶対に会わない
1.3.4.3 豆知識
1.3.4.3.1 見知らぬ人が接触してくるのは、悪事を目的としていることが多い
1.3.4.3.2 見知らぬ人が写真や住所、電話番号など、個人情報を要求してくることもあるが、決して応じないこと
1.3.4.3.3 知り合いに成りすまして接近してくることも有るので、知っている人だからと言って油断しない
1.4 基礎知識|国民のための情報セキュリティサイト【総務省】
1.4.1 インターネットを使ったサービス|基礎知識|国民のための情報セキュリティサイト【総務省】
1.4.1.1 インターネットって何?
1.4.1.2 インターネットの仕組み
1.4.1.3 ホームページの仕組み
1.4.1.4 電子メールの仕組み
1.4.1.5 ブログの仕組み
1.4.1.6 電子掲示板の仕組み
1.4.1.7 SNSソーシャルネットワーキングサービス)の仕組み
1.4.1.8 チャットの仕組み
1.4.1.9 メーリングリストの仕組み
1.4.1.10 ショッピングサイトの仕組み
1.4.1.11 ネットオークションの仕組み
1.4.1.12 インターネットバンキングの仕組み
1.4.1.13 クラウドサービスとは?
1.4.1.14 スマートフォンとは?
1.4.1.15 無線LANの仕組み
1.4.2 どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト【総務省】
1.4.2.1 ウイルスとは?
1.4.2.2 ウイルスの感染経路と主な活動
1.4.2.2.1 ウイルスの感染経路
1.4.2.2.2 ウイルスの主な活動
1.4.2.3 不正アクセスとは?
1.4.2.3.1 ホームページやファイルの改ざん
1.4.2.3.2 他のシステムへの攻撃の踏み台に
1.4.2.4 詐欺等の犯罪
1.4.2.5 事故・障害
1.4.2.6 脆弱性(ぜいじゃくせい)とは?
1.4.2.7 情報発信に関するトラブル
1.4.3 インターネットの安全な歩き方|基礎知識|国民のための情報セキュリティサイト【総務省】
1.4.3.1 IDとパスワード
1.4.3.1.1 認証の仕組みと必要性
1.4.3.1.2 設定と管理のあり方
1.4.3.2 ウイルスに感染しないために
1.4.3.3 不正アクセスに遭わないために
1.4.3.4 詐欺や犯罪に巻き込まれないために
1.4.3.5 事故・障害への備え
1.4.3.6 情報発信の心得
1.4.4 情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト【総務省】
1.4.4.1 ファイアウォールの仕組み
1.4.4.2 暗号化の仕組み
1.4.4.3 SSLの仕組み
1.4.4.4 ファイル共有ソフトとは?
1.4.5 情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト
1.4.5.1 法律違反の事例
1.4.5.2 刑法
1.4.5.3 サイバーセキュリティ基本法
1.4.5.4 著作権法
1.4.5.5 電気通信事業法
1.4.5.6 電子署名及び認証業務に関する法律
1.4.5.7 電子署名に係る地方公共団体の認証業務に関する法律
1.4.5.8 電波法
1.4.5.9 特定電子メールの送信の適正化等に関する法律
1.4.5.10 不正アクセス行為の禁止等に関する法律
1.4.5.11 有線電気通信法
1.5 一般利用者の対策|国民のための情報セキュリティサイト【総務省】
1.5.1 基本的な対策
1.5.1.1 ソフトウェアを最新に保とう
1.5.1.2 ウイルス対策をしよう
1.5.1.2.1 ウイルス対策ソフト
1.5.1.2.2 記憶媒体からのウイルス感染
1.5.1.3 ホームページ閲覧の危険性
1.5.1.4 パスワードの設定と管理
1.5.1.5 フィッシング詐欺に注意
1.5.1.6 ワンクリック詐欺に注意
1.5.1.7 無線LANの安全な利用
1.5.1.8 機器の廃棄
1.5.1.9 個人に関する情報の取扱い
1.5.1.10 プライバシー情報の取扱い
1.5.1.11 サポート期間が終了するソフトウェアに注意
1.5.1.12 サーバ証明書の切り替えによる影響について
1.5.2 インターネット上のサービス利用時の脅威と対策
1.5.2.1 【インターネット】
1.5.2.1.1 ホームページ閲覧における注意点
1.5.2.1.2 ネットオークションにおける危険性
1.5.2.1.3 ショッピングサイトの利用
1.5.2.1.4 インターネットバンキングの注意点
1.5.2.1.5 SNS利用上の注意点
1.5.2.1.6 クラウドサービス利用上の注意点
1.5.2.1.7 動画配信サイトなどの注意点
1.5.2.1.8 オンラインゲームの注意点
1.5.2.2 【電子メール】
1.5.2.2.1 ウイルス添付メールなどへの対応
1.5.2.2.2 迷惑メールへの対応
1.5.2.2.3 チェーンメールの問題点
1.5.2.2.4 メールの誤送信
1.5.2.3 【情報機器】
1.5.2.3.1 家族共用パソコンの注意点
1.5.2.3.2 携帯電話・スマートフォンタブレット端末の注意点
1.5.2.3.3 ゲーム機の注意点
1.5.2.3.4 インターネット対応機器(家電、記憶媒体等)の注意点
1.5.2.4 【その他】
1.5.2.4.1 ファイル共有ソフトの利用とその危険性
1.5.3 情報発信の際の注意
1.5.3.1 著作権侵害に注意
1.5.3.2 個人情報の公開の危険性
1.5.3.3 ネットを使ったいやがらせや迷惑行為
1.5.3.4 発信内容は慎重に
1.5.4 事故・被害の事例
1.5.4.1 事例1:資料請求の情報が漏洩した
1.5.4.2 事例2:私の名前で誰かがメールを
1.5.4.3 事例3:ホームページを見ただけで・・・
1.5.4.4 事例4:猛威!デマウイルス
1.5.4.5 事例5:メールが他人に読まれている?
1.5.4.6 事例6:ネットストーカーに注意
1.5.4.7 事例7:ウイルス対策はしていたはずなのに・・・
1.5.4.8 事例8:送った覚えがないのに・・・
1.5.4.9 事例9:オークションの商品が届かない
1.5.4.10 事例10:メールの儲け話に注意
1.5.4.11 事例11:中古パソコンによるデータの漏洩
1.5.4.12 事例12:クレジットカード番号が盗まれた
1.5.4.13 事例13:ファイル共有ソフトが原因で・・・
1.5.4.14 事例14:ワンクリック詐欺に注意
1.5.4.15 事例15:自分の名前で勝手に書き込みが・・・
1.5.4.16 事例16:インターネットバンキングで情報が盗まれた
1.5.4.17 事例17:有名サイトからダウンロードしたはずなのに・・・
1.5.4.18 事例18:ブロードバンドルータから認証情報が盗まれた・・・
2 企業向け(特に中小企業)
2.1 中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】
2.1.1 一式公開ページ
2.1.2 本文
2.1.2.1 経営者の皆様へ
2.1.2.1.1 情報セキュリティ対策は、経営に大きな影響を与えます!
2.1.2.1.2 経営者が自ら動かなければ、法的・道義的責任を問われます!
2.1.2.1.3 組織として対策するために、担当者への指示が必要です!
2.1.2.2 対象組織と想定する読者
2.1.2.2.1 経営者層・システム管理者層
2.1.2.2.2 対象組織
2.1.2.2.2.1ガイドラインは、業種を問わず中小企業及び小規模事業者(法人のほか、個人事業 主や各種団体も含む) 1を対象として作成されています。
2.1.2.2.3 想定読者
2.1.2.2.3.1 組織の経営者と、経営者の指示のもとで重要な情報を管理する方を読者と想定して います。
2.1.2.3 全体解説
2.1.2.3.1 (1)本ガイドラインの構成
2.1.2.3.1.1 本編2部と付録より構成
2.1.2.3.2 (2)本ガイドラインの使い方
2.1.2.3.2.1 ①経営者の方
2.1.2.3.2.2 ②経営者の指示のもとで重要な情報を管理する方
2.1.2.3.2.3 【図3】情報セキュリティ対策の進め方
2.1.2.3.2.3.1 Step1 まず始める
2.1.2.3.2.3.1.1 情報セキュリティ5か条
2.1.2.3.2.3.2 Step2 現状を知り改善する
2.1.2.3.2.3.2.1 情報セキュリティ自社診断
2.1.2.3.2.3.3 Step3 本格的に取り組む
2.1.2.3.2.3.3.1 情報セキュリティポリシーの策定
2.1.2.3.2.3.4 Step4 改善を続ける
2.1.2.3.2.3.4.1 情報セキュリティ対策のさらなる改善に向けて
2.1.2.4 第 1部 経営者編
2.1.2.4.1 情報セキュリティ対策を怠ることで企業が被る不利益
2.1.2.4.1.1 (1) 金銭の喪失
2.1.2.4.1.1.1 【表2】最近のサイバー攻撃等による情報漏えい等の経済的損失例
2.1.2.4.1.1.1.1 情報漏えい
2.1.2.4.1.1.1.1.1 教育サービス事業者で顧客の個人情報が3504件が漏えい(2014年)
2.1.2.4.1.1.1.1.1.1 システム開発・運用を行っている委託先の再委託先社員による不正取得と名簿の売却
2.1.2.4.1.1.1.1.2 株式を公開している雑貨卸事業者でインターネット上の株主向けサービスに登録された株主の個人情報6187件(他社の株主個人情報含め12014件)が漏えいした(2015年)
2.1.2.4.1.1.1.1.2.1 運営委託先サービスサイトへの不正アクセス
2.1.2.4.1.1.1.1.3 航空会社の顧客の個人情報4131件が漏えいした(2014年)
2.1.2.4.1.1.1.1.4 菓子食品製造事業者で個人情報29999件が漏えいした(2015年)
2.1.2.4.1.1.1.1.5 国内半導体製造事業者の技術jに関する機密情報が韓国の同業者に漏えい(2014年)
2.1.2.4.1.1.1.1.6 メガネ販売事業者でオンラインショップ顧客のクレジットカード情報2059件の漏えい(2013年)
2.1.2.4.1.1.1.2 ウイルス感染
2.1.2.4.1.1.1.2.1 米国の病院で院内ネットワークで共有する電子カルテシステムがウイルスによる攻撃により動作しなくなり診療不能に(2016年)
2.1.2.4.1.1.1.2.1.1 ランサムウェアに感染し、ファイルが暗号化されたため
2.1.2.4.1.1.1.3 ウェブサイト改ざん
2.1.2.4.1.1.1.3.1 観光バス事業者のホームページが改ざんされ閲覧するとウイルスに感染する恐れ(2014年)
2.1.2.4.1.2 (2) 顧客の喪失
2.1.2.4.1.3 (3) 業務 の喪失
2.1.2.4.1.4 (4) 従業員 への影響
2.1.2.4.2 経営者が負う責任
2.1.2.4.2.1 (1) 経営者などに問われる法的責任
2.1.2.4.2.1.1 ・個人情報
2.1.2.4.2.1.2 ・他社から預かった秘密情報
2.1.2.4.2.1.3 ・自社の秘密情報
2.1.2.4.2.1.4 ・株価に影響を与える可能性のある未公開内部情報
2.1.2.4.2.2 (2) 関係者や社会に対する責任
2.1.2.4.2.2.1 ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン
2.1.2.4.2.2.2 法令順守・顧客・取引先・従業員
2.1.2.4.3 経営者は何をすればよいか
2.1.2.4.3.1 サイバーセキュリティ経営ガイドライン【2015年12月MEIT・IPA】の内容を中小企業向けに編集
2.1.2.4.3.2 経営者が認識する必要な「3原則」
2.1.2.4.3.2.1 原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める
2.1.2.4.3.2.1.1 さまざまな脅威がもたらすリスクに対する対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策を実施します。
2.1.2.4.3.2.1.2 セキュリティ対策をしないことによる損失、対策に要する投資、ITの利活用を推進することによる利益を勘案して判断
2.1.2.4.3.2.1.2.1 セキュリティ対策をしないことによる損失>対策に要する投資
2.1.2.4.3.2.1.2.2 ITの利活用を推進することによる利益>対策に要する投資
2.1.2.4.3.2.2 原則2 委託先における情報セキュリティ対策まで考慮する
2.1.2.4.3.2.2.1 自社同様に十分な注意を払い、必要に応じて委託先が実施している情報セキュリティ対策も確認
2.1.2.4.3.2.3 原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない
2.1.2.4.3.2.3.1 普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。
2.1.2.4.3.3 企業が重要 として実施する「重要 7項目の取組」
2.1.2.4.3.3.1 取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める
2.1.2.4.3.3.1.1 「当社は中小企業の情報セキュリティ対策ガイドラインに基づき情報セキュリティ対策を実践する。」「当社は顧客情報の流出防止を徹底することから情報セキュリティ対策を開始する。」
2.1.2.4.3.3.2 取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する
2.1.2.4.3.3.2.1 万が一事故(インシデント7)が起きてしまった場合、被害を最小限に止めるために、あらかじめ準備することも含みます。
2.1.2.4.3.3.3 取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる
2.1.2.4.3.3.3.1 事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。検討した対策ごとに予算を与え、担当者を任命し、実行を指示します。
2.1.2.4.3.3.4 取組4 情報セキュリティ対策に関する定期的な見直しを行う
2.1.2.4.3.3.4.1 最初から最適な形で実現することはどんな会社でも難しいもの。また情報技術は進化が早く、加えて脅威も変化します。
2.1.2.4.3.3.5 取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする
2.1.2.4.3.3.5.1 契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する
2.1.2.4.3.3.5.2 利用規約やサービスに付随する情報セキュリティ対策等を確認したうえで選定するよう担当者に指示する
2.1.2.4.3.3.6 取組6 情報セキュリティに関する最新動向を収集する
2.1.2.4.3.3.6.1 情報セキュリティに関する最新動向を発信している公的機関8などを把握しておき、常時参照することで、新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。
2.1.2.4.3.3.7 取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく
2.1.2.4.3.3.7.1 万が一のインシデントに備えて、緊急時の連絡体制を整備します。、経営者の対応についても、あらかじめ決めておけば、冷静で的確な対応が可能になります。
2.1.2.5 第 2部 管理実践編
2.1.2.5.1 情報セキュリティ管理の進め方
2.1.2.5.1.1 【図5】ガイドラインの使用方法
2.1.2.5.2 情報セキュリティ5か条
2.1.2.5.2.1 【表4】情報セキュリティ5か条
2.1.2.5.2.2 OSやソフトウェアは常に最新の状態にしよう!
2.1.2.5.2.3 ウイルス対策ソフトを導入しよう!
2.1.2.5.2.4 パスワードを強化しよう!
2.1.2.5.2.5 共有設定を見直そう!
2.1.2.5.2.6 脅威や攻撃の手口を知ろう!
2.1.2.5.3 5分でできる!情報セキュリティ自社診断
2.1.2.5.3.1 Part1 基本的対策
2.1.2.5.3.2 Part2 従業員としての対策
2.1.2.5.3.3 Part3 組織としての対策
2.1.2.5.4 情報セキュリティポリシーの策定
2.1.2.5.4.1 (1)基本的な考え方
2.1.2.5.4.1.1 ① 自社に適合したポリシーを策定
2.1.2.5.4.1.1.1 【図6】セキュリティポリシー文書構成
2.1.2.5.4.1.2 ② 情報セキュリティリスクの大きなものから重点的に対策を実施
2.1.2.5.4.1.2.1 【図7】リスクの「保有」の考え方
2.1.2.5.4.2 (2) ポリシー策定までの流れ
2.1.2.5.4.2.1 【図8】情報セキュリティポリシー策定までの流れ
2.1.2.5.4.2.2 手順1 情報資産台帳を作成する
2.1.2.5.4.2.2.1 どのような情報資産があるか洗い出して重要度を判断する
2.1.2.5.4.2.2.2 機密性、完全性、可用性それぞれの評価値11を記入します(表6)。
2.1.2.5.4.2.2.3 機密性・完全性・可用性の評価値から重要度を判定します(表7)。
2.1.2.5.4.2.2.4 【表6】情報資産の機密性・完全性・可用性の評価基準
2.1.2.5.4.2.2.4.1 機密性・完全性・可用性→重要度
2.1.2.5.4.2.2.5 【表7】情報資産の重要度判断基準
2.1.2.5.4.2.2.6 付録の利用方法(手順1)
2.1.2.5.4.2.3 手順2 リスク値の算定
2.1.2.5.4.2.3.1 リスク値=重要度(機密性×完全性×機密性)×被害発生可能性の合計(脅威の起きる可能性×脆弱性の大きさ)
2.1.2.5.4.2.3.2 【表9】リスク値の算定基準
2.1.2.5.4.2.3.3 【表10】脅威例に応じたリスクのレベル
2.1.2.5.4.2.3.4 付録の利用方法(手順2)
2.1.2.5.4.2.4 手順3 情報セキュリティ対策を決定(対策を決める)
2.1.2.5.4.2.4.1 ア)リスクを低減する
2.1.2.5.4.2.4.1.1  自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。
2.1.2.5.4.2.4.2 イ)リスクを保有する
2.1.2.5.4.2.4.2.1  事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持します。
2.1.2.5.4.2.4.3 ウ)リスクを回避する
2.1.2.5.4.2.4.3.1  仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。
2.1.2.5.4.2.4.4 リスクを許容する
2.1.2.5.4.2.4.5 付録の利用方法(ツールA)
2.1.2.5.4.2.5 手順4 情報セキュリティポリシーを策定(対策をルールにする)
2.1.2.5.4.2.5.1 付録の利用方法(手順4)
2.1.2.5.4.2.5.2 【表11】情報セキュリティポリシーサンプル
2.1.2.5.4.2.5.2.1 1 組織的対策
2.1.2.5.4.2.5.2.2 2 人的対策
2.1.2.5.4.2.5.2.3 3 情報資産管理
2.1.2.5.4.2.5.2.4 4 マイナンバー対応
2.1.2.5.4.2.5.2.5 5 アクセス制御及び認証
2.1.2.5.4.2.5.2.6 6 物理的対策
2.1.2.5.4.2.5.2.7 7 IT機器利用
2.1.2.5.4.2.5.2.8 8 IT基盤運用管理
2.1.2.5.4.2.5.2.9 9 システムの開発及び保守
2.1.2.5.4.2.5.2.9.1 社内でシステム開発を行う場合
2.1.2.5.4.2.5.2.10 10 委託管理
2.1.2.5.4.2.5.2.10.1 業務委託を行う場合
2.1.2.5.4.2.5.2.11 11 情報セキュリティインシデント対応及び事業継続管理
2.1.2.5.4.2.5.2.12 12 社内体制図
2.1.2.5.4.2.5.2.12.1 従業員数2名以上
2.1.2.5.4.2.5.2.13 13 委託契約書サンプル
2.1.2.5.4.2.5.2.13.1 委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合
2.1.2.5.4.3 (3)委託時の情報セキュリティ対策
2.1.2.5.4.4 (4)情報セキュリティ対策の実行
2.1.2.5.4.4.1 ① 通常時の役割
2.1.2.5.4.4.1.1 経営者
2.1.2.5.4.4.1.2 管理者層
2.1.2.5.4.4.1.3 一般従業員
2.1.2.5.4.4.2 ② 緊急時の対応
2.1.2.5.4.4.2.1 ※しおり
2.1.2.5.4.4.2.1.1 ① 緊急時の指揮命令と対応の優先順位の決定
2.1.2.5.4.4.2.1.2 ② インシデントへの対応(インシデントレスポンス)
2.1.2.5.4.4.2.1.3 ③ インシデントの影響と被害の分析
2.1.2.5.4.4.2.1.4 ④ 情報収集と自社に必要な情報の選別
2.1.2.5.4.4.2.1.5 ⑤ 社内関係者への連絡と周知
2.1.2.5.4.4.2.1.6 ⑥ 外部関係機関との連絡
2.1.2.5.4.5 (5)チェックと改善
2.1.2.5.4.5.1 ① チェックの方法
2.1.2.5.4.5.2 ② 改善の方法
2.1.2.5.5 情報セキュリティ対策のさらなる改善に向けて
2.1.2.5.5.1 (1)情報セキュリティマネジメントサイクルによる継続的改善
2.1.2.5.5.1.1  ISO/IEC27001 が定めているマネジメントシステム(管理のしくみ)の考え方の基本は、Plan(計画)、Do(実行)、Check(チェック)、Act(改善)の4段階の活動(PDCA サイクル13)を順に繰り返すことを通じて改善していくことにあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。
2.1.2.5.5.1.1.1 Plan:情報セキュリティ対策の計画立案または見直し
2.1.2.5.5.1.1.2 Do:情報セキュリティ対策の実践
2.1.2.5.5.1.1.3 Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定
2.1.2.5.5.1.1.4 Act:改善の実施
2.1.2.5.5.2 (2)情報セキュリティ対策に関する標準規格
2.1.2.5.5.2.1 付録3で示す対策は、中小企業でも取り組みやすいように情報セキュリティの国際規格であるISO/IEC 27002(情報セキュリティ管理策の実践のための規範)から抜粋し、解りやすい表現にしています。
2.1.2.5.5.3 (3)情報セキュリティ監査・点検の実施
2.1.2.5.5.3.1 質問(ヒアリング):従業員や委託先の管理者などに直接質問して回答を求める
2.1.2.5.5.3.2 閲覧(レビュー):情報セキュリティポリシーの関連手続きで申請書などの帳票や、コンピュータのログ、設定内容など実行の証拠となるものを見て確認する
2.1.2.5.5.3.3 観察(視察):監査・点検者が現場に赴き、情報セキュリティ対策を行う当事者が情報セキュリティポリシーに従った行動をしていることを目視で確認する
2.1.2.5.5.3.4 技術診断:技術的対策の運用状況などについて、監査・点検者が自ら機器を操作することによって検証する(情報システムや社内ネットワークの脆弱性を確認するために、専用ソフトウェアを使い技術的な脆弱性を診断することもある)
2.1.2.5.5.4 (4)改善の実施
2.1.2.5.5.4.1 経営者や管理者層での議論、検討を通じて、情報セキュリティポリシーや具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に向けた改善につなげていきます。
2.1.2.6 おわりに
2.1.2.6.1
2.1.2.6.1.1 標的型攻撃の巧妙化により、適切な対策を実施していても被害を完全に防ぐことが困難になる中、異常事態の発生を素早く検知し、被害を最小限に抑制するための体制が注目されるなど、対策面も変化しています。また、マイナンバー法の施行、個人情報保護法の改正などに伴い、企業規模を問わず情報セキュリティに対する社会的要請、法的責任が拡大し、中小企業においても情報セキュリティへの取り組みは優先課題となっています。
2.1.2.6.1.2  一方で、中小企業では依然として資金面や人材面での制約から情報セキュリティ対策の実施が難しいといわれており、実際の統計からも大企業に比較すれば対策が進んでいない傾向が認められます。
2.1.2.6.1.3 。こうした状況を踏まえ、近年、変化・増大する脅威に対する情報セキュリティ対策を、適切かつ有効なものとすることを目的として、本ガイドラインの初版の内容を抜本的に見直し、改訂版を作成することとしました。
2.1.2.6.1.4 中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができないという不利を抱える一方で、経営者を含め「従業員の顔が見える」という有利な条件を備えています。
2.1.2.6.1.5 情報セキュリティの第一歩は、経営者が情報セキュリティの重要性を自ら認識し、そのことを従業員に伝え、従業員がその対策を行う意義を理解することです
2.1.2.6.1.6 。つまり、「従業員の顔が見える」ということは経営者が直接管理者・担当者に対策を指示することができ、対策の結果についても直接報告を受けることができるなど、大企業に比べて迅速に対応ができるという有利な条件を備えています。
2.1.2.6.1.7 また、この特質を生かすことで、大企業では必要となるセキュリティ監視や情報共有のための設備が不要とできるため、大企業よりも費用をかけずに対策を実現することも可能です。
2.1.2.7 本書で用いてる語の説明
2.1.2.7.1 インシデント
2.1.2.7.2 (情報の)可用性
2.1.2.7.3 (情報の)完全性
2.1.2.7.4 (情報の)機密性
2.1.2.7.5 クラウドサービス
2.1.2.7.6 個人情報
2.1.2.7.7 サイバーセキュリティ
2.1.2.7.8 CSIRT( シーサート、Computer Security Incident Response Team)
2.1.2.7.9 情報セキュリティ
2.1.2.7.10 情報セキュリティインシデント
2.1.2.7.11 情報セキュリティに関連した保険商品
2.1.2.7.12 情報セキュリティポリシー
2.1.2.7.13 情報セキュリティマネジメントサイクル
2.1.2.7.14 ソーシャルエンジニアリング
2.1.2.7.15 ランサムウェア
2.1.3 ◦付録1:
2.1.3.1 情報セキュリティ5か条(全2ページ、721KB)pdf
2.1.3.1.1 こんな情報があるはず!
