中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

【ニュース】「セキュリティを経営の投資と考えるフェーズに」マイクロソフト平野社長

cloud.watch.impress.co.jp


基調講演「世界をデジタルトランスフォーメーションする、クラウド&セキュリティ」

~~~以下、引用~~~

ユーザーやデバイスごとのIDベースのセキュリティ対策に関する「ID-Based Securityイニシアティブ」の設立
「セキュリティはITの課題ではなく経営課題、経営投資と考えるフェーズにきている」
「侵入をいかに検知して、以降の進行を食い止めて被害を最小限にするか、こうしたことを日常的に常に行い、蓄積されたインテリジェンスをもとに、さまざまな対処策を作成している。」

【ニュース】中小企業のセキュリティ対策に支援策、10団体が共同実施

ニュースウォッチ

www.itmedia.co.jp

IPAの「中小企業の情報セキュリティ対策ガイドライン」の実践をベースにした2段階の取り組みを示すマークが設定され、IPAが宣言を受け付ける。宣言した企業は、段階に応じたマークをWebサイトや名刺などに掲出できるという。

 

中小企業サイバーセキュリティ対策関連の備忘録

FIX セキュリティ

サイバーセキュリティに対する備えとして、特に中小企業、学校、個人が考慮すべき事項にフォーカスしてわかりやすく解説した備忘録です。

■緊急対応時のピックアップ情報

■相談対応手引き関連

■事例(FAQ候補

■攻めのIT活用のためのセキュリティ対策

●デジタルトランスフォーメーション時代のセキュリティ対策

■中小企業向けの情報セキュリティ対策関連

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構(2016年11月)

●サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA】

●企業経営のためのサイバーセキュリティの考え方

●組織における内部不正防止ガイドライン

●その他

家庭個人向け

重要インフラ関連

政府機関等

情報セキュリティマネジメント関連

人材育成・人材確保

関連基準、法規、対策機関等

セキュリティ関連情報提供サイト一覧

ニュース

その他

 

中小企業向け各種ガイドライン内容構成

セキュリティ FIX

中小企業向け各種ガイドブック内容構成

 

n     一般ユーザ向け

l    ■インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】

Ø  OS やソフトウェアは常に最新の状態にしておこう

Ø  パスワードは貴重品のように管理しよう

Ø  ログインID・パスワード絶対教えない用心深さ

Ø  身に覚えのない添付ファイルは開かない

Ø  ウイルス対策ソフトを導入しよう

Ø  ネットショッピングでは信頼できるお店を選ぼう

Ø  大切な情報は失う前に複製しよう

Ø  外出先では紛失・盗難に注意しよう

Ø  困ったときはひとりで悩まず まず相談

l    ■ネットワークビギナーのための情報セキュリティハンドブック(小冊子)【2016年02月02日NISC】⇒【2016年12月02日NISC】

 

Ø  目次

人物紹介

おうちのCSIRTになってね

Black Hat the Cracker

Ø  プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ

1. サイバー攻撃のイメージ

1. サイバー攻撃って誰がやっているの?どうするの?
コラム:攻撃者とハッカーとクラッカー
コラム:攻撃者が使う武器「マルウェア
どんな種類があるの?
どんな機能を持つの?
どんなものが感染したり、感染させたり、悪さするようになるのか
2. サイバー攻撃の例
偽サイトでのフィッシング詐欺や重要情報の不正送信
ランサムウェアで身代金要求
ボットネットに組み込まれる
3. サイバー関連の犯罪やトラブル
なりすましや略取・誘拐(連れ去り)
セクスティング
ネットいじめ
4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃
ソーシャルエンジニアリング」は現実でもネットでも心の隙を突いてだます

Ø  第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!

1. 4つのポイントでセキュリティを守る

1. システムを最新に保つ。セキュリティソフトを入れて防ぐ
様々な段階でセキュリティを守る
2. 複雑なパスワードと多要素認証で侵入されにくくする
3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする
守りを何重にもして侵入されにくくする
4. 心の隙を作らないようにする(対ソーシャルエンジニアリング

2. 環境を最新に保つ、セキュリティソフトを導入する

1. セキュリティソフトを導入して守りを固めよう
単純なウイルス検知ソフト
進化したセキュリティソフト(ふるまい検知、ヒューリスティック分析)
手配書が間に合わないゼロディ攻撃も
2. パソコン本体とセキュリティの状態を最新に保とう
本体もOSもセキュリティソフトも重要ソフトもアップデート
3. スマートフォンやネットワーク機器も最新に保とう
アプリやセキュリティソフトの更新は基本的に自動にし、まめにチェック
ネットにつながる家電もファームウェア更新、設定ページのID・パスワードは変更しておくこと
4. ソフトやアプリは信頼できる場ところ所から。権限にも気をつける
不審な場所からアプリをインストールしない。権限に気をつける
コラム:必要ならばスマホにはセキュリティパックを検討しよう
必要性を感じるなら、スマホにはセキュリティパック導入を検討しよう
スマホの改造をしてはいけません
スマート家電の中にはパソコンやスマホがある?
コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!
ゼロディ攻撃とは? 対処の例
ゼロディ攻撃に対抗するには?

3. 複雑なパスワードと多要素認証で侵入されにくくする

1. パスワードの安全性を高める
パスワードは少なくとも英大文字小文字+数字+記号で10桁
2. パスワードの使い回しをしない
同じパスワードを使い回さない。似たパスワード、法則性のあるパスワードは×
3. パスワードを適切に保管する
パスワードを使用する場所に置かない。パソコンの中も×
パスワードはノートに書いて保管するか、パスワード管理アプリで守る
ブラウザの自動入力にパスワードを覚えさせない
4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う
秘密の質問にはまじめに答えない。答えは使い回さない
多要素認証やログイン通知でセキュリティを向上
コラム:パスワードはどうやって漏れるの?どう使われるの?
様々なID・パスワードの抜き取り方法
盗んだID・パスワードを使い様々なサービスを乗っ取れるか試す

4. 攻撃されにくくするには、手間(コスト)がかかるようにする

攻撃されにくくするには手間がかかるようにする
金銭目的ではない攻撃にも備えよう
攻撃者に操られて内側から鍵を開けてしまわないように心がまえを持とう

5. 心の隙を作らないようにする(対ソーシャルエンジニアリング

古典的なソーシャルエンジニアリング
デジタル世代のソーシャルエンジニアリング
標的型メールの例
フィッシングメールの例
悪意はないが拡散してしまう例
コラム:軍事スパイ、産業スパイに狙われてしまったら
職業スパイにはコストによる防御が効かない
スパイ活動の今昔
コラム:映画「ザ・ハッカー」にみるソーシャルエンジニアリング
コラム:スパムメールとその由来

Ø  第2章セキュリティを理解して、ネットを安全に使う

1. パスワードを守る、 パスワードで守る

1. パスワードってなに?
2. 3種類の「パスワード」を理解する
1を「PINコード」
2を「ログインパスワード」
3を「暗号キー」
3. 「PI Nコード」と「ログインパスワード」に求められる複雑さの違い
4. 「暗号キー」に求められる複雑さ
5. どちらの「パスワード」か、わかりにくい例
トピック:パスワードを破る手段は色々

ブルートフォース攻撃(総当たり攻撃)

リスト型攻撃(アカウントリスト/パスワードリスト攻撃)

辞書攻撃(ディクショナリアタック)

6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御
トピック:多要素認証の構成要素は?

①知っているもの

②持っているもの

③本人自身に関するもの

トピック:指紋認証が破られることも…
7. パスワードの定期変更は必要なし。流出時は速やかに変更する
8. パスワード流出時の便乗攻撃に注意
9. 厳重なパスワードの保管
トピック:ブラウザにはパスワード保存しない
トピック:パスワード管理方法の例
トピック:パスワード管理方法のメリットデメリット
10. パスワード情報をクラウドで利用する善し悪し
11. ノートやスマホを失くした場合のリカバリ考察
12. 次善の策のソーシャルログイン。二段階認証などで防御
13. ソーシャルログインで連携される情報に注意
トピック:ソーシャルログインに使えるアカウント

二段階認証

ログイン通知

トピック:ソーシャルログインとサービス・アプリ連携の違い

ソーシャルログイン

アプリ・サービス連携

トピック:アプリなどの連携は定期的に棚卸ししよう
14. ソーシャルログインとは性格が違うサービス連携
コラム:暗号化の超簡単説明
トピック:暗号化ってなに?

平文での通信は読めてしまう

暗号化の魔法は内容を読めなくする

暗号化したものを送れば攻撃者が読めない

事前に決めておいた方法(暗号化方法)と呪文(「暗号キー」)で暗号文を復元(復号)する

トピック:暗号が破られる場合

暗号化方法の種類はいろいろ

暗号破られ① 呪文がバレている!

暗号破られ② 方法が古くて解読可能!

暗号破られ③ 呪文が簡単すぎて解読される

2. 通信を守る、無線LANを安全に利用する

1. それぞれの状況に合わせた暗号化の必要性
トピック:それぞれの状況に合わせた暗号化

通信の暗号化

ファイルの暗号化

2. 無線LAN通信(Wi-Fi)の構成要素
トピック:暗号を使う無線LANの構成要素
トピック:公衆無線LANが安全とは限らない
トピック:「暗号キー」共有は接続しちゃダメ
3. 暗号化なしや、方式が安全ではないものは危険
4. 暗号化方式が安全でも「暗号キー」が漏れれば危険
5. 家庭内での安全な無線LANの設定(暗号化方式
6. 家庭内での安全な無線LANの設定(その他
トピック:家庭でのWi-Fiの利用

①出荷時の管理者パスワード、「暗号キー」の変更

②「暗号キー」は家族のヒミツ

③ルータと機器の安全な運用

7. 公衆無線LAN の安全な利用
8. 個別の「暗号キー」を用いる方式の無線LAN
9. 公衆無線LAN に関して新規に購入したスマホなどで行うこと
トピック:公衆無線LAN通信の表示の意味

スマホやパソコンの画面から見た無線LAN暗号化

②詳細な区分けから見た無線LAN暗号化

トピック:新しいスマホを購入したら…
10. 公衆無線LAN が安全ではない場合の利用方法
11. 自前の暗号化による盗聴対策
12. まとめて暗号化するVPN、現状は過信できないが今後に期待
トピック:様々な場所から安全なアクセスを可能にするVPN新しいスマホを購入したら…

①詳細なVPNのイメージ

②簡単なVPNのイメージ

3. ウェブを安全に利用する、暗号化で守る

1. 無線LAN の暗号化とVPNの守備範囲
トピック:それぞれの暗号化の守備範囲

無線LANの暗号化

VPNによる暗号化

③ウェブ、メールの暗号化

VPNウェブメールの暗号化

2. 全ての通信と、その一部であるウェブの通信
3. httpsで始まる暗号化通信にはどんなものがあるか
4. より厳格な審査の「EVSSL証明書
5. 「EV-SSL証明書」を持つサイトを見分ける方法
6. 有効期限が切れた証明書は拒否する
7. 他にも証明書に関する警告が出るサイトは接続しない
8. ウェブサービスのログインは二段階認証などを使う
トピック:httpsの暗号化通信で情報を守る

個人情報の入力は基本的には……

トピック:攻撃者が不正に取得した証明書に注意
トピック:証明書の内容をチェックする
9. 二段階認証を破る「中間者攻撃」
トピック:間に入ってなりすます中間者攻撃の例

①中間者攻撃で二段階認証が破られる例

②中間者攻撃で二段階認証が破られにくい例

トピック:ウェブを使ったサイバー攻撃の例

①メール等による感染

②水飲み場攻撃による感染

10. ウェブを使ったサイバー攻撃に対応する

4. メールを安全に利用する、暗号化で守る

1. メールにおける暗号化
2. スパムメールの嵐と、メールの暗号化
3. 受信側も暗号化で保護
4. メールにおける暗号化の守備範囲
トピック:メールの送受信は暗号化されているか

メールソフトやアプリが暗号化(SSL)利用になっているか?

トピック:しかしSSLの通信は自分のサーバまで
トピック:暗号化している同じサービスを利用する
5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化
6. 怪しいメールとはなにか.. .
7. マルウェア入りの添付ファイルに気をつける
トピック:ウェブメールの送受信は暗号化されているか
トピック:怪しいメールとはなにか

①仕事のメールを装う

② 銀行、カード会社、ECサイト、プロバイダ関係を装うメール

トピック:本当の仕事仲間のメールでも攻撃は来る
8. メールアドレスのウェブサービスなどからの流出
9. 流出・スパム対策としての、変更可能メールアドレスの利用
10. 通信の安全と永続性を考えたSNSやメールの利用
トピック:マルウェア入りファイルの偽装
トピック:メールアドレスを変えてスパムメールから逃げる

5. データファイルを守る、暗号化で守る

トピック:データの暗号化は保険
トピック:データを持ち運ぶときは必ず暗号化メディアを使う
トピック:「暗号キー」が1個の方式(共通鍵暗号方式)
トピック:「暗号キー」が2個の方式(公開鍵暗号方式
コラム:クラウドサービスからのデータ流出。原因は?

Ø  第3 章 スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方

1. スマホのセキュリティ設定.. .

1 スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×
2 情報漏れを防ぐ①
3 情報漏れを防ぐ②
4 スムーズな機種変更と、予期せぬデータ流出の防ぎ方
5 防水機能を過信してデータを失わないように
コラム:GPS、位置情報、ジオタグの管理

2. パソコンのセキュリティ設定..

1 パソコンを買ったら初期設定などを確実に
2 暗号化機能等でセキュリティレベルを高める
3 マルウェア感染に備え、バックアップ体制を整える
4 売却や廃棄するときはデータを消去する
5 盗難や紛失のとき、スマホとパソコン、どっちが安全?
コラム:ダブルラインでトラブルに備える

3. 屋外・海外でのネットワーク利用..

1 一見なにもないように見えて、危険がいっぱい
2 インターネットカフェの利用

4. それでも攻撃を受けてしまったときの対処..

1 兆候に気をつけて被害が出たら対処
コラム:究極の防御手段「ネットにつながない」エアギャップ
有線でも無線でも、つながっていないパソコンにはマルウェアは感染しない
しかし、USBメモリを介して感染することも
ネットに接続していなくても、少量のデータであれば盗める
オンラインで銀行口座が狙われるなら
インターネットバンキングを止めるという手も
コラム:無料ということの意味は何か
試食サービスのコストの例
無料ウェブサービスの例
無料の公衆無線LANサービスの例

Ø  第4章 被害に遭わないために、知らない間に加害者にならないために

1. 攻撃者に乗っ取られるとこんなことが起こる

1 被害に遭わない、そして加害者にならないために
2 盗まれた情報は犯罪に使われる
3 乗っ取られた機器はサイバー攻撃に使われる
4 IoTも乗っ取られる。知らずにマルウェアの拡散も…

2. サイバー関連でやってはいけないこと

1 アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権侵害
2 ゲームの不正行為。恋人や家族でもプライバシーは守る
3 クラッキングはクールじゃない!
コラム:モラルを逸脱すると炎上を生む
モラルを逸脱することが炎上を生む
自作自演やアオリ行為、嘘の書き込み

Ø  第5 章 自分を守る、家族を守る、災害に備える

1. SNSやネットとのつきあい方、守り方

1 SNSやネットの楽しみと気をつけること
2 SNSやネットの怖さ、こんなことが実際に起こっている
略取
ストーカー
犯罪勧誘
ネットいじめ
リベンジポルノ・デジタルタトゥー
3 SNSやネットとのつきあい方の基本
個人情報は基本的に公開しない
会ったことがない人とむやみに友だちにならない
現実世界で会おうとする人を警戒する。出会い系に近づかない
個人が特定される情報はSNSなどに投稿しない
4 存在するデータは流出することがある。流出したら消すことは難しい
コラム:SNS学校裏サイトを使ったいじめに備える(いじめ経験者からのアドバイス)
コラム:デマに踊らされない! ソースを探せ! 確かめよう!

2. デジタルテクノロジーで家族を守る.. .

1 子ども達を守る
2 お年寄りを守る

3. 大災害やテロに備える..

1 まずは自分の身の安全を確保する
2 電池をもたす、情報収集をする
3 ラジオ、ワンセグを使った情報収集
4 徒歩帰宅。海外での災害やテロに備えて
コラム:屋外でのゲームを安全に楽しむ
5 ネットを使わない移動トレーニング(現代オリエンテーリング
コラム:デジタル遺産相続

Ø  エピローグ 来たるべき新世界

1 ネットの「今」と、どう守っていくか

2 デジタルネイティブと未来

3 バーチャル空間を超えて世界へ

4 おわりに

Ø  用語集.