2.1.3.1.1.1 従業員のマイナンバー、住所、給与明細
2.1.3.1.1.2 お客様や取引先の連絡先一覧
2.1.3.1.1.3 取引先ごとの仕切り額や取引実績
2.1.3.1.1.4 新製品の設計図などの開発情報
2.1.3.1.1.5 組織の経理情報
2.1.3.1.1.6 取引先から取扱注意と言われた情報
2.1.3.1.2 漏れたら大変!こんなダメージが!
2.1.3.1.2.1 被害者への損害賠償などの支払い
2.1.3.1.2.2 取引停止、顧客の他社への流出
2.1.3.1.2.3 ネットの遮断などによる生産効率のダウン
2.1.3.1.2.4 従業員の士気低下
2.1.3.1.3 まずは始めてみよう
2.1.3.1.3.1 ①OSやソフトウェアは常に最新の状態に使用!
2.1.3.1.3.1.1 OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。
2.1.3.1.3.2ウイルス対策ソフトを導入しよう!
2.1.3.1.3.2.1 ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。
2.1.3.1.3.3 ③パスワードを強化しよう!
2.1.3.1.3.3.1 パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。
2.1.3.1.3.4 ④共有設定を見直そう!
2.1.3.1.3.4.1 データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。
2.1.3.1.3.5 ⑤脅威や攻撃の手口を知ろう!
2.1.3.1.3.5.1 取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。
2.1.4 ◦付録2:
2.1.4.1 5分でできる!情報セキュリティ自社診断シート(全2ページ、417KB)pdf
2.1.4.1.1 Part1 基本的対策
2.1.4.1.1.1 1.Windows Update※1 を行うなどのように、常にOS やソフトウェアを安全な状態にしていますか?
2.1.4.1.1.2 2.パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル※2 を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?
2.1.4.1.1.3 3,パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?
2.1.4.1.1.4 4.ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?
2.1.4.1.1.5 5.利用中のウェブサービス※3 や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
2.1.4.1.2 Part2 従業員としての対策
2.1.4.1.2.1 6.受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?
2.1.4.1.2.2 7.電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
2.1.4.1.2.3 8.重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?
2.1.4.1.2.4 9.無線LAN を利用する時は強固な暗号化を必ず利用するなどのように、無線LAN を安全に使うための対策をしていますか?
2.1.4.1.2.5 10.業務端末でのウェブサイトの閲覧やSNS への書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?
2.1.4.1.2.6 11.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?
2.1.4.1.2.7 12.重要情報を机の上に放置せず書庫に保管し施錠するなどのように、重要情報の紛失や漏えいを防止していますか?
2.1.4.1.2.8 13.重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
2.1.4.1.2.9 14.離席時にコンピュータのロック機能を利用するなどのように、他人に使われないようにしていますか?
2.1.4.1.2.10 15.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?
2.1.4.1.2.11 16.退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなどのように、盗難防止対策をしていますか?
2.1.4.1.2.12 17.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
2.1.4.1.2.13 18.重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?
2.1.4.1.3 Part3 組織としての対策
2.1.4.1.3.1 19.クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?
2.1.4.1.3.2 20.社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利用の可否を明確にしていますか?
2.1.4.1.3.3 21.採用の際に守秘義務や罰則規定があることを知らせるなどのように、従業員に秘密を守らせていますか?
2.1.4.1.3.4 22.情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?
2.1.4.1.3.5 23.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?
2.1.4.1.3.6 24.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?
2.1.4.1.3.7 25.情報セキュリティ対策(上記1~24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?
2.1.4.1.4 さらなる情報セキュリティ対策の検討するには
2.1.4.1.4.1 「5 分でできる!情報セキュリティ自社診断」の次のステップとして、ガイドラインを活用したポリシーの策定やベンチマークでの自己診断を実施してみよう。
2.1.4.1.4.2 中小企業の情報セキュリティ対策ガイドライン
2.1.4.1.4.2.1 https://www.ipa.go.jp/security/keihatsu/sme/guideline/
2.1.4.1.4.3 情報セキュリティ対策ベンチマーク
2.1.4.1.4.3.1 https://www.ipa.go.jp/security/benchmark/
2.1.4.1.5 自社診断シートで100 点満点を目指すには
2.1.4.1.5.1 「5 分でできる!情報セキュリティ自社診断パンフレット」のほか、以下のページで提供されている資料もより具体的な対策の検討に有用ですのでご活用ください。
2.1.4.1.5.2 情報セキュリティ対策支援サイトiSupport
2.1.4.1.5.2.1 https://www.ipa.go.jp/security/isec-portal/
2.1.4.1.5.3 対策のしおり
2.1.4.1.5.3.1 https://www.ipa.go.jp/security/antivirus/shiori.html
2.1.4.1.5.4 映像で知る情報セキュリティ
2.1.4.1.5.4.1 https://www.ipa.go.jp/security/keihatsu/videos/
2.1.4.2 一般職員向け 情報セキュリティハンドブックひな形(全11ページ、444KB)PowerPoint
2.1.4.2.1 1 全社基本ルール
2.1.4.2.1.1 OSとソフトウェアのアップデート
2.1.4.2.1.2 ウイルス対策ソフトの導入
2.1.4.2.1.3 パスワードの管理
2.1.4.2.1.4 アクセス制限
2.1.4.2.1.5 セキュリティに対する注意
2.1.4.2.1.5.1 独立行政法人情報処理推進機構((略称:IPA) 重要なセキュリティ情報
2.1.4.2.1.5.1.1 http://www.ipa.go.jp/security/index.html
2.1.4.2.1.5.2 JVN (Japan Vulnerability Notes)
2.1.4.2.1.5.2.1 http://jvn.jp/index.html
2.1.4.2.1.5.3 一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)
2.1.4.2.1.5.3.1 https://www.jpcert.or.jp/
2.1.4.2.2 2 仕事中のルール
2.1.4.2.2.1 電子メールの利用
2.1.4.2.2.2 インターネットの利用
2.1.4.2.2.3 データのバックアップ
2.1.4.2.2.4 クリアデスク・クリアスクリーン
2.1.4.2.2.5 重要情報の持ち出し
2.1.4.2.2.6 入退室
2.1.4.2.2.7 電子媒体・書類の廃棄
2.1.4.2.3 3 全社共通のルール
2.1.4.2.3.1 私有情報機器の利用
2.1.4.2.3.2 クラウドサービスの利用
2.1.4.2.4 3 従業員のみなさんへ
2.1.4.2.4.1 従業員の守秘義務
2.1.4.2.4.2 事故が起きてしまったら
2.1.5 ◦付録3:
2.1.5.1 <ツールA>リスク分析シート(全5シート、79KB)excel
2.1.5.1.1 情報資産台帳記入例
2.1.5.1.2 情報資産管理台帳
2.1.5.1.3 脅威の状況
2.1.5.1.3.1 書類
2.1.5.1.3.1.1 秘密書類の事務所からの盗難
2.1.5.1.3.1.2 秘密書類の外出先での紛失・盗難
2.1.5.1.3.1.3 情報搾取目的の内部不正による書類の不正持ち出し
2.1.5.1.3.1.4 業務遂行に必要な情報が記載された書類の紛失
2.1.5.1.3.2 可搬電子媒体
2.1.5.1.3.2.1 秘密情報が格納された電子媒体の事務所からの盗難
2.1.5.1.3.2.2 秘密情報が格納された電子媒体の外出先での紛失・盗難
2.1.5.1.3.2.3 情報搾取目的の内部不正による電子媒体の不正持ち出し
2.1.5.1.3.2.4 業務遂行に必要な情報が記載された電子媒体の紛失
2.1.5.1.3.3 事務所PC
2.1.5.1.3.3.1 情報搾取目的の事務所PCへのサイバー攻撃
2.1.5.1.3.3.2 情報搾取目的の事務所PCでの内部不正
2.1.5.1.3.3.3 事務所PCの故障による業務に必要な情報の喪失
2.1.5.1.3.3.4 事務所PC内データがランサムウェアに感染して閲覧不可
2.1.5.1.3.3.5 不正送金を狙った事務所PCへのサイバー攻撃
2.1.5.1.3.4 モバイル機器
2.1.5.1.3.4.1 情報搾取目的でのモバイル機器へのサイバー攻撃
2.1.5.1.3.4.2 情報搾取目的の不正アプリをモバイル機器にインストー
2.1.5.1.3.4.3 秘密情報が格納されたモバイル機器の紛失・盗難
2.1.5.1.3.5 社内サーバー
2.1.5.1.3.5.1 情報搾取目的の社内サーバーへのサイバー攻撃
2.1.5.1.3.5.2 情報搾取目的の社内サーバーでの内部不正
2.1.5.1.3.5.3 社内サーバーの故障による業務に必要な情報の喪失
2.1.5.1.3.6 クラウド
2.1.5.1.3.6.1 安易なパスワードの悪用によるアカウントの乗っ取り
2.1.5.1.3.6.2 バックアップを怠ることによる業務に必要な情報の喪失
2.1.5.1.4 対策状況チェック
2.1.5.1.4.1 (1) 組織的セキュリティ対策
2.1.5.1.4.1.1 経営者の主導で情報セキュリティの方針を示していますか?
2.1.5.1.4.1.2 情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか?
2.1.5.1.4.1.3 情報セキュリティ対策を実施するための体制を整備していますか?
2.1.5.1.4.1.4 情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか?
2.1.5.1.4.2 (2) 人的セキュリティ対策
2.1.5.1.4.2.1 秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員等を含む)に就業規則や契約等を通じて秘密保持義務を課していますか?
2.1.5.1.4.2.2 従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか?
2.1.5.1.4.2.3 会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか?
2.1.5.1.4.3 (3) 情報資産管理
2.1.5.1.4.3.1 管理を必要とする情報資産は、すべて情報資産管理台帳に記載することを定めていますか?
2.1.5.1.4.3.2 秘密情報は業務上必要な範囲でのみ利用を認めていますか?
2.1.5.1.4.3.3 秘密情報の対象となるファイルやデータを丸秘マークや格付け表示等で識別可能とすることを定めていますか?
2.1.5.1.4.3.4 秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか?
2.1.5.1.4.3.5 秘密情報を机の上に放置せず施錠保管するなどして、のぞき見されたり紛失しないようにしていますか?
2.1.5.1.4.3.6 情報資産のバックアップに関する手順を定め、手順が遵守されていることを確認していますか?
2.1.5.1.4.3.7 秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか?
2.1.5.1.4.4 (4) マイナンバー対応
2.1.5.1.4.4.1 特定個人情報の取扱ルール(管理担当者の割当て、関連規程の整備、記録の保存、定期的点検)が定められていますか?
2.1.5.1.4.4.2 特定個人情報に関する漏えい等の事案に備えた報告連絡体制が整備されていますか?
2.1.5.1.4.4.3 特定個人情報の保護のための安全管理措置(人的、物理的、技術的のそれぞれ)を行うことが定められていますか?
2.1.5.1.4.5 (5) アクセス制御と認証
2.1.5.1.4.5.1 業務で利用するすべてのサーバに対して、アクセス制御の方針が定められていますか?
2.1.5.1.4.5.2 サーバのアクセス権限は、従業員の退職や異動に応じて随時更新され、定期的なレビューを通じてその適切性が検証されていますか?
2.1.5.1.4.5.3 情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なアクセス制御を行うことを定めていますか?
2.1.5.1.4.5.4 サーバで用いるパスワードは、適切なもののみが受け入れられる機能を通じて設定されていますか?
2.1.5.1.4.5.5 業務で利用する暗号化機能及び暗号化に関するアプリケーションは、その運用方針が明確に定められていますか?
2.1.5.1.4.6 (6) 物理的セキュリティ対策
2.1.5.1.4.6.1 業務を行う場所に、第三者が許可無く立入できないようにするための対策(物理的に区切る、見知らぬ人には声をかける、等)が講じられていますか?
2.1.5.1.4.6.2 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
2.1.5.1.4.6.3 高いセキュリティを確保する区域には、許可された者以外は接近できないような保護措置がなされていますか?
2.1.5.1.4.6.4 秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体等の持込み・利用は禁止されていますか?
2.1.5.1.4.7 (7) IT機器利用
2.1.5.1.4.7.1 セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか?
2.1.5.1.4.7.2 ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか?
2.1.5.1.4.7.3 業務で利用するIT機器で用いるパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、等)ことを定めていますか?
2.1.5.1.4.7.4 業務で利用する機器が誰かに勝手に使われないようにするための措置(離席時にパスワード付きのスクリーンセーバーが動作する、持ち運び可能な機器は施錠できる場所に格納する、等)を定めていますか?
2.1.5.1.4.7.5 業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか?
2.1.5.1.4.7.6 社外で業務を行う場合のルールを定めていますか?
2.1.5.1.4.7.7 業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定めていますか?
2.1.5.1.4.7.8 受信した電子メールが不審かどうかを確認することを求めていますか?
2.1.5.1.4.7.9 電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか?
2.1.5.1.4.7.10 インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか?
2.1.5.1.4.8 (8) IT基盤運用管理
2.1.5.1.4.8.1 IT機器と台帳との棚卸(実機確認)を行うとともに、社内ネットワークに許可なく接続された機器や無線LAN基地局がないことを確認していますか?
2.1.5.1.4.8.2 サーバで利用するアプリケーションは、ブラックリスト方式(利用してはいけないものを明示)またはホワイトリスト方式(利用してよいものを明示)のいずれかで特定していますか?
2.1.5.1.4.8.3 業務で利用するすべてのサーバに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか?
2.1.5.1.4.8.4 サーバで用いた機器の廃棄の手順を定めていますか?
2.1.5.1.4.8.5 業務で利用するすべてのサーバやネットワーク機器に対して、必要性に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、定期的にレビューしていますか?
2.1.5.1.4.8.6 サーバを対象とする監査を行うことを定めていますか?
2.1.5.1.4.8.7 ファイアウォールなど、外部からの攻撃の影響を防ぐための対策を導入していますか?
2.1.5.1.4.8.8 業務で使っているネットワーク機器のパスワードを初期状態のまま使わず、推測できないパスワードを設定して運用していますか?
2.1.5.1.4.8.9 クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか?
2.1.5.1.4.8.10 最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか?
2.1.5.1.4.9 (9) システム開発及び保守
2.1.5.1.4.9.1 情報システムの開発を行う場合、開発環境と運用環境とを分離していますか?
2.1.5.1.4.9.2 セキュアな開発を行うための手続きを定めていますか?
2.1.5.1.4.9.3 情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか?
2.1.5.1.4.10 (10) 外部委託管理
2.1.5.1.4.10.1 契約書に秘密保持(守秘義務)、漏洩した場合の賠償義務、再委託の制限についての項目を盛り込むなどのように、委託先が遵守すべき事項について具体的に規定していますか?
2.1.5.1.4.10.2 委託先との秘密情報の受渡手順を定めていますか?
2.1.5.1.4.10.3 委託先に提供した秘密情報の廃棄または消去の手順を定めていますか?
2.1.5.1.4.11 (11) 情報セキュリティインシデント対応ならびに事業継続管理
2.1.5.1.4.11.1 秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか?
2.1.5.1.4.11.2 インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか?
2.1.5.1.4.11.3 事業継続計画における情報セキュリティ対策を定めていますか?