Ø  情報セキュリティ関連サイト一覧

情報セキュリティ関連のサイト

海外旅行関連のサイト

災害時関連のサイト

災害時関連のサイト

いじめ対策関連

Twitterアカウント

アプリ(AndroidiOS

その他

Ø  索引..

l    ■マンガで学ぶサイバーセキュリティ【NISC】

Ø  スマートフォンのセキュリティ

注意点

最近ではパソコンだけでなく、スマートフォンでも悪意のあるウイルスが横行している
ウイルス感染は「無料のアプリ」からが多い
OSやアプリのバージョンが古いままだと、ウイルス感染の危険性あり

対策

すまーろフォンへのウイルス対策ソフトの導入を検討しよう
アプリの詳細、提供企業やレビューを確認し、信頼できるサイトからアプリをダウンロードしよう
OSやアプリは常に最新のバージョンにアップデートしよう

豆知識

最近ではマンガのような、画面をロックしてお金を要求するウイルス(ランサムウェアと呼ぶ)が流行している
スマートフォンだけでなく、PCも被害が出ているので注意しよう
迷惑メールの添付ファイルを実行すると、ウイルスに感染してしまうこともあるため、注意しよう

Ø  無線LANのセキュリティ

注意点誰でも接続できる無線LANのアクセスポイントの中には、悪意をもって設置されているものがある

悪意をもって設置されたアクセスポイントに接続すると、通信内容を見られてしまうことがある
インターネット接続業者が提供している公衆無線LANでも、通信が暗号化などで保護されていないものがあり、通信内容が傍受されるおそれがある

対策

不審な公衆Wi-Fiには接続しない
公衆Wi-Fiに接続する場合は、出来るだけ暗号化された、信頼できるWi-Fiを利用しよう

豆知識

ファイル共有機能をONにして公衆Wi-Fiに接続すると、同じWi-Fiにつないでいる人からデータが見られてしまう
公衆Wi-Fiを使う場合は、設定に注意しよう
自宅のWi-Fiにはきちんとパスワードをかけ、知らない人が接続できないようにしよう

Ø  インターネット上の詐欺

注意点

インターネット上には、ネットショッピングやインターネットバンキング等を利用する上で、お金に関する詐欺が存在する
ユーザを巧妙な偽サイト(フィッシングサイト)に誘導して騙す手法も増加している
安易にjメールを信用してUrlや添付ファイルを開くと、偽物のサイトに飛んでしまったり、ウイルスに感染してしまうことがある

対策

ウェブサイトのURLやメール所送付先が正規のものか、注意深く確認しよう
言語がカタコトだったり。連絡先が書いていないなど、疑わしいサイトは利用しない

豆知識

フィッシングサイトでは銀行のウェブサイトを模倣して、インターネットバンキングのIDやパスワードを盗むものも多く存在するため、注意しよう。

Ø  SNSの利用上の注意

注意点

SNSでは、悪意のあるユーザが、女性などの画像を使用してなりすまし、接触を図ってくることがある
悪意のあるユーザは「直接会おう」などと接近してくることもあり、犯罪に巻き込まれることもある

対策

見知らぬユーザとは、コンタクトをとらない
「会おう」などと誘われても絶対に会わない

豆知識

見知らぬ人が接触してくるのは、悪事を目的としていることが多い
見知らぬ人が写真や住所、電話番号など、個人情報を要求してくることもあるが、決して応じないこと
知り合いに成りすまして接近してくることも有るので、知っている人だからと言って油断しない

l    ■基礎知識|国民のための情報セキュリティサイト【総務省】

Ø  インターネットを使ったサービス|基礎知識|国民のための情報セキュリティサイト【総務省】

インターネットって何?

インターネットの仕組み

ホームページの仕組み

電子メールの仕組み

ブログの仕組み

電子掲示板の仕組み

SNSソーシャルネットワーキングサービス)の仕組み

チャットの仕組み

メーリングリストの仕組み

ショッピングサイトの仕組み

ネットオークションの仕組み

インターネットバンキングの仕組み

クラウドサービスとは?

スマートフォンとは?

無線LANの仕組み

Ø  どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト【総務省】

ウイルスとは?

ウイルスの感染経路と主な活動

ウイルスの感染経路
ウイルスの主な活動

不正アクセスとは?

ホームページやファイルの改ざん
他のシステムへの攻撃の踏み台に

詐欺等の犯罪

事故・障害

脆弱性(ぜいじゃくせい)とは?

情報発信に関するトラブル

Ø  インターネットの安全な歩き方|基礎知識|国民のための情報セキュリティサイト【総務省】

IDとパスワード

認証の仕組みと必要性
設定と管理のあり方

ウイルスに感染しないために

不正アクセスに遭わないために

詐欺や犯罪に巻き込まれないために

事故・障害への備え

情報発信の心得

Ø  情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト【総務省】

ファイアウォールの仕組み

暗号化の仕組み

SSLの仕組み

ファイル共有ソフトとは?

Ø  情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト

法律違反の事例

刑法

サイバーセキュリティ基本法

著作権法

電気通信事業法

電子署名及び認証業務に関する法律

電子署名に係る地方公共団体の認証業務に関する法律

電波法

特定電子メールの送信の適正化等に関する法律

不正アクセス行為の禁止等に関する法律

有線電気通信法

l    ■一般利用者の対策|国民のための情報セキュリティサイト【総務省】

Ø  基本的な対策

ソフトウェアを最新に保とう

ウイルス対策をしよう

ウイルス対策ソフト
記憶媒体からのウイルス感染

ホームページ閲覧の危険性

パスワードの設定と管理

フィッシング詐欺に注意

ワンクリック詐欺に注意

無線LANの安全な利用

機器の廃棄

個人に関する情報の取扱い

プライバシー情報の取扱い

サポート期間が終了するソフトウェアに注意

サーバ証明書の切り替えによる影響について

Ø  インターネット上のサービス利用時の脅威と対策

【インターネット】

ホームページ閲覧における注意点
ネットオークションにおける危険性
ショッピングサイトの利用
インターネットバンキングの注意点
SNS利用上の注意点
クラウドサービス利用上の注意点
動画配信サイトなどの注意点
オンラインゲームの注意点

【電子メール】

ウイルス添付メールなどへの対応
迷惑メールへの対応
チェーンメールの問題点
メールの誤送信

【情報機器】

家族共用パソコンの注意点
携帯電話・スマートフォンタブレット端末の注意点
ゲーム機の注意点
インターネット対応機器(家電、記憶媒体等)の注意点

【その他】

ファイル共有ソフトの利用とその危険性

Ø  情報発信の際の注意

著作権侵害に注意

個人情報の公開の危険性

ネットを使ったいやがらせや迷惑行為

発信内容は慎重に

Ø  事故・被害の事例

事例1:資料請求の情報が漏洩した

事例2:私の名前で誰かがメールを

事例3:ホームページを見ただけで・・・

事例4:猛威!デマウイルス

事例5:メールが他人に読まれている?

事例6:ネットストーカーに注意

事例7:ウイルス対策はしていたはずなのに・・・

事例8:送った覚えがないのに・・・

事例9:オークションの商品が届かない

事例10:メールの儲け話に注意

事例11:中古パソコンによるデータの漏洩

事例12:クレジットカード番号が盗まれた

事例13:ファイル共有ソフトが原因で・・・

事例14:ワンクリック詐欺に注意

事例15:自分の名前で勝手に書き込みが・・・

事例16:インターネットバンキングで情報が盗まれた

事例17:有名サイトからダウンロードしたはずなのに・・・

事例18:ブロードバンドルータから認証情報が盗まれた・・・

n     企業向け(特に中小企業)

l    ■中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】

Ø  一式公開ページ

http://www.ipa.go.jp/security/keihatsu/sme/guideline/

Ø  経営者の皆様へ

情報セキュリティ対策は、経営に大きな影響を与えます!

経営者が自ら動かなければ、法的・道義的責任を問われます!

組織として対策するために、担当者への指示が必要です!

Ø  対象組織と想定する読者

経営者層・システム管理者層

対象組織

ガイドラインは、業種を問わず中小企業及び小規模事業者(法人のほか、個人事業 主や各種団体も含む) 1を対象として作成されています。

想定読者

組織の経営者と、経営者の指示のもとで重要な情報を管理する方を読者と想定して います。

Ø  全体解説

(1)本ガイドラインの構成

本編2部と付録より構成

(2)本ガイドラインの使い方

①経営者の方
②経営者の指示のもとで重要な情報を管理する方
【図3】情報セキュリティ対策の進め方
Step1 まず始める

情報セキュリティ5か条

Step2 現状を知り改善する

情報セキュリティ自社診断

Step3 本格的に取り組む

情報セキュリティポリシーの策定

Step4 改善を続ける

情報セキュリティ対策のさらなる改善に向けて

Ø  第 1部 経営者編

情報セキュリティ対策を怠ることで企業が被る不利益

(1) 金銭の喪失
【表2】最近のサイバー攻撃等による情報漏えい等の経済的損失例

情報漏えい

教育サービス事業者で顧客の個人情報が3504件が漏えい(2014年)

システム開発・運用を行っている委託先の再委託先社員による不正取得と名簿の売却

株式を公開している雑貨卸事業者でインターネット上の株主向けサービスに登録された株主の個人情報6187件(他社の株主個人情報含め12014件)が漏えいした(2015年)

運営委託先サービスサイトへの不正アクセス

航空会社の顧客の個人情報4131件が漏えいした(2014年)

菓子食品製造事業者で個人情報29999件が漏えいした(2015年)

国内半導体製造事業者の技術jに関する機密情報が韓国の同業者に漏えい(2014年)

メガネ販売事業者でオンラインショップ顧客のクレジットカード情報2059件の漏えい(2013年)

ウイルス感染

米国の病院で院内ネットワークで共有する電子カルテシステムがウイルスによる攻撃により動作しなくなり診療不能に(2016年)

ランサムウェアに感染し、ファイルが暗号化されたため

ウェブサイト改ざん

観光バス事業者のホームページが改ざんされ閲覧するとウイルスに感染する恐れ(2014年)

(2) 顧客の喪失
(3) 業務 の喪失
(4) 従業員 への影響

経営者が負う責任

(1) 経営者などに問われる法的責任
・個人情報
・他社から預かった秘密情報
・自社の秘密情報
・株価に影響を与える可能性のある未公開内部情報
(2) 関係者や社会に対する責任
・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン
法令順守・顧客・取引先・従業員

経営者は何をすればよいか

サイバーセキュリティ経営ガイドライン【2015年12月MEIT・IPA】の内容を中小企業向けに編集
経営者が認識する必要な「3原則」
原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

さまざまな脅威がもたらすリスクに対する対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策を実施します。

セキュリティ対策をしないことによる損失、対策に要する投資、ITの利活用を推進することによる利益を勘案して判断

セキュリティ対策をしないことによる損失>対策に要する投資

ITの利活用を推進することによる利益>対策に要する投資

原則2 委託先における情報セキュリティ対策まで考慮する

自社同様に十分な注意を払い、必要に応じて委託先が実施している情報セキュリティ対策も確認

原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。

企業が重要 として実施する「重要 7項目の取組」
取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

「当社は中小企業の情報セキュリティ対策ガイドラインに基づき情報セキュリティ対策を実践する。」「当社は顧客情報の流出防止を徹底することから情報セキュリティ対策を開始する。」

取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

万が一事故(インシデント7)が起きてしまった場合、被害を最小限に止めるために、あらかじめ準備することも含みます。

取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。検討した対策ごとに予算を与え、担当者を任命し、実行を指示します。

取組4 情報セキュリティ対策に関する定期的な見直しを行う

最初から最適な形で実現することはどんな会社でも難しいもの。また情報技術は進化が早く、加えて脅威も変化します。

取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する

利用規約やサービスに付随する情報セキュリティ対策等を確認したうえで選定するよう担当者に指示する

取組6 情報セキュリティに関する最新動向を収集する

情報セキュリティに関する最新動向を発信している公的機関8などを把握しておき、常時参照することで、新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。

取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

万が一のインシデントに備えて、緊急時の連絡体制を整備します。、経営者の対応についても、あらかじめ決めておけば、冷静で的確な対応が可能になります。

Ø  第 2部 管理実践編

情報セキュリティ管理の進め方

【図5】ガイドラインの使用方法

情報セキュリティ5か条

【表4】情報セキュリティ5か条
OSやソフトウェアは常に最新の状態にしよう!
ウイルス対策ソフトを導入しよう!
パスワードを強化しよう!
共有設定を見直そう!
脅威や攻撃の手口を知ろう!

5分でできる!情報セキュリティ自社診断

Part1 基本的対策
Part2 従業員としての対策
Part3 組織としての対策

情報セキュリティポリシーの策定

(1)基本的な考え方
① 自社に適合したポリシーを策定

【図6】セキュリティポリシー文書構成

② 情報セキュリティリスクの大きなものから重点的に対策を実施

【図7】リスクの「保有」の考え方

(2) ポリシー策定までの流れ
【図8】情報セキュリティポリシー策定までの流れ
手順1 情報資産台帳を作成する

どのような情報資産があるか洗い出して重要度を判断する

  • 機密性、完全性、可用性それぞれの評価値11を記入します(表6)。
  • 機密性・完全性・可用性の評価値から重要度を判定します(表7)。

【表6】情報資産の機密性・完全性・可用性の評価基準

機密性・完全性・可用性→重要度

【表7】情報資産の重要度判断基準

付録の利用方法(手順1)

手順2 リスク値の算定

リスク値=重要度(機密性×完全性×機密性)×被害発生可能性の合計(脅威の起きる可能性×脆弱性の大きさ)

【表9】リスク値の算定基準

【表10】脅威例に応じたリスクのレベル

付録の利用方法(手順2)

手順3 情報セキュリティ対策を決定(対策を決める)

ア)リスクを低減する

 自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。

イ)リスクを保有する

 事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持します。

ウ)リスクを回避する

 仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。

リスクを許容する

付録の利用方法(ツールA)

手順4 情報セキュリティポリシーを策定(対策をルールにする)

付録の利用方法(手順4)

【表11】情報セキュリティポリシーサンプル

1 組織的対策

2 人的対策

3 情報資産管理

4 マイナンバー対応

5 アクセス制御及び認証

6 物理的対策

7 IT機器利用

8 IT基盤運用管理

9 システムの開発及び保守

社内でシステム開発を行う場合

10 委託管理

業務委託を行う場合

11 情報セキュリティインシデント対応及び事業継続管理

12 社内体制図

従業員数2名以上

13 委託契約書サンプル

委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合

(3)委託時の情報セキュリティ対策
(4)情報セキュリティ対策の実行
① 通常時の役割

経営者

管理者層

一般従業員

② 緊急時の対応

※しおり

① 緊急時の指揮命令と対応の優先順位の決定

② インシデントへの対応(インシデントレスポンス)

③ インシデントの影響と被害の分析

④ 情報収集と自社に必要な情報の選別

⑤ 社内関係者への連絡と周知

⑥ 外部関係機関との連絡

(5)チェックと改善
① チェックの方法
② 改善の方法

情報セキュリティ対策のさらなる改善に向けて

(1)情報セキュリティマネジメントサイクルによる継続的改善
 ISO/IEC27001 が定めているマネジメントシステム(管理のしくみ)の考え方の基本は、Plan(計画)、Do(実行)、Check(チェック)、Act(改善)の4段階の活動(PDCA サイクル13)を順に繰り返すことを通じて改善していくことにあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。
  • Plan:情報セキュリティ対策の計画立案または見直し
  • Do:情報セキュリティ対策の実践
  • Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定
  • Act:改善の実施
(2)情報セキュリティ対策に関する標準規格
付録3で示す対策は、中小企業でも取り組みやすいように情報セキュリティの国際規格であるISO/IEC 27002(情報セキュリティ管理策の実践のための規範)から抜粋し、解りやすい表現にしています。
(3)情報セキュリティ監査・点検の実施
● 質問(ヒアリング):従業員や委託先の管理者などに直接質問して回答を求める
● 閲覧(レビュー):情報セキュリティポリシーの関連手続きで申請書などの帳票や、コンピュータのログ、設定内容など実行の証拠となるものを見て確認する
● 観察(視察):監査・点検者が現場に赴き、情報セキュリティ対策を行う当事者が情報セキュリティポリシーに従った行動をしていることを目視で確認する
● 技術診断:技術的対策の運用状況などについて、監査・点検者が自ら機器を操作することによって検証する(情報システムや社内ネットワークの脆弱性を確認するために、専用ソフトウェアを使い技術的な脆弱性を診断することもある)
(4)改善の実施
経営者や管理者層での議論、検討を通じて、情報セキュリティポリシーや具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に向けた改善につなげていきます。

Ø  おわりに

 

標的型攻撃の巧妙化により、適切な対策を実施していても被害を完全に防ぐことが困難になる中、異常事態の発生を素早く検知し、被害を最小限に抑制するための体制が注目されるなど、対策面も変化しています。また、マイナンバー法の施行、個人情報保護法の改正などに伴い、企業規模を問わず情報セキュリティに対する社会的要請、法的責任が拡大し、中小企業においても情報セキュリティへの取り組みは優先課題となっています。
 一方で、中小企業では依然として資金面や人材面での制約から情報セキュリティ対策の実施が難しいといわれており、実際の統計からも大企業に比較すれば対策が進んでいない傾向が認められます。
。こうした状況を踏まえ、近年、変化・増大する脅威に対する情報セキュリティ対策を、適切かつ有効なものとすることを目的として、本ガイドラインの初版の内容を抜本的に見直し、改訂版を作成することとしました。
中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができないという不利を抱える一方で、経営者を含め「従業員の顔が見える」という有利な条件を備えています。
情報セキュリティの第一歩は、経営者が情報セキュリティの重要性を自ら認識し、そのことを従業員に伝え、従業員がその対策を行う意義を理解することです
。つまり、「従業員の顔が見える」ということは経営者が直接管理者・担当者に対策を指示することができ、対策の結果についても直接報告を受けることができるなど、大企業に比べて迅速に対応ができるという有利な条件を備えています。
また、この特質を生かすことで、大企業では必要となるセキュリティ監視や情報共有のための設備が不要とできるため、大企業よりも費用をかけずに対策を実現することも可能です。

Ø  本書で用いてる語の説明

インシデント

(情報の)可用性

(情報の)完全性

(情報の)機密性

クラウドサービス

個人情報

サイバーセキュリティ

CSIRT( シーサート、Computer Security Incident Response Team)

情報セキュリティ

情報セキュリティインシデント

情報セキュリティに関連した保険商品

情報セキュリティポリシー

情報セキュリティマネジメントサイクル

ソーシャルエンジニアリング

ランサムウェア

Ø  ◦付録1:

情報セキュリティ5か条(全2ページ、721KB)pdf

こんな情報があるはず!
従業員のマイナンバー、住所、給与明細
お客様や取引先の連絡先一覧
取引先ごとの仕切り額や取引実績
新製品の設計図などの開発情報
組織の経理情報
取引先から取扱注意と言われた情報
漏れたら大変!こんなダメージが!
被害者への損害賠償などの支払い
取引停止、顧客の他社への流出
ネットの遮断などによる生産効率のダウン
従業員の士気低下
まずは始めてみよう
OSやソフトウェアは常に最新の状態に使用!
ウイルス対策ソフトを導入しよう!
パスワードを強化しよう!
共有設定を見直そう!
脅威や攻撃の手口を知ろう!

Ø  ◦付録2:

5分でできる!情報セキュリティ自社診断シート(全2ページ、417KB)pdf

Part1 基本的対策
1.Windows Update※1 を行うなどのように、常にOS やソフトウェアを安全な状態にしていますか?
2.パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル※2 を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?
3,パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?
4.ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?
5.利用中のウェブサービス※3 や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
Part2 従業員としての対策
6.受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?
7.電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
8.重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?
9.無線LAN を利用する時は強固な暗号化を必ず利用するなどのように、無線LAN を安全に使うための対策をしていますか?
10.業務端末でのウェブサイトの閲覧やSNS への書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?
11.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?
12.重要情報を机の上に放置せず書庫に保管し施錠するなどのように、重要情報の紛失や漏えいを防止していますか?
13.重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
14.離席時にコンピュータのロック機能を利用するなどのように、他人に使われないようにしていますか?
15.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?
16.退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなどのように、盗難防止対策をしていますか?
17.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?
18.重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?
Part3 組織としての対策
19.クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?
20.社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利用の可否を明確にしていますか?
21.採用の際に守秘義務や罰則規定があることを知らせるなどのように、従業員に秘密を守らせていますか?
22.情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?
23.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?
24.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?
25.情報セキュリティ対策(上記1~24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?
●さらなる情報セキュリティ対策の検討するには
「5 分でできる!情報セキュリティ自社診断」の次のステップとして、ガイドラインを活用したポリシーの策定やベンチマークでの自己診断を実施してみよう。
■ 中小企業の情報セキュリティ対策ガイドライン

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

■ 情報セキュリティ対策ベンチマーク

https://www.ipa.go.jp/security/benchmark/

●自社診断シートで100 点満点を目指すには
「5 分でできる!情報セキュリティ自社診断パンフレット」のほか、以下のページで提供されている資料もより具体的な対策の検討に有用ですのでご活用ください。
■ 情報セキュリティ対策支援サイトiSupport

https://www.ipa.go.jp/security/isec-portal/

■ 対策のしおり

https://www.ipa.go.jp/security/antivirus/shiori.html

■ 映像で知る情報セキュリティ

https://www.ipa.go.jp/security/keihatsu/videos/

情報セキュリティハンドブックひな形(全11ページ、444KB)PowerPoint

1 全社基本ルール
OSとソフトウェアのアップデート
ウイルス対策ソフトの導入
パスワードの管理
アクセス制限
セキュリティに対する注意

独立行政法人情報処理推進機構((略称:IPA) 重要なセキュリティ情報

http://www.ipa.go.jp/security/index.html

JVN (Japan Vulnerability Notes)

http://jvn.jp/index.html

 一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)      

https://www.jpcert.or.jp/

2 仕事中のルール
電子メールの利用
インターネットの利用
データのバックアップ
クリアデスク・クリアスクリーン
重要情報の持ち出し
入退室
電子媒体・書類の廃棄
3 全社共通のルール
有情報機器の利用
クラウドサービスの利用
3 従業員のみなさんへ
従業員の守秘義務
事故が起きてしまったら

Ø   ◦付録3:

<ツールA>リスク分析シート(全5シート、79KB)excel

情報資産台帳記入例
情報資産管理台帳
脅威の状況
書類

秘密書類の事務所からの盗難

秘密書類の外出先での紛失・盗難

情報搾取目的の内部不正による書類の不正持ち出し

業務遂行に必要な情報が記載された書類の紛失

可搬電子媒体

秘密情報が格納された電子媒体の事務所からの盗難

秘密情報が格納された電子媒体の外出先での紛失・盗難

情報搾取目的の内部不正による電子媒体の不正持ち出し

業務遂行に必要な情報が記載された電子媒体の紛失

事務所PC

情報搾取目的の事務所PCへのサイバー攻撃

情報搾取目的の事務所PCでの内部不正

事務所PCの故障による業務に必要な情報の喪失

事務所PC内データがランサムウェアに感染して閲覧不可

不正送金を狙った事務所PCへのサイバー攻撃

バイル機器

情報搾取目的でのモバイル機器へのサイバー攻撃

情報搾取目的の不正アプリをモバイル機器にインストール

秘密情報が格納されたモバイル機器の紛失・盗難

社内サーバー

情報搾取目的の社内サーバーへのサイバー攻撃

情報搾取目的の社内サーバーでの内部不正

社内サーバーの故障による業務に必要な情報の喪失

クラウド

安易なパスワードの悪用によるアカウントの乗っ取り

バックアップを怠ることによる業務に必要な情報の喪失

対策状況チェック
 (1) 組織的セキュリティ対策

経営者の主導で情報セキュリティの方針を示していますか?

情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか?

情報セキュリティ対策を実施するための体制を整備していますか?

情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか?

(2) 人的セキュリティ対策

秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員等を含む)に就業規則や契約等を通じて秘密保持義務を課していますか?

従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか?

会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか?

(3) 情報資産管理

管理を必要とする情報資産は、すべて情報資産管理台帳に記載することを定めていますか?

秘密情報は業務上必要な範囲でのみ利用を認めていますか?

秘密情報の対象となるファイルやデータを丸秘マークや格付け表示等で識別可能とすることを定めていますか?

秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか?

秘密情報を机の上に放置せず施錠保管するなどして、のぞき見されたり紛失しないようにしていますか?

情報資産のバックアップに関する手順を定め、手順が遵守されていることを確認していますか?

秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか?

(4) マイナンバー対応

特定個人情報の取扱ルール(管理担当者の割当て、関連規程の整備、記録の保存、定期的点検)が定められていますか?

特定個人情報に関する漏えい等の事案に備えた報告連絡体制が整備されていますか?

特定個人情報の保護のための安全管理措置(人的、物理的、技術的のそれぞれ)を行うことが定められていますか?

 (5) アクセス制御と認証

業務で利用するすべてのサーバに対して、アクセス制御の方針が定められていますか?

サーバのアクセス権限は、従業員の退職や異動に応じて随時更新され、定期的なレビューを通じてその適切性が検証されていますか?

情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なアクセス制御を行うことを定めていますか?

サーバで用いるパスワードは、適切なもののみが受け入れられる機能を通じて設定されていますか?

業務で利用する暗号化機能及び暗号化に関するアプリケーションは、その運用方針が明確に定められていますか?

 (6) 物理的セキュリティ対策

業務を行う場所に、第三者が許可無く立入できないようにするための対策(物理的に区切る、見知らぬ人には声をかける、等)が講じられていますか?

最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

高いセキュリティを確保する区域には、許可された者以外は接近できないような保護措置がなされていますか?

秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体等の持込み・利用は禁止されていますか?

 (7) IT機器利用

セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか?

ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか?

業務で利用するIT機器で用いるパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、等)ことを定めていますか?

業務で利用する機器が誰かに勝手に使われないようにするための措置(離席時にパスワード付きのスクリーンセーバーが動作する、持ち運び可能な機器は施錠できる場所に格納する、等)を定めていますか?

業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか?

社外で業務を行う場合のルールを定めていますか?

業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定めていますか?

受信した電子メールが不審かどうかを確認することを求めていますか?

電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか?

インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか?

 (8) IT基盤運用管理

IT機器と台帳との棚卸(実機確認)を行うとともに、社内ネットワークに許可なく接続された機器や無線LAN基地局がないことを確認していますか?

サーバで利用するアプリケーションは、ブラックリスト方式(利用してはいけないものを明示)またはホワイトリスト方式(利用してよいものを明示)のいずれかで特定していますか?

業務で利用するすべてのサーバに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか?

サーバで用いた機器の廃棄の手順を定めていますか?

業務で利用するすべてのサーバやネットワーク機器に対して、必要性に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、定期的にレビューしていますか?

サーバを対象とする監査を行うことを定めていますか?

ファイアウォールなど、外部からの攻撃の影響を防ぐための対策を導入していますか?

業務で使っているネットワーク機器のパスワードを初期状態のまま使わず、推測できないパスワードを設定して運用していますか?

クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか?

最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか?

 (9) システム開発及び保守

情報システムの開発を行う場合、開発環境と運用環境とを分離していますか?

セキュアな開発を行うための手続きを定めていますか?

情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか?

 (10) 外部委託管理

契約書に秘密保持(守秘義務)、漏洩した場合の賠償義務、再委託の制限についての項目を盛り込むなどのように、委託先が遵守すべき事項について具体的に規定していますか?

委託先との秘密情報の受渡手順を定めていますか?

委託先に提供した秘密情報の廃棄または消去の手順を定めていますか?

 (11) 情報セキュリティインシデント対応ならびに事業継続管理

秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか?

インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか?

事業継続計画における情報セキュリティ対策を定めていますか?

診断結果

<ツールB>情報セキュリティポリシーサンプル (11月18日公開予定)

Ø  パブコメ段階

付録 1 情報セキュリティ 5か条

ソフトウェアはつねに更新しよう
機器に応じたマルウェア対策をしよう
パスワードなど、認証を強化しよう
業務に使うすべてのサービスの設定を見直そう
脅威や攻撃の手口を知ろう

付録 2 5分できる!情報セキュリティ自社診断

Part 1 最重要事項
自社診断シートNo.1 ソフトウェアは常に最新の状態に更新
自社診断シートNo.2 マルウェア対策が提供されていれば導入
自社診断シートNo.3 推測されにくいパスワードを使用する
自社診断シートNo.4 すべてのサービスの設定を見直す
自社診断シートNo.5 脅威や攻撃に関する最新情報を集める
Part 2 ネットの脅威への対処
自社診断シートNo.6 電子メールは疑ってみる
自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入
自社診断シートNo.8 インターネットバンキングの偽サイトに注意する
自社診断シートNo.9 機器のパスワードは初期設定で使わない
自社診断シートNo.10 信頼できるクラウドを使う
Part 3 情報資産の保護
自社診断シートNo.11 社外保存データへのアクセス権に注意する
自社診断シートNo.12 バックアップを励行する
自社診断シートNo.13 秘密情報は安全な方法で持ち出す
自社診断シートNo.14 秘密情報は復元できないように消去する
自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める
Part 4 職場のセキュリティ
自社診断シートNo.16 重要情報の放置を禁止する
自社診断シートNo.17 機器の盗難防止対策を講じる
自社診断シートNo.18 機器を勝手に操作させない
自社診断シートNo.19 見知らぬ人には声をかける
自社診断シートNo.20 オフィスの戸締まりに気を配る
Part 5 組織的対策事項
自社診断シートNo.21 従業員に守秘義務について理解してもらう
自社診断シートNo.22 従業員への定期的な教育・啓発を行う
自社診断シートNo.23 取引先にも秘密保持を要請する
自社診断シートNo.24 事故発生に備えて事前に準備する
自社診断シートNo.25 情報セキュリティ対策をルール化する
5分でできる自社診断シート
 

付録 3 わが社の情報セキュリティポリシー

情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。
ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。
手順1:情報資産管理台帳を作成して重要情報を確認
この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。
また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。
手順2:警戒すべき脅威について確認
<ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。
これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。
なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。
サブトピック 4
手順3:情報セキュリティ診断を実施
<ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。
1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない
手順4;必要なひな形を選んで編集すれば完成!
手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。
<ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。
なお必要に応じて、さらに項目を追加していただいてもかまいません。
ツール 3-1 情報資産管理台帳
ツール 3-2 脅威一覧
ツール 3-3 対策状況チェックシート
ツール 3-4 情報セキュリティポリシー サンプル

付録 4 情報セキュリティ関連ガイド・法令一覧

1. 1. 法令
1-1 個人情報保護法
1-2 マイナンバー法
1-3 不正競争防止法
1-4 不正アクセス禁止法
1-5 不正指令電磁的記録に関する罪
1-6 労働契約法
2. 2. ガイドライン
2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)
2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)
2-3 サイバーセキュリティ経営ガイドライン経済産業省
2-4 営業秘密管理指針(経済産業省
2-5 秘密情報の保護ハンドブック(経済産業省
2-6 組織における内部不正防止ガイドラン(IPA

付録 5 情報セキュリティ相談窓口

マルウェアに関する技術的な相談
標的型攻撃に関する相談
情報セキュリティに関する普及啓発の相談
Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼
不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害

l    ■中小企業の情報セキュリティ対策ガイドライン(パブコメ版)【IPA】

Ø  経営者の皆様へ

情報セキュリティ対策は、経営に大きな影響を与えます!

経営者が自ら動かなければ、法的・道義的責任を問われます!

組織として対策するために、担当者への指示が必要です!