2.1.5.1.5 診断結果
2.1.5.2 <ツールB>情報セキュリティポリシーサンプル【2016年11月30日IPA】
2.1.5.2.1 組織的対策(基本方針)
2.1.5.2.1.1 情報セキュリティ基本方針を当社のホームページで公表する。/情報セキュリティ基本方針を本社各部署に掲示し従業員及び関係者に周知する。/情報セキュリティ基本方針を顧客の要請の応じ適宜に公表する。
2.1.5.2.1.2 1.情報セキュリティ基本方針
2.1.5.2.1.3 2. 個人番号及び特定個人情報の適正な取扱いに関する基本方針
2.1.5.2.1.4 3.安全管理措置に関する事項
2.1.5.2.1.5 4.委託の取り扱い
2.1.5.2.1.6 5.継続的改善
2.1.5.2.1.7 6.特定個人情報等の開示
2.1.5.2.2 組織的対策(当社全体)
2.1.5.2.2.1 情報セキュリティ対策活動を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。
2.1.5.2.2.2 1.情報セキュリティのための組織
2.1.5.2.2.3 2.情報セキュリティ取組みの監査・点検/点検
2.1.5.2.2.4 3.情報セキュリティに関する情報共有
2.1.5.2.3 人的対策(全従業員(役員、社員、派遣社員、パート・アルバイトを含む))
2.1.5.2.3.1 1.雇用条件
2.1.5.2.3.2 2.取締役及び従業員の責務
2.1.5.2.3.3 3.雇用の終了
2.1.5.2.3.4 4.情報セキュリティ教育
2.1.5.2.3.5 5.人材育成
2.1.5.2.3.5.1 <情報セキュリティに関わる推奨資格>
2.1.5.2.4 情報資産管理(当社事業に必要で価値がある情報及び個人情報)
2.1.5.2.4.1 1.情報資産の管理
2.1.5.2.4.1.1 1.1情報資産の特定と重要度の評価
2.1.5.2.4.1.2 1.2情報資産の分類と表示
2.1.5.2.4.1.3 1.3情報資産の管理責任者
2.1.5.2.4.1.4 1.4情報資産の利用者
2.1.5.2.4.2 2.情報資産の社外持ち出し
2.1.5.2.4.3 3.媒体の処分
2.1.5.2.4.3.1 3.1媒体の廃棄
2.1.5.2.4.3.2 3.2媒体の再利用
2.1.5.2.4.4 4.バックアップ
2.1.5.2.4.4.1 4.1バックアップ取得対象
2.1.5.2.4.4.2 4.2バックアップ媒体の取扱い
2.1.5.2.4.4.3 4.3クラウドサービスを利用したバックアップ
2.1.5.2.5 マイナンバー対応(特定個人情報(マイナンバーを内容に含む個人情報))
2.1.5.2.5.1 1.総則
2.1.5.2.5.1.1 1.1目的
2.1.5.2.5.1.2 1.2定義
2.1.5.2.5.2 2.特定個人情報等の取り扱い
2.1.5.2.5.2.1 2.1利用目的の特定
2.1.5.2.5.2.2 2.2取得に際しての利用目的の通知等
2.1.5.2.5.2.3 2.3取得の制限
2.1.5.2.5.2.4 2.4個人番号の提供の求めの制限
2.1.5.2.5.2.5 2.5本人確認
2.1.5.2.5.2.6 2.6利用目的外の利用の制限
2.1.5.2.5.2.7 2.7特定個人情報ファイルの作成の制限
2.1.5.2.5.2.8 2.8特定個人情報等の保管
2.1.5.2.5.2.9 2.9データ内容の正確性の確保
2.1.5.2.5.2.10 2.10特定個人情報等の提供
2.1.5.2.5.2.11 2.11特定個人情報等の削除・廃棄
2.1.5.2.5.2.12 2.12特定個人情報等を誤って収集した場合の措置
2.1.5.2.5.2.13 2.13安全管理措置
2.1.5.2.5.3 3. 組織及び体制
2.1.5.2.5.3.1 3.1事務取扱担当者・責任者
2.1.5.2.5.3.2 3.2苦情対応
2.1.5.2.5.3.3 3.3従業員の義務
2.1.5.2.5.4 4.委託の取扱い
2.1.5.2.5.4.1 4.1委託
2.1.5.2.5.4.2 4.2再委託
2.1.5.2.5.5 5.安全管理措置
2.1.5.2.5.5.1 5.1組織的安全管理措置
2.1.5.2.5.5.1.1 5.1.2取扱規程等に基づく運用
2.1.5.2.5.5.1.2 5.1.2取扱規程等に基づく運用
2.1.5.2.5.5.1.3 5.1.3取扱状況を確認する手段の整備
2.1.5.2.5.5.1.4 5.1.4情報漏えい等事案に対応する体制の整備
2.1.5.2.5.5.2 5.2人的安全管理措置
2.1.5.2.5.5.3 5.3物理的安全管理措置
2.1.5.2.5.5.3.1 5.3.1特定個人情報等を取り扱う領域の管理
2.1.5.2.5.5.3.2 5.3.2IT機器及び電子媒体等の盗難等の防止
2.1.5.2.5.5.3.3 5.3.3電子媒体等を持ち出す場合の漏えい等の防止
2.1.5.2.5.5.3.4 5.3.4個人番号の削除、機器及び電子媒体等の廃棄
2.1.5.2.5.5.4 5.4技術的安全管理措置
2.1.5.2.5.5.4.1 5.4.1アクセス制御
2.1.5.2.5.5.4.2 5.4.2アクセス者の識別と認証
2.1.5.2.5.5.4.3 5.4.3外部の不正アクセス等の防止
2.1.5.2.5.5.4.4 5.4.4情報漏えい等の防止
2.1.5.2.5.6 6.特定個人情報等の開示、訂正等、利用停止等
2.1.5.2.5.6.1 6.1特定個人情報等の開示等
2.1.5.2.5.6.2 6.2特定個人情報等の訂正等
2.1.5.2.5.6.3 6.3特定個人情報等の利用停止等
2.1.5.2.6 アクセス制御及び認証(情報資産の利用者及び情報処理施設)
2.1.5.2.6.1 1.アクセス制御方針
2.1.5.2.6.2 2.利用者の認証
2.1.5.2.6.3 3.利用者アカウントの登録
2.1.5.2.6.4 4.利用者アカウントの管理
2.1.5.2.6.5 5.パスワードの設定
2.1.5.2.6.6 6.従業員以外の者に対する利用者アカウントの発行
2.1.5.2.6.7 7.機器の識別による認証
2.1.5.2.6.8 8.端末のタイムアウト機能
2.1.5.2.6.9 9.標準設定等
2.1.5.2.6.9.1 9.1アクセス制御対象情報システム及びアクセス制御方法
2.1.5.2.6.9.2 9.2利用者認証方法
2.1.5.2.6.9.3 9.3利用者アカウント・パスワードの条件
2.1.5.2.6.9.4 9.4機器の認証方法
2.1.5.2.7 物理的対策(情報処理設備が設置される領域)
2.1.5.2.7.1 1.セキュリティ領域の設定
2.1.5.2.7.2 2.関連設備の管理
2.1.5.2.7.3 3.セキュリティ領域内注意事項
2.1.5.2.7.4 4.搬入物の受け渡し
2.1.5.2.8 IT機器利用(業務で利用する情報処理設備・機器)
2.1.5.2.8.1 1.ソフトウェアの利用
2.1.5.2.8.1.1 1.1標準ソフトウェア
2.1.5.2.8.1.2 1.2ソフトウェアの利用制限
2.1.5.2.8.1.3 1.3ソフトウェアのアップデート
2.1.5.2.8.1.4 1.4ウイルス対策ソフトウェアの利用
2.1.5.2.8.1.4.1 1.4.1ウイルス検知
2.1.5.2.8.1.4.2 1.4.2ウイルス対策ソフト定義ファイルの更新
2.1.5.2.8.1.4.3 1.4.3社外機器のLAN接続
2.1.5.2.8.1.5 1.5ウイルス対策の啓発
2.1.5.2.8.2 2.IT機器の利用
2.1.5.2.8.3 3.クリアデスク・クリアスクリーン
2.1.5.2.8.3.1 3.1クリアデスク
2.1.5.2.8.3.2 3.2クリアスクリーン
2.1.5.2.8.4 4.インターネットの利用
2.1.5.2.8.4.1 4.1ウェブ閲覧
2.1.5.2.8.4.2 4.2オンラインサービス
2.1.5.2.8.4.2.1 <インターネットバンキング・電子決済>
2.1.5.2.8.4.2.2 <オンラインストレージ>
2.1.5.2.8.4.3 4.3SNSの利用
2.1.5.2.8.4.4 4.4電子メールの利用
2.1.5.2.8.4.4.1 <誤送信防止>
2.1.5.2.8.4.4.2 <メールアドレス漏えい防止>
2.1.5.2.8.4.4.3 <傍受による漏えい防止>
2.1.5.2.8.4.4.4クラウド型メールの利用>
2.1.5.2.8.4.4.5 <禁止事項>
2.1.5.2.8.4.5 4.5ウイルス感染の防止
2.1.5.2.8.4.6 5.私有IT機器・電子媒体の利用
2.1.5.2.8.4.6.1 5.1利用開始時
2.1.5.2.8.4.6.2 5.2利用期間中
2.1.5.2.8.4.6.2.1 5.2.1社内での利用
2.1.5.2.8.4.6.3 5.3利用終了時
2.1.5.2.8.4.7 6.標準等
2.1.5.2.8.4.7.1 6.1標準ソフトウェア
2.1.5.2.8.4.7.2 6.2ソフトウェアのアップデート方法
2.1.5.2.8.4.7.3 6.3ウイルス対策ソフトウェアの定義ファイルの更新方法
2.1.5.2.9 IT基盤運用管理(情報資産を扱うサーバ・ネットワーク等のITインフラ)
2.1.5.2.9.1 1.管理体制
2.1.5.2.9.1.1 1.1 IT基盤の情報セキュリティ対策
2.1.5.2.9.1.1.1 1.1.1サーバー機器の情報セキュリティ要件
2.1.5.2.9.1.1.2 1.1.2サーバー機器に導入するソフトウェア
2.1.5.2.9.1.1.3 1.1.3ネットワーク機器の情報セキュリティ要件
2.1.5.2.9.2 2.IT基盤の運用
2.1.5.2.9.3 3.クラウドサービスの導入
2.1.5.2.9.4 4.脅威や攻撃に関する情報の収集
2.1.5.2.9.5 5.廃棄・返却・譲渡
2.1.5.2.9.6 6.IT基盤標準
2.1.5.2.9.6.1 6.1サーバー機器情報セキュリティ要件
2.1.5.2.9.6.2 6.2IT基盤標準ソフトウェア
2.1.5.2.9.6.3 6.3標準ネットワーク機器
2.1.5.2.9.6.4 6.4ネットワーク機器情報セキュリティ要件
2.1.5.2.9.6.5 6.5クラウドサービス情報セキュリティ対策評価基準
2.1.5.2.9.6.5.1 <適合性評価制度の種類>
2.1.5.2.10 システム開発及び保守(当社が独自に開発及び保守を行う情報システム)
2.1.5.2.10.1 1.情報システムの開発
2.1.5.2.10.1.1 1.1新規システム開発・改修
2.1.5.2.10.1.2 1.2脆弱性への対処
2.1.5.2.10.1.3 1.3情報システムの開発環境
2.1.5.2.10.1.4 1.4情報システムの保守
2.1.5.2.10.1.5 1.5情報システムの変更
2.1.5.2.11 外部委託管理(情報資産を取り扱う業務の委託)
2.1.5.2.11.1 1.委託先の評価(クラウドサービスの利用を除く)
2.1.5.2.11.1.1 1.1委託先評価基準
2.1.5.2.11.1.2 1.2委託先の選定
2.1.5.2.11.1.3 1.3委託契約の締結
2.1.5.2.11.1.4 1.4委託先の評価
2.1.5.2.11.1.5 1.5再委託
2.1.5.2.12 情報セキュリティインシデント対応ならびに事業継続管理(情報セキュリティ事故対応及び事業継続管理
2.1.5.2.12.1 事象が発生した場合に、混乱しないように事前に対応策を明確にしておくことが肝要
2.1.5.2.12.2 1.対応体制
2.1.5.2.12.2.1 最高責任者、対応責任者、一次対応者を明確にする
2.1.5.2.12.3 2.情報セキュリティインシデントの影響範囲と対応者
2.1.5.2.12.3.1 想定する影響範囲を事故レベル(0~3)で分類し、それぞれの対応者を明確にする
2.1.5.2.12.4 3.インシデントの連絡及び報告
2.1.5.2.12.4.1 レベル1以上のインシデントが発生した場合、発見者が速やかに指示を仰ぐべき対応者を明確にする
2.1.5.2.12.5 4.対応手順
2.1.5.2.12.5.1 基本【中山】
2.1.5.2.12.5.1.1 事象の検知、報告受付(Detect)
2.1.5.2.12.5.1.2 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
2.1.5.2.12.5.1.3 緊急連絡
2.1.5.2.12.5.1.4 原状保全
2.1.5.2.12.5.1.5 原因調査
2.1.5.2.12.5.1.6 早期復旧・事業継続 (Respond)
2.1.5.2.12.5.1.7 恒久的対策(再発防止策)
2.1.5.2.12.5.1.8 通常運用
2.1.5.2.12.5.2 4.1漏えい・流出発生時の対応
2.1.5.2.12.5.2.1 事象:社外秘又は極秘情報資産の盗難、流出、紛失
2.1.5.2.12.5.2.2 事故レベル3【中分類付け】【中山】
2.1.5.2.12.5.2.2.1 事象の検知、報告受付(Detect)
2.1.5.2.12.5.2.2.1.1 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
2.1.5.2.12.5.2.2.2 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
2.1.5.2.12.5.2.2.2.1 ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
2.1.5.2.12.5.2.2.2.2 ③インシデント対応責任は被害者/本人対応を準備する。
2.1.5.2.12.5.2.2.2.3 ④インシデント対応責任は問合せ対応を準備する。
2.1.5.2.12.5.2.2.3 緊急連絡
2.1.5.2.12.5.2.2.3.1 ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。
2.1.5.2.12.5.2.2.3.2 ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。
2.1.5.2.12.5.2.2.3.3 ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。
2.1.5.2.12.5.2.2.3.4 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
2.1.5.2.12.5.2.2.4 原状保全
2.1.5.2.12.5.2.2.5 原因調査
2.1.5.2.12.5.2.2.6 早期復旧・事業継続 (Respond)
2.1.5.2.12.5.2.2.7 恒久的対策(再発防止策)
2.1.5.2.12.5.2.2.8 通常運用
2.1.5.2.12.5.2.3 事故レベル3【基本手順】
2.1.5.2.12.5.2.3.1 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
2.1.5.2.12.5.2.3.2 ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。
2.1.5.2.12.5.2.3.3 ③インシデント対応責任は被害者/本人対応を準備する。
2.1.5.2.12.5.2.3.4 ④インシデント対応責任は問合せ対応を準備する。
2.1.5.2.12.5.2.3.5 ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。
2.1.5.2.12.5.2.3.6 ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。
2.1.5.2.12.5.2.3.7 ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。
2.1.5.2.12.5.2.3.8 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
2.1.5.2.12.5.2.4 事故レベル2
2.1.5.2.12.5.2.4.1 ①発見者は発見次第、システム管理者に報告する。
2.1.5.2.12.5.2.4.2 ②システム管理者は漏えい先を調査し、インシデント対応責任者に報告する。
2.1.5.2.12.5.2.4.3 ③システム管理者は社内関係者に周知する。
2.1.5.2.12.5.2.5 事故レベル1
2.1.5.2.12.5.2.5.1 ※情報漏えい・流出は全て事故レベル2以上
2.1.5.2.12.5.3 4.2改ざん・消失・破壊・サービス停止発生時の対応
2.1.5.2.12.5.3.1 情報資産の意図しない改ざん、消失、破壊 情報資産が必要なときに利用できない
2.1.5.2.12.5.3.2 事故レベル3【中分類付け】【中山】
2.1.5.2.12.5.3.2.1 事象の検知、報告受付(Detect)
2.1.5.2.12.5.3.2.1.1 手順の確認
2.1.5.2.12.5.3.2.1.2 作業記録の作成
2.1.5.2.12.5.3.2.1.3 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
2.1.5.2.12.5.3.2.2 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)
2.1.5.2.12.5.3.2.2.1 ②システム管理者は原因を特定し、応急処置を実行する。
2.1.5.2.12.5.3.2.2.1.1 影響範囲の特定
2.1.5.2.12.5.3.2.2.1.2 ネットワーク接続やシステムの遮断もしくは停止
2.1.5.2.12.5.3.2.3 緊急連絡
2.1.5.2.12.5.3.2.3.1 ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
2.1.5.2.12.5.3.2.4 原状保全
2.1.5.2.12.5.3.2.4.1 各種ログの保全
2.1.5.2.12.5.3.2.4.2 スナップショットの保存
2.1.5.2.12.5.3.2.4.2.1 場合によっては、ストレージ装置全体
2.1.5.2.12.5.3.2.5 原因調査
2.1.5.2.12.5.3.2.5.1 ⑦システム管理者は原因対策を実施する。
2.1.5.2.12.5.3.2.5.1.1 要因の特定
2.1.5.2.12.5.3.2.6 早期復旧・事業継続 (Respond)
2.1.5.2.12.5.3.2.6.1 ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
2.1.5.2.12.5.3.2.6.2 ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
2.1.5.2.12.5.3.2.6.3 ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
2.1.5.2.12.5.3.2.7 恒久的対策(再発防止策)
2.1.5.2.12.5.3.2.7.1 再発防止策の実施
2.1.5.2.12.5.3.2.7.2 監視体制の強化
2.1.5.2.12.5.3.2.7.3 作業結果の報告
2.1.5.2.12.5.3.2.7.4 作業の評価、ポリシー・運用体制・運用手順の見直し
2.1.5.2.12.5.3.2.8 通常運用
2.1.5.2.12.5.3.2.9 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
2.1.5.2.12.5.3.3 事故レベル3【基本手順】
2.1.5.2.12.5.3.3.1 ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。
2.1.5.2.12.5.3.3.2 ②システム管理者は原因を特定し、応急処置を実行する。
2.1.5.2.12.5.3.3.3 ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
2.1.5.2.12.5.3.3.4 ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
2.1.5.2.12.5.3.3.5 ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
2.1.5.2.12.5.3.3.6 ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
2.1.5.2.12.5.3.3.7 ⑦システム管理者は原因対策を実施する。
2.1.5.2.12.5.3.3.8 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。
2.1.5.2.12.5.3.4 事故レベル2
2.1.5.2.12.5.3.4.1 ①発見者は発見次第、システム管理者に報告する。
2.1.5.2.12.5.3.4.2 ②システム管理者は原因を特定し、応急処置を実行する。
2.1.5.2.12.5.3.4.3 ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。
2.1.5.2.12.5.3.4.4 ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。
2.1.5.2.12.5.3.4.5 ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
2.1.5.2.12.5.3.4.6 ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。
2.1.5.2.12.5.3.4.7 ⑦システム管理者は原因対策を実施する。
2.1.5.2.12.5.3.5 事故レベル1
2.1.5.2.12.5.3.5.1 ①発見者は発見次第、システム管理者に報告する。
2.1.5.2.12.5.3.5.2 ②システム管理者は原因を特定し、応急処置を実行する。
2.1.5.2.12.5.3.5.3 ③電子データの場合はシステム管理者がバックアップによる復旧もしくは再作成・入手を実行する。
2.1.5.2.12.5.3.5.4 ④機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。
2.1.5.2.12.5.3.5.5 ⑤書類・フィルム等の原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する
2.1.5.2.12.5.3.5.6 ⑥システム管理者は原因対策を実施する
2.1.5.2.12.5.3.6 事故レベル0
2.1.5.2.12.5.3.6.1 発見者は発見次第、発生可能性のあるインシデントと想定される被害をシステム管理者に報告する。
2.1.5.2.12.5.4 4.3ウイルス感染時の初期対応
2.1.5.2.12.5.4.1 悪意のあるソフトウェアに感染
2.1.5.2.12.5.4.2 従業員は、業務に利用しているパソコン、サーバー又はスマートフォンタブレット(以下「コンピュータ」といいます。)がウイルスに感染した場合には、以下を実行する。
2.1.5.2.12.5.4.3 ①ネットワークからコンピュータを切断する。
2.1.5.2.12.5.4.4 ②システム管理者に連絡する。
2.1.5.2.12.5.4.5ウイルス対策ソフトの定義ファイルを最新版に更新する。
2.1.5.2.12.5.4.6ウイルス対策ソフトを実行しウイルス名を確認する。
2.1.5.2.12.5.4.7ウイルス対策ソフトで駆除可能な場合は駆除する。
2.1.5.2.12.5.4.8 ⑥駆除後再度ウイルス対策ソフトでスキャンし、駆除を確認する。
2.1.5.2.12.5.4.9 ⑦システム管理者に報告する。
2.1.5.2.12.5.4.10 以下の場合など従業員自身で対応できないと判断される場合はシステム管理者に問い合わせる。
2.1.5.2.12.5.4.10.1 ウイルス対策ソフトで駆除できない。
2.1.5.2.12.5.4.10.2 システムファイルが破壊・改ざんされている。
2.1.5.2.12.5.4.10.3 ファイルが改ざん・暗号化・削除されている。
2.1.5.2.12.5.5 4.5届け出及び相談
2.1.5.2.12.5.5.1 システム管理者は、インシデント対応後に以下の機関への届け出又は相談を検討する。
2.1.5.2.12.5.5.2 <届け出・相談先>
2.1.5.2.12.5.5.2.1 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
2.1.5.2.12.5.5.2.1.1 ウイルスの届け出先 https://www.ipa.go.jp/security/outline/todokede-j.html TEL: 03-5978-7518 E-mail:virus@ipa.go.jp
2.1.5.2.12.5.5.2.1.2不正アクセスに関する届出 E-Mail:crack@ipa.go.jp FAX:03-5978-7518
2.1.5.2.12.5.5.2.1.3 情報セキュリティ安心相談窓口 https://www.ipa.go.jp/security/anshin/index.html TEL:03-5978-7509 E-mail:anshin@ipa.go.jp
2.1.5.2.12.6 5.情報セキュリティインシデントによる事業中断と事業継続管理
2.1.5.2.12.6.1 代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合に備え、以下を定める。
2.1.5.2.12.6.2 5.1想定される情報セキュリティインシデント
2.1.5.2.12.6.2.1 以下のインシデントによる事業の中断を想定する。
2.1.5.2.12.6.2.2 情報セキュリティインシデント:大型地震の発生に伴う設備の倒壊、回線の途絶、停電等にによる○○システム停止
2.1.5.2.12.6.2.3 想定理由:当社の事業は、商品の販売から請求回収までの業務を○○システムに依存しているため、停止した場合は事業の継続が困難になり多大な損失が発生
2.1.5.2.12.6.3 5.2復旧責任者及び関連連絡先
2.1.5.2.12.6.3.1 被害対象毎に、復旧責任者、関係者連絡先をリスト化しておく
2.1.5.2.12.6.4 5.3事業継続計画
2.1.5.2.12.6.4.1 インシデント対応責任者は、想定する情報セキュリティインシデントが発生し、事業が中断した際の復旧責任者の役割認識及び関係者連絡先について、有効に機能するか検証する。
2.1.5.2.12.6.4.2 復旧責任者は、被害対象に応じて復旧から事業再開までの計画を立案する。
2.1.5.2.13 社内体制図(当社の情報セキュリティ管理)
2.1.5.2.13.1 1.情報セキュリティのための組織
2.1.5.2.14 委託契約書機密保持条項サンプル(外部委託契約の締結時)
2.1.5.2.14.1 1.委託契約時の機密保持契約条項
2.1.5.2.14.1.1 <機密保持条項サンプル>
2.2 中小企業の情報セキュリティ対策ガイドライン(パブコメ版)【IPA】
2.2.1 経営者の皆様へ
2.2.1.1 情報セキュリティ対策は、経営に大きな影響を与えます!
2.2.1.2 経営者が自ら動かなければ、法的・道義的責任を問われます!
2.2.1.3 組織として対策するために、担当者への指示が必要です!
2.2.2 対象組織と想定する読者 対象組織と想定する読者
2.2.2.1 経営者層・システム管理者層
2.2.3 全体解説
2.2.3.1 Step1 未対策
2.2.3.1.1 情報セキュリティを意識していない企業または個人事業主
2.2.3.2 Step2 何らかは実施済み
2.2.3.2.1 基準や規則はないが何らかの対策を実施している企業
2.2.3.3 Step3 自己診断達成
2.2.3.3.1 自社診断25項目の基本対策を全て実施できている企業
2.2.3.4 Step4 ポリシー策定済
2.2.3.4.1 情報セキュリティポリシーを策定・導入済の企業
2.2.4 第 1部 経営者編
2.2.4.1 情報セキュリティ対策を怠ることで企業が被る不利益
2.2.4.1.1 (1) 資金の喪失
2.2.4.1.2 (2) 顧客の喪失
2.2.4.1.3 (3) 業務 の喪失
2.2.4.1.4 (4) 従業員 への影響
2.2.4.2 経営者が負う責任
2.2.4.2.1 (1) 経営者などに問われる法的責任
2.2.4.2.1.1 ・個人情報
2.2.4.2.1.2 ・他社から預かった秘密情報
2.2.4.2.1.3 ・自社の秘密情報
2.2.4.2.2 (2) 関係者や社会に対する責任
2.2.4.2.2.1 ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン
2.2.4.3 経営者は何をすればよいか
2.2.4.3.1 経営者が認識する必要な「3原則」
2.2.4.3.1.1 原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める
2.2.4.3.1.2 原則2 委託先における情報セキュリティ対策まで考慮する
2.2.4.3.1.3 原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない
2.2.4.3.2 企業 として重要 として実施する「重要 7項目の取組」
2.2.4.3.2.1 取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める
2.2.4.3.2.2 取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する
2.2.4.3.2.3 取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる
2.2.4.3.2.4 取組4 情報セキュリティ対策に関する定期的な見直しを行う
2.2.4.3.2.5 取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする
2.2.4.3.2.6 取組6 情報セキュリティに関する最新動向を収集する
2.2.4.3.2.7 取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく
2.2.5 第 2部 管理実践編
2.2.5.1 情報セキュリティポシーの策定手順 情報セキュリティポシーの策定手順
2.2.5.1.1 基本的な考え方
2.2.5.1.1.1 自社に適合したポリシーを策定
2.2.5.1.1.2 情報セキュリティリスクの大きなものから重点的に対策を実施
2.2.5.1.2 情報セキュリティ対策の策定まで流れ
2.2.5.1.2.1 対象とすべき情報資産の選定、重要度定義
2.2.5.1.2.1.1 (機密性、完全性、可用性レベル)
2.2.5.1.2.2 リスク値算定
2.2.5.1.2.2.1 (リスク値=(a)資産価値×(b)脅威の発生確率/頻度×(c) 脆弱性
2.2.5.1.2.3 情報セキュリティ対策決定
2.2.5.1.2.3.1 (1)リスクを低減する
2.2.5.1.2.3.2 (2)リスクを保有する
2.2.5.1.2.3.3 (3)リスクを回避する
2.2.5.1.2.3.4 (4)リスクを移転する
2.2.5.1.2.4 ポリシー策定
2.2.5.1.2.4.1 (1)組織的対策
2.2.5.1.2.4.2 (2)人的対策
2.2.5.1.2.4.3 (3)情報資産管理
2.2.5.1.2.4.4 (4)アクセス制御
2.2.5.1.2.4.5 (5)物理的対策
2.2.5.1.2.4.6 (6)IT機器利用
2.2.5.1.2.4.7 (7)IT基盤運用管理
2.2.5.1.2.4.8 (8)システムの開発及び 保守
2.2.5.1.2.4.9 (9)委託管理
2.2.5.1.2.4.10 (10)情報セキュリティインシデント対処及び事業継続管理
2.2.5.1.2.4.11 (11)マイナンバー対応
2.2.5.1.2.4.12 (12)秘密保持契約書
2.2.5.1.2.4.13 (13)社内体制図
2.2.5.1.2.4.14
2.2.5.1.3 委託時の情報セキュリティ対策
2.2.5.1.3.1 機密情報の種類、業務委託関係など諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ リティ対策を 契約条件に含めて締結します 。
2.2.5.2 情報セキュリティ対策の実行
2.2.5.2.1 通常時の実行における役割
2.2.5.2.1.1 経営者、管理者層、一般従業員
2.2.5.2.2 緊急時の対応
2.2.5.2.2.1 ① 緊急時における 指揮命令と対応の優先順位決定
2.2.5.2.2.2 ② インシデントへの対応(インシデントレスポンス)
2.2.5.2.2.3 ③ インシデントの影響と被害分析
2.2.5.2.2.4 ④ 情報収集と自社に必要な情報の選別
2.2.5.2.2.5 ⑤ 社内関係者への連絡と周知
2.2.5.2.2.6 ⑥ 外部関係機との連絡
2.2.5.3 チェックと改善
2.2.5.3.1 チェック方法
2.2.5.3.2 改善の方法
2.2.5.4 情報セキュリティ対策のさらなる改善に向けて
2.2.5.4.1 情報セキュリティマネジメントサイクルによる継続的改善
2.2.5.4.2 情報セキュリティ対策に関する標準規格
2.2.5.4.3 情報セキュリティ監査・点検の実施
2.2.5.4.4 改善の実施
2.2.6 おわりに
2.2.7 本書で用いてる語の説明
2.2.8 付録 1 情報セキュリティ 5か条
2.2.8.1 ソフトウェアはつねに更新しよう
2.2.8.2 機器に応じたマルウェア対策をしよう
2.2.8.3 パスワードなど、認証を強化しよう
2.2.8.4 業務に使うすべてのサービスの設定を見直そう
2.2.8.5 脅威や攻撃の手口を知ろう
2.2.9 付録 2 【旧】5分できる!情報セキュリティ自社診断
2.2.9.1 Part 1 最重要事項
2.2.9.1.1 自社診断シートNo.1 ソフトウェアは常に最新の状態に更新
2.2.9.1.2 自社診断シートNo.2 マルウェア対策が提供されていれば導入
2.2.9.1.3 自社診断シートNo.3 推測されにくいパスワードを使用する
2.2.9.1.4 自社診断シートNo.4 すべてのサービスの設定を見直す
2.2.9.1.5 自社診断シートNo.5 脅威や攻撃に関する最新情報を集める
2.2.9.2 Part 2 ネットの脅威への対処
2.2.9.2.1 自社診断シートNo.6 電子メールは疑ってみる
2.2.9.2.2 自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入
2.2.9.2.3 自社診断シートNo.8 インターネットバンキングの偽サイトに注意する
2.2.9.2.4 自社診断シートNo.9 機器のパスワードは初期設定で使わない
2.2.9.2.5 自社診断シートNo.10 信頼できるクラウドを使う
2.2.9.3 Part 3 情報資産の保護
2.2.9.3.1 自社診断シートNo.11 社外保存データへのアクセス権に注意する
2.2.9.3.2 自社診断シートNo.12 バックアップを励行する
2.2.9.3.3 自社診断シートNo.13 秘密情報は安全な方法で持ち出す
2.2.9.3.4 自社診断シートNo.14 秘密情報は復元できないように消去する
2.2.9.3.5 自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める
2.2.9.4 Part 4 職場のセキュリティ
2.2.9.4.1 自社診断シートNo.16 重要情報の放置を禁止する
2.2.9.4.2 自社診断シートNo.17 機器の盗難防止対策を講じる
2.2.9.4.3 自社診断シートNo.18 機器を勝手に操作させない
2.2.9.4.4 自社診断シートNo.19 見知らぬ人には声をかける
2.2.9.4.5 自社診断シートNo.20 オフィスの戸締まりに気を配る
2.2.9.5 Part 5 組織的対策事項
2.2.9.5.1 自社診断シートNo.21 従業員に守秘義務について理解してもらう
2.2.9.5.2 自社診断シートNo.22 従業員への定期的な教育・啓発を行う
2.2.9.5.3 自社診断シートNo.23 取引先にも秘密保持を要請する
2.2.9.5.4 自社診断シートNo.24 事故発生に備えて事前に準備する
2.2.9.5.5 自社診断シートNo.25 情報セキュリティ対策をルール化する
2.2.9.6 5分でできる自社診断シート
2.2.9.6.1
2.2.10 付録 3 わが社の情報セキュリティポリシー
2.2.10.1 情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。
2.2.10.2 ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。
2.2.10.3 手順1:情報資産管理台帳を作成して重要情報を確認
2.2.10.3.1 この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。
2.2.10.3.2 また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。
2.2.10.4 手順2:警戒すべき脅威について確認
2.2.10.4.1 <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。
2.2.10.4.2 これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。
2.2.10.4.3 なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。
2.2.10.4.4 サブトピック 4
2.2.10.5 手順3:情報セキュリティ診断を実施
2.2.10.5.1 <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。
2.2.10.5.2 1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない
2.2.10.6 手順4;必要なひな形を選んで編集すれば完成!
2.2.10.6.1 手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。
2.2.10.6.2 <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。
2.2.10.6.3 なお必要に応じて、さらに項目を追加していただいてもかまいません。
2.2.10.7 ツール 3-1 情報資産管理台帳
2.2.10.8 ツール 3-2 脅威一覧
2.2.10.9 ツール 3-3 対策状況チェックシート
2.2.10.10 ツール 3-4 情報セキュリティポリシー サンプル
2.2.11 付録 4 情報セキュリティ関連ガイド・法令一覧
2.2.11.1 1. 1. 法令
2.2.11.1.1 1-1 個人情報保護法
2.2.11.1.2 1-2 マイナンバー法
2.2.11.1.3 1-3 不正競争防止法
2.2.11.1.4 1-4 不正アクセス禁止法
2.2.11.1.5 1-5 不正指令電磁的記録に関する罪
2.2.11.1.6 1-6 労働契約法
2.2.11.2 2. 2. ガイドライン
2.2.11.2.1 2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会
2.2.11.2.2 2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)
2.2.11.2.3 2-3 サイバーセキュリティ経営ガイドライン経済産業省
2.2.11.2.4 2-4 営業秘密管理指針(経済産業省
2.2.11.2.5 2-5 秘密情報の保護ハンドブック(経済産業省
2.2.11.2.6 2-6 組織における内部不正防止ガイドラン(IPA
2.2.12 付録 5 情報セキュリティ相談窓口
2.2.12.1 マルウェアに関する技術的な相談
2.2.12.2 標的型攻撃に関する相談
2.2.12.3 情報セキュリティに関する普及啓発の相談
2.2.12.4 Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼
2.2.12.5 不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害
2.3 中小企業における組織的な情報セキュリティ対策ガイドラインチェック項目【2012年9月3日IPA】
2.3.1 1. 情報セキュリティに対する組織的な取り組み
2.3.1.1 1.1 情報セキュリティに関する経営者の意図が従業員に明確に示されている
2.3.1.1.1 経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つこと。
2.3.1.1.2 情報セキュリティポリシーを定期的に見直しすること。
2.3.1.2 1.2 情報セキュリティ対策に関わる責任者と担当者を明示する
2.3.1.2.1 責任者として情報セキュリティと経営を理解する立場の人を任命すること。
2.3.1.2.2 責任者は、各セキュリティ対策について(社内外を含め)、責任者、担当者それぞれの役割を具体化し、役割を徹底すること。
2.3.1.3 1.3 管理すべき重要な情報資産を区分する
2.3.1.3.1 管理すべき重要な情報資産を、他の情報資産と分類すること。
2.3.1.3.2 情報資産の管理者を定めること。
2.3.1.3.3 重要度に応じた情報資産の取り扱い指針を定めること。
2.3.1.3.4 重要な情報資産を利用できる人の範囲を定めること。
2.3.1.4 1.4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める
2.3.1.4.1 各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っていること。
2.3.1.4.2 重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っていること。
2.3.1.4.3 (例)
2.3.1.4.4 重要な情報を利用できる人に対してのみ、アクセス可能とすること。
2.3.1.4.5 重要な情報の利用履歴を残しておくこと。
2.3.1.4.6 重要な情報を確実に消去・廃棄すること。 等
2.3.1.5 1.5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る
2.3.1.5.1 契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含めること。
2.3.1.5.2 (例)
2.3.1.5.3 システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含めること。
2.3.1.5.4 関係者のみにデータの取り扱いを制限すること。
2.3.1.5.5 外部の組織との間で情報を授受する場合、情報受渡書を持っておこなうこと。
2.3.1.5.6 契約に基づく作業を遂行することによって新たに発生する情報(例:新たに作製された、金型・図面・モックアップ等々)の取扱を含めること。
2.3.1.5.7
2.3.1.6 1.6 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなければいけないかを明示する
2.3.1.6.1 従業者を採用する際に、守秘義務契約や誓約書を交わしていること。
2.3.1.6.2 従業者が順守すべき事項を明確にしていること。
2.3.1.6.3 違反を犯した従業員に対する懲戒手続きが整備されていること。
2.3.1.6.4 在職中及び退職後の機密保持義務を明確化するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取ること。
2.3.1.7 1.7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える
2.3.1.7.1 ポリシーや関連規程を従業員に理解させること。
2.3.1.7.2 実践するために必要な教育を定期的に行っていること。
2.3.2 2. 物理的セキュリティ
2.3.2.1 2.1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う
2.3.2.1.1 重要な情報を保管したり、扱ったりする区域を定めていること。
2.3.2.1.2 重要な情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること。
2.3.2.1.3 重要な情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること。
2.3.2.2 2.2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する
2.3.2.2.1 重要なコンピュータは許可された人だけが入ることができる安全な場所に設置すること。
2.3.2.2.2 電源や通信ケーブルなどは、他の人が容易に接触できないようにすること。
2.3.2.2.3 重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っていること。
2.3.2.3 2.3 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う
2.3.2.3.1 (重要な書類について)
2.3.2.3.1.1 不要になった場合、シュレッダーや焼却などして確実に処分すること。
2.3.2.3.1.2 重要な書類を保管するキャビネットには、施錠管理を行うこと。
2.3.2.3.1.3 重要な情報が存在する机上、書庫、会議室などは整理整頓を行うこと。
2.3.2.3.1.4 郵便物、FAX、印刷物などの放置は禁止。重要な書類の裏面を再利用しないこと。
2.3.2.3.2 (モバイルPC、記憶媒体について)
2.3.2.3.2.1 保存した情報が不要になった場合、消去ソフトを用いるなど、確実に処分していること。
2.3.2.3.2.2 モバイルPC、記憶媒体については、盗難防止の対策を行うこと。
2.3.2.3.2.3 私有PCを会社に持ち込んだり、私有PCで業務を行ったりしないこと。
2.3.3 3. 情報システム及び通信ネットワークの運用管理
2.3.3.1 3.1 情報システムの運用に関して運用ルールを策定する
2.3.3.1.1 システム運用におけるセキュリティ要求事項を明確にしていること。
2.3.3.1.2 情報システムの運用手順書(マニュアル)を整備していること。
2.3.3.1.3 システムの運用状況を点検していること。
2.3.3.1.4 システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ(記録)を取得していること。
2.3.3.1.5 設備(具体例)の使用状況を記録していること。
2.3.3.2 3.2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う
2.3.3.2.1 ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。
2.3.3.2.2 ウイルス対策ソフトが持っている機能(ファイアウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること。
2.3.3.2.3 各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。
2.3.3.2.4 Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っていること。
2.3.3.3 3.3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う
2.3.3.3.1 脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること。
2.3.3.3.2 脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集すること。
2.3.3.3.3 情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること。
2.3.3.3.4 Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行うこと。
2.3.3.3.5 Webブラウザや電子メールソフトのセキュリティ設定を行うこと。
2.3.3.4 3.4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する
2.3.3.4.1 必要に応じて、SSL等を用いて通信データを暗号化すること。
2.3.3.4.2 外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPNなどを用いて暗号化した通信路を使用していること。
2.3.3.4.3 電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化すること。
2.3.3.5 3.5 モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、適切なパスワード設定や暗号化などの対策を実施する
2.3.3.5.1 モバイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めていること。
2.3.3.5.2 外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じていること。
2.3.3.5.3 モバイルPCやUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等)を行うこと。
2.3.3.5.4 保存されているデータを、重要度に応じてHDD暗号化、BIOSパスワード設定などの技術的対策を実施すること。
2.3.3.5.5 PCを持出す場合の持出者、持出・返却管理を実施すること。
2.3.3.5.6 盗難、紛失時に情報漏えいの脅威にさらされた情報が何かを正確に把握するため、持ち出し情報の一覧、内容管理を行うこと。
2.3.4 4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策
2.3.4.1 4.1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う
2.3.4.1.1 利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証
2.3.4.1.2 を確実に行うこと。
2.3.4.1.3 利用者IDの登録や削除に関する規程を整備すること。
2.3.4.1.4 パスワードの定期的な見直しを求めること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること。
2.3.4.1.5 離席する際は、パスワードで保護されたスクリ
2.3.4.1.6 ーンセーバーでパソコンを保護すること。
2.3.4.1.7 不要になった利用者IDを削除すること。
2.3.4.2 4.2 重要な情報に対するアクセス権限の設定を行う
2.3.4.2.1 重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定すること。
2.3.4.2.2 職務の変更や異動に際して、利用者のアクセス権限を見直すこと。
2.3.4.3 4.3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISPサービス 等)を行う
2.3.4.3.1 (外部から内部へのアクセス)
2.3.4.3.1.1 外部から内部のシステムにアクセスする際、利用者認証を実施すること。
2.3.4.3.1.2 保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにすること。
2.3.4.3.2 (内部から外部へのアクセス)
2.3.4.3.2.1 不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み(フィルタリングソフトの導入等)を行っていること。
2.3.4.4 4.4 無線LANのセキュリティ対策(WPA2の導入等)を行う
2.3.4.4.1 無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等)の設定を行うこと。
2.3.4.4.2 無線LANの使用を許可する端末(MAC認証)や利用者の認証を行うこと。
2.3.4.5 4.5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う
2.3.4.5.1 ソフトウェアの導入や変更に関する手順を整備していること。
2.3.4.5.2 システム開発において、レビューの実施と記録を残していること。
2.3.4.5.3 外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めていること。
2.3.4.5.4 開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できること。
2.3.5 5. 情報セキュリティ上の事故対応
2.3.5.1 5.1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する
2.3.5.1.1 情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておくこと。
2.3.5.1.2 障害対策の仕組みが組織として効果的に機能するよう、よく検討していること。
2.3.5.1.3 システムの切り離し(即応処理)、必要なサービスを提供できるような機能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておくこと。
2.3.5.1.4 日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておくこと。
2.3.5.1.5 障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておくこと。
2.3.5.1.6 (例)
2.3.5.1.7 大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施。
2.3.5.1.8 関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っていること。
2.3.5.2 5.2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握する
2.3.5.2.1 ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておくこと。
2.3.5.2.2 (例)
2.3.5.2.3 ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより、コンピュータの検査を実施し、ワクチンソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる。
2.3.5.2.4 情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある。
2.4 中小企業における組織的な情報セキュリティ対策ガイドライン事例集【2012年9月3日IPA】
2.4.1 Case 1. 従業員の情報持ち出し
2.4.1.1 様々な情報が分類・整理されていない
2.4.1.2 従業員が機密情報か否かを判別できない
2.4.1.3 重要な情報に誰でもアクセスできるようになっている(アクセス制御が出来ていない)
2.4.2 Case 2. 退職者の情報持ち出し、競合他社への就職
2.4.2.1 退職後の機密保持策や競業避止対策の未整備
2.4.2.2 営業秘密管理の不徹底
2.4.3 Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故
2.4.3.1 業務に必要なPCを支給していなかった
2.4.3.2 規定の存在が周知されていなかった
2.4.3.3 守られることが期待されない実効性の低い社内規定の存在
2.4.3.4 情報が第三者に流出した場合も想定した対策の不備
2.4.4 Case 4. ホームページへの不正アクセス
2.4.4.1 開発管理の不備
2.4.4.2 脆弱な運用体制
2.4.4.3 不十分な不正アクセス対策
2.4.4.4 事故対応体制の未整備
2.4.5 Case 5. 無許可の外部サービスの利用
2.4.5.1 外部サービスの無許可利用
2.4.5.2 外部サービスのサービス内容についての不十分な理解
2.4.6 Case 6. 委託した先からの情報漏えい
2.4.6.1 委託先管理の不十分さ
2.4.6.2 法令遵守に対する意識の低さ
2.4.7 Case 7. 在庫管理システム障害の発生
2.4.7.1 事業継続への意識の低さ
2.4.8 Case 8. 無線LANのパスワードのいい加減な管理
2.4.8.1 無線LANの危険性に対する認識の不足
2.4.8.2 パスワード管理の重要性に対する認識の不足
2.4.9 Case 9. IT管理者の不在
2.4.9.1 特定の個人や委託先のスキルに依存しすぎている
2.4.9.2 代替要員やマニュアル等の未整備
2.4.10 Case 10. 電子メール経由でのウイルス感染
2.4.10.1 ウイルス対策ソフト等の動作の確認を定期的にしていない
2.4.10.2 ウイルス対策等が十分に出来ないPCへの考慮が不十分
2.4.10.3 エンドユーザーがシステム構成等を変更することへの考慮が不十分
2.4.11 付録1:情報セキュリティ対策チェックリスト
2.5 SECURITY ACTION【2017年4月IPA】
2.5.1 中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度
2.5.2 経営に欠かせない 情報セキュリティ
2.5.2.1 IT社会では、企業経営においても、IT活用による「攻め」と同時に、情報セキュリティによる「守り」が不可欠です。身近なところから情報セキュリティ対策を始めましょう。
2.5.3 一つ星
2.5.3.1 中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言した中小企業等であることを示すロゴマーク
2.5.3.2 情報セキュリティ5か条
2.5.4 二つ星
2.5.4.1 中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)*1を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマーク
2.5.4.2 5分でできる!情報セキュリティ自社診断パンフレット(PDF)
2.5.4.3 5分でできる!情報セキュリティ自社診断シート(PDF)
2.5.4.4 中小企業の情報セキュリティ対策ガイドライン(PDF)
2.5.5 SECURITY ACTIONロゴマークの使用申込
2.6 中小企業における情報セキュリティの普及促進に関する共同宣言
2.6.1 第四次産業革命の波が押し寄せる中、急速に変化する社会に対応するために、中小企業においてもITの利活用による新たな商品・サービスの開発、業務の高度化・効率化等が重要になってくる
2.6.2 しかし、ITの利活用の進展と相まって、サイバー攻撃・犯罪の巧妙化等により、情報セキュリティ上の脅威がこれまで以上に悪質化・多様化してきている
2.6.3 そのため、中小企業におけるITの利活用の拡大に向け、中小企業における情報セキュリティへの意識啓発及び自発的な対策の策定、実践を推進するよう、下記団体は連携して活動することを宣言する
2.6.4 連携団体
2.6.4.1 一般社団法人中小企業診断協会
2.6.4.2 全国社会保険労務士会連合会
2.6.4.3 全国商工会連合会
2.6.4.4 全国中小企業団体中央会
2.6.4.5 特定非営利活動法人ITコーディネータ協会
2.6.4.6 特定非営利活動法人日本ネットワークセキュリティ協会
2.6.4.7 独立行政法人情報処理推進機構
2.6.4.8 独立行政法人中小企業基盤整備機構
2.6.4.9 日本商工会議所
2.6.4.10 日本税理士会連合会
3 企業向け(全ての企業・組織)
3.1 情報セキュリティ白書2016【2016年7月IPA】
3.1.1 第Ⅰ部 情報セキュリティの概要と分析
3.1.2 序章 2015年度の情報セキュリティの概況~10の主な出来事~
3.1.2.1 標的型攻撃により日本年金機構から個人情報が流出
3.1.2.2 インターネットバンキングの不正送金、被害額は過去最悪を更新
3.1.2.3 オンライン詐欺・脅迫被害が拡大
3.1.2.4 広く普及しているソフトウェアの脆弱性が今年も問題に
3.1.2.5 DDoS攻撃の被害が拡大、IoT端末が狙われる
3.1.2.6 重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み
3.1.2.7 法改正による政府機関のセキュリティ強化
3.1.2.8 企業のセキュリティ強化に経営層の参画が重要
3.1.2.9 セキュリティ人材育成への取り組み
3.1.2.10 自動車・IoTのセキュリティ脅威が高まる
3.1.3 第1章情報セキュリティインシデント脆弱性の現状と対策
3.1.3.1 1.1 2015年度に観測されたインシデント状況
3.1.3.1.1 1.1.1 世界における情報セキュリティインシデント状況
3.1.3.1.2 1.1.2 国内における情報セキュリティインシデント状況
3.1.3.2 1.2 情報セキュリティインシデント別の状況と事例
3.1.3.2.1 1.2.1 広く普及しているソフトウェアの脆弱性
3.1.3.2.2 1.2.2 活動妨害を狙った攻撃
3.1.3.2.3 1.2.3 インターネットバンキングを狙った攻撃
3.1.3.2.4 1.2.4 個人情報の大量取得を狙った攻撃
3.1.3.2.5 1.2.5 政府関連・重要インフラの機密情報を狙った攻撃
3.1.3.2.6 1.2.6 オンライン詐欺
3.1.3.2.7 1.2.7 ランサムウェアによる被害
3.1.3.2.8 1.2.8 内部者による情報の不正な持ち出し
3.1.3.2.9 1.2.9 不適切な運用による情報漏えい
3.1.3.3 1.3 攻撃・手口の動向と対策
3.1.3.3.1 1.3.1 広く普及しているソフトウェアの脆弱性を悪用する攻撃
3.1.3.3.2 1.3.2 巧妙化する標的型攻撃
3.1.3.3.3 1.3.3 巧妙化するばらまき型メール
3.1.3.3.4 1.3.4 DDoS攻撃
3.1.3.3.5 1.3.5 インターネットバンキングを狙った攻撃
3.1.3.3.6 1.3.6 オンライン詐欺
3.1.3.3.7 1.3.7 ランサムウェア
3.1.3.4 1.4 情報システムの脆弱性の動向
3.1.3.4.1 1.4.1 脆弱性対策情報の登録状況
3.1.3.4.2 1.4.2 脆弱性の状況
3.1.3.4.3 1.4.3 脆弱性評価の取り組み
3.1.3.5 1.5 情報セキュリティ対策の状況
3.1.3.5.1 1.5.1 企業における対策状況
3.1.3.5.2 1.5.2 政府における対策状況
3.1.3.5.3 1.5.3 地方公共団体における対策状況
3.1.3.5.4 1.5.4 教育機関における対策状況
3.1.3.5.5 1.5.5 一般利用者における対策状況
3.1.4 第2章情報セキュリティを支える基盤の動向
3.1.4.1 2.1 日本の情報セキュリティ政策の状況
3.1.4.1.1 2.1.1 政府全体の政策動向
3.1.4.1.2 2.1.2 経済産業省の政策
3.1.4.1.3 2.1.3 総務省の政策
3.1.4.1.4 2.1.4 警察におけるサイバー犯罪対策
3.1.4.1.5 2.1.5 電子政府システムの安全性確保への取り組み
3.1.4.2 2.2 情報セキュリティ関連法の整備状況
3.1.4.2.1 2.2.1 行政機関個人情報保護法等の改正
3.1.4.2.2 2.2.2 サイバーセキュリティ基本法の改正
3.1.4.2.3 2.2.3 情報処理の促進に関する法律の改正
3.1.4.3 2.3 国別・地域別の情報セキュリティ政策の状況
3.1.4.3.1 2.3.1 国際社会と連携した取り組み
3.1.4.3.2 2.3.2 米国のセキュリティ政策
3.1.4.3.3 2.3.3 欧州のセキュリティ政策
3.1.4.3.4 2.3.4 アジア各国におけるセキュリティへの取り組み
3.1.4.3.5 2.3.5 アフリカ地域におけるセキュリティへの取り組み
3.1.4.4 2.4 情報セキュリティ人材の現状と育成
3.1.4.4.1 2.4.1 情報セキュリティ人材の育成に関する政策と政府の取り組み事例
3.1.4.4.2 2.4.2 情報セキュリティ人材育成のための資格制度
3.1.4.4.3 2.4.3 情報セキュリティ人材育成のための活動
3.1.4.5 2.5 情報セキュリティマネジメント
3.1.4.5.1 2.5.1 情報セキュリティ対策の実施状況
3.1.4.5.2 2.5.2 情報セキュリティマネジメントシステムISMS)と関連規格
3.1.5 第3章個別テーマ
3.1.5.1 3.1 SSL/TLSの安全な利用に向けて
3.1.5.1.1 3.1.1 安全性と相互接続性を考慮した三つの設定基準
3.1.5.1.2 3.1.2 要求設定の概要
3.1.5.1.3 3.1.3 チェックリストと具体的な設定方法の紹介
3.1.5.2 3.2 自動車の情報セキュリティ
3.1.5.2.1 3.2.1 2015年度の攻撃研究事例
3.1.5.2.2 3.2.2 各国の取り組み
3.1.5.2.3 3.2.3 今後の見通し
3.1.5.3 3.3 制御システムの情報セキュリティ
3.1.5.3.1 3.3.1 制御システムの概要
3.1.5.3.2 3.3.2 制御システムのインシデント事例
3.1.5.3.3 3.3.3 海外における制御システムセキュリティの動向
3.1.5.3.4 3.3.4 国内における制御システムセキュリティの動向
3.1.5.4 3.4 IoTの情報セキュリティ
3.1.5.4.1 3.4.1 今、そこにあるIoTのセキュリティ脅威
3.1.5.4.2 3.4.2 IoTセキュリティへの取り組み
3.1.5.5 3.5 スマートデバイスの情報セキュリティ
3.1.5.5.1 3.5.1 スマートデバイスの普及状況
3.1.5.5.2 3.5.2 スマートデバイスを取り巻く脅威
3.1.5.5.3 3.5.3 今後の展望
3.1.5.6 3.6 情報システムにおけるログ管理の現状と対策
3.1.5.6.1 3.6.1 ログ管理の必要性
3.1.5.6.2 3.6.2 企業におけるログ管理の現状と課題
3.1.5.6.3 3.6.3 ログ管理ソフトウェアの特徴とログ管理要件
3.1.5.6.4 3.6.4 ログ管理の導入プロセス
3.1.5.6.5 3.6.5 取り組むべきログ管理のステップ
3.1.6 第II部 情報セキュリティ10大脅威2016 ~個人と組織で異なる脅威、立場ごとに適切な対応を~
3.1.6.1 情報セキュリティ10大脅威2016
3.1.7 付録 資料・ツール
3.1.7.1 資料A 2015年のコンピュータウイルス届出状況
3.1.7.2 資料B 2015年のコンピュータ不正アクセス届出状況
3.1.7.3 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
3.1.7.4 ツール1 企業や組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)
3.1.7.4.1 本ツールの設間は、ISMS認証基準であるJIS Q 27001:2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27間と、自社の状況を回答する「企業プロフィールに関する評価項目」19間の計46間で構成しています
3.1.7.5 ツール2 脆弱性体験学習ツール「AppGoat」―突いてみますか?脆弱性!―
3.1.7.5.1 職場や自宅のパソコンにインストールし、ナビゲーシ∃ンに従つて脆弱性の検証手法から原理、影響、対策までを自習することができる
3.1.7.6 ツール3 脆弱性対策情報データベース「JVN iPedia」
3.1.7.6.1 入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能です
3.1.7.7 ツール4 MyJVN脆弱性対策情報収集ツール
3.1.7.7.1 JVN IPediaに登録された情報の中から、利用者自身に関係する情報のみを効率的に収集できるよう、IPAが開発したツール
3.1.7.8 ツール5 MyJVNバージョンチェッカ
3.1.7.9 ツール6 MyJVNセキュリテイ設定チェッカ
3.1.7.10 ツール7 サイバーセキュリティ注意喚起サービス「icat for JSON」
3.1.7.11 ツール8 ウェブサイトの攻撃兆候検出ツール「iLogscanner」
3.1.7.12 ツール9 知つていますか?脆弱性-アニメで見るウェブサイトの脅威と仕組み-
3.1.7.13 ツール10 5分でできる!情報セキュリティポイント学習-事例で学ぶ中小企業のためのセキュリティ対策-
3.1.7.14 ツール11 情報セキュリテイ対策支援サイト「iSupport」
3.1.7.15 ツール12 セキュリテイ要件確認支援ツール
3.1.7.16 ツール13 情報セキュリテイ・ポータルサイト「ここからセキュリテイ!」
3.1.7.17 ツール14 JPEGテスト支援ツール「iFuzzMaker」
3.1.7.18 ツール15 情報漏えい対策ツール
3.2 企業(組織)における最低限の情報セキュリティ対策のしおり【2015年8月21日IPA】
3.2.1 情報セキュリティ対策とは
3.2.2 5分でできる!中小企業のための情報セキュリティ自社診断
3.2.3 情報(資産)の扱いは
3.2.3.1 №1 保管について
3.2.3.1.1 重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、重要情報がみだりに扱われないようにしていますか?