Ø  対象組織と想定する読者 対象組織と想定する読者

経営者層・システム管理者層

Ø  全体解説

Step1 未対策

情報セキュリティを意識していない企業または個人事業主

Step2 何らかは実施済み

基準や規則はないが何らかの対策を実施している企業

Step3 自己診断達成

自社診断25項目の基本対策を全て実施できている企業

Step4 ポリシー策定済

情報セキュリティポリシーを策定・導入済の企業

Ø  第 1部 経営者編

情報セキュリティ対策を怠ることで企業が被る不利益

(1) 資金の喪失
(2) 顧客の喪失
(3) 業務 の喪失
(4) 従業員 への影響

経営者が負う責任

(1) 経営者などに問われる法的責任
・個人情報
・他社から預かった秘密情報
・自社の秘密情報
(2) 関係者や社会に対する責任
・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

経営者は何をすればよいか

経営者が認識する必要な「3原則」
原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める
原則2 委託先における情報セキュリティ対策まで考慮する
原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない
企業 として重要 として実施する「重要 7項目の取組」
取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める
取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する
取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる
取組4 情報セキュリティ対策に関する定期的な見直しを行う
取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする
取組6 情報セキュリティに関する最新動向を収集する
取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

Ø  第 2部 管理実践編

情報セキュリティポシーの策定手順 情報セキュリティポシーの策定手順

基本的な考え方
自社に適合したポリシーを策定
情報セキュリティリスクの大きなものから重点的に対策を実施
情報セキュリティ対策の策定まで流れ
対象とすべき情報資産の選定、重要度定義

(機密性、完全性、可用性レベル)

リスク値算定

(リスク値=(a)資産価値×(b)脅威の発生確率/頻度×(c) 脆弱性

情報セキュリティ対策決定

(1)リスクを低減する

(2)リスクを保有する

(3)リスクを回避する

(4)リスクを移転する

ポリシー策定

(1)組織的対策

(2)人的対策

(3)情報資産管理

(4)アクセス制御

(5)物理的対策

(6)IT機器利用

(7)IT基盤運用管理

(8)システムの開発及び 保守

(9)委託管理

(10)情報セキュリティインシデント対処及び事業継続管理

(11)マイナンバー対応

(12)秘密保持契約書

(13)社内体制図

 

委託時の情報セキュリティ対策
機密情報の種類、業務委託関係など諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ リティ対策を 契約条件に含めて締結します 。

情報セキュリティ対策の実行

通常時の実行における役割
経営者、管理者層、一般従業員
緊急時の対応
① 緊急時における 指揮命令と対応の優先順位決定
② インシデントへの対応(インシデントレスポンス)
③ インシデントの影響と被害分析
④ 情報収集と自社に必要な情報の選別
⑤ 社内関係者への連絡と周知
⑥ 外部関係機との連絡

チェックと改善

チェック方法
改善の方法

情報セキュリティ対策のさらなる改善に向けて

情報セキュリティマネジメントサイクルによる継続的改善
情報セキュリティ対策に関する標準規格
情報セキュリティ監査・点検の実施
改善の実施

Ø  おわりに

Ø  本書で用いてる語の説明

Ø  付録 1 情報セキュリティ 5か条

ソフトウェアはつねに更新しよう

機器に応じたマルウェア対策をしよう

パスワードなど、認証を強化しよう

業務に使うすべてのサービスの設定を見直そう

脅威や攻撃の手口を知ろう

Ø  付録 2 【旧】5分できる!情報セキュリティ自社診断

Part 1 最重要事項

自社診断シートNo.1 ソフトウェアは常に最新の状態に更新
自社診断シートNo.2 マルウェア対策が提供されていれば導入
自社診断シートNo.3 推測されにくいパスワードを使用する
自社診断シートNo.4 すべてのサービスの設定を見直す
自社診断シートNo.5 脅威や攻撃に関する最新情報を集める

Part 2 ネットの脅威への対処

自社診断シートNo.6 電子メールは疑ってみる
自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入
自社診断シートNo.8 インターネットバンキングの偽サイトに注意する
自社診断シートNo.9 機器のパスワードは初期設定で使わない
自社診断シートNo.10 信頼できるクラウドを使う

Part 3 情報資産の保護

自社診断シートNo.11 社外保存データへのアクセス権に注意する
自社診断シートNo.12 バックアップを励行する
自社診断シートNo.13 秘密情報は安全な方法で持ち出す
自社診断シートNo.14 秘密情報は復元できないように消去する
自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める

Part 4 職場のセキュリティ

自社診断シートNo.16 重要情報の放置を禁止する
自社診断シートNo.17 機器の盗難防止対策を講じる
自社診断シートNo.18 機器を勝手に操作させない
自社診断シートNo.19 見知らぬ人には声をかける
自社診断シートNo.20 オフィスの戸締まりに気を配る

Part 5 組織的対策事項

自社診断シートNo.21 従業員に守秘義務について理解してもらう
自社診断シートNo.22 従業員への定期的な教育・啓発を行う
自社診断シートNo.23 取引先にも秘密保持を要請する
自社診断シートNo.24 事故発生に備えて事前に準備する
自社診断シートNo.25 情報セキュリティ対策をルール化する

5分でできる自社診断シート

 

Ø  付録 3 わが社の情報セキュリティポリシー

情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

手順1:情報資産管理台帳を作成して重要情報を確認

この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。
また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

手順2:警戒すべき脅威について確認

<ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。
これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。
なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。
サブトピック 4

手順3:情報セキュリティ診断を実施

<ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。
1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

手順4;必要なひな形を選んで編集すれば完成!

手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。
<ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。
なお必要に応じて、さらに項目を追加していただいてもかまいません。

ツール 3-1 情報資産管理台帳

ツール 3-2 脅威一覧

ツール 3-3 対策状況チェックシート

ツール 3-4 情報セキュリティポリシー サンプル

Ø  付録 4 情報セキュリティ関連ガイド・法令一覧

1. 1. 法令

1-1 個人情報保護法
1-2 マイナンバー法
1-3 不正競争防止法
1-4 不正アクセス禁止法
1-5 不正指令電磁的記録に関する罪
1-6 労働契約法

2. 2. ガイドライン

2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)
2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)
2-3 サイバーセキュリティ経営ガイドライン経済産業省
2-4 営業秘密管理指針(経済産業省
2-5 秘密情報の保護ハンドブック(経済産業省
2-6 組織における内部不正防止ガイドラン(IPA

Ø  付録 5 情報セキュリティ相談窓口

マルウェアに関する技術的な相談

標的型攻撃に関する相談

情報セキュリティに関する普及啓発の相談

Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼

不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害

l    ■中小企業における組織的な情報セキュリティ対策ガイドラインチェック項目【2012年9月3日IPA】

Ø  1. 情報セキュリティに対する組織的な取り組み

1.1 情報セキュリティに関する経営者の意図が従業員に明確に示されている

経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つこと。
情報セキュリティポリシーを定期的に見直しすること。

1.2 情報セキュリティ対策に関わる責任者と担当者を明示する

責任者として情報セキュリティと経営を理解する立場の人を任命すること。
責任者は、各セキュリティ対策について(社内外を含め)、責任者、担当者それぞれの役割を具体化し、役割を徹底すること。

1.3 管理すべき重要な情報資産を区分する

管理すべき重要な情報資産を、他の情報資産と分類すること。
情報資産の管理者を定めること。
重要度に応じた情報資産の取り扱い指針を定めること。
重要な情報資産を利用できる人の範囲を定めること。

1.4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める

各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っていること。
重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っていること。
(例)
重要な情報を利用できる人に対してのみ、アクセス可能とすること。
重要な情報の利用履歴を残しておくこと。
重要な情報を確実に消去・廃棄すること。 等

1.5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る

契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含めること。
(例)
システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含めること。
関係者のみにデータの取り扱いを制限すること。
外部の組織との間で情報を授受する場合、情報受渡書を持っておこなうこと。
契約に基づく作業を遂行することによって新たに発生する情報(例:新たに作製された、金型・図面・モックアップ等々)の取扱を含めること。

1.6 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなければいけないかを明示する

従業者を採用する際に、守秘義務契約や誓約書を交わしていること。
従業者が順守すべき事項を明確にしていること。
違反を犯した従業員に対する懲戒手続きが整備されていること。
在職中及び退職後の機密保持義務を明確化するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取ること。

1.7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える

ポリシーや関連規程を従業員に理解させること。
実践するために必要な教育を定期的に行っていること。

Ø  2. 物理的セキュリティ

2.1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う

重要な情報を保管したり、扱ったりする区域を定めていること。
重要な情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること。
重要な情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること。

2.2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する

重要なコンピュータは許可された人だけが入ることができる安全な場所に設置すること。
電源や通信ケーブルなどは、他の人が容易に接触できないようにすること。
重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っていること。

2.3 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う

(重要な書類について)
不要になった場合、シュレッダーや焼却などして確実に処分すること。
重要な書類を保管するキャビネットには、施錠管理を行うこと。
重要な情報が存在する机上、書庫、会議室などは整理整頓を行うこと。
郵便物、FAX、印刷物などの放置は禁止。重要な書類の裏面を再利用しないこと。
(モバイルPC、記憶媒体について)
保存した情報が不要になった場合、消去ソフトを用いるなど、確実に処分していること。
バイルPC、記憶媒体については、盗難防止の対策を行うこと。
私有PCを会社に持ち込んだり、私有PCで業務を行ったりしないこと。

Ø  3. 情報システム及び通信ネットワークの運用管理

3.1 情報システムの運用に関して運用ルールを策定する

システム運用におけるセキュリティ要求事項を明確にしていること。
情報システムの運用手順書(マニュアル)を整備していること。
システムの運用状況を点検していること。
システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ(記録)を取得していること。
設備(具体例)の使用状況を記録していること。

3.2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う

ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。
ウイルス対策ソフトが持っている機能(ファイアウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること。
各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。
Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っていること。

3.3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること。
脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集すること。
情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること。
Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行うこと。
Webブラウザや電子メールソフトのセキュリティ設定を行うこと。

3.4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する

必要に応じて、SSL等を用いて通信データを暗号化すること。
外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPNなどを用いて暗号化した通信路を使用していること。
電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化すること。

3.5 モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、適切なパスワード設定や暗号化などの対策を実施する

バイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めていること。
外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じていること。
バイルPCやUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等)を行うこと。
保存されているデータを、重要度に応じてHDD暗号化、BIOSパスワード設定などの技術的対策を実施すること。
PCを持出す場合の持出者、持出・返却管理を実施すること。
盗難、紛失時に情報漏えいの脅威にさらされた情報が何かを正確に把握するため、持ち出し情報の一覧、内容管理を行うこと。

Ø  4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策

4.1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う

利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証
を確実に行うこと。
利用者IDの登録や削除に関する規程を整備すること。
パスワードの定期的な見直しを求めること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること。
離席する際は、パスワードで保護されたスクリ
ーンセーバーでパソコンを保護すること。
不要になった利用者IDを削除すること。

4.2 重要な情報に対するアクセス権限の設定を行う

重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定すること。
職務の変更や異動に際して、利用者のアクセス権限を見直すこと。

4.3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISPサービス 等)を行う

(外部から内部へのアクセス)
外部から内部のシステムにアクセスする際、利用者認証を実施すること。
保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにすること。
(内部から外部へのアクセス)
不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み(フィルタリングソフトの導入等)を行っていること。

4.4 無線LANのセキュリティ対策(WPA2の導入等)を行う

無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等)の設定を行うこと。
無線LANの使用を許可する端末(MAC認証)や利用者の認証を行うこと。

4.5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う

ソフトウェアの導入や変更に関する手順を整備していること。
システム開発において、レビューの実施と記録を残していること。
外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めていること。
開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できること。

Ø  5. 情報セキュリティ上の事故対応

5.1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する

情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておくこと。
障害対策の仕組みが組織として効果的に機能するよう、よく検討していること。
システムの切り離し(即応処理)、必要なサービスを提供できるような機能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておくこと。
日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておくこと。
障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておくこと。
(例)
大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施。
関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っていること。

5.2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握する

ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておくこと。
(例)
ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより、コンピュータの検査を実施し、ワクチンソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる。
情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある。

l    ■中小企業における組織的な情報セキュリティ対策ガイドライン事例集【2012年9月3日IPA】

Ø  Case 1. 従業員の情報持ち出し

様々な情報が分類・整理されていない

従業員が機密情報か否かを判別できない

重要な情報に誰でもアクセスできるようになっている(アクセス制御が出来ていない)

Ø  Case 2. 退職者の情報持ち出し、競合他社への就職

退職後の機密保持策や競業避止対策の未整備

営業秘密管理の不徹底

Ø  Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故

業務に必要なPCを支給していなかった

規定の存在が周知されていなかった

守られることが期待されない実効性の低い社内規定の存在

情報が第三者に流出した場合も想定した対策の不備

Ø  Case 4. ホームページへの不正アクセス

開発管理の不備

脆弱な運用体制

不十分な不正アクセス対策

事故対応体制の未整備

Ø  Case 5. 無許可の外部サービスの利用

外部サービスの無許可利用

外部サービスのサービス内容についての不十分な理解

Ø  Case 6. 委託した先からの情報漏えい

委託先管理の不十分さ

法令遵守に対する意識の低さ

Ø  Case 7. 在庫管理システム障害の発生

事業継続への意識の低さ

Ø  Case 8. 無線LANのパスワードのいい加減な管理

無線LANの危険性に対する認識の不足

パスワード管理の重要性に対する認識の不足

Ø  Case 9. IT管理者の不在

特定の個人や委託先のスキルに依存しすぎている

代替要員やマニュアル等の未整備

Ø  Case 10. 電子メール経由でのウイルス感染

ウイルス対策ソフト等の動作の確認を定期的にしていない

ウイルス対策等が十分に出来ないPCへの考慮が不十分

エンドユーザーがシステム構成等を変更することへの考慮が不十分

Ø  付録1:情報セキュリティ対策チェックリスト

n     企業向け(全ての企業・組織)

l    ■情報セキュリティ白書2016【2016年7月IPA

Ø  第Ⅰ部 情報セキュリティの概要と分析

Ø  序章 2015年度の情報セキュリティの概況~10の主な出来事~

標的型攻撃により日本年金機構から個人情報が流出

インターネットバンキングの不正送金、被害額は過去最悪を更新

オンライン詐欺・脅迫被害が拡大

広く普及しているソフトウェアの脆弱性が今年も問題に

DDoS攻撃の被害が拡大、IoT端末が狙われる

重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

法改正による政府機関のセキュリティ強化

企業のセキュリティ強化に経営層の参画が重要

セキュリティ人材育成への取り組み

自動車・IoTのセキュリティ脅威が高まる

Ø  第1章情報セキュリティインシデント脆弱性の現状と対策

1.1 2015年度に観測されたインシデント状況

1.1.1 世界における情報セキュリティインシデント状況
1.1.2 国内における情報セキュリティインシデント状況

1.2 情報セキュリティインシデント別の状況と事例

1.2.1 広く普及しているソフトウェアの脆弱性
1.2.2 活動妨害を狙った攻撃
1.2.3 インターネットバンキングを狙った攻撃
1.2.4 個人情報の大量取得を狙った攻撃
1.2.5 政府関連・重要インフラの機密情報を狙った攻撃
1.2.6 オンライン詐欺
1.2.7 ランサムウェアによる被害
1.2.8 内部者による情報の不正な持ち出し
1.2.9 不適切な運用による情報漏えい

1.3 攻撃・手口の動向と対策

1.3.1 広く普及しているソフトウェアの脆弱性を悪用する攻撃
1.3.2 巧妙化する標的型攻撃
1.3.3 巧妙化するばらまき型メール
1.3.4 DDoS攻撃
1.3.5 インターネットバンキングを狙った攻撃
1.3.6 オンライン詐欺
1.3.7 ランサムウェア

1.4 情報システムの脆弱性の動向

1.4.1 脆弱性対策情報の登録状況
1.4.2 脆弱性の状況
1.4.3 脆弱性評価の取り組み

1.5 情報セキュリティ対策の状況

1.5.1 企業における対策状況
1.5.2 政府における対策状況
1.5.3 地方公共団体における対策状況
1.5.4 教育機関における対策状況
1.5.5 一般利用者における対策状況

Ø  第2章情報セキュリティを支える基盤の動向

2.1 日本の情報セキュリティ政策の状況

2.1.1 政府全体の政策動向
2.1.2 経済産業省の政策
2.1.3 総務省の政策
2.1.4 警察におけるサイバー犯罪対策
2.1.5 電子政府システムの安全性確保への取り組み

2.2 情報セキュリティ関連法の整備状況

2.2.1 行政機関個人情報保護法等の改正
2.2.2 サイバーセキュリティ基本法の改正
2.2.3 情報処理の促進に関する法律の改正

2.3 国別・地域別の情報セキュリティ政策の状況

2.3.1 国際社会と連携した取り組み
2.3.2 米国のセキュリティ政策
2.3.3 欧州のセキュリティ政策
2.3.4 アジア各国におけるセキュリティへの取り組み
2.3.5 アフリカ地域におけるセキュリティへの取り組み

2.4 情報セキュリティ人材の現状と育成

2.4.1 情報セキュリティ人材の育成に関する政策と政府の取り組み事例
2.4.2 情報セキュリティ人材育成のための資格制度
2.4.3 情報セキュリティ人材育成のための活動

2.5 情報セキュリティマネジメント

2.5.1 情報セキュリティ対策の実施状況
2.5.2 情報セキュリティマネジメントシステムISMS)と関連規格

Ø  第3章個別テーマ

3.1 SSL/TLSの安全な利用に向けて

3.1.1 安全性と相互接続性を考慮した三つの設定基準
3.1.2 要求設定の概要
3.1.3 チェックリストと具体的な設定方法の紹介

3.2 自動車の情報セキュリティ

3.2.1 2015年度の攻撃研究事例
3.2.2 各国の取り組み
3.2.3 今後の見通し

3.3 制御システムの情報セキュリティ

3.3.1 制御システムの概要
3.3.2 制御システムのインシデント事例
3.3.3 海外における制御システムセキュリティの動向
3.3.4 国内における制御システムセキュリティの動向

3.4 IoTの情報セキュリティ

3.4.1 今、そこにあるIoTのセキュリティ脅威
3.4.2 IoTセキュリティへの取り組み

3.5 スマートデバイスの情報セキュリティ

3.5.1 スマートデバイスの普及状況
3.5.2 スマートデバイスを取り巻く脅威
3.5.3 今後の展望

3.6 情報システムにおけるログ管理の現状と対策

3.6.1 ログ管理の必要性
3.6.2 企業におけるログ管理の現状と課題
3.6.3 ログ管理ソフトウェアの特徴とログ管理要件
3.6.4 ログ管理の導入プロセス
3.6.5 取り組むべきログ管理のステップ

Ø  第II部 情報セキュリティ10大脅威2016 ~個人と組織で異なる脅威、立場ごとに適切な対応を~

情報セキュリティ10大脅威2016

Ø  付録 資料・ツール

資料A 2015年のコンピュータウイルス届出状況

資料B 2015年のコンピュータ不正アクセス届出状況

資料C ソフトウェア等の脆弱性関連情報に関する届出状況

ツール1 企業や組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)

本ツールの設間は、ISMS認証基準であるJIS Q 27001:2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27間と、自社の状況を回答する「企業プロフィールに関する評価項目」19間の計46間で構成しています

ツール2 脆弱性体験学習ツール「AppGoat」―突いてみますか?脆弱性!―

職場や自宅のパソコンにインストールし、ナビゲーシ∃ンに従つて脆弱性の検証手法から原理、影響、対策までを自習することができる

ツール3 脆弱性対策情報データベース「JVN iPedia」

入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能です

ツール4 MyJVN脆弱性対策情報収集ツール

JVN IPediaに登録された情報の中から、利用者自身に関係する情報のみを効率的に収集できるよう、IPAが開発したツール

ツール5 MyJVNバージョンチェッカ

ツール6 MyJVNセキュリテイ設定チェッカ

ツール7 サイバーセキュリティ注意喚起サービス「icat for JSON」

ツール8 ウェブサイトの攻撃兆候検出ツール「iLogscanner」

ツール9 知つていますか?脆弱性-アニメで見るウェブサイトの脅威と仕組み-

ツール10 5分でできる!情報セキュリティポイント学習-事例で学ぶ中小企業のためのセキュリティ対策-

ツール11 情報セキュリテイ対策支援サイト「iSupport」

ツール12 セキュリテイ要件確認支援ツール

ツール13 情報セキュリテイ・ポータルサイト「ここからセキュリテイ!」

ツール14 JPEGテスト支援ツール「iFuzzMaker」

ツール15 情報漏えい対策ツール

l    ■企業(組織)における最低限の情報セキュリティ対策のしおり【2015年8月21日IPA】

Ø  情報セキュリティ対策とは

Ø  5分でできる!中小企業のための情報セキュリティ自社診断

Ø  情報(資産)の扱いは

№1 保管について

重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、重要情報がみだりに扱われないようにしていますか?