3.2.3.2 №2 持ち出しについて
3.2.3.2.1 重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗難・紛失対策をしていますか?
3.2.3.2.2 サブトピック 2
3.2.3.3 №3 廃棄について(紙媒体等)
3.2.3.3.1 重要な書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどのように、重要情報が読めなくなるような処分をしていますか?
3.2.3.4 №4 廃棄について(電子機器・電子媒体等)
3.2.3.4.1 重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用したり、業者に消去を依頼するなどのように、電子データが読めなくなるような処理をしていますか?
3.2.4 事務所では
3.2.4.1 №5 事務所について
3.2.4.1.1 事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?
3.2.4.2 №6 事務所について
3.2.4.2.1 退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのように、盗難防止対策をしていますか?
3.2.4.3 №7 事務所について
3.2.4.3.1 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
3.2.5 パソコンは
3.2.5.1 №8 パソコンについて
3.2.5.1.1 Windows Update を行うなどのように、常にソフトウェアを安全な状態にしていますか?
3.2.5.2 №9 パソコンについて
3.2.5.2.1 ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する危険性が高いソフトウェアの使用を禁止していますか?
3.2.5.3 №10 パソコンについて
3.2.5.3.1 社内外での個人パソコンの業務使用を許可制にするなどのように、業務で個人パソコンを使用することの是非を明確にしていますか?
3.2.5.4 №11 パソコンについて
3.2.5.4.1 退社時にパソコンの電源を落とすなどのように、他人に使われないようにしていますか?
3.2.6 パスワードは
3.2.6.1 №12 パスワードについて
3.2.6.1.1 パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?
3.2.6.2 №13 パスワードについて
3.2.6.2.1 パスワードを他人が見えるような場所に貼らないなどのように、他人にわからないように管理していますか?
3.2.6.3 №14 パスワードについて
3.2.6.3.1 ログイン用のパスワードを定期的に変更するなどのように、他人に見破られにくくしていますか?
3.2.7 ウイルス対策
3.2.7.1 №15 ウイルス対策について
3.2.7.1.1 パソコンにはウイルス対策ソフトを入れるなどのように、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっていますか?
3.2.7.2 №16 ウイルス対策について
3.2.7.2.1 ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように、常に最新のウイルス定義ファイルになるようにしていますか?
3.2.8 メールは
3.2.8.1 №17 メールについて
3.2.8.1.1 電子メールを送る前に、目視にて送信先アドレスの確認をするなどのように、宛先の送信ミスを防ぐ仕組みを徹底しいますか?
3.2.8.2 №18 メールについて
3.2.8.2.1 お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用するなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか?
3.2.8.3 №19 メールについて
3.2.8.3.1 重要情報をメールで送る場合は、重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?
3.2.9 バックアップは
3.2.9.1 №20 バックアップについて
3.2.9.1.1 重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?
3.2.10 従業員・取引先は
3.2.10.1 №21 従業者について
3.2.10.1.1 採用の際に守秘義務があることを知らせるなどのように、従業者に機密を守らせていますか?
3.2.10.2 №22 従業者について
3.2.10.2.1 情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?
3.2.10.3 №23 取引先について
3.2.10.3.1 契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に機密を守ることを求めていますか?
3.2.11 事故対応・セキュリティルールは
3.2.11.1 №24 事故対応について
3.2.11.1.1 重要情報の流出や紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?
3.2.11.2 №25 ルールについて
3.2.11.2.1 情報セキュリティ対策(№1~№24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確していますか?
3.2.12 いかがでしたか
3.2.12.1 情報セキュリティ(対策)実施の成功ポイント(PDCAサイクル
3.2.12.2 参考情報
3.2.12.3 5分でできる!!情報セキュリティポイント学習
3.3 組織における内部不正防止ガイドライン(日本語版) 第4版ガイドライン【2017年1月31日IPA】
3.3.1 1.背景
3.3.2 2.概要
3.3.2.1 2-1.内部不正防止の基本原則
3.3.2.2 2-2.本ガイドラインの構成と活用方法
3.3.2.3 2-3.内部不正対策の体制構築の重要性
3.3.2.4 2-4.内部不正対策の体制
3.3.2.4.1 2-4-1.最高責任者
3.3.2.4.2 2-4-2.総括責任者
3.3.2.4.3 2-4-3.総括責任者の任命について
3.3.2.4.4 2-4-4.各部門/担当者の参画及び協力体制
3.3.3 3. 用語の定義と関連する法律
3.3.3.1 3-1.用語
3.3.3.2 3-2.関連する法律
3.3.4 4. 内部不正を防ぐための管理のあり方
3.3.4.1 4-1.基本方針(経営者の責任、ガバナンス)
3.3.4.2 4-2.資産管理(秘密指定、アクセス権指定、アクセス管理等)
3.3.4.2.1 4-2-1.秘密指定
3.3.4.2.2 4-2-2.アクセス権指定
3.3.4.3 4-3.物理的管理
3.3.4.4 4-4.技術・運用管理
3.3.4.5 4-5.証拠確保
3.3.4.6 4-6.人的管理
3.3.4.7 4-7.コンプライアンス
3.3.4.8 4-8.職場環境
3.3.4.9 4-9.事後対策
3.3.4.10 4-10.組織の管理
3.3.5 付録Ⅰ:内部不正事例集
3.3.6 付録Ⅱ:内部不正チェックシート
3.3.7 付録Ⅲ:Q&A 集
3.3.8 付録Ⅳ:他ガイドライン等との関係
3.3.9 付録Ⅴ:基本方針の記述例
3.3.10 付録Ⅵ:内部不正防止の基本5原則と25分類
3.3.11 付録Ⅶ:対策の分類
3.4 スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書【2015年 5月21日NISC】
3.4.1 1.総則
3.4.1.1 1.1 本書の目的・位置付け
3.4.1.2 1.2 本書が対象とする者
3.4.1.3 1.3 本書の使い方
3.4.1.4 1.4 用語の定義
3.4.2 2.スマートフォン等の特性と業務利用におけるリスク
3.4.2.1 2.1 スマートフォン等の特性
3.4.2.2 2.2 スマートフォン等の特性及び業務利用における脅威
3.4.2.2.1 表2-1 スマートフォン等の業務利用における脅威と対策の例
3.4.3 3.スマートフォン等の業務利用の形態
3.4.3.1 3.1 端末の配備
3.4.3.2 3.2 利用する場所
3.4.3.3 3.3 私物端末の利用
3.4.3.4 3.4 情報システムの利用形態
3.4.4 4.目的及び適用範囲の明確化
3.4.4.1 4.1 目的の明確化
3.4.4.2 4.2 対象とする業務
3.4.4.3 4.3 利用者
3.4.5 5.業務・サービスの利用要件の策定
3.4.5.1 5.1 端末やOSの種類
3.4.5.2 5.2 端末機能・サービスの要件
3.4.5.2.1 表5-1 端末機能・サービスの利用要件及び利用制限の例
3.4.5.3 5.3 業務用アプリの導入
3.4.5.4 5.4 通信ネットワークの要件
3.4.5.5 5.5 情報セキュリティ対策要件
3.4.5.5.1 (1) ソフトウェアの脆弱性対策
3.4.5.5.2 (2) 不正プログラム対策
3.4.5.5.3 (3) のぞき見防止対策
3.4.5.5.4 (4) 盗難・紛失対策
3.4.5.5.5 (5) ログ管理機能
3.4.5.5.6 (6) 端末管理ツール(MDM:Mobile Device Management)の導入
3.4.5.5.7 表5-2 MDMの主な機能
3.4.5.5.7.1 端末ロックの遠隔制御
3.4.5.5.7.1.1 端末個体ごとに、遠隔制御でロック、アンロックを実施
3.4.5.5.7.2 リモートデータワイプ
3.4.5.5.7.2.1 端末内全データ削除、個別データ/特定フォルダ削除、業務領域のみ削除 等
3.4.5.5.7.3 暗号化
3.4.5.5.7.3.1 外部メモリ出力時のデータ暗号化/復号、個別データの暗号化/復号
3.4.5.5.7.4 端末機能制御
3.4.5.5.7.4.1 カメラ、スクリーンショット、近距離無線通信、外部メモリ出力等の機能制限
3.4.5.5.7.5 端末状態監視
3.4.5.5.7.5.1 端末状態の取得(OS、アプリ、改造の有無、起動中アプリ 等)
3.4.5.5.7.5.2 死活監視、ログ収集、位置情報取得、アラートメールの送信、管理者向け統計処理
3.4.5.5.7.6 ポリシー設定及び実行
3.4.5.5.7.6.1 パスワードポリシー設定、MDMポリシー(リモートデータワイプの条件、機能制限 等)設定
3.4.5.5.7.6.2 メーラー無線LAN接続、証明書等の端末構成の設定変更 等
3.4.5.5.7.7 資産管理
3.4.5.5.7.7.1 端末所有者の属性管理や端末個体情報(機種、電話番号 等)の管理 等
3.4.5.5.7.8 アプリ配信及び削除
3.4.5.5.7.8.1 業務用アプリの配信と自動インストール、遠隔削除
3.4.5.5.7.9 アプリ利用制限
3.4.5.5.7.9.1 非公認アプリのインストール制限や強制終了、アプリのアクセス許可制御
3.4.5.5.7.9.2 外部媒体経由のアプリインストール制御 等
3.4.5.5.7.10 MDMサーバ接続
3.4.5.5.7.10.1 SSLVPNによる通信路暗号化、GCM等によるエージェント・MDMサーバ間通信路の維持 等
3.4.5.5.7.11 フィルタリング機能
3.4.5.5.7.11.1 ウェブフィルタ、メールフィルタ等の設定情報管理やアクセスログの収集
3.4.5.5.7.12 不正プログラム対策ソフトウェアの管理
3.4.5.5.7.13 不正プログラム対策ソフトウェアのバージョンやパターンファイルの管理、最新版への更新、スキャンログの収集、スキャン実行の要求 等
3.4.5.5.7.14 バックアップ
3.4.5.5.7.14.1 端末データのバックアップやリスア
3.4.5.6 5.6 私物端末の業務利用に際して留意すべき事項
3.4.5.6.1 表5-3 私物端末の業務利用する際に留意すべき事項と要件策定例
3.4.5.6.1.1 業務情報と私的な情報の混在の回避
3.4.5.6.1.1.1  端末内の私的な情報と業務情報を混在させないよう、これらを明確に分けるための仕組みを導入する
3.4.5.6.1.1.2  業務用アプリ導入又は端末に業務情報を保存させない仕組みを導入する
3.4.5.6.1.2 家族や友人への貸与の禁止
3.4.5.6.1.2.1  私的な利用においても家族や友人が利用することを禁止することを合意した者のみに私物端末の利用を認める
3.4.5.6.1.2.2 外出先等での端末の盗難・紛失
3.4.5.6.1.2.3  業務利用する際の利用場所を限定する
3.4.5.6.1.2.4  私的利用時を含めて端末ロックやデータワイプ機能の設定を必須し、対策の実施について合意した者のみに私物端末の利用を認める
3.4.5.6.1.3 利用するネットワークの制限
3.4.5.6.1.3.1  私的な利用時であっても安全性の確認できないサイトや通信ネットワークへの接続を禁止するなどの利用手順を策定し、合意した者のみに私物端末の利用を認める
3.4.5.6.1.4 ソフトウェア更新や不正プログラム対策の実施
3.4.5.6.1.4.1  ソフトウェア更新や不正プログラム対策ソフトウェアの実行を義務付け、合意したのみに私物端末の利用を認める(OSの更新により業務用アプリが正常動作しなくなる可能性について留意が必要)
3.4.5.6.1.5 業務用アプリのインストー
3.4.5.6.1.5.1  業務用アプリのインストール可能な端末を所有していて、かつインストールに合意した者のみに私物端末の利用を認める
3.4.5.6.1.6 点検内容の明確化
3.4.5.6.1.6.1  業務用アプリ、MDMやMAMにより点検を自動化する
3.4.5.6.1.6.2  あらかじめ点検内容を明確化し、合意した者のみに私物端末の利用を認める
3.4.6 6.実施手順の整備
3.4.6.1 6.1 責任者の設置と運用管理体制の整備
3.4.6.2 6.2 利用手順の整備
3.4.6.2.1 表6-1 利用者が遵守すべき端末の利用手順に関する注意事項の例
3.4.6.2.1.1 利用の原則
3.4.6.2.1.1.1 行政事務の遂行以外の目的で端末を利用しないこと
3.4.6.2.1.1.2 不要不急な業務においては極力利用しないこと
3.4.6.2.1.1.3 不要な情報は端末に残留させず、速やかに消去すること
3.4.6.2.1.1.4 他の手段が無い場合に限り利用すること
3.4.6.2.1.2 利用手順の遵守
3.4.6.2.1.2.1 利用手順を遵守すること
3.4.6.2.1.2.2 定められた手順以外の方法で業務を行わないこと
3.4.6.2.1.2.3 手順外の処理を行う必要が生じた場合は、事前に責任者の許可又は承認を得ること
3.4.6.2.1.2.4 利用を終了した場合は、速やかに手続すること
3.4.6.2.1.2.5 利用中にインシデント等が発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること
3.4.6.2.1.3 端末管理の徹底
3.4.6.2.1.3.1 盗難・紛失が起こらないように、日常的に端末の管理を厳重に行うこと
3.4.6.2.1.3.2 家族や知人、第三者が端末操作や画面をのぞき見する行為に注意すること
3.4.6.2.1.4 禁止事項
3.4.6.2.1.4.1 管理責任者の許可なく、端末の設定を変更しないこと
3.4.6.2.1.4.2 安全性が確認できないアプリケーションや利用が禁止されているソフトウェアをインストールしないこと
3.4.6.2.1.4.3 許可された通信回線以外に接続しないこと
3.4.6.2.1.4.4 PCに接続しないこと(充電等の場合であってもNG)
3.4.6.2.1.4.5 端末は家族や知人、第三者に端末を貸与しないこと
3.4.6.3 6.3 運用管理手順の整備
3.5 情報セキュリティ読本 四訂版- IT時代の危機管理入門 -【2014年11月4日IPA】
3.5.1 第4章 組織の一員としての情報セキュリティ対策
3.5.2 1.      1. 組織のセキュリティ対策
3.5.2.1 計画(Plan) - 体制の整備とポリシーの策定
3.5.2.2 実行(Do) - 導入と運用
3.5.2.3 点検(Check) - 監視と評価
3.5.2.4 処置(Act) - 見直しと改善
3.5.2.5 1.1.     1) 計画(Plan)- 体制の整備とポリシーの策定
3.5.2.5.1 組織内の体制を確立する
3.5.2.5.2 セキュリティポリシーを策定する
3.5.2.5.3 対策事項の立案と手順書の整備
3.5.2.5.4 1.1.1.      組織内の体制を確立する
3.5.2.5.4.1 情報セキュリティを推進するための体制を組織内に作ることが出発点
3.5.2.5.4.2 実施担当者と、その役割、権限、責任を定める
3.5.2.5.4.3 望ましい体制
3.5.2.5.4.3.1 経営陣が中心となって取り組む
3.5.2.5.4.3.2 全社横断的な体制
3.5.2.5.4.3.3 トップダウンの管理体制
3.5.2.5.5 1.1.2.      セキュリティポリシーの策定
3.5.2.5.5.1 セキュリティポリシーとは
3.5.2.5.5.1.1 組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの
3.5.2.5.5.2 セキュリティポリシーの階層
3.5.2.5.5.2.1 基本方針
3.5.2.5.5.2.2 対策基準
3.5.2.5.5.2.3 対策実施手順
3.5.2.5.5.3 策定前の準備
3.5.2.5.5.3.1 情報資産の「何を守るのか」を決定する
3.5.2.5.5.3.2 「どのようなリスクがあるのか」を分析する
3.5.2.5.5.4 責任者と担当者を明確にする
3.5.2.5.5.4.1 組織体の長=情報セキュリティの最高責任者
3.5.2.5.6 1.1.3.      対策事項の立案と手順書の整備
3.5.2.5.6.1 対策基準とは
3.5.2.5.6.1.1 情報資産を脅威から守る方法を具体的に定めたもの
3.5.2.5.6.2 実施手順とは
3.5.2.5.6.2.1 対策基準を実際の行動に移す際の手順書(マニュアルのようなもの)
3.5.2.5.6.2.2 最初に設定する内容とその手順
3.5.2.5.6.2.3 定期的に実施する対策の手順
3.5.2.5.6.2.4 インシデント発生時の対策と手順
3.5.2.6 1.2.     2) 実行(Do)- 導入と運用
3.5.2.6.1 導入フェーズ
3.5.2.6.2 運用フェーズ
3.5.2.6.3 1.2.1.      導入フェーズ
3.5.2.6.3.1 構築と設定
3.5.2.6.3.1.1 ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入
3.5.2.6.3.1.2 OS、アプリケーションのセキュリティ設定
3.5.2.6.3.2 設定における注意点
3.5.2.6.3.2.1 デフォルト設定は使用しない
3.5.2.6.3.2.2 不要なサービスの停止
3.5.2.6.3.3 脆弱性の解消
3.5.2.6.3.3.1 最新の修正プログラムを適用
3.5.2.6.3.4 レベルに応じたアクセス制御
3.5.2.6.3.4.1 組織のメンバーごとにアクセスレベルを設定
3.5.2.6.3.4.2 アクセスできる範囲と操作権限を制限する
3.5.2.6.4 1.2.2.      運用フェーズ
3.5.2.6.4.1 セキュリティポリシーの周知徹底とセキュリティ教育
3.5.2.6.4.1.1 役割と責任、セキュリティ対策上のルールを周知
3.5.2.6.4.1.2 被害に遭わないために脅威と対策を教える
3.5.2.6.4.2 脆弱性対策
3.5.2.6.4.2.1 定期的な情報収集とパッチの適用
3.5.2.6.4.3 異動/退職社員のフォロー
3.5.2.6.4.3.1 退職者のアカウントは確実に削除(セキュリティホールになりうる)
3.5.2.7 1.3.     3) 点検(Check) - 監視と評価 -
3.5.2.7.1 監視と評価
3.5.2.7.2 セキュリティ事故への対処
3.5.2.7.3 1.3.1.      監視と評価
3.5.2.7.3.1 ネットワークを監視し、異常や不正アクセスを検出する
3.5.2.7.3.1.1 通信、不正アクセスの監視
3.5.2.7.3.1.2 異常検知、不正アクセス検知、脆弱性検査
3.5.2.7.3.2 ポリシーが守られているか自己または第三者による評価を行う
3.5.2.7.3.2.1 自己点検(チェックリストなどにより実施)
3.5.2.7.3.2.2 情報セキュリティ対策ベンチマークでの自己診断
3.5.2.7.3.2.3 情報セキュリティ監査
3.5.2.7.4 1.3.2.      セキュリティ事故への対処
3.5.2.7.4.1 セキュリティポリシーに則ったインシデント対応
3.5.2.7.4.2 特に注意すべき点
3.5.2.7.4.2.1 被害状況を調査し、二次災害を防ぐ
3.5.2.7.4.2.2 原因を特定し、再発防止策を徹底する
3.5.2.7.4.2.3 実施した対応の記録、各種届出(必要な場合)
3.5.2.7.4.2.4 対応窓口を設置し、正確な情報を提供する
3.5.2.7.4.2.5
3.5.2.8 1.4.     4) 処置(Act) - 見直しと改善
3.5.2.8.1 セキュリティポリシーを見直し、改善点を検討する
3.5.2.8.2 セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要
3.5.3 2.      2. 従業員としての心得
3.5.3.1 規則を知り、遵守する
3.5.3.2 情報セキュリティ上の脅威と対策を知る
3.5.3.3 「自分だけは…」、「これぐらいなら…」は通用しない
3.5.3.3.1 必ず上司に報告・相談する
3.5.3.4 特に、情報漏えいに気を付ける
3.5.4 3.      3. 気を付けたい情報漏えい
3.5.4.1 情報漏えいの経路と原因
3.5.4.2 情報漏えいを防止するための管理対策のポイント
3.5.4.3 企業や組織の一員としての情報セキュリティ心得
3.5.4.4 3.1.     情報漏えいの経路と原因
3.5.4.4.1 情報漏えいの経路
3.5.4.4.1.1 PC本体、スマートフォンタブレット端末、
3.5.4.4.1.2 外部記憶媒体USBメモリなど)、
3.5.4.4.1.3 紙媒体、P2Pファイル交換ソフト
3.5.4.4.2 情報漏えいの原因
3.5.4.4.2.1 管理ミス、誤操作、紛失・置忘れが約8割
3.5.4.4.3 人為的なミスを防ぐことが重要
3.5.4.5 3.2.     情報漏えいを防止するための管理対策のポイント
3.5.4.5.1 P2Pファイル交換ソフトは使用しない
3.5.4.5.2 私物パソコン等を業務で使用しない(持ち込ませない)
3.5.4.5.3 個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない)
3.5.4.5.4 社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する
3.5.4.6 3.3.     企業や組織の一員としての情報セキュリティ心得
3.5.4.6.1 企業や組織の情報や機器を、許可なく持ち出さない
3.5.4.6.2 私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない
3.5.4.6.3 企業や組織の情報や機器を未対策のまま放置しない
3.5.4.6.4 企業や組織の情報や機器を未対策のまま廃棄しない
3.5.4.6.5 個人に割り当てられた権限を他の人に貸与または譲渡しない
3.5.4.6.6 業務上知り得た情報を公言しない
3.5.4.6.7 情報漏えいを起こした場合は速やかに報告する
3.5.5 4.      4. 終わりのないプロセス
3.5.5.1 一度、導入・設定すればそれで終わり、というものではない。
3.5.5.2 運用、見直し、フィードバックを繰り返すプロセスが必要。
3.5.5.3 技術面だけでなく、管理面も強化する
3.5.5.4 技術的対策と管理的対策はクルマの両輪の関係
3.5.6 5.      情報セキュリティにおけるさまざまな対策
3.5.6.1 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」
3.5.6.2 http://www.ipa.go.jp/security/manager/protect/management.html 
3.5.6.3 参考)読者層別:情報セキュリティ対策実践情報:
3.5.6.4 http://www.ipa.go.jp/security/awareness/awareness.html
3.6 情報セキュリティ 10 大脅威【IPA
3.6.1 情報セキュリティ 10 大脅威(組織)【2017年3月IPA】
3.6.1.1 標的型攻撃による情報流出
3.6.1.1.1 ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
3.6.1.1.2 チェックリスト
3.6.1.1.2.1 □送信者の名前やアドレスが見慣れないものである。
3.6.1.1.2.2 □組織内の話題なのに、外部のメールアドレスから届いている。
3.6.1.1.2.3 □フリーのメールアドレスから届いている。
3.6.1.1.2.4 □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
3.6.1.1.2.5 □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
3.6.1.1.2.6 □送信者の署名が無いか曖昧である。
3.6.1.1.2.7 □送信者の名前や組織名として、架空のものを名乗っている。
3.6.1.1.2.8 □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
3.6.1.1.2.9 □上記以外で不審な箇所がある。
3.6.1.1.3 経営者層
3.6.1.1.3.1 •問題に迅速に対応できる体制の構築
3.6.1.1.3.2 •対策予算の確保と継続的な対策実施
3.6.1.1.4 システム管理者
3.6.1.1.4.1 •情報の取扱い・保管状態の確認
3.6.1.1.4.2 •システム設計対策・アクセス制限
3.6.1.1.4.3 •ネットワーク監視・分離
3.6.1.1.5 セキュリティ担当部署
3.6.1.1.5.1 •セキュリティ教育の実施
3.6.1.1.5.2 •情報の保管方法ルール策定
3.6.1.1.5.3サイバー攻撃に関する情報共有
3.6.1.1.6 従業員・職員
3.6.1.1.6.1 •セキュリティ教育の受講
3.6.1.1.6.2 •OS・ソフトウェアの更新
3.6.1.1.6.3ウイルス対策ソフトの導入・更新
3.6.1.2 ランサムウェアを使った詐欺・恐喝
3.6.1.2.1 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
3.6.1.2.2 PC利用者
3.6.1.2.2.1 •定期的なバックアップ(PCだけではなく、共有サーバーも)
3.6.1.2.2.2 また、復元できるかの事前の確認
3.6.1.2.2.3 •OS・ソフトウェアの更新
3.6.1.2.2.4ウイルス対策ソフトの導入・更新
3.6.1.2.2.5 •メールの添付ファイル・リンクのURLを不用意に開かない
3.6.1.2.3 スマートフォン利用者
3.6.1.2.3.1ウイルス対策ソフトの導入・更新
3.6.1.3 ウェブサービスからの個人情報の搾取
3.6.1.3.1 ウェブサービス運営者
3.6.1.3.1.1 •セキュアなウェブサービスの構築
3.6.1.3.1.2 (登録する個人情報も必要最低限に)
3.6.1.3.1.3 •OS・ソフトウェアの更新
3.6.1.3.1.4 •WAF・IPSの導入
3.6.1.3.2 ウェブサービス利用者
3.6.1.3.2.1 •不要な情報は極力サイトに登録しない
3.6.1.4 サービス妨害攻撃によるサービスの停止
3.6.1.4.1 個人・組織
3.6.1.4.1.1 •OS・ソフトウェアの更新
3.6.1.5 内部不正による情報漏えいとそれに伴う業務停止
3.6.1.5.1 組織
3.6.1.5.1.1 •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
3.6.1.5.1.2 •資産の把握・体制の整備
3.6.1.5.1.3 •情報の取扱教育の実施
3.6.1.5.1.4 •重要情報の管理・保護
3.6.1.5.1.5 •アカウント、権限の管理・定期監査
3.6.1.5.1.6 •システム操作の記録・監視
3.6.1.5.2 サービス利用者
3.6.1.5.2.1 •情報の管理が適切かを確認
3.6.1.6 ウェブサイトの改ざん
3.6.1.6.1 ウェブサイト運営者
3.6.1.6.1.1 •OS・サーバーソフトウェアの更新
3.6.1.6.1.2 •サーバーソフトウェアの設定の見直し
3.6.1.6.1.3ウェブアプリケーション脆弱性対策
3.6.1.6.1.4 •アカウント・パスワードの適切な管理
3.6.1.6.1.5 •信頼できないサーバーソフトウェアを利用しない
3.6.1.6.1.6 •改ざん検知ソフトウェアの利用
3.6.1.6.2 ウェブサイト利用者
3.6.1.6.2.1 •OS・ソフトウェアの更新
3.6.1.6.2.2ウイルス対策ソフトの導入
3.6.1.7 ウェブサービスへの不正ログイン
3.6.1.7.1 攻撃者が不正に入手したIDやパスワードでログインを試みる
3.6.1.8 IoT 機器の脆弱性の顕在化
3.6.1.8.1 IoT 機器のボットネットを悪用した大規模なDDoS 攻撃を観測
3.6.1.8.2 攻撃手口
3.6.1.8.2.1 IoT 機器の脆弱性を悪用してウイルスに感染させる
3.6.1.8.2.2 ウイルス感染したIoT 機器をボットとして悪用して、インターネット上にウイルス感染した機器を増殖させる
3.6.1.8.2.3 ボットに感染したIoT 機器群を攻撃者が遠隔から操作し、ウェブサイトの公開サービス等をDDoS 攻撃で麻痺させる
3.6.1.8.2.4 IoT 機器からの機密情報を窃取する
3.6.1.8.3 組織(IoT機器の開発者)
3.6.1.8.3.1 初期パスワード変更の強制化
3.6.1.8.3.2 セキュアプログラミング技術の適用
3.6.1.8.3.3 脆弱性の解消(脆弱性検査、ソースコード検査、ファジング等)
3.6.1.8.3.4 ソフトウェア更新手段の自動化
3.6.1.8.3.5 分り易い取扱説明書の作成
3.6.1.8.3.6 迅速なセキュリティパッチの提供
3.6.1.8.3.7 不要な機能の無効化(telnet 等)
3.6.1.8.3.8 安全なデフォルト設定
3.6.1.8.3.9 設計の見直し:
3.6.1.8.3.10 機器の中で複数のパスワードを管理する場合、パスワードの変更漏れがないよう
3.6.1.8.3.11 に設計を見直す。
3.6.1.8.3.12 利用者への適切な管理の呼びかけ:IoT 機器の利用者は必ずしも情報リテラシーが高いとは限らない。マニュアルやウェブページ等で適切な管理を呼びかけることも重要である。
3.6.1.8.4 組織(システム管理者・利用者)、個人
3.6.1.8.4.1 情報リテラシーの向上
3.6.1.8.4.1.1 機器使用前に取扱説明書を確認
3.6.1.8.4.1.2 初期設定済のパスワードを変更
3.6.1.8.4.2 被害の予防
3.6.1.8.4.2.1 不要な機能の無効化(telnet 等):利用上の注意や初期設定から変更が必要な設定等を把握し、適切に運用する。
3.6.1.8.4.2.2 外部からの不要アクセスを制限
3.6.1.8.4.2.3 ソフトウェアの更新(自動化設定を含む)
3.6.1.9 攻撃のビジネス化(アンダーグラウンドサービス)
3.6.1.9.1 ~サイバー犯罪を目的としたサービスやツールの売買~
3.6.1.9.2 攻撃手口
3.6.1.9.2.1 ツールやサービスを購入し攻撃
3.6.1.9.3 組織(PC 利用者)
3.6.1.9.3.1 情報リテラシーの向上
3.6.1.9.3.1.1 セキュリティ教育の受講
3.6.1.9.3.1.2 受信メール、ウェブサイトの十分な確認
3.6.1.9.3.1.3 添付ファイルやリンクを安易にクリックしない
3.6.1.9.3.1.4 事例・手口の情報収集
3.6.1.9.3.2 被害の予防
3.6.1.9.3.2.1 OS・ソフトウェアの更新
3.6.1.9.3.2.2 セキュリティソフトの導入
3.6.1.9.3.2.3 多要素認証等の強い認証方式の利用
3.6.1.9.3.3 被害の早期検知
3.6.1.9.3.3.1 不審なログイン履歴の確認
3.6.1.9.3.4 被害を受けた後の対策
3.6.1.9.3.4.1 バックアップからの復旧
3.6.1.9.4 組織(システム管理者)
3.6.1.9.4.1 被害の予防
3.6.1.9.4.1.1 DDoS 攻撃の影響を緩和するISP 等によるサービスの利用
3.6.1.9.4.1.2 システムの冗長化等の軽減策
3.6.1.9.4.2 被害を受けた後の対策
3.6.1.9.4.2.1 通信制御(DDoS 攻撃元をブロック等)
3.6.1.9.4.2.2 ウェブサイト停止時の代替サーバーの用意(告知手段)
3.6.1.10 インターネットバンキングやクレジットカード情報の不正利用
3.6.1.10.1 •OS・ソフトウェアの更新
3.6.1.10.2ウイルス対策ソフトの導入
3.6.1.10.3 •事例や手口を知る
3.6.1.10.4 •二要素認証等の強い認証方式の利用
3.6.1.11 踏み台にならないため、利用している機器も含めて管理
3.6.1.11.1 組織
3.6.1.11.1.1DDoS攻撃の影響を緩和するISP等によるサービスの利用
3.6.1.11.1.2通信制御(DDoS攻撃元をブロック等)
3.6.1.11.1.3 •システムの冗長化等の軽減策
3.6.1.11.1.4 •サイト停止時の代替サーバーの用意
3.6.1.12 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
3.6.1.12.1 システム管理者
3.6.1.12.1.1 •担当するシステムの把握・管理の徹底
3.6.1.12.1.2 •継続的な脆弱性対策情報の収集
3.6.1.12.1.3脆弱性発見時の対応手順の作成
3.6.1.12.1.4 •ソフトウェアの更新または緩和策
3.6.1.12.1.5 •ネットワークの適切なアクセス制限
3.6.1.12.2 ソフトウェア利用者
3.6.1.12.2.1 •利用しているソフトウェアの把握
3.6.1.12.2.2 •定期的な脆弱性情報の収集
3.6.1.12.2.3 •ソフトウェアの更新または緩和策
3.6.1.12.3 ソフトウェア開発ベンダー
3.6.1.12.3.1 •製品に組み込まれているソフトウェアの把握・管理の徹底
3.6.1.12.3.2 •継続的な脆弱性対策情報の収集
3.6.1.12.3.3脆弱性発見時の対応手順の作成
3.6.1.12.3.4 •情報を迅速に展開できる仕組みの整備
3.6.1.13 過失による情報漏えい
3.6.1.13.1 ルールの明文化と遵守
3.6.1.13.2 フールプルーフ
3.6.1.13.2.1 ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
3.7 企業・組織の対策|国民のための情報セキュリティサイト【総務省】
3.7.1 組織幹部のための情報セキュリティ対策
3.7.1.1 【技術的対策】
3.7.1.2 情報セキュリティ対策の必要性
3.7.1.3 情報セキュリティの概念
3.7.1.4 必要な情報セキュリティ対策
3.7.1.5 情報セキュリティマネジメントとは
3.7.1.5.1 情報セキュリティマネジメントの実施サイクル
3.7.1.5.2 情報セキュリティポリシーの概要と目的
3.7.1.5.3 情報セキュリティポリシーの内容
3.7.1.5.4 情報セキュリティポリシーの策定
3.7.1.5.5 情報セキュリティ教育の実施
3.7.1.5.6 情報セキュリティポリシーの評価と見直し
3.7.1.5.7 事故やトラブル発生時の対応
3.7.1.6 個人情報取扱事業者の責務
3.7.2 社員・職員全般の情報セキュリティ対策
3.7.2.1 安全なパスワード管理
3.7.2.2 ソフトウェアの情報セキュリティ対策
3.7.2.3 ウイルス対策
3.7.2.4 電子メールの誤送信
3.7.2.5 標的型攻撃への対策
3.7.2.6 悪意のあるホームページ
3.7.2.7 バックアップ
3.7.2.8 安全な無線LANの利用
3.7.2.9 廃棄するパソコンやメディアからの情報漏洩(ろうえい)
3.7.2.10 外出先で業務用端末を利用する場合の対策
3.7.2.11 持ち運び可能なメディアや機器を利用する上での危険性と対策
3.7.2.12 ソーシャルエンジニアリングの対策
3.7.2.13 クラウドサービス利用時の注意点
3.7.2.14 SNS利用上の注意点
3.7.3 情報管理担当者の情報セキュリティ対策
3.7.3.1 【技術的対策】
3.7.3.1.1 ソフトウェアの更新
3.7.3.1.2 ウイルス対策
3.7.3.1.3 ネットワークの防御
3.7.3.1.4 不正アクセスによる被害と対策
3.7.3.1.5 外出先で業務用端末を利用する場合の対策
3.7.3.1.6 SQLインジェクションへの対策
3.7.3.1.7 標的型攻撃への対策
3.7.3.1.8 安全な無線LAN利用の管理
3.7.3.1.9 ユーザ権限とユーザ認証の管理
3.7.3.1.10 バックアップの推奨
3.7.3.1.11 セキュリティ診断
3.7.3.1.12 ログの適切な取得と保管
3.7.3.1.13 サポート期間が終了するソフトウェアに注意
3.7.3.2 【情報セキュリティポリシー
3.7.3.2.1 情報セキュリティポリシーの導入と運用
3.7.3.2.2 ソーシャルエンジニアリングの対策
3.7.3.2.3 クラウドサービスを利用する際の情報セキュリティ対策
3.7.3.2.4 SNSを利用する際の情報セキュリティ対策
3.7.3.2.5 社員の不正による被害と対策
3.7.3.2.6 廃棄するパソコンやメディアからの情報漏洩
3.7.3.2.7 持ち運び可能な記憶媒体や機器を利用する上での危険性と対策
3.7.3.3 【物理セキュリティ】
3.7.3.3.1 サーバの設置と管理
3.7.3.3.2 機器障害への対策
3.7.4 事故・被害の事例
3.7.4.1 事故・被害の事例
3.7.4.1.1 事例1:資料請求の情報が漏洩した
3.7.4.1.2 事例2:ホームページが書き換えられた
3.7.4.1.3 事例3:顧客のメールアドレスが漏洩
3.7.4.1.4 事例4:他人のIDで不正にオンライン株取引
3.7.4.1.5 事例5:中古パソコンによるデータの漏洩
3.7.4.1.6 事例6:情報セキュリティ対策は万全だったはずなのに・・・
3.7.4.1.7 事例7:ファイル共有ソフトが原因で・・・
3.7.4.1.8 事例8:SQLインジェクションでサーバの情報が・・・
3.7.4.1.9 事例9:標的型攻撃で、企業の重要情報が・・・
3.7.4.1.10 事例10:自分の名前で勝手に書き込みが・・・
3.7.4.1.11 事例11:公式アカウントが乗っ取られた
3.7.4.1.12 事例12:有名サイトからダウンロードしたはずなのに・・・
3.7.4.1.13 事例13:クラウドサービスに預けていた重要データが消えた
3.7.5 脆弱性の注意喚起
3.7.5.1 Internet Explorer脆弱性について
3.7.5.2 Apache Struts脆弱性について
3.7.5.3 OpenSSLの脆弱性について
3.8 @police-被害事例と対処法【警察庁】
3.8.1 PCユーザ 被害事例と対処法
3.8.1.1 ID・パスワードを盗まれて「なりすまし」に遭った
3.8.1.2 身に覚えのない料金請求をされた
3.8.1.3 パソコンのハードディスクの中身がインターネット上に公開された
3.8.1.4 携帯電話の情報が勝手に登録された
3.8.1.5 Keyloggerキーロガー)によって個人情報を盗まれた
3.8.1.6 フィッシング詐欺に遭った
3.8.1.7 会社の顧客情報が流出した
3.8.1.8 身に覚えの無い国際電話利用料金の請求が来た
3.8.1.9 有料サイトの利用料金を請求するメールが来た
3.8.1.10 インターネットを利用中に、ブラウザクラッシャーに遭った
3.8.1.11 ネットストーカーに困っている
3.8.1.12 悪徳商法やネット詐欺にあった
3.8.1.13 掲示板に個人情報を書き込まれた
3.8.1.14 パソコンがウイルスに感染してしまった
3.8.1.15 迷惑メールが来たがどうすれば良いか
3.8.2 システム/ネットワーク管理者 被害事例と対処法
3.8.2.1 自組織内の機密情報が、ファイル共有ソフトにより流出した
3.8.2.2 組織内で管理する個人情報がスタッフによって外部へ流出した
3.8.2.3 Webサイトの掲示板に、悪意のある書き込みを大量にされた
3.8.2.4 自組織のドメイン名に詐称された迷惑メールをばらまかれた
3.8.2.5 自分が管理する掲示板上の書き込みに対して削除を求められた
3.8.2.6 他組織のホストへウイルスを感染させてしまった
3.8.2.7 サーバがウイルスに感染してしまった
3.8.2.8 サーバがクラックされ、ページが書き換えられた
3.8.2.9 スパムメールの踏み台にされた
3.8.2.10 DoS攻撃を受けて、サーバが利用不能になった
3.8.2.11 サーバに侵入され個人情報が流出した
3.9 情報セキュリティポリシーサンプル改版(1.0版)【2016年3月29日JNSA】
3.10 すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~【トレンドマイクロ
3.10.1 1 はじめに インシデント対応の実情
3.10.2 2 「インシデント発生」を把握し対応開始を判断する
3.10.2.1 2.1 インシデントの発生に気づくために
3.10.2.2 2.2 インシデント対応を判断するために
3.10.2.3 2.3 まとめ インシデントの把握と対応判断のポイント
3.10.3 3 「不審な通信」、その時に行うべきインシデント対応
3.10.3.1 3.1 インシデント対応の考え方
3.10.3.2 3.2 「影響範囲の確認」のために必要な対応
3.10.3.3 3.3 「脅威の封じ込め/根絶」のために必要な対応
3.10.3.4 3.4 被疑端末への対応
3.10.3.5 3.5 まとめ 具体的なインシデント対応のポイント
3.10.4 4 「適切な対応」を迅速に行うために
3.10.4.1 4.1 インシデント発生を把握し対応開始を判断するための事前準備
3.10.4.2 4.2 インシデント対応を適切かつ迅速に行うための事前準備
3.10.5 5 まとめ
3.11 【てびき】情報管理も企業力~秘密情報の保護と活用~【2016年12月5日METI】
3.11.1 秘密情報の保護ハンドブックの手引き
3.11.2 1.こんなこと、あるある!? 秘密情報にまつわるトラブル
3.11.2.1 大口の取引先から図面を見せてほしいと言われて提示したら・・・
3.11.2.2 プロジェクトの開発リーダーだった従業員が退職を申し出てきたが、転職先は競合他社で・・・
3.11.2.3 自社開発の技術にもかかわらず、他社から「盗まれた!」と言われた。
3.11.2.4 コラム:トラブルに巻き込まれないよう、社内の秘密情報をうまく把握し、活用させて企業力を高めていきましょう!
3.11.3 2.対策は身近なところから!企業を守るための漏えい対策3ステップ
3.11.3.1 保有する情報を洗い出します
3.11.3.2 秘密とする情報を決めましょう
3.11.3.3 情報に合わせた対策の選択と決定をしましょう
3.11.3.3.1 物理的・技術的な防御
3.11.3.3.1.1 1.秘密情報に近寄りにくくするための対策
3.11.3.3.1.1.1 接近の制御
3.11.3.3.1.2 2.秘密情報の持ち出しを困難に「するための対策
3.11.3.3.1.2.1 持出し困難化
3.11.3.3.2 心理的な抑止
3.11.3.3.2.1 3.漏えいが見つかりやすい環境づくりのための対策
3.11.3.3.2.1.1 視認性の確保
3.11.3.3.2.2 4.秘密情報だと思わなかった!という事態を招かないための対策
3.11.3.3.2.2.1 秘密情報に対する認識向上
3.11.3.3.3 働きやすい環境の整備
3.11.3.3.3.1 5.社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策
3.11.3.3.3.1.1 信頼関係の維持・向上等
3.11.4 3.実際にあった!?事例と対策とそのポイント
3.11.4.1 従業員向けの対策
3.11.4.2 従業員・退職者向けの対策
3.11.4.3 取引先向けの対策
3.11.4.4 外部者向けの対策
3.11.4.5 自社技術で商品をつくったのに、他社の技術を使ったと言われた
3.11.4.6 コラム:備えあれば憂いなし!自社の立場を守るためにできること
3.11.4.7 コラム:他社の秘密情報を意図せず侵害しないために
3.11.4.8 転職者を受け入れて新製品を開発したら、秘密情報の侵害だと訴えられた
3.11.5 4.万が一秘密情報が漏えいしてしまったら・・・
3.11.5.1 情報漏えいには兆候があります!
3.11.5.2 漏えいの疑いがあったらできるだけ早く適切な対応を取りましょう
3.11.5.3 被害回復のためにも日頃からの備えが大切です
3.11.5.4 情報漏えいしたら早めの相談を!