№2 持ち出しについて

重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗難・紛失対策をしていますか?
サブトピック 2

№3 廃棄について(紙媒体等)

重要な書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどのように、重要情報が読めなくなるような処分をしていますか?

№4 廃棄について(電子機器・電子媒体等)

重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用したり、業者に消去を依頼するなどのように、電子データが読めなくなるような処理をしていますか?

Ø  事務所では

№5 事務所について

事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?

№6 事務所について

退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのように、盗難防止対策をしていますか?

№7 事務所について

最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

Ø  パソコンは

№8 パソコンについて

Windows Update を行うなどのように、常にソフトウェアを安全な状態にしていますか?

№9 パソコンについて

ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する危険性が高いソフトウェアの使用を禁止していますか?

№10 パソコンについて

社内外での個人パソコンの業務使用を許可制にするなどのように、業務で個人パソコンを使用することの是非を明確にしていますか?

№11 パソコンについて

退社時にパソコンの電源を落とすなどのように、他人に使われないようにしていますか?

Ø  パスワードは

№12 パスワードについて

パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?

№13 パスワードについて

パスワードを他人が見えるような場所に貼らないなどのように、他人にわからないように管理していますか?

№14 パスワードについて

ログイン用のパスワードを定期的に変更するなどのように、他人に見破られにくくしていますか?

Ø  ウイルス対策

№15 ウイルス対策について

パソコンにはウイルス対策ソフトを入れるなどのように、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっていますか?

№16 ウイルス対策について

ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように、常に最新のウイルス定義ファイルになるようにしていますか?

Ø  メールは

№17 メールについて

電子メールを送る前に、目視にて送信先アドレスの確認をするなどのように、宛先の送信ミスを防ぐ仕組みを徹底しいますか?

№18 メールについて

お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用するなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか?

№19 メールについて

重要情報をメールで送る場合は、重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?

Ø  バックアップは

№20 バックアップについて

重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?

Ø  従業員・取引先は

№21 従業者について

採用の際に守秘義務があることを知らせるなどのように、従業者に機密を守らせていますか?

№22 従業者について

情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?

№23 取引先について

契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に機密を守ることを求めていますか?

Ø  事故対応・セキュリティルールは

№24 事故対応について

重要情報の流出や紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?

№25 ルールについて

情報セキュリティ対策(№1~№24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確していますか?

Ø  いかがでしたか

情報セキュリティ(対策)実施の成功ポイント(PDCAサイクル

参考情報

5分でできる!!情報セキュリティポイント学習

l    ■スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書【2015年 5月21日NISC】

Ø  1.総則

1.1 本書の目的・位置付け

1.2 本書が対象とする者

1.3 本書の使い方

1.4 用語の定義

Ø  2.スマートフォン等の特性と業務利用におけるリスク

2.1 スマートフォン等の特性

2.2 スマートフォン等の特性及び業務利用における脅威

表2-1 スマートフォン等の業務利用における脅威と対策の例

Ø  3.スマートフォン等の業務利用の形態

3.1 端末の配備

3.2 利用する場所

3.3 私物端末の利用

3.4 情報システムの利用形態

Ø  4.目的及び適用範囲の明確化

4.1 目的の明確化

4.2 対象とする業務

4.3 利用者

Ø  5.業務・サービスの利用要件の策定

5.1 端末やOSの種類

5.2 端末機能・サービスの要件

表5-1 端末機能・サービスの利用要件及び利用制限の例

5.3 業務用アプリの導入

5.4 通信ネットワークの要件

5.5 情報セキュリティ対策要件

(1) ソフトウェアの脆弱性対策
(2) 不正プログラム対策
(3) のぞき見防止対策
(4) 盗難・紛失対策
(5) ログ管理機能
(6) 端末管理ツール(MDM:Mobile Device Management)の導入
表5-2 MDMの主な機能
端末ロックの遠隔制御

端末個体ごとに、遠隔制御でロック、アンロックを実施

リモートデータワイプ

端末内全データ削除、個別データ/特定フォルダ削除、業務領域のみ削除 等

暗号化

外部メモリ出力時のデータ暗号化/復号、個別データの暗号化/復号

端末機能制御

カメラ、スクリーンショット、近距離無線通信、外部メモリ出力等の機能制限

端末状態監視

端末状態の取得(OS、アプリ、改造の有無、起動中アプリ 等)

死活監視、ログ収集、位置情報取得、アラートメールの送信、管理者向け統計処理

ポリシー設定及び実行

パスワードポリシー設定、MDMポリシー(リモートデータワイプの条件、機能制限 等)設定

メーラー無線LAN接続、証明書等の端末構成の設定変更 等

資産管理

端末所有者の属性管理や端末個体情報(機種、電話番号 等)の管理 等

アプリ配信及び削除

業務用アプリの配信と自動インストール、遠隔削除

アプリ利用制限

非公認アプリのインストール制限や強制終了、アプリのアクセス許可制御

外部媒体経由のアプリインストール制御 等

MDMサーバ接続

SSLVPNによる通信路暗号化、GCM等によるエージェント・MDMサーバ間通信路の維持 等

フィルタリング機能

ウェブフィルタ、メールフィルタ等の設定情報管理やアクセスログの収集

不正プログラム対策ソフトウェアの管理
不正プログラム対策ソフトウェアのバージョンやパターンファイルの管理、最新版への更新、スキャンログの収集、スキャン実行の要求 等
バックアップ

端末データのバックアップやリスア

5.6 私物端末の業務利用に際して留意すべき事項

表5-3 私物端末の業務利用する際に留意すべき事項と要件策定例
業務情報と私的な情報の混在の回避

 端末内の私的な情報と業務情報を混在させないよう、これらを明確に分けるための仕組みを導入する

 業務用アプリ導入又は端末に業務情報を保存させない仕組みを導入する

家族や友人への貸与の禁止

 私的な利用においても家族や友人が利用することを禁止することを合意した者のみに私物端末の利用を認める

外出先等での端末の盗難・紛失

 業務利用する際の利用場所を限定する

 私的利用時を含めて端末ロックやデータワイプ機能の設定を必須し、対策の実施について合意した者のみに私物端末の利用を認める

利用するネットワークの制限

 私的な利用時であっても安全性の確認できないサイトや通信ネットワークへの接続を禁止するなどの利用手順を策定し、合意した者のみに私物端末の利用を認める

ソフトウェア更新や不正プログラム対策の実施

 ソフトウェア更新や不正プログラム対策ソフトウェアの実行を義務付け、合意したのみに私物端末の利用を認める(OSの更新により業務用アプリが正常動作しなくなる可能性について留意が必要)

業務用アプリのインストール

 業務用アプリのインストール可能な端末を所有していて、かつインストールに合意した者のみに私物端末の利用を認める

点検内容の明確化

 業務用アプリ、MDMやMAMにより点検を自動化する

 あらかじめ点検内容を明確化し、合意した者のみに私物端末の利用を認める

Ø  6.実施手順の整備

6.1 責任者の設置と運用管理体制の整備

6.2 利用手順の整備

表6-1 利用者が遵守すべき端末の利用手順に関する注意事項の例
利用の原則

行政事務の遂行以外の目的で端末を利用しないこと

不要不急な業務においては極力利用しないこと

不要な情報は端末に残留させず、速やかに消去すること

他の手段が無い場合に限り利用すること

利用手順の遵守

利用手順を遵守すること

定められた手順以外の方法で業務を行わないこと

手順外の処理を行う必要が生じた場合は、事前に責任者の許可又は承認を得ること

利用を終了した場合は、速やかに手続すること

利用中にインシデント等が発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること

端末管理の徹底

盗難・紛失が起こらないように、日常的に端末の管理を厳重に行うこと

家族や知人、第三者が端末操作や画面をのぞき見する行為に注意すること

禁止事項

管理責任者の許可なく、端末の設定を変更しないこと

安全性が確認できないアプリケーションや利用が禁止されているソフトウェアをインストールしないこと

許可された通信回線以外に接続しないこと

PCに接続しないこと(充電等の場合であってもNG)

端末は家族や知人、第三者に端末を貸与しないこと

6.3 運用管理手順の整備

l    ■情報セキュリティ読本 四訂版- IT時代の危機管理入門 -【2014年11月4日IPA】

Ø  第4章 組織の一員としての情報セキュリティ対策

Ø  1.      1. 組織のセキュリティ対策

計画(Plan) - 体制の整備とポリシーの策定

実行(Do) - 導入と運用

点検(Check) - 監視と評価

処置(Act) - 見直しと改善

1.1.     1) 計画(Plan)- 体制の整備とポリシーの策定

組織内の体制を確立する
セキュリティポリシーを策定する
対策事項の立案と手順書の整備
1.1.1.      組織内の体制を確立する
情報セキュリティを推進するための体制を組織内に作ることが出発点
実施担当者と、その役割、権限、責任を定める
望ましい体制

経営陣が中心となって取り組む

全社横断的な体制

トップダウンの管理体制

1.1.2.      セキュリティポリシーの策定
セキュリティポリシーとは

組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの

セキュリティポリシーの階層

基本方針

対策基準

対策実施手順

策定前の準備

情報資産の「何を守るのか」を決定する

「どのようなリスクがあるのか」を分析する

責任者と担当者を明確にする

組織体の長=情報セキュリティの最高責任者

1.1.3.      対策事項の立案と手順書の整備
対策基準とは

情報資産を脅威から守る方法を具体的に定めたもの

実施手順とは

対策基準を実際の行動に移す際の手順書(マニュアルのようなもの)

最初に設定する内容とその手順

定期的に実施する対策の手順

インシデント発生時の対策と手順

1.2.     2) 実行(Do)- 導入と運用

導入フェーズ
運用フェーズ
1.2.1.      導入フェーズ
構築と設定

ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入

OS、アプリケーションのセキュリティ設定

設定における注意点

デフォルト設定は使用しない

不要なサービスの停止

脆弱性の解消

最新の修正プログラムを適用

レベルに応じたアクセス制御

組織のメンバーごとにアクセスレベルを設定

アクセスできる範囲と操作権限を制限する

1.2.2.      運用フェーズ
セキュリティポリシーの周知徹底とセキュリティ教育

役割と責任、セキュリティ対策上のルールを周知

被害に遭わないために脅威と対策を教える

脆弱性対策

定期的な情報収集とパッチの適用

異動/退職社員のフォロー

退職者のアカウントは確実に削除(セキュリティホールになりうる)

1.3.     3) 点検(Check) - 監視と評価 -

監視と評価
セキュリティ事故への対処
1.3.1.      監視と評価
ネットワークを監視し、異常や不正アクセスを検出する

通信、不正アクセスの監視

異常検知、不正アクセス検知、脆弱性検査

ポリシーが守られているか自己または第三者による評価を行う

自己点検(チェックリストなどにより実施)

情報セキュリティ対策ベンチマークでの自己診断

情報セキュリティ監査

1.3.2.      セキュリティ事故への対処
セキュリティポリシーに則ったインシデント対応
特に注意すべき点

被害状況を調査し、二次災害を防ぐ

原因を特定し、再発防止策を徹底する

実施した対応の記録、各種届出(必要な場合)

対応窓口を設置し、正確な情報を提供する

 

1.4.     4) 処置(Act) - 見直しと改善

セキュリティポリシーを見直し、改善点を検討する
セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要

Ø  2.      2. 従業員としての心得

規則を知り、遵守する

情報セキュリティ上の脅威と対策を知る

「自分だけは…」、「これぐらいなら…」は通用しない

必ず上司に報告・相談する

特に、情報漏えいに気を付ける

Ø  3.      3. 気を付けたい情報漏えい

情報漏えいの経路と原因

情報漏えいを防止するための管理対策のポイント

企業や組織の一員としての情報セキュリティ心得

3.1.     情報漏えいの経路と原因

情報漏えいの経路
PC本体、スマートフォンタブレット端末、
外部記憶媒体USBメモリなど)、
紙媒体、P2Pファイル交換ソフト
情報漏えいの原因
管理ミス、誤操作、紛失・置忘れが約8割
人為的なミスを防ぐことが重要

3.2.     情報漏えいを防止するための管理対策のポイント

P2Pファイル交換ソフトは使用しない
私物パソコン等を業務で使用しない(持ち込ませない)
個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない)
社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する

3.3.     企業や組織の一員としての情報セキュリティ心得

企業や組織の情報や機器を、許可なく持ち出さない
私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない
企業や組織の情報や機器を未対策のまま放置しない
企業や組織の情報や機器を未対策のまま廃棄しない
個人に割り当てられた権限を他の人に貸与または譲渡しない
業務上知り得た情報を公言しない
情報漏えいを起こした場合は速やかに報告する

Ø  4.      4. 終わりのないプロセス

一度、導入・設定すればそれで終わり、というものではない。

運用、見直し、フィードバックを繰り返すプロセスが必要。

技術面だけでなく、管理面も強化する

技術的対策と管理的対策はクルマの両輪の関係

Ø  5.      情報セキュリティにおけるさまざまな対策

参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」

http://www.ipa.go.jp/security/manager/protect/management.html 

参考)読者層別:情報セキュリティ対策実践情報:

http://www.ipa.go.jp/security/awareness/awareness.html

l    ■情報セキュリティ 10 大脅威【IPA

Ø  情報セキュリティ 10 大脅威(組織)【2016年4月IPA】

標的型攻撃による情報流出

ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
チェックリスト
□送信者の名前やアドレスが見慣れないものである。
□組織内の話題なのに、外部のメールアドレスから届いている。
□フリーのメールアドレスから届いている。
□添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
□「緊急」などと急がせて、メールの内容を吟味させまいとしている。
□送信者の署名が無いか曖昧である。
□送信者の名前や組織名として、架空のものを名乗っている。
□受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
□上記以外で不審な箇所がある。
経営者層
•問題に迅速に対応できる体制の構築
•対策予算の確保と継続的な対策実施
システム管理者
•情報の取扱い・保管状態の確認
•システム設計対策・アクセス制限
•ネットワーク監視・分離
セキュリティ担当部署
•セキュリティ教育の実施
•情報の保管方法ルール策定
サイバー攻撃に関する情報共有
従業員・職員
•セキュリティ教育の受講
•OS・ソフトウェアの更新
ウイルス対策ソフトの導入・更新

内部不正による情報漏えいとそれに伴う業務停止

組織
•情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
•資産の把握・体制の整備
•情報の取扱教育の実施
•重要情報の管理・保護
•アカウント、権限の管理・定期監査
•システム操作の記録・監視
サービス利用者
•情報の管理が適切かを確認

ウェブサービスからの個人情報の搾取

ウェブサービス運営者
•セキュアなウェブサービスの構築
(登録する個人情報も必要最低限に)
•OS・ソフトウェアの更新
•WAF・IPSの導入
ウェブサービス利用者
•不要な情報は極力サイトに登録しない

サービス妨害攻撃によるサービスの停止

個人・組織
•OS・ソフトウェアの更新

踏み台にならないため、利用している機器も含めて管理

組織
DDoS攻撃の影響を緩和するISP等によるサービスの利用
通信制御(DDoS攻撃元をブロック等)
•システムの冗長化等の軽減策
•サイト停止時の代替サーバーの用意

ウェブサイトの改ざん

ウェブサイト運営者
•OS・サーバーソフトウェアの更新
•サーバーソフトウェアの設定の見直し
•ウェブアプリケーションの脆弱性対策
•アカウント・パスワードの適切な管理
•信頼できないサーバーソフトウェアを利用しない
•改ざん検知ソフトウェアの利用
ウェブサイト利用者
•OS・ソフトウェアの更新
ウイルス対策ソフトの導入

脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

システム管理者
•担当するシステムの把握・管理の徹底
•継続的な脆弱性対策情報の収集
脆弱性発見時の対応手順の作成
•ソフトウェアの更新または緩和策
•ネットワークの適切なアクセス制限
ソフトウェア利用者
•利用しているソフトウェアの把握
•定期的な脆弱性情報の収集
•ソフトウェアの更新または緩和策
ソフトウェア開発ベンダー
•製品に組み込まれているソフトウェアの把握・管理の徹底
•継続的な脆弱性対策情報の収集
脆弱性発見時の対応手順の作成
•情報を迅速に展開できる仕組みの整備

ランサムウェアを使った詐欺・恐喝

悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
PC利用者
•定期的なバックアップ(PCだけではなく、共有サーバーも)
また、復元できるかの事前の確認
•OS・ソフトウェアの更新
ウイルス対策ソフトの導入・更新
•メールの添付ファイル・リンクのURLを不用意に開かない
スマートフォン利用者
ウイルス対策ソフトの導入・更新

インターネットバンキングやクレジットカード情報の不正利用

•OS・ソフトウェアの更新
ウイルス対策ソフトの導入
•事例や手口を知る
•二要素認証等の強い認証方式の利用

ウェブサービスへの不正ログイン

攻撃者が不正に入手したIDやパスワードでログインを試みる

過失による情報漏えい

ルールの明文化と遵守
フールプルーフ
ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計

l    ■企業・組織の対策|国民のための情報セキュリティサイト【総務省】

Ø  組織幹部のための情報セキュリティ対策

【技術的対策】

情報セキュリティ対策の必要性

情報セキュリティの概念

必要な情報セキュリティ対策

情報セキュリティマネジメントとは

情報セキュリティマネジメントの実施サイクル
情報セキュリティポリシーの概要と目的
情報セキュリティポリシーの内容
情報セキュリティポリシーの策定
情報セキュリティ教育の実施
情報セキュリティポリシーの評価と見直し
事故やトラブル発生時の対応

個人情報取扱事業者の責務

Ø  社員・職員全般の情報セキュリティ対策

安全なパスワード管理

ソフトウェアの情報セキュリティ対策

ウイルス対策

電子メールの誤送信

標的型攻撃への対策

悪意のあるホームページ

バックアップ

安全な無線LANの利用

廃棄するパソコンやメディアからの情報漏洩(ろうえい)

外出先で業務用端末を利用する場合の対策

持ち運び可能なメディアや機器を利用する上での危険性と対策

ソーシャルエンジニアリングの対策

クラウドサービス利用時の注意点

SNS利用上の注意点

Ø  情報管理担当者の情報セキュリティ対策

【技術的対策】

ソフトウェアの更新
ウイルス対策
ネットワークの防御
不正アクセスによる被害と対策
外出先で業務用端末を利用する場合の対策
SQLインジェクションへの対策
標的型攻撃への対策
安全な無線LAN利用の管理
ユーザ権限とユーザ認証の管理
バックアップの推奨
セキュリティ診断
ログの適切な取得と保管
サポート期間が終了するソフトウェアに注意

【情報セキュリティポリシー

情報セキュリティポリシーの導入と運用
ソーシャルエンジニアリングの対策
クラウドサービスを利用する際の情報セキュリティ対策
SNSを利用する際の情報セキュリティ対策
社員の不正による被害と対策
廃棄するパソコンやメディアからの情報漏洩
持ち運び可能な記憶媒体や機器を利用する上での危険性と対策

【物理セキュリティ】

サーバの設置と管理
機器障害への対策

Ø  事故・被害の事例

事故・被害の事例

事例1:資料請求の情報が漏洩した
事例2:ホームページが書き換えられた
事例3:顧客のメールアドレスが漏洩
事例4:他人のIDで不正にオンライン株取引
事例5:中古パソコンによるデータの漏洩
事例6:情報セキュリティ対策は万全だったはずなのに・・・
事例7:ファイル共有ソフトが原因で・・・
事例8:SQLインジェクションでサーバの情報が・・・
事例9:標的型攻撃で、企業の重要情報が・・・
事例10:自分の名前で勝手に書き込みが・・・
事例11:公式アカウントが乗っ取られた
事例12:有名サイトからダウンロードしたはずなのに・・・
事例13:クラウドサービスに預けていた重要データが消えた

Ø  脆弱性の注意喚起

Internet Explorer脆弱性について

Apache Struts脆弱性について

OpenSSLの脆弱性について

l    ■@police-被害事例と対処法【警察庁】

Ø  PCユーザ 被害事例と対処法

ID・パスワードを盗まれて「なりすまし」に遭った

身に覚えのない料金請求をされた

パソコンのハードディスクの中身がインターネット上に公開された

携帯電話の情報が勝手に登録された

Keyloggerキーロガー)によって個人情報を盗まれた

フィッシング詐欺に遭った

会社の顧客情報が流出した

身に覚えの無い国際電話利用料金の請求が来た

有料サイトの利用料金を請求するメールが来た

インターネットを利用中に、ブラウザクラッシャーに遭った

ネットストーカーに困っている

悪徳商法やネット詐欺にあった

掲示板に個人情報を書き込まれた

パソコンがウイルスに感染してしまった

迷惑メールが来たがどうすれば良いか

Ø  システム/ネットワーク管理者 被害事例と対処法

自組織内の機密情報が、ファイル共有ソフトにより流出した

組織内で管理する個人情報がスタッフによって外部へ流出した

Webサイトの掲示板に、悪意のある書き込みを大量にされた

自組織のドメイン名に詐称された迷惑メールをばらまかれた

自分が管理する掲示板上の書き込みに対して削除を求められた

他組織のホストへウイルスを感染させてしまった

サーバがウイルスに感染してしまった

サーバがクラックされ、ページが書き換えられた

スパムメールの踏み台にされた

DoS攻撃を受けて、サーバが利用不能になった

サーバに侵入され個人情報が流出した

l    ■情報セキュリティポリシーサンプル改版(1.0版)【2016年3月29日JNSA】

l    ■すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~【トレンドマイクロ

Ø  1 はじめに インシデント対応の実情

Ø  2 「インシデント発生」を把握し対応開始を判断する

2.1 インシデントの発生に気づくために

2.2 インシデント対応を判断するために

2.3 まとめ インシデントの把握と対応判断のポイント

Ø  3 「不審な通信」、その時に行うべきインシデント対応

3.1 インシデント対応の考え方

3.2 「影響範囲の確認」のために必要な対応

3.3 「脅威の封じ込め/根絶」のために必要な対応

3.4 被疑端末への対応

3.5 まとめ 具体的なインシデント対応のポイント

Ø  4 「適切な対応」を迅速に行うために

4.1 インシデント発生を把握し対応開始を判断するための事前準備

4.2 インシデント対応を適切かつ迅速に行うための事前準備

Ø  5 まとめ

l    ■【てびき】情報管理も企業力~秘密情報の保護と活用~【2016年12月5日METI】

Ø  秘密情報の保護ハンドブックの手引き

Ø  1.こんなこと、あるある!? 秘密情報にまつわるトラブル

大口の取引先から図面を見せてほしいと言われて提示したら・・・

プロジェクトの開発リーダーだった従業員が退職を申し出てきたが、転職先は競合他社で・・・

自社開発の技術にもかかわらず、他社から「盗まれた!」と言われた。

コラム:トラブルに巻き込まれないよう、社内の秘密情報をうまく把握し、活用させて企業力を高めていきましょう!

Ø  2.対策は身近なところから!企業を守るための漏えい対策3ステップ

保有する情報を洗い出します

秘密とする情報を決めましょう

情報に合わせた対策の選択と決定をしましょう

物理的・技術的な防御
1.秘密情報に近寄りにくくするための対策

接近の制御

2.秘密情報の持ち出しを困難に「するための対策

持出し困難化

心理的な抑止
3.漏えいが見つかりやすい環境づくりのための対策

視認性の確保

4.秘密情報だと思わなかった!という事態を招かないための対策

秘密情報に対する認識向上

働きやすい環境の整備
5.社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策

信頼関係の維持・向上等

Ø  3.実際にあった!?事例と対策とそのポイント

従業員向けの対策

従業員・退職者向けの対策

取引先向けの対策

外部者向けの対策

自社技術で商品をつくったのに、他社の技術を使ったと言われた

コラム:備えあれば憂いなし!自社の立場を守るためにできること

コラム:他社の秘密情報を意図せず侵害しないために

転職者を受け入れて新製品を開発したら、秘密情報の侵害だと訴えられた

Ø  4.万が一秘密情報が漏えいしてしまったら・・・

情報漏えいには兆候があります!

漏えいの疑いがあったらできるだけ早く適切な対応を取りましょう

被害回復のためにも日頃からの備えが大切です

情報漏えいしたら早めの相談を!

独立行政法人工業所有権情報・研修館(INPIT)
営業秘密・知財戦略ポータルサイト
相談窓口:03-3581-1101 ex.3844
全国47都道府県の知財総合支援窓口

ナビダイヤル:0570-082100

情報処理推進機構(IPA)
全国都道府県警察 営業秘密侵害事犯窓口
警視庁生活経済課

n     企業向け(零細企業を除く)

l    ■サイバーセキュリティ経営ガイドライン Ver 1.1【2016年12月8日METI】

Ø  2.サイバーセキュリティ経営の3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。
このため、サイバーセキュリティリスクを多様な経営リスクの中での一つとし適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。

(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

 サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。

(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

 事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。
 万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。
 事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。

Ø  3.サイバーセキュリティ経営の重要10項目

経営者は、CISO等に対して、以下の10項目を指示し、着実に実施させることが必要である。

3.1.リーダーシップの表明と体制の構築

(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?
対策を怠った場合のシナリオ

・経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。

・トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。

対策例

・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定する。

(2)サイバーセキュリティリスク管理体制の構築
サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか? 各関係者の責任は明確になっていますか? また、防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?
対策を怠った場合のシナリオ

・サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。

・CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。

・組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である

・万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。

対策例

・組織内に経営リスクに関する委員会を設置し、サイバーセキュリティリスクに責任を持った者が参加する体制とする。

・組織の対応方針(セキュリティポリシー)に基づき、CISO等の任命及び、組織内サイバーセキュリティリスク管理体制を構築する。

・CISO等には、組織の事業戦略を把握するため取締役会への参加及び緊急時のシステム停止等の経営者レベルの権限を付与することを検討する。

・取締役、監査役はそのサイバーセキュリティリスク管理体制が構築、運用されているかを監査する。

3.2 サイバーセキュリティリスク管理の枠組み決定

(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか? その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか? また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?
対策を怠った場合のシナリオ

・ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。

・企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。

・受容できないリスクが残る場合、想定外の損失を被る恐れがある。

対策例

・経営戦略に基づくさまざまな事業リスクの一つとして、サイバー攻撃に伴うリスク(例えば、戦略上重要な営業秘密の流出による損害)を識別する。

・識別したリスクに対し、実現するセキュリティレベルを踏まえた対策の検討を指示する。その際、ITへの依存度を把握した上で、セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析する。その結果、リスク低減、回避、移転(サイバー保険の活用や守るべき資産について専門企業への委託等)が可能なものについてはリスク対応策を実施する。例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、ITシステム又はITサービス(クラウドサービスを含む)には、暗号化や情報資産別のネットワークの分離等の多層防御の実施を検討する。

(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか? その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか? また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?
対策を怠った場合のシナリオ

PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のサイバーセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。

・適切な開示が行われなかった場合、社会的責任の観点から、事業のリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、サイバーセキュリティリスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。

対策例

・サイバーセキュリティリスクに継続して対応可能な体制(プロセス)を整備する(PDCAの実施体制の整備)。なお、その他の内部統制に係るPDCAフレームワークが存在する場合には、当該フレームワークとの連動も含め、効率的に実施することも可能である。

・重点項目(2)で設置した経営リスクに関する委員会において、PDCAの実施状況について報告すべき時期や内容を定め、経営者への報告の機会を設けるとともに、新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認する。

・必要に応じて監査を受け、現状のサイバーセキュリティ対策の問題点を検出し、改善を行う。

・新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を指示する。

(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?
対策を怠った場合のシナリオ

・系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。

対策例

・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意する。

・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している。

3.3.サイバー攻撃を防ぐための事前対策

(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか? また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?
対策を怠った場合のシナリオ

・適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。

・適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

対策例

・必要なサイバーセキュリティの事前対策を明確にし、それに要する費用を明らかにするよう、指示を行う。

・セキュリティ担当者以外も含めた従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施する。

・経営会議などで対策の内容に見合った適切な費用かどうかを評価した上で、予算として承認を得る。

・サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。

・組織内人事部門に対して、組織内のIT人材育成の戦略の中で、セキュリティ人材育成、キャリアパス構築を指示し、内容を確認する。

サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?

また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?

(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?
対策を怠った場合のシナリオ

・ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。

・委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。

対策例

・自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。

・委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。

・個人情報や技術情報などの重要な資産を委託先に預ける場合は、委託先の経営状況などを踏まえて、資産の安全性の確保が可能であるかどうかを定期的に確認する。

(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?
対策を怠った場合のシナリオ

・情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない

対策例

・情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要。情報共有を通じたサイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的な情報提供が望ましい。

IPA一般社団法人JPCERTコーディネーションセンター等による注意喚起情報を、自社のサイバーセキュリティ対策に活かす。

・CSIRT間における情報共有や、日本シーサート協議会等のコミュニティ活動への参加による情報収集等を通じて、自社のサイバーセキュリティ対策に活かす。

IPAに対し、告示(コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準)に基づいてマルウェア情報や不正アクセス情報の届出をする。

一般社団法人JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する。

・重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する。

3.4.サイバー攻撃を受けた場合に備えた準備

(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?また、定期的かつ実践的な演習を実施させていますか?