3.11.5.4.1 独立行政法人工業所有権情報・研修館(INPIT)
3.11.5.4.1.1 営業秘密・知財戦略ポータルサイト
3.11.5.4.1.2 相談窓口:03-3581-1101 ex.3844
3.11.5.4.1.3 全国47都道府県の知財総合支援窓口
3.11.5.4.1.3.1 ナビダイヤル:0570-082100
3.11.5.4.2 情報処理推進機構(IPA)
3.11.5.4.3 全国都道府県警察 営業秘密侵害事犯窓口
3.11.5.4.3.1 警視庁生活経済課
3.12 「企業における営業秘密管理に関する実態調査」報告書について【2017年3月17日IPA】
3.12.1 調査報告書(PDF:1.7MB)
3.12.2 概要説明資料(PDF:1.42MB)
3.12.3 調査報告書-資料編(アンケート調査結果)(PDF:1.75MB)
3.12.4 調査報告書-資料編(判例調査結果)(PDF:867KB)
3.13 改正個人情報保護法(2017年5月改正施行)対応
3.13.1 背景
3.13.1.1 攻撃を検知するためだけのIT投資とは、いわば“守りの投資”であり、企業に利益を生み出すものではありません
3.13.1.2 そのため、経営者に投資の目的を納得させるのが難しい場合もあるでしょう
3.13.1.3 事実としてサイバー攻撃への対処は経営課題であり、そのための投資は企業にとって不可欠
3.13.1.4 なぜなら、それによって企業のイノベーションに弊害が及ぶからです
3.13.2全体最適」の視点でバランスの取れたセキュリティ対策を
3.13.2.1 サイバー攻撃の脅威を無視することは、新しい事業を生み出す先進的なアイデアとエネルギーを奪ってしまうことを意味する
3.13.2.2 マルウェアの侵入には入口対策とエンドポイント対策で対処し、外部との通信路の確立やサーバとの不正通信は出口対策や内部対策で防ぐといった具合
3.13.2.3 さらに、もしこれらが突破されてしまった場合にはログを取得/保全して説明責任を果たせるように するなど、システム全体でバランスの取れた設計を考えることが何よりも重要
3.13.3 統合的にデザインすることがセキュリティの強化につながる
3.13.3.1 セキュリティの強化を意識しすぎるあまり、業務運用にまで悪影響を及ぼしては本末転倒だ。業務上、必要な経路は開きつつ、適切に監視を行うことが肝要
3.13.3.2 システムを設計する際やイノベーションを起こすためのプラットフォームを構築する際、セキュリティは全体最適の視点で設計する
3.13.3.3 業務全体のデザインとセキュリティのデザインを合わせて統合的にデザイン
3.13.3.4 こうすることでセキュリティ施策の価値が一層高まり、セキュリティのための投資ではなくイノベーションのための投資として説明し、経営者から必要な投資を得やすくなるのです
3.13.4 改正個人情報保護法のポイント
3.13.4.1 個人情報の定義が変更され、従来の個人情報に加えて個人識別符号の定義(免許証番号、マイナンバー、生体情報など)が追加
3.13.4.2 人種や病歴、犯罪歴といった要配慮個人情報が新設
3.13.4.3 改正個人情報保護法にどう対応すべきかを解説したガイドラインは2016年11月30日に公開
3.13.4.3.1 ポイントは「組織的安全管理措置」に記載された「取扱状況の把握及び安全管理措置の見直し」
3.13.4.3.2 これは監査できちんとチェックし、経営者に報告して改善を図っているかを問うもの
3.13.4.3.3 もし現状の安全管理措置が十分でない場合でも、きちんと監査が行われていれば対応レベルは向上していくはず
3.13.4.3.4 今後は、個人情報に関して何かインシデントが起きた際には、報告命令や業務改善命令、緊急命令などの大きな権限を持つ個人情報保護委員会から何らかの指導を受けるといった事態も起こり得るため
3.13.5 匿名加工情報でデータの利活用が容易に
3.13.5.1 匿名加工を施して本人を再識別できないようにした情報ならば、本人の同意なしで他社に提供できるようになる
3.13.6 クレジットカード番号など民間付与の番号も個人情報に海外移転にも規制
3.13.6.1 個人情報の定義が明確化され、氏名、住所、電話番号などの一般的な個人情報に加えて、マスターと突合して個人が特定できる情報も個人情報として取り扱われることとなった。
3.13.6.2 例えば、民間企業が扱うクレジットカード番号、口座番号、企業固有の顧客番号、社員番号、会社のメールアドレスなども対象となる。
3.13.6.3 また、個人識別符号が新たに定義され、パスポート番号、運転免許証番号、健康保険者番号、マイナンバーなどの公文書に振られた番号、さらにはDNA配列、指紋、静脈、虹彩といった身体の一部および歩行時の姿勢や動作など人の動きを表したものも対象となり、これらに対して格別の安全管理措置が求められる
3.13.6.4 技術的安全管理対策の観点では、暗号化について新たな指針が提示された。
3.13.6.5 2017年2月16日に個人情報保護委員会が告示「個人データの漏えい等の事案が発生した場合等の対応について」を公表。この中では、個人情報を高度に暗号化した場合は秘匿性が高まるため、万一漏えいした際にも、国(および本人)への報告義務は許容されるなどの指針が示されている。
3.13.7 2018年には「EUデータ保護規則」が施行
3.13.7.1 「忘れられる権利」や、自分の個人情報を持つ企業に対して他社への移転を要求する「データポータビリティ」が追加されるなど、いくつかの規制強化が図られている。
3.13.7.2 EUデータ保護規則では、これに対応した仕組みを初めから設計(バイデザイン)して業務に組み込む(バイデフォルト)ことを求めており、自社で監査して何か問題があれば報告すべしとされている。これは企業の情報セキュリティ施策にも大きくかかわる方針であり、今後、各社のIT部門が特に留意すべき点だと言えよう。
3.13.8 データを中心に据えた「多層防御」で機密情報を守る
3.13.8.1 システム側で対応すべき事項として「暗号化」と「ログの収集と監査/検知」、そして「アクセス制御」
3.13.8.2 バイデザイン/バイデフォルトでシステムおよびデータベースにセキュリティを組み込んでいくアプローチ
3.13.9 「暗号化、アクセス制御が不十分」─アセスメントで見えた日本企業の課題
3.13.9.1 1つ目の視点はデータの暗号化と伏字化、
3.13.9.2 2つ目は職務分掌、
3.13.9.3 3つ目はデータの漏えい検知と証跡管理
3.13.10個人情報の保護に関する法律」(2005年4月施行,2017年5月改正施行)
3.14 コンピュータセキュリティインシデント対応ガイド(NIST SP 800-61)【2008年3月NIST】
3.14.1 NIST(米国立標準技術研究所)が体系化した英文で80ページほどの文書。セキュリティ対策を次の4つのフェーズに分けて考えている。
3.14.2 (1)準備:やられないよう備える
3.14.3 (2)検知・分析:やられてもすぐに察知できる
3.14.4 (3)根絶・復旧・封じ込め:やられた場合の被害を小さくし、すぐビジネスを復旧させる
3.14.5 (4)事件発生後の対応:再発防止と最後の水際の対策を考える
4 企業向け(零細企業を除く)
4.1 サイバーセキュリティ経営ガイドライン Ver 1.1【2016年12月8日METI】
4.1.1 2.サイバーセキュリティ経営の3原則
4.1.1.1 経営者は、以下の3原則を認識し、対策を進めることが重要である。
4.1.1.2 (1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
4.1.1.2.1 ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
4.1.1.2.2 また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。
4.1.1.2.3 このため、サイバーセキュリティリスクを多様な経営リスクの中での一つとし適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。
4.1.1.3 (2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
4.1.1.3.1 サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
4.1.1.3.2 自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。
4.1.1.4 (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
4.1.1.4.1 事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。
4.1.1.4.2 万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。
4.1.1.4.3 事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。
4.1.2 3.サイバーセキュリティ経営の重要10項目
4.1.2.1 経営者は、CISO等に対して、以下の10項目を指示し、着実に実施させることが必要である。
4.1.2.2 3.1.リーダーシップの表明と体制の構築
4.1.2.2.1 (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
4.1.2.2.1.1 サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?
4.1.2.2.1.2 対策を怠った場合のシナリオ
4.1.2.2.1.2.1 ・経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。
4.1.2.2.1.2.2 ・トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。
4.1.2.2.1.3 対策例
4.1.2.2.1.3.1 ・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定する。
4.1.2.2.2 (2)サイバーセキュリティリスク管理体制の構築
4.1.2.2.2.1 サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか? 各関係者の責任は明確になっていますか? また、防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?
4.1.2.2.2.2 対策を怠った場合のシナリオ
4.1.2.2.2.2.1 ・サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。
4.1.2.2.2.2.2 ・CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。
4.1.2.2.2.2.3 ・組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である
4.1.2.2.2.2.4 ・万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。
4.1.2.2.2.3 対策例
4.1.2.2.2.3.1 ・組織内に経営リスクに関する委員会を設置し、サイバーセキュリティリスクに責任を持った者が参加する体制とする。
4.1.2.2.2.3.2 ・組織の対応方針(セキュリティポリシー)に基づき、CISO等の任命及び、組織内サイバーセキュリティリスク管理体制を構築する。
4.1.2.2.2.3.3 ・CISO等には、組織の事業戦略を把握するため取締役会への参加及び緊急時のシステム停止等の経営者レベルの権限を付与することを検討する。
4.1.2.2.2.3.4 ・取締役、監査役はそのサイバーセキュリティリスク管理体制が構築、運用されているかを監査する。
4.1.2.3 3.2 サイバーセキュリティリスク管理の枠組み決定
4.1.2.3.1 (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
4.1.2.3.1.1 サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか? その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか? また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?
4.1.2.3.1.2 対策を怠った場合のシナリオ
4.1.2.3.1.2.1 ・ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。
4.1.2.3.1.2.2 ・企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。
4.1.2.3.1.2.3 ・受容できないリスクが残る場合、想定外の損失を被る恐れがある。
4.1.2.3.1.3 対策例
4.1.2.3.1.3.1 ・経営戦略に基づくさまざまな事業リスクの一つとして、サイバー攻撃に伴うリスク(例えば、戦略上重要な営業秘密の流出による損害)を識別する。
4.1.2.3.1.3.2 ・識別したリスクに対し、実現するセキュリティレベルを踏まえた対策の検討を指示する。その際、ITへの依存度を把握した上で、セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析する。その結果、リスク低減、回避、移転(サイバー保険の活用や守るべき資産について専門企業への委託等)が可能なものについてはリスク対応策を実施する。例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、ITシステム又はITサービス(クラウドサービスを含む)には、暗号化や情報資産別のネットワークの分離等の多層防御の実施を検討する。
4.1.2.3.2 (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
4.1.2.3.2.1 計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか? その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか? また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?
4.1.2.3.2.2 対策を怠った場合のシナリオ
4.1.2.3.2.2.1PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のサイバーセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。
4.1.2.3.2.2.2 ・適切な開示が行われなかった場合、社会的責任の観点から、事業のリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、サイバーセキュリティリスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。
4.1.2.3.2.3 対策例
4.1.2.3.2.3.1 ・サイバーセキュリティリスクに継続して対応可能な体制(プロセス)を整備する(PDCAの実施体制の整備)。なお、その他の内部統制に係るPDCAフレームワークが存在する場合には、当該フレームワークとの連動も含め、効率的に実施することも可能である。
4.1.2.3.2.3.2 ・重点項目(2)で設置した経営リスクに関する委員会において、PDCAの実施状況について報告すべき時期や内容を定め、経営者への報告の機会を設けるとともに、新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認する。
4.1.2.3.2.3.3 ・必要に応じて監査を受け、現状のサイバーセキュリティ対策の問題点を検出し、改善を行う。
4.1.2.3.2.3.4 ・新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を指示する。
4.1.2.3.3 (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
4.1.2.3.3.1 自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?
4.1.2.3.3.2 対策を怠った場合のシナリオ
4.1.2.3.3.2.1 ・系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。
4.1.2.3.3.3 対策例
4.1.2.3.3.3.1 ・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意する。
4.1.2.3.3.3.2 ・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している。
4.1.2.4 3.3.サイバー攻撃を防ぐための事前対策
4.1.2.4.1 (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
4.1.2.4.1.1 サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか? また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
4.1.2.4.1.2 対策を怠った場合のシナリオ
4.1.2.4.1.2.1 ・適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。
4.1.2.4.1.2.2 ・適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。
4.1.2.4.1.3 対策例
4.1.2.4.1.3.1 ・必要なサイバーセキュリティの事前対策を明確にし、それに要する費用を明らかにするよう、指示を行う。
4.1.2.4.1.3.2 ・セキュリティ担当者以外も含めた従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施する。
4.1.2.4.1.3.3 ・経営会議などで対策の内容に見合った適切な費用かどうかを評価した上で、予算として承認を得る。
4.1.2.4.1.3.4 ・サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。
4.1.2.4.1.3.5 ・組織内人事部門に対して、組織内のIT人材育成の戦略の中で、セキュリティ人材育成、キャリアパス構築を指示し、内容を確認する。
4.1.2.4.1.3.6 サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?
4.1.2.4.1.3.7 また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
4.1.2.4.2 (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
4.1.2.4.2.1 サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?
4.1.2.4.2.2 対策を怠った場合のシナリオ
4.1.2.4.2.2.1 ・ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。
4.1.2.4.2.2.2 ・委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。
4.1.2.4.2.3 対策例
4.1.2.4.2.3.1 ・自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。
4.1.2.4.2.3.2 ・委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。
4.1.2.4.2.3.3 ・個人情報や技術情報などの重要な資産を委託先に預ける場合は、委託先の経営状況などを踏まえて、資産の安全性の確保が可能であるかどうかを定期的に確認する。
4.1.2.4.3 (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4.1.2.4.3.1 社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?
4.1.2.4.3.2 対策を怠った場合のシナリオ
4.1.2.4.3.2.1 ・情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない
4.1.2.4.3.3 対策例
4.1.2.4.3.3.1 ・情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要。情報共有を通じたサイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的な情報提供が望ましい。
4.1.2.4.3.3.2IPA一般社団法人JPCERTコーディネーションセンター等による注意喚起情報を、自社のサイバーセキュリティ対策に活かす。
4.1.2.4.3.3.3 ・CSIRT間における情報共有や、日本シーサート協議会等のコミュニティ活動への参加による情報収集等を通じて、自社のサイバーセキュリティ対策に活かす。
4.1.2.4.3.3.4IPAに対し、告示(コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準)に基づいてマルウェア情報や不正アクセス情報の届出をする。
4.1.2.4.3.3.5一般社団法人JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する。
4.1.2.4.3.3.6 ・重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する。
4.1.2.5 3.4.サイバー攻撃を受けた場合に備えた準備
4.1.2.5.1 (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
4.1.2.5.1.1 適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?また、定期的かつ実践的な演習を実施させていますか?
4.1.2.5.1.2 対策を怠った場合のシナリオ
4.1.2.5.1.2.1 ・緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。
4.1.2.5.1.2.2 ・緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急に適切に行動することが出来ない。
4.1.2.5.1.3 対策例
4.1.2.5.1.3.1 ・企業の組織に合わせた緊急時における対応体制を構築する。
4.1.2.5.1.3.2サイバー攻撃による被害を受けた場合、被害原因の特定および解析を速やかに実施するため、関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示する。また、対応担当者にはサイバー攻撃に対応する演習を実施する。なお、インシデント収束後の再発防止策の策定も含めて訓練を行うことが望ましい。
4.1.2.5.1.3.3 ・緊急連絡網を整備する。その際には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。
4.1.2.5.1.3.4 ・初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各部署(総務、企画、営業等)が速やかに協力できるよう予め取り決めをしておく。
4.1.2.5.1.3.5 ・訓練においては技術的な対応のみならず、プレスリリースの発出や、所管官庁等への報告手順も含めて想定する。
4.1.2.5.2 (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
4.1.2.5.2.1 外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?
4.1.2.5.2.2 対策を怠った場合のシナリオ
4.1.2.5.2.2.1 ・速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。
4.1.2.5.2.2.2 ・法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。
4.1.2.5.2.2.3 ・組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。
4.1.2.5.2.3 対策例
4.1.2.5.2.3.1サイバー攻撃の被害が発覚後、速やかに通知や注意喚起が行えるよう、通知先の一覧や通知用のフォーマットを作成し、対応に従事するメンバーに共有しておく。また、情報開示の手段について確認をしておく。
4.1.2.5.2.3.2 ・関係法令を確認し、法的義務が履行されるよう手続きを確認しておく。
4.1.2.5.2.3.3 ・経営者が組織の内外への発表を求められた場合に備えて、インシデントに関する被害状況、他社への影響などについて経営者に報告を行う。
4.1.2.5.2.3.4 ・インシデントに対するステークホルダーへの影響を考慮し、速やかにこれを公表する。
4.1.2.5.2.3.5 ・社外への公表は、インシデントや被害の状況に応じて、初期発生時、被害状況把握時、インシデント収束時など、それぞれ適切なタイミングで行う。
4.1.3 付録A サイバーセキュリティ経営チェックシート
4.1.3.1 (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
4.1.3.1.1 □経営者がサイバーセキュリティリスクを経営リスクの1つとして認識している
4.1.3.1.2 □経営者が、組織全体としてのサイバーセキュリティリスクを考慮した対応方針(セキュリティポリシー)を策定し、宣言している
4.1.3.2 (2)サイバーセキュリティリスク管理体制の構築
4.1.3.2.1 □組織の対応方針(セキュリティポリシー)に基づき、CISO等からなるサイバーセキュリティリスク管理体制を構築している
4.1.3.2.2 □サイバーセキュリティリスク管理体制において、各関係者の責任を明確にしている
4.1.3.2.3 □組織内のリスク管理体制とサイバーセキュリティリスク管理体制の関係を明確に規定している
4.1.3.3 (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
4.1.3.3.1 □守るべき資産を特定している
4.1.3.3.2 □特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたサイバーセキュリティリスクとして把握している
4.1.3.3.3 □サイバーセキュリティリスクが事業にいかなる影響があるかを推定している
4.1.3.3.4 □サイバーセキュリティリスクの影響の度合いに従って、低減、回避のための目標や計画を策定している
4.1.3.3.5 □低減策、回避策を取らないと判断したサイバーセキュリティリスクの移転策(サイバー保険の活用や守るべき資産について専門企業への委託等)を実施している
4.1.3.3.6 □サイバーセキュリティリスクの影響の度合いに従って対策を取らないと判断したものを残留リスクとして識別している
4.1.3.4 (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
4.1.3.4.1 □経営者が定期的に、サイバーセキュリティ対策状況の報告を受け、把握している
4.1.3.4.2 □サイバーセキュリティにかかる外部監査を実施している
4.1.3.4.3 □サイバーセキュリティリスクや脅威を適時見直し、環境変化に応じた取組体制(PDCA)を整備・維持している
4.1.3.4.4 □サイバーセキュリティリスクや取組状況を外部に公開している
4.1.3.5 (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
4.1.3.5.1 □系列企業や、サプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している
4.1.3.6 (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
4.1.3.6.1 □必要なサイバーセキュリティ対策を明確にし、経営会議などで対策の内容に見合った適切な費用かどうかを評価し、必要な予算を確保している
4.1.3.6.2 □サイバーセキュリティ対策を実施できる人材を確保している(組織の内外問わず)
4.1.3.6.3 □組織内でサイバーセキュリティ人材を育成している
4.1.3.6.4 □組織内のサイバーセキュリティ人材のキャリアパスを構築し、適正な処遇をしている
4.1.3.6.5 □セキュリティ担当者以外も含めた従業員向けセキュリティ研修等を継続的に実施している
4.1.3.7 (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
4.1.3.7.1 □ITシステムの管理等について、自組織で対応できる部分と外部に委託する部分で適切な切り分けをしている
4.1.3.7.2 □委託先へのサイバー攻撃を想定し、委託先のサイバーセキュリティを確保している
4.1.3.8 (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4.1.3.8.1 □各種団体が提供するサイバーセキュリティに関する注意喚起情報やコミュニティへの参加等を通じて情報共有を行い、自社の対策に活かしている
4.1.3.8.2マルウェア情報、不正アクセス情報、インシデントがあった場合に、IPAへの届出や一般社団法人JPCERTコーディネーションセンターへの情報提供、その他民間企業等が推進している情報共有の仕組みへの情報提供を実施している
4.1.3.9 (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
4.1.3.9.1 □組織の内外における緊急連絡先・伝達ルートを整備している(緊急連絡先には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダの連絡先含む)
4.1.3.9.2 □他の災害と同様に、サイバー攻撃の初動対応マニュアルを整備している
4.1.3.9.3 □インシデント対応の専門チーム(CSIRT等)を設置している
4.1.3.9.4 □インシデント収束後の再発防止策の策定も含めて、定期的に対応訓練や演習を行っている
4.1.3.10 (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
4.1.3.10.1 □組織外の報告先(ステークホルダーや所管官庁等を含む)をリスト化している
4.1.3.10.2 □開示・報告すべき情報を把握・整備している
4.1.3.10.3 □経営者が、責任を持って組織の内外へ説明ができるように、経営者への報告ルート、公表すべき内容やタイミング等について事前に検討している
4.1.4 付録B 望ましい技術対策と参考文献
4.1.4.1 付録B-2 技術対策の例
4.1.5 付録C 国際規格ISO/IEC27001及び27002との関係
4.1.6 付録D 用語の定義
4.1.7 旧版(Ver.1.0付録)
4.1.7.1 付録A サイバーセキュリティ経営チェックシート
4.1.7.1.1 (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
4.1.7.1.1.1 ●5.1 リーダーシップ及びコミットメント
4.1.7.1.1.2 ●5.2 方針
4.1.7.1.2 (2)サイバーセキュリティリスク管理体制の構築
4.1.7.1.2.1 ●5.3 組織の役割、責任及び権限
4.1.7.1.2.2 ・6.1.1 情報セキュリティの役割及び責任
4.1.7.1.3 (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
4.1.7.1.3.1 ●6.1 リスク及び機会に対処する活動
4.1.7.1.3.2 ●6.2 情報セキュリティ目的及びそれを達成するための計画策定
4.1.7.1.3.3 ・5.1.1 情報セキュリティのための方針群
4.1.7.1.3.4 ・5.1.2 情報セキュリティのための方針群のレビュー
4.1.7.1.4 (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
4.1.7.1.4.1 ●7.4 コミュニケーション
4.1.7.1.4.2 ●8.1 運用の計画及び管理
4.1.7.1.4.3 ●8.2 情報セキュリティリスクアセスメント
4.1.7.1.4.4 ●8.3 情報セキュリティリスク対応
4.1.7.1.4.5 ●9.1 監視、測定、分析及び評価
4.1.7.1.4.6 ●9.2 内部監査
4.1.7.1.4.7 ●9.3 マネジメントレビュー
4.1.7.1.4.8 ●10.1 不適合及び是正処置
4.1.7.1.4.9 ●10.2 継続的改善
4.1.7.1.4.10 ・17.1.1 情報セキュリティ継続の計画
4.1.7.1.4.11 ・17.1.2 情報セキュリティ継続の実施
4.1.7.1.4.12 ・17.1.3 情報セキュリティ継続の検証、レビュー及び評価
4.1.7.1.4.13 ・18.1.1 適用法令及び契約上の要求事項の特定
4.1.7.1.4.14 ・18.2.1 情報セキュリティの独立したレビュー
4.1.7.1.4.15 ・18.2.2 情報セキュリティのための方針群及び標準の順守
4.1.7.1.4.16 ・18.2.3 技術的順守のレビュー
4.1.7.1.5 (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
4.1.7.1.5.1 ●8.1 運用の計画及び管理
4.1.7.1.6 (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
4.1.7.1.6.1 ●7.1 資源
4.1.7.1.6.2 ●7.2 力量
4.1.7.1.7 (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
4.1.7.1.7.1 ●8.1 運用の計画及び管理
4.1.7.1.7.2 ・15.1.1 供給者関係のための情報セキュリティの方針
4.1.7.1.7.3 ・15.1.2 供給者との合意におけるセキュリティの取扱い
4.1.7.1.7.4 ・15.1.3 ICTサプライチェーン
4.1.7.1.7.5 ・15.2.1 供給者のサービス提供の管理及びレビュー
4.1.7.1.7.6 ・15.2.2 供給者のサービス提供の変更に対する管理
4.1.7.1.8 (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4.1.7.1.8.1 ・6.1.3 関係当局との連絡
4.1.7.1.8.2 ・6.1.4 専門組織との連絡
4.1.7.1.9 (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
4.1.7.1.9.1 ・16.1.1 責任及び手順
4.1.7.1.9.2 ・16.1.2 情報セキュリティ事象の報告
4.1.7.1.9.3 ・16.1.3 情報セキュリティ弱点の報告
4.1.7.1.9.4 ・16.1.4 情報セキュリティ事象の評価及び決定
4.1.7.1.9.5 ・16.1.5 情報セキュリティインシデントの対応
4.1.7.1.10 (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
4.1.7.1.10.1 ・6.1.3 関係当局との連絡
4.1.7.1.10.2 ・6.1.4 専門組織との連絡
4.2 サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA
4.2.1 サブトピック 1
4.3 企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】
4.4 米国の「20の重要なセキュリティ対策」及びオーストラリアの「35の標的型サイバー侵入に対する軽減戦略」
4.4.1 サブトピック 1
5 重要インフラ・政府機関向け(独法を含む)
5.1 サイバーセキュリティ2016【2016年8月31日NISC】
5.2 政府機関の情報セキュリティ対策のための統一規範
5.3 政府機関等の情報セキュリティ対策の運用等に関する指針
5.4 政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
5.4.1 第1 部 総則
5.4.1.1 1.1 本統一基準の目的・適用範囲
5.4.1.1.1 (1) 本統一基準の目的
5.4.1.1.1.1 本統一基準は、「政府機関の情報セキュリティ対策のための統一規範」(サイバーセキュリティ戦略本部決定)に基づく政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を更に高めるための対策の基準を定めたもの
5.4.1.1.2 (2) 本統一基準の適用範囲
5.4.1.1.2.1 (a) 本統一基準において適用範囲とする者は、全ての行政事務従事者とする。
5.4.1.1.3 (3) 本統一基準の改定
5.4.1.1.4 (4) 法令等の遵守
5.4.1.1.5 (5) 対策項目の記載事項
5.4.1.1.5.1 各項に対して目的、趣旨及び遵守事項を示している。
5.4.1.1.5.2 遵守事項は、府省庁対策基準において必ず実施すべき対策事項である。
5.4.1.1.5.3 府省庁は、内閣官房内閣サイバーセキュリティセンターが別途整備する府省庁対策基準策定のためのガイドライン及び政府機関統一基準適用個別マニュアル群において規定する統一基準の遵守事項に対応した個別具体的な対策実施要件、対策の実施例や解説等も参照し、府省庁対策基準を策定する必要がある。
5.4.1.2 1.2 情報の格付の区分・取扱制限
5.4.1.3 1.3 用語定義
5.4.2 第2 部 情報セキュリティ対策の基本的枠組み
5.4.2.1 2.1 導入・計画
5.4.2.1.1 2.1.1 組織・体制の整備
5.4.2.1.2 2.1.2 府省庁対策基準・対策推進計画の策定
5.4.2.2 2.2 運用
5.4.2.2.1 2.2.1 情報セキュリティ関係規程の運用
5.4.2.2.2 2.2.2 例外措置
5.4.2.2.3 2.2.3 教育
5.4.2.2.4 2.2.4 情報セキュリティインシデントへの対処
5.4.2.3 2.3 点検
5.4.2.3.1 2.3.1 情報セキュリティ対策の自己点検
5.4.2.3.2 2.3.2 情報セキュリティ監査
5.4.2.4 2.4 見直し
5.4.2.4.1 2.4.1 情報セキュリティ対策の見直し
5.4.3 第3 部 情報の取扱い
5.4.3.1 3.1 情報の取扱い
5.4.3.2 3.2 情報を取り扱う区域の管理
5.4.4 第4 部 外部委託
5.4.4.1 4.1 外部委託
5.4.4.1.1 4.1.1 外部委託
5.4.4.1.2 4.1.2 約款による外部サービスの利用
5.4.4.1.3 4.1.3 ソーシャルメディアサービスによる情報発信
5.4.4.1.4 4.1.4 クラウドサービスの利用
5.4.4.1.4.1 取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断する
5.4.4.1.4.2 クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定
5.4.4.1.4.3 クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とする
5.4.4.1.4.4 クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定める
5.4.4.1.4.5 クラウドサービスに対する情報セキュリティ監査による報告書の内容 、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断する
5.4.5 第5 部 情報システムのライフサイクル
5.4.5.1 5.1 情報システムに係る文書等の整備
5.4.5.1.1 5.1.1 情報システムに係る台帳等の整備
5.4.5.1.2 5.1.2 機器等の調達に係る規定の整備
5.4.5.2 5.2 情報システムのライフサイクルの各段階における対策
5.4.5.2.1 5.2.1 情報システムの企画・要件定義
5.4.5.2.2 5.2.2 情報システムの調達・構築
5.4.5.2.3 5.2.3 情報システムの運用・保守
5.4.5.2.4 5.2.4 情報システムの更改・廃棄
5.4.5.2.5 5.2.5 情報システムについての対策の見直し
5.4.5.3 5.3 情報システムの運用継続計画
5.4.5.3.1 5.3.1 情報システムの運用継続計画の整備・整合的運用の確保
5.4.6 第6 部 情報システムのセキュリティ要件
5.4.6.1 6.1 情報システムのセキュリティ機能
5.4.6.1.1 6.1.1 主体認証機能
5.4.6.1.2 6.1.2 アクセス制御機能
5.4.6.1.3 6.1.3 権限の管理
5.4.6.1.4 6.1.4 ログの取得・管理
5.4.6.1.5 6.1.5 暗号・電子署名
5.4.6.2 6.2 情報セキュリティの脅威への対策 .