対策を怠った場合のシナリオ

・緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。

・緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急に適切に行動することが出来ない。

対策例

・企業の組織に合わせた緊急時における対応体制を構築する。

サイバー攻撃による被害を受けた場合、被害原因の特定および解析を速やかに実施するため、関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示する。また、対応担当者にはサイバー攻撃に対応する演習を実施する。なお、インシデント収束後の再発防止策の策定も含めて訓練を行うことが望ましい。

・緊急連絡網を整備する。その際には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。

・初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各部署(総務、企画、営業等)が速やかに協力できるよう予め取り決めをしておく。

・訓練においては技術的な対応のみならず、プレスリリースの発出や、所管官庁等への報告手順も含めて想定する。

(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?
対策を怠った場合のシナリオ

・速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。

・法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。

・組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。

対策例

サイバー攻撃の被害が発覚後、速やかに通知や注意喚起が行えるよう、通知先の一覧や通知用のフォーマットを作成し、対応に従事するメンバーに共有しておく。また、情報開示の手段について確認をしておく。

・関係法令を確認し、法的義務が履行されるよう手続きを確認しておく。

・経営者が組織の内外への発表を求められた場合に備えて、インシデントに関する被害状況、他社への影響などについて経営者に報告を行う。

・インシデントに対するステークホルダーへの影響を考慮し、速やかにこれを公表する。

・社外への公表は、インシデントや被害の状況に応じて、初期発生時、被害状況把握時、インシデント収束時など、それぞれ適切なタイミングで行う。

Ø  付録A サイバーセキュリティ経営チェックシート

(1)サイバーセキュリティリスクの認識、組織全体での対応の策定

□経営者がサイバーセキュリティリスクを経営リスクの1つとして認識している
□経営者が、組織全体としてのサイバーセキュリティリスクを考慮した対応方針(セキュリティポリシー)を策定し、宣言している

(2)サイバーセキュリティリスク管理体制の構築

□組織の対応方針(セキュリティポリシー)に基づき、CISO等からなるサイバーセキュリティリスク管理体制を構築している
□サイバーセキュリティリスク管理体制において、各関係者の責任を明確にしている
□組織内のリスク管理体制とサイバーセキュリティリスク管理体制の関係を明確に規定している

(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

□守るべき資産を特定している
□特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたサイバーセキュリティリスクとして把握している
□サイバーセキュリティリスクが事業にいかなる影響があるかを推定している
□サイバーセキュリティリスクの影響の度合いに従って、低減、回避のための目標や計画を策定している
□低減策、回避策を取らないと判断したサイバーセキュリティリスクの移転策(サイバー保険の活用や守るべき資産について専門企業への委託等)を実施している
□サイバーセキュリティリスクの影響の度合いに従って対策を取らないと判断したものを残留リスクとして識別している

(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

□経営者が定期的に、サイバーセキュリティ対策状況の報告を受け、把握している
□サイバーセキュリティにかかる外部監査を実施している
□サイバーセキュリティリスクや脅威を適時見直し、環境変化に応じた取組体制(PDCA)を整備・維持している
□サイバーセキュリティリスクや取組状況を外部に公開している

(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

□系列企業や、サプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している

(6)サイバーセキュリティ対策のための資源(予算、人材等)確保

□必要なサイバーセキュリティ対策を明確にし、経営会議などで対策の内容に見合った適切な費用かどうかを評価し、必要な予算を確保している
□サイバーセキュリティ対策を実施できる人材を確保している(組織の内外問わず)
□組織内でサイバーセキュリティ人材を育成している
□組織内のサイバーセキュリティ人材のキャリアパスを構築し、適正な処遇をしている
□セキュリティ担当者以外も含めた従業員向けセキュリティ研修等を継続的に実施している

(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

□ITシステムの管理等について、自組織で対応できる部分と外部に委託する部分で適切な切り分けをしている
□委託先へのサイバー攻撃を想定し、委託先のサイバーセキュリティを確保している

(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

□各種団体が提供するサイバーセキュリティに関する注意喚起情報やコミュニティへの参加等を通じて情報共有を行い、自社の対策に活かしている
マルウェア情報、不正アクセス情報、インシデントがあった場合に、IPAへの届出や一般社団法人JPCERTコーディネーションセンターへの情報提供、その他民間企業等が推進している情報共有の仕組みへの情報提供を実施している

(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

□組織の内外における緊急連絡先・伝達ルートを整備している(緊急連絡先には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダの連絡先含む)
□他の災害と同様に、サイバー攻撃の初動対応マニュアルを整備している
□インシデント対応の専門チーム(CSIRT等)を設置している
□インシデント収束後の再発防止策の策定も含めて、定期的に対応訓練や演習を行っている

(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

□組織外の報告先(ステークホルダーや所管官庁等を含む)をリスト化している
□開示・報告すべき情報を把握・整備している
□経営者が、責任を持って組織の内外へ説明ができるように、経営者への報告ルート、公表すべき内容やタイミング等について事前に検討している

Ø  付録B 望ましい技術対策と参考文献

付録B-2 技術対策の例

Ø  付録C 国際規格ISO/IEC27001及び27002との関係

Ø  付録D 用語の定義

Ø  旧版(Ver.1.0付録)

付録A サイバーセキュリティ経営チェックシート

(1)サイバーセキュリティリスクの認識、組織全体での対応の策定
●5.1 リーダーシップ及びコミットメント
●5.2 方針
(2)サイバーセキュリティリスク管理体制の構築
●5.3 組織の役割、責任及び権限
・6.1.1 情報セキュリティの役割及び責任
(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
●6.1 リスク及び機会に対処する活動
●6.2 情報セキュリティ目的及びそれを達成するための計画策定
・5.1.1 情報セキュリティのための方針群
・5.1.2 情報セキュリティのための方針群のレビュー
(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
●7.4 コミュニケーション
●8.1 運用の計画及び管理
●8.2 情報セキュリティリスクアセスメント
●8.3 情報セキュリティリスク対応
●9.1 監視、測定、分析及び評価
●9.2 内部監査
●9.3 マネジメントレビュー
●10.1 不適合及び是正処置
●10.2 継続的改善
・17.1.1 情報セキュリティ継続の計画
・17.1.2 情報セキュリティ継続の実施
・17.1.3 情報セキュリティ継続の検証、レビュー及び評価
・18.1.1 適用法令及び契約上の要求事項の特定
・18.2.1 情報セキュリティの独立したレビュー
・18.2.2 情報セキュリティのための方針群及び標準の順守
・18.2.3 技術的順守のレビュー
(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
●8.1 運用の計画及び管理
(6)サイバーセキュリティ対策のための資源(予算、人材等)確保
●7.1 資源
●7.2 力量
(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
●8.1 運用の計画及び管理
・15.1.1 供給者関係のための情報セキュリティの方針
・15.1.2 供給者との合意におけるセキュリティの取扱い
・15.1.3 ICTサプライチェーン
・15.2.1 供給者のサービス提供の管理及びレビュー
・15.2.2 供給者のサービス提供の変更に対する管理
(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
・6.1.3 関係当局との連絡
・6.1.4 専門組織との連絡
(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
・16.1.1 責任及び手順
・16.1.2 情報セキュリティ事象の報告
・16.1.3 情報セキュリティ弱点の報告
・16.1.4 情報セキュリティ事象の評価及び決定
・16.1.5 情報セキュリティインシデントの対応
(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
・6.1.3 関係当局との連絡
・6.1.4 専門組織との連絡

l    ■サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA

Ø  サブトピック 1

l    ■企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】

l    ■米国の「20の重要なセキュリティ対策」及びオーストラリアの「35の標的型サイバー侵入に対する軽減戦略」

Ø  サブトピック 1

n     重要インフラ・政府機関向け(独法を含む)

l    ■サイバーセキュリティ2016【2016年8月31日NISC】

l    ■政府機関の情報セキュリティ対策のための統一規範

l    ■政府機関等の情報セキュリティ対策の運用等に関する指針

l    ■政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

Ø  第1 部 総則

1.1 本統一基準の目的・適用範囲

(1) 本統一基準の目的
本統一基準は、「政府機関の情報セキュリティ対策のための統一規範」(サイバーセキュリティ戦略本部決定)に基づく政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を更に高めるための対策の基準を定めたもの
(2) 本統一基準の適用範囲
(a) 本統一基準において適用範囲とする者は、全ての行政事務従事者とする。
(3) 本統一基準の改定
(4) 法令等の遵守
(5) 対策項目の記載事項
各項に対して目的、趣旨及び遵守事項を示している。
遵守事項は、府省庁対策基準において必ず実施すべき対策事項である。
府省庁は、内閣官房内閣サイバーセキュリティセンターが別途整備する府省庁対策基準策定のためのガイドライン及び政府機関統一基準適用個別マニュアル群において規定する統一基準の遵守事項に対応した個別具体的な対策実施要件、対策の実施例や解説等も参照し、府省庁対策基準を策定する必要がある。

1.2 情報の格付の区分・取扱制限

1.3 用語定義

Ø  第2 部 情報セキュリティ対策の基本的枠組み

2.1 導入・計画

2.1.1 組織・体制の整備
2.1.2 府省庁対策基準・対策推進計画の策定

2.2 運用

2.2.1 情報セキュリティ関係規程の運用
2.2.2 例外措置
2.2.3 教育
2.2.4 情報セキュリティインシデントへの対処

2.3 点検

2.3.1 情報セキュリティ対策の自己点検
2.3.2 情報セキュリティ監査

2.4 見直し

2.4.1 情報セキュリティ対策の見直し

Ø  第3 部 情報の取扱い

3.1 情報の取扱い

3.2 情報を取り扱う区域の管理

Ø  第4 部 外部委託

4.1 外部委託

4.1.1 外部委託
4.1.2 約款による外部サービスの利用
4.1.3 ソーシャルメディアサービスによる情報発信
4.1.4 クラウドサービスの利用

Ø  第5 部 情報システムのライフサイクル

5.1 情報システムに係る文書等の整備

5.1.1 情報システムに係る台帳等の整備
5.1.2 機器等の調達に係る規定の整備

5.2 情報システムのライフサイクルの各段階における対策

5.2.1 情報システムの企画・要件定義
5.2.2 情報システムの調達・構築
5.2.3 情報システムの運用・保守
5.2.4 情報システムの更改・廃棄
5.2.5 情報システムについての対策の見直し

5.3 情報システムの運用継続計画

5.3.1 情報システムの運用継続計画の整備・整合的運用の確保

Ø  第6 部 情報システムのセキュリティ要件

6.1 情報システムのセキュリティ機能

6.1.1 主体認証機能
6.1.2 アクセス制御機能
6.1.3 権限の管理
6.1.4 ログの取得・管理
6.1.5 暗号・電子署名

6.2 情報セキュリティの脅威への対策 .

6.2.1 ソフトウェアに関する脆弱性対策
6.2.2 不正プログラム対策
6.2.3 サービス不能攻撃対策
6.2.4 標的型攻撃対策

6.3 アプリケーション・コンテンツの作成・提供

6.3.1 アプリケーション・コンテンツの作成時の対策
6.3.2 アプリケーション・コンテンツ提供時の対策

Ø  第7 部 情報システムの構成要素

7.1 端末・サーバ装置等

7.1.1 端末
7.1.2 サーバ装置
7.1.3 複合機・特定用途機器

7.2 電子メール・ウェブ等

7.2.1 電子メール
7.2.2 ウェブ
7.2.3 ドメインネームシステム(DNS
7.2.4 データベース

7.3 通信回線

7.3.1 通信回線
7.3.2 IPv6 通信回線

Ø  第8 部 情報システムの利用

8.1 情報システムの利用

8.1.1 情報システムの利用

8.2 府省庁支給以外の端末の利用

8.2.1 府省庁支給以外の端末の利用

l    ■企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】

Ø  サイバーセキュリティ戦略本部

Ø  経営層に期待される“認識”や経営戦略を企画する人材層に向けた実装のためのツールを示す

Ø  基本方針

ーサイバーセキュリティは、より積極的な経営への「投資」へー

サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

Ø  I.基本的考え方

二つの基本的認識

<①挑戦>
新しい製品やサービスを創造するための戦略の一環として考えていく
 
<②責任>
サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

三つの留意事項

<①情報発信による社会的評価の向上>
• 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。
• そのような取組に係る姿勢や方針を情報発信することが重要。
<②リスクの一項目としてのサイバーセキュリティ>
• 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。
• 経営層のリーダーシップが必要。
<③サプライチェーン全体でのサイバーセキュリティの確保>
サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。
• 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

Ø  II.企業の視点別の取組

ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある

ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

(積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)
【経営者に期待される認識】
• 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。
• 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。
• 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。
【実装に向けたツール】
• IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)
• 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信

IT・セキュリティをビジネスの基盤として捉えている企業

(IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)
【経営者に期待される認識】
• 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。
サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。
• 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。
【実装に向けたツール】
• サイバーセキュリティ経営ガイドライン
• 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用
• サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信

自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

(主に中小企業等でセキュリティの専門組織を保持することが困難な企業)
【経営者に期待される認識】
サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。
• 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。
【実装に向けたツール】
• 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)
• サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用

n     次世代IT技術及び市場動向

l    ■IoTセキュリティガイドラインver1.0【2016年7月5日総務省・経済産業省】

Ø  目的等

セキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利⽤者が安⼼してIoT機器やシステム、サービスを利⽤できる環境を生み出す

関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供すること

守るべきものやリスクの⼤きさ等を踏まえ、役割・⽴場に応じて適切なセキュリティ対策の検討が⾏われることを期待

Ø  各指針と要点

方針

IoTの性質を考慮した基本方針を定める
• 経営者がIoTセキュリティにコミットする
• 内部不正やミスに備える

分析

IoTのリスクを認識する
• 守るべきものを特定する
• つながることによるリスクを想定する

設計

守るべきものを守る・設計を考える
• つながる相手に迷惑をかけない設計をする
• 不特定の相手とつなげられても安全安心を確保できる設計をする
• 安全安心を実現する設計の評価・検証を行う

構築・接続

ネットワーク上での対策を考える
• 機能及び用途に応じて適切にネットワーク接続する
• 初期設定に留意する
• 認証機能を導入する

運用・保守

安全安心な状態を維持し、情報発信・共有を行う
• 出荷・リリース後も安全安心な状態を維持する
• 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
• IoTシステム・サービスにおける関係者の役割を認識する
• 脆弱な機器を把握し、適切に注意喚起を行う

一般利用者のためのルール

• 問合せ窓口やサポートがない機器やサービスの購入・利用を控える
インターネットに接続する機器やサービスの問合せ窓口やサポートがない場合、何か不都合が生じたとしても、適切に対処すること等が困難になる。問合せ窓口やサポートがない機器やサービスの購入・利用は行わないようにする。
• 初期設定に気をつける
・機器を初めて使う際には、IDやパスワードの設定を適切に行う。パスワードの設定では、「機器購入時のパスワードのままとしない」、「他の人とパスワードを共有しない」、「他のパスワードを使い回さない」等に気をつける。
・取扱説明書等の手順に従って、自分でアップデートを実施してみる。
• 使用しなくなった機器については電源を切る
使用しなくなった機器や不具合が生じた機器をインターネットに接続した状態のまま放置すると、不正利用される恐れがあることから、使用しなくなった機器は、そのまま放置せずに電源を切る。
• 機器を手放す時はデータを消す
情報が他の人に漏れることのないよう、機器を捨てる、売るなど機器を手放す時は、事前に情報を削除する。

Ø  今後の検討

リスク分析に基づく分野別の対策について

 IoTは、様々な分野に浸透していくことになるが、分野ごとに求められるセキュリティレベルが異なるため、多くのIoT機器が利用されている、もしくは利用が想定される分野では、具体的なIoTの利用シーンを想定し、詳細なリスク分析を行った上で、その分野の性質、特徴に応じた対策を検討する必要がある。

法的責任関係について

IoTにおいては、製造メーカ、SIer、サービス提供者、利用者が複雑な関係になることが多い。よって、サイバー攻撃により被害が生じた場合の責任の在り方については、今後出現するIoTサービスの形態や、IoTが利用されている分野において規定されている法律などに応じて整理を行っていく必要がある。

IoT時代のデータ管理の在り方について

IoTシステムでは、利用者の個人情報等のデータを保持・管理等を行う者又は場所が、サービスの形態により変わってくる。IoTシステムの特徴を踏まえつつ、個人情報や技術情報など重要データを適切に保持・管理等を行うことが必要であり、その具体的な方法について、検討していく必要がある。

IoTに対する総合的なセキュリティ対策について

IoT社会の健全な発展の実現には、既に実施されている、情報処理推進機構IPA)、情報通信研究機構NICT)、JPCERT/CC及びTelecom ISAC Japan(ICT ISAC Japan)のサイバーセキュリティに関する取組に加え、一般利用者に対するIoT機器のマルウェア感染に関する注意喚起などの取組について、官民連携による強化を検討する。

ガイドラインの見直しについて

上記のような検討事項の取組や、IoTを取り巻く社会的な動向、脆弱性・脅威事象の変化、対策技術の進歩等を踏まえて、今後、必要に応じて改訂を行っていく必要がある。

l    ■安全なIoTシステムの創出【2016年3月1日NISC】

Ø  • 任務保証の考え方に基づく取組

業務責任者(任務責任者)がシステム責任者(資産責任者)と、機能やサービスを全うするという観点からリスクを分析し、協議し、残存リスクの情報も添えて経営者層に対し提供し総合的な判断を受ける「機能保証(任務保証)」の考え方に基づく取組が必要

Ø  • セキュリティ品質の実現が企業価値

・IoTシステムのサービスの効用と比較してセキュリティリスクを許容し得る程度まで低減

・高いレベルのセキュリティ品質の実現が企業価値や国際競争力の源泉に

Ø  • セキュリティ・バイ・デザインの推進

・連携される既存システムを含めて、IoTシステム全体の企画・設計段階からセキュリティの確保を盛り込むセキュリティ・バイ・デザインの推進が重要。

Ø  • データとシステム全体のセキュリティ確保

IoTシステムはデータの流通プラットフォーム。

データとシステム全体のセキュリティ確保を行う必要がある。

Ø  • システム間の相互連携の際のリスク評価

レベルの異なるIoTシステムを相互連携させる場合は、残存リスクを客観的に評価し、許容範囲内に収めるためのリスク評価が必要

l    ■コンシューマ向けIoTセキュリティガイド【2016年6月24日JNSA】

l    ■IoT早期導入者のためのセキュリティガイダンス【2016年2月24日CSA】

l    ■クラウドセキュリティガイドライン活用ガイドブック2013年版【METI】

l    ■クラウドサービス提供における情報セキュリティ対策ガイドライン【2014年4月総務省】

l    ■クラウドセキュリティ関連ISO規格

Ø  ■ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(スライド)【JIPDEC】

Ø  ■ISMSクラウドセキュリティ認証の概要(スライド)【JIPDEC】

Ø  ■ISO/IEC27017:2015に基づくクラウドセキュリティの構築のポイント(スライド)【JIPDEC】

l    ■教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック【総務省】

Ø  第1章 クラウド導入のプロセスと情報セキュリティに係る手続き

1.1 調達のプロセスと情報セキュリティの関係

Ø  第2章 情報セキュリティ手続きにおける「準備段階」の留意点

2.1 教育用コンテンツに関する情報収集

2.2 法令やポリシーに関する情報収集

Ø  第3章 情報セキュリティ手続きにおける「計画段階」の留意点

3.1 クラウド上で取り扱う情報資産の洗い出し

3.2 クラウドを中心としたICT環境に関するリスクの洗い出し

3.3 リスクおよび情報セキュリティポリシーを踏まえた仕様書の作成

Ø  第4章 情報セキュリティに関する手続きにおける「運用段階」の留意点

4.1 緊急時対応計画の整備

4,2 研修の実施

4.3 情報セキュリティに関する監査

4.4 著作権

l    ■教育ICTの新しいスタイルクラウド導入ガイドブック2015【総務省】

Ø  第5 章情報セキュリティポリシー

5.1 教育現場にふさわしい情報セキュリティポリシーとは

5.2 クラウドに対応した情報セキュリティポリシーとは

5.3 学校における情報セキュリティポリシーの事例

Ø  Column 先進事例④ 教育用SNS

n     システム化及びサイバーセキュリティ管理規約等

l    人材育成・人材確保

Ø  ■iコンピテンシ・ディクショナリ【IPA】

Ø  ■ITのスキル指標を活用した情報セキュリティ人材育成ガイド【2015年5月IPA】

あなたの企業に迫る脅威~ あなたの企業は大丈夫ですか?