5.4.6.2.1 6.2.1 ソフトウェアに関する脆弱性対策
5.4.6.2.2 6.2.2 不正プログラム対策
5.4.6.2.3 6.2.3 サービス不能攻撃対策
5.4.6.2.4 6.2.4 標的型攻撃対策
5.4.6.3 6.3 アプリケーション・コンテンツの作成・提供
5.4.6.3.1 6.3.1 アプリケーション・コンテンツの作成時の対策
5.4.6.3.2 6.3.2 アプリケーション・コンテンツ提供時の対策
5.4.7 第7 部 情報システムの構成要素
5.4.7.1 7.1 端末・サーバ装置等
5.4.7.1.1 7.1.1 端末
5.4.7.1.2 7.1.2 サーバ装置
5.4.7.1.3 7.1.3 複合機・特定用途機器
5.4.7.2 7.2 電子メール・ウェブ等
5.4.7.2.1 7.2.1 電子メール
5.4.7.2.2 7.2.2 ウェブ
5.4.7.2.3 7.2.3 ドメインネームシステム(DNS
5.4.7.2.4 7.2.4 データベース
5.4.7.3 7.3 通信回線
5.4.7.3.1 7.3.1 通信回線
5.4.7.3.2 7.3.2 IPv6 通信回線
5.4.8 第8 部 情報システムの利用
5.4.8.1 8.1 情報システムの利用
5.4.8.1.1 8.1.1 情報システムの利用
5.4.8.2 8.2 府省庁支給以外の端末の利用
5.4.8.2.1 8.2.1 府省庁支給以外の端末の利用
5.5 政府機関向け「アマゾン ウェブ サービス」対応セキュリティリファレンス
5.5.1 NISC「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」の最新基準に対応したAWS利用のためのリファレンス
5.5.2 【参考】政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
5.5.3 【参考】府省庁対策基準策定のためのガイドライン(平成28年度版)
5.6 企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】
5.6.1 サイバーセキュリティ戦略本部
5.6.2 経営層に期待される“認識”や経営戦略を企画する人材層に向けた実装のためのツールを示す
5.6.3 基本方針
5.6.3.1 ーサイバーセキュリティは、より積極的な経営への「投資」へー
5.6.3.2 サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される
5.6.4 I.基本的考え方
5.6.4.1 二つの基本的認識
5.6.4.1.1 <①挑戦>
5.6.4.1.1.1 新しい製品やサービスを創造するための戦略の一環として考えていく
5.6.4.1.1.2
5.6.4.1.2 <②責任>
5.6.4.1.2.1 サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する
5.6.4.2 三つの留意事項
5.6.4.2.1 <①情報発信による社会的評価の向上>
5.6.4.2.1.1 • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。
5.6.4.2.1.2 • そのような取組に係る姿勢や方針を情報発信することが重要。
5.6.4.2.2 <②リスクの一項目としてのサイバーセキュリティ>
5.6.4.2.2.1 • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。
5.6.4.2.2.2 • 経営層のリーダーシップが必要。
5.6.4.2.3 <③サプライチェーン全体でのサイバーセキュリティの確保>
5.6.4.2.3.1サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。
5.6.4.2.3.2 • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。
5.6.5 II.企業の視点別の取組
5.6.5.1 ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある
5.6.5.2 ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業
5.6.5.2.1 (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)
5.6.5.2.2 【経営者に期待される認識】
5.6.5.2.2.1 • 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。
5.6.5.2.2.2 • 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。
5.6.5.2.2.3 • 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。
5.6.5.2.3 【実装に向けたツール】
5.6.5.2.3.1 • IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)
5.6.5.2.3.2 • 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信
5.6.5.3 IT・セキュリティをビジネスの基盤として捉えている企業
5.6.5.3.1 (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)
5.6.5.3.2 【経営者に期待される認識】
5.6.5.3.2.1 • 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。
5.6.5.3.2.2サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。
5.6.5.3.2.3 • 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。
5.6.5.3.3 【実装に向けたツール】
5.6.5.3.3.1 • サイバーセキュリティ経営ガイドライン
5.6.5.3.3.2 • 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用
5.6.5.3.3.3 • サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信
5.6.5.4 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業
5.6.5.4.1 (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)
5.6.5.4.2 【経営者に期待される認識】
5.6.5.4.2.1サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。
5.6.5.4.2.2 • 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。
5.6.5.4.3 【実装に向けたツール】
5.6.5.4.3.1 • 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)
5.6.5.4.3.2 • サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用
5.7 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について【2015年5月NISC】
5.7.1 情報システムに係る政府調達におけるセキュリティ要件策定マニュアル ◦「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」
5.7.2 「同 マニュアル 付録A.対策要件集」
5.7.3 「同 マニュアル 付録B.政府機関統一基準群対応表」
5.7.4 「同 マニュアル 付録D.用語解説」
5.7.4.1 「同 マニュアル活用ワークシート」(MS-Excel形式)
5.7.4.2 「同 マニュアル活用ワークシート」(活用例)
5.7.5 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」概要
5.7.6 情報セキュリティを企画・設計段階から確保するための方策に係る検討会 報告書
6 知的財産関連
6.1 「第四次産業革命を視野に入れた知財システムの在り方に関する検討会」の報告書の中小企業部分抜粋
6.1.1 中小企業等の視点からの検討
6.1.1.1 現状と課題
6.1.1.1.1 IoTが進む中、中小企業等においても、
6.1.1.1.1.1 データや標準化を活用して、国境を越えて世界展開できる
6.1.1.1.1.2 一方、その裏返しで、突如知財の問題にさらされるリスクが高まっている
6.1.1.1.2 中小企業等を取り巻くビジネス環境が変化している状況の下
6.1.1.1.2.1 IoT化に対応したビジネスに飛鳥な特許を国内外で取得できない恐れがある
6.1.1.1.3 第四次産業革命の下で、オープン・イノベーションが促進される中
6.1.1.1.3.1 自社のクローズ領域を守る手段としての知財の重要性に関する認識が十分でない
6.1.1.1.4 社会を改革するキーテクノロジーの多くが中小企業等で生み出されてきたことに鑑み
6.1.1.1.4.1 中小企業等の有する技術の標準化をすいしんしていくこと
6.1.1.1.4.2 大企業と中小企業との間で一方の有する技術を他方が活用することの重要性
6.1.1.1.4.3 大企業と中小企業との連携促進が不可欠
6.1.1.1.5 中小企業の分類
6.1.1.1.5.1 IT化に対応できている企業
6.1.1.1.5.1.1 ITを活用してサービスを提供する側の企業
6.1.1.1.5.1.2 そのような企業から提供されるサービスを利用する企業
6.1.1.1.5.2 IT化に対応できていない企業
6.1.1.2 今後実施することが適当な取り組み
6.1.1.2.1 第四次産業革命やIoT化に対応したビジネス環境の変化に対応するため
6.1.1.2.1.1 中小企業等が知財戦略を推進し、知財を権利化・活用することが一層求められる
6.1.1.2.2 一方、特許庁では
6.1.1.2.2.1 知財分野における地域・中小企業支援という観点から
6.1.1.2.2.1.1 2016年9月に「地域知財活性化行動計画」を策定
6.1.1.2.2.2 本計画に基づいて、中小企業等に対し
6.1.1.2.2.2.1 知財制度や支援施策の普及啓発、情報提供、各種相談・支援対応等の取り組みが実施されている
6.1.1.2.2.2.2 国内外での特許取得支援
6.1.1.2.2.2.3 相談から出願、侵害対策まで一体となった海外旋回支援
6.1.1.2.3 中小企業等が有する優れた技術については
6.1.1.2.3.1 新市場創造型標準化制度を利用した迅速な標準化を実現することにより、市場拡大を支援する
6.1.1.2.4 加えて、中小企業等と大企業との連携の推進への取り組みの一環として
6.1.1.2.4.1 「地方創生のための事業プロデューサー派遣事業」を活用し、大企業と中小企業との間での知財のマッチング等を推進
6.1.1.2.4.2 金融機関が有する地域の企業情報を活用した知財マッチングびじねすの促進を図る
6.1.1.2.5 中小企業等と大企業との連携に当たっては
6.1.1.2.5.1 企業における営業秘密に関する認識
6.1.1.2.5.2 双方のコンプライアンスに対する意識を向上させることが不可欠
6.1.1.2.5.3 知財総合支援窓口で大企業と連携する中小企業等を支援
6.1.1.2.5.3.1 中小企業等が大企業と連携する際の留意点や連携の過程で発生した懸念等についての相談受付
6.1.1.2.5.4 中小企業等の営業秘密が他社に渡ることを防ぐべく
6.1.1.2.5.4.1 不正競争防止法の精度や秘密情報の保護ハンドブック等の周知など営業秘密の保護。管理に関する普及啓発を進めていく
6.1.1.2.6 中小企業等と大企業との対応な連携への取り組みが推進される環境の醸成
7 次世代IT技術及び市場動向
7.1 IoTセキュリティガイドラインver1.0【2016年7月5日総務省・経済産業省】
7.1.1 目的等
7.1.1.1 セキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利⽤者が安⼼してIoT機器やシステム、サービスを利⽤できる環境を生み出す
7.1.1.2 関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供すること
7.1.1.3 守るべきものやリスクの⼤きさ等を踏まえ、役割・⽴場に応じて適切なセキュリティ対策の検討が⾏われることを期待
7.1.2 各指針と要点
7.1.2.1 方針
7.1.2.1.1 IoTの性質を考慮した基本方針を定める
7.1.2.1.1.1 • 経営者がIoTセキュリティにコミットする
7.1.2.1.1.2 • 内部不正やミスに備える
7.1.2.2 分析
7.1.2.2.1 IoTのリスクを認識する
7.1.2.2.1.1 • 守るべきものを特定する
7.1.2.2.1.2 • つながることによるリスクを想定する
7.1.2.3 設計
7.1.2.3.1 守るべきものを守る・設計を考える
7.1.2.3.1.1 • つながる相手に迷惑をかけない設計をする
7.1.2.3.1.2 • 不特定の相手とつなげられても安全安心を確保できる設計をする
7.1.2.3.1.3 • 安全安心を実現する設計の評価・検証を行う
7.1.2.4 構築・接続
7.1.2.4.1 ネットワーク上での対策を考える
7.1.2.4.1.1 • 機能及び用途に応じて適切にネットワーク接続する
7.1.2.4.1.2 • 初期設定に留意する
7.1.2.4.1.3 • 認証機能を導入する
7.1.2.5 運用・保守
7.1.2.5.1 安全安心な状態を維持し、情報発信・共有を行う
7.1.2.5.1.1 • 出荷・リリース後も安全安心な状態を維持する
7.1.2.5.1.2 • 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
7.1.2.5.1.3 • IoTシステム・サービスにおける関係者の役割を認識する
7.1.2.5.1.4 • 脆弱な機器を把握し、適切に注意喚起を行う
7.1.2.6 一般利用者のためのルール
7.1.2.6.1 • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える
7.1.2.6.1.1 インターネットに接続する機器やサービスの問合せ窓口やサポートがない場合、何か不都合が生じたとしても、適切に対処すること等が困難になる。問合せ窓口やサポートがない機器やサービスの購入・利用は行わないようにする。
7.1.2.6.2 • 初期設定に気をつける
7.1.2.6.2.1 ・機器を初めて使う際には、IDやパスワードの設定を適切に行う。パスワードの設定では、「機器購入時のパスワードのままとしない」、「他の人とパスワードを共有しない」、「他のパスワードを使い回さない」等に気をつける。
7.1.2.6.2.2 ・取扱説明書等の手順に従って、自分でアップデートを実施してみる。
7.1.2.6.3 • 使用しなくなった機器については電源を切る
7.1.2.6.3.1 使用しなくなった機器や不具合が生じた機器をインターネットに接続した状態のまま放置すると、不正利用される恐れがあることから、使用しなくなった機器は、そのまま放置せずに電源を切る。
7.1.2.6.4 • 機器を手放す時はデータを消す
7.1.2.6.4.1 情報が他の人に漏れることのないよう、機器を捨てる、売るなど機器を手放す時は、事前に情報を削除する。
7.1.3 今後の検討
7.1.3.1 リスク分析に基づく分野別の対策について
7.1.3.1.1  IoTは、様々な分野に浸透していくことになるが、分野ごとに求められるセキュリティレベルが異なるため、多くのIoT機器が利用されている、もしくは利用が想定される分野では、具体的なIoTの利用シーンを想定し、詳細なリスク分析を行った上で、その分野の性質、特徴に応じた対策を検討する必要がある。
7.1.3.2 法的責任関係について
7.1.3.2.1 IoTにおいては、製造メーカ、SIer、サービス提供者、利用者が複雑な関係になることが多い。よって、サイバー攻撃により被害が生じた場合の責任の在り方については、今後出現するIoTサービスの形態や、IoTが利用されている分野において規定されている法律などに応じて整理を行っていく必要がある。
7.1.3.3 IoT時代のデータ管理の在り方について
7.1.3.3.1 IoTシステムでは、利用者の個人情報等のデータを保持・管理等を行う者又は場所が、サービスの形態により変わってくる。IoTシステムの特徴を踏まえつつ、個人情報や技術情報など重要データを適切に保持・管理等を行うことが必要であり、その具体的な方法について、検討していく必要がある。
7.1.3.4 IoTに対する総合的なセキュリティ対策について
7.1.3.4.1 IoT社会の健全な発展の実現には、既に実施されている、情報処理推進機構IPA)、情報通信研究機構NICT)、JPCERT/CC及びTelecom ISAC Japan(ICT ISAC Japan)のサイバーセキュリティに関する取組に加え、一般利用者に対するIoT機器のマルウェア感染に関する注意喚起などの取組について、官民連携による強化を検討する。
7.1.3.5ガイドラインの見直しについて
7.1.3.5.1 上記のような検討事項の取組や、IoTを取り巻く社会的な動向、脆弱性・脅威事象の変化、対策技術の進歩等を踏まえて、今後、必要に応じて改訂を行っていく必要がある。
7.2 安全なIoTシステムの創出【2016年3月1日NISC】
7.2.1 • 任務保証の考え方に基づく取組
7.2.1.1 業務責任者(任務責任者)がシステム責任者(資産責任者)と、機能やサービスを全うするという観点からリスクを分析し、協議し、残存リスクの情報も添えて経営者層に対し提供し総合的な判断を受ける「機能保証(任務保証)」の考え方に基づく取組が必要
7.2.2 • セキュリティ品質の実現が企業価値
7.2.2.1 ・IoTシステムのサービスの効用と比較してセキュリティリスクを許容し得る程度まで低減
7.2.2.2 ・高いレベルのセキュリティ品質の実現が企業価値や国際競争力の源泉に
7.2.3 • セキュリティ・バイ・デザインの推進
7.2.3.1 ・連携される既存システムを含めて、IoTシステム全体の企画・設計段階からセキュリティの確保を盛り込むセキュリティ・バイ・デザインの推進が重要。
7.2.4 • データとシステム全体のセキュリティ確保
7.2.4.1 IoTシステムはデータの流通プラットフォーム。
7.2.4.2 データとシステム全体のセキュリティ確保を行う必要がある。
7.2.5 • システム間の相互連携の際のリスク評価
7.2.5.1 レベルの異なるIoTシステムを相互連携させる場合は、残存リスクを客観的に評価し、許容範囲内に収めるためのリスク評価が必要
7.3 コンシューマ向けIoTセキュリティガイド【2016年6月24日JNSA】
7.4 IoT早期導入者のためのセキュリティガイダンス【2016年2月24日CSA】
7.5 クラウドセキュリティガイドライン活用ガイドブック2013年版【METI】
7.6 クラウドサービス提供における情報セキュリティ対策ガイドライン【2014年4月総務省】
7.7 クラウドセキュリティ関連ISO規格
7.7.1 ■ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(スライド)【JIPDEC】
7.7.2 ■ISMSクラウドセキュリティ認証の概要(スライド)【JIPDEC】
7.7.3 ■ISO/IEC27017:2015に基づくクラウドセキュリティの構築のポイント(スライド)【JIPDEC】
7.8 教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック【総務省】
7.8.1 第1章 クラウド導入のプロセスと情報セキュリティに係る手続き
7.8.1.1 1.1 調達のプロセスと情報セキュリティの関係
7.8.2 第2章 情報セキュリティ手続きにおける「準備段階」の留意点
7.8.2.1 2.1 教育用コンテンツに関する情報収集
7.8.2.2 2.2 法令やポリシーに関する情報収集
7.8.3 第3章 情報セキュリティ手続きにおける「計画段階」の留意点
7.8.3.1 3.1 クラウド上で取り扱う情報資産の洗い出し
7.8.3.2 3.2 クラウドを中心としたICT環境に関するリスクの洗い出し
7.8.3.3