<脅威1> 標的型攻撃・サイバー攻撃

必要な対策は実施されていますか?
□ ウィルス対策ソフトを社内のすべてのコンピュータに導入し、ウィルスチェックやウィルス対策ソフトの更新を頻繁に実施していますか。
□ 社内のメール利用者に対して、「怪しいメールは開封しない」、「疑わしいメールのURLはクリックしない」、「不審な添付ファイルは開かない」などの基本事項についての教育が徹底されていますか。
□ ウィルス対策ソフトから「ウィルスに感染した」という警告メッセージが表示された場合、まず何をすればよいか、すべての従業員が十分に理解していますか。
□ 標的型攻撃を防御・検知するためのシステムの監視を行っていますか。また、そのような機能をもったセキュリティ対策ソフトを導入していますか。
□ ウィルス感染や情報漏えいが発覚した場合の組織としての緊急対応手順は定められていますか。また、その手順は関係者に周知されていますか。
あなたの企業は 大丈夫?被害を防ぐためには、こんな役割も重要です!
システム運用において、セキュリティ障害管理 (事故の検知、初動対応、分析、復旧等)のタスクを実行する役割
その役割を担う人材の例
セキュリティ アドミニストレータ (インシデントハンドラ)

自社内のセキュリティインシデント発生直後の初動対応(被害拡大防止策の実施)や被害からの復旧業務の実施において、自らあるいは適切な対応者をアサインして対応にあたる役割。被害の拡大防止のために、適切かつ迅速な対応が求められる。

ITサービスマネジメント(システム管理)

顧客の情報システムの日々の運用業務やシステム基盤の管理業務を担い、円滑な運用を実現する役割。運用時にセキュリティインシデントモニタリングし、インシデントが発生した場合には、被害拡大防止等の初動対応を担う。

 

<脅威2> 不正アクセス

必要な対策は実施されていますか?
□ 123456, admin, password などの単語を避けることは当然ながら、意味のある単語にしない、最低8文字以上にする、定期的に変更するなど、パスワードに関する基本的なルールが社内で徹底されていますか。
□ 自分の席を離れる際は、パスワードで保護されたスクリーンセーバーでパソコンを保護することをルール化していますか。
□ 退職した従業員の ID など、不要な ID を放置せず、きちんと削除していますか。
□ ユーザーごとにアクセス権を設定し、定期的な見直しや管理を行っていますか。
□ 企業内のネットワークやコンピュータに、ファイアウォールなどの外部からの不正アクセスを検知・遮断する仕組みを導入していますか。
□ 自社が提供しているサービスについて、不正アクセス対策を実施していますか。 (例:不正アクセス対策 http://www.ipa.go.jp/security/fusei/ciadr.html
被害を防ぐためには、こんな役割も重要です
システム運用において、セキュリティ管理のタスクを実行する役割
その役割を担う人材の例
セキュリティ アドミニストレータ (ISセキュリティアドミニストレータ

自社の情報セキュリティ対策の具体化や実施を統括する役割。企業全体としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込み、対策の立案や実施(指示・統括)、その見直しなどを行う。また、利用者に対する教育等も実施する。

ITサービスマネジメント(運用管理)

顧客の情報システムの運用管理の責任者として、ITサービスマネジメントの統括責任を担う。セキュリティの面では、運用するシステムのセキュリティマネジメントに関する方針や計画を策定し、具体的な対策の実施を統括する。

<脅威3> エクスプロイト

必要な対策は実施されていますか?
□社内のコンピュータ上で利用しているソフトウェアの修正プログラム(セキュリティパッチ)が公表されたら迅速に適用していますか。セキュリティパッチが適用されずに長期間そのまま利用されているコンピュータはありませんか。
□セキュリティパッチの適用状況をきちんと把握していますか。また、それを把握し、管理する担当者は決められていますか。
□情報システムを設計・開発する際に、セキュリティに関する仕様や基準、要求事項などを明確にしていますか。
□開発した情報システムのテストを行う際に、外部からの攻撃などを意識したセキュリティに関するテストも実施していますか。
□現在運用している自社のWEBシステムに脆弱性がないか、検査を行ったことはありますか。
被害を防ぐためには、こんな役割も重要です!
システム開発・構築において、システム設計における セキュリティ面の検討や決定などのタスクを実行する役割
その役割を担う人材の例
システムテザイナー

自社で用いるシステムの要件定義から、システム基盤(インフラストラクチャ)の分析・設計及び構築を担う役割。ネットワークの構成やアプリケーション基盤の設計の際に、セキュリティを考慮した設計を行う。

ITスペシャリスト(セキュリティ)

情報システムの設計・開発・運用において、情報セキュリティに関する高い専門性を発揮するスペシャリスト。

セキュリティインシデントが発生した際は、高度な技術的スキルを駆使して原因の究明や復旧対応等も担う。

<脅威4> クラウド利用におけるデータ消失・流出

必要な対策は実施されていますか?
□外部のクラウドサービスを利用する際のリスク(データの消失・流出や改ざんなど)について認識していますか。
情報セキュリティ強化対応スキル指標のご紹介
□自社のどのような情報がクラウドサービス上にあるか、把握していますか。
情報セキュリティを担う人材育成のヒント
クラウドサービスの利用・管理に関する責任者や実務担当者を決めていますか。
組織において求められる情報セキュリティ対策
クラウドサービスを提供する事業者が実施しているセキュリティ対策の具体的な内容や水準を把握していますか。
クラウドサービスを利用する際の ID やパスワードは、適切に管理していますか。特に「なりすまし」を防ぐために、推測されにくいものになっていますか。
クラウドサービスの停止時や障害発生時に、情報が手元で(自社内で)利用できるような対策が取られていますか。
被害を防ぐためには、こんな役割も重要です!
ITシステム企画において、システム化計画の具体化 (要件定義、アーキテクチャの設計等)のタスクを実行する役割
その役割を担う人材の例
ISアーキテクト

自社内の情報システム基盤の構築・維持・管理を主に担う役割。自社のIT戦略に基づき、自社システムのアーキテクチャ設計を行うほか、基盤の整備や品質統制のための取り組みなども行う。

ITアーキテクト(セキュリティアーキテクチャ

強固なセキュリティ対策が求められる情報システムのアーキテクチャの設計を担う役割。システムの企画・開発・構築・運用の各工程において、情報セキュリティ対策が十分に機能し、維持されることを担保する組織設計、ルール設計、プロセス設計もあわせて行う。

<脅威5> スマートデバイスからの情報漏えい

必要な対策は実施されていますか?
□ 紛失・盗難対策として、スマートフォンなどのモバイル機器の利用時に、パスワード入力しなければ使えない「パスワードロック」を設定していますか。
□ ウィルス対策として、スマートフォンなどのモバイル機器のOSを、常に最新のバージョンにアップデートしていますか。
スマートフォンのアプリは、メーカーやキャリアのアプリケーション・ストアなど、信頼できる場所からインストールしていますか。
□ 業務で利用するスマートフォンなどのモバイル機器に、業務とは関係のないアプリが数多くインストールされていませんか。
□ 私用のモバイル機器を業務上で利用することは、現状ではあまり推奨されませんが、利用可とする場合は、モバイル機器用のセキュリティソフトを導入するなど、適切なセキュリティ対策を利用者に義務付けていますか。
被害を防ぐためには、こんな役割も重要です
事業戦略、経営戦略の中で情報セキュリティ戦略の策定のタスクを実行する役割
その役割を担う人材の例
セキュリティアドミニストレータ情報セキュリティアドミニストレータ

自社の情報セキュリティ戦略やポリシーの策定等を推進する役割。戦略策定のほか、戦略実行体制の確立や開発組織の統括も担う。また、企業内のセキュリティ業務全体を俯瞰し、アウトソース等のリソース配分の判断・決定も行う。

コンサルタント(情報リスクマネジメント)

ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。

<脅威6> 内部不正・うっかりミス

必要な対策は実施されていますか?
□ 一時的な従業員も含め、重要な情報を扱う作業は、管理監督者の目の届くところで行われていますか。単独で重要な情報にアクセスしている従業員はいませんか。
□ 社員の管理・監督権限に応じて、適切なアクセス権限を設定していますか。多くの従業員が、管理者アカウントを自由に利用できるような設定になっていませんか。
□ 重要な顧客情報などを保存しているコンピュータは、管理者の目の届くところに置く、別室に置いて入退室記録をつける、部屋に鍵をかけるなどの対策を行っていますか。
□ 個人情報などの機密情報については、保存されているファイルにもパスワードを設定するなど、二重三重の対策を工夫していますか。
□ 重要な情報が保存されているコンピュータでは、アクセスログを記録していますか。
□ 重要な情報については、担当者を決めて定期的にバックアップを取っていますか。
被害を防ぐためには、こんな役割も重要です!
情報セキュリティマネジメントにおいて、セキュリティ方針の策定、 セキュリティ基準の策定のタスクを実行する役割
その役割を担う人材の例
セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)

情報セキュリティ戦略やポリシーを具体的なルールや計画に落とし込み、その実行(ないしは実行の指示)のほか、維持・管理や見直しを行う役割。また、インシデント対応に備えて日頃のマネジメントや教育等の実施も担当する。

コンサルタント(情報リスクマネジメント)

ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。

情報セキュリティ強化対応スキル指標のご紹介

「iコンピテンシ・ディクショナリ」とは、ITスキル標準ITSS)や情報システムユーザースキル標準(UISS)、組込みスキル標準(ETSS)の3つのスキル標準を包含する形で整理した、タスクとスキルのデータのことです。この iコンピテンシ・ディクショナリを参照することで、3つのスキル標準の区別を意識することなく、スキル指標としてIT関連業務に携わる人材の役割、タスクやスキルを確認することができます。

情報セキュリティを担う人材育成のヒント

情報セキュリティを担う人材の育成についての悩み
自社の情報セキュリティ対策

 現場が情報セキュリティの重要性を理解してくれない。

セキュリティに関する事故を経験したことがあるかないかによって、現場のセキュリティ意識は大きく異なる。以前事故が発生したことをきっかけに、経営者がセキュリティ対策を現場横断的な重要なテーマとして掲げ、全社的な取り組みを始めることができた

 経営層に対して、情報セキュリティ対策の重要性を効果的に伝えられず、企業全体としての対策が進まない。

企業にとってのセキュリティ対策は、今や単なる事故の予防ではなく、企業のサービスの機能・品質の向上の一環であるということを、経営者に伝える必要がある。

経営層に対してセキュリティの重要性を伝えられる人材の有無によって、経営層の理解が変わる。これは、経営とITの関係と同じであり、“経営と現場をつなぐキーマンの育成”が鍵である。

 情報セキュリティ担当者のスキルアップが難しい。

ユーザー企業には、専任の情報セキュリティ担当者は少なく、担当者は数年で異動・交代することが一般的であるため、限られた期間で効果的にスキルアップする必要がある。情報セキュリティマネジメントに関する資格などの学習も効果的である。

情報セキュリティを担う専門人材の育成

 専門性の高い人材の育成方法が分からない。

 専門性は高いが、スキルの幅が広がらない。

 専門性は高いが、ビジネスマインドが身につかない。

組織において求められる 情報セキュリティ対策のレベル

自社の属性に合った情報セキュリティ対策のレベルを見極めていく

l    ISMS関連

Ø  ■ISMSユーザーズガイド-JISQ27001:2014(ISO/IEC27001:2013)対応【JIPDEC】

Ø  ■ISMSユーザーズガイド-JISQ27001:2014(ISO/IEC27001:2013)対応-リスクマネジメント編【JIPDEC】

n     施策・政策・統計

l    サイバーセキュリティ関連施策に関する平成29年度予算重点化方針

l    サイバーセキュリティ政策の評価に係る基本方針

情報セキュリティ侵害の予兆を発見したら(緊急時対応)

セキュリティ FIX

【緊急】どんな環境で何が起きてますか?まずは落ち着いて今起きている事象を確認しましょう

【緊急】セキュリティ侵害の可能性があるが、どこに問い合せていいかわからない?

【緊急】情報の漏えい・改ざんが起きている?

  • 犯罪の可能性がある場合は、警視庁へ
    • サイバー犯罪に係る電話相談
    • サイバー犯罪の届出(東京都)
  • 犯罪ではなさそうな場合は、下記へ

【緊急】PCスマホの動きがおかしくなった、データが壊れた?

【緊急】実被害にあった場合

【相談】セキュリティ関連の各種相談、問合せ

【情報共有】サイバーセキュリティに関する情報の共有

【一般】セキュリティに限らず、消費生活全般に関する苦情や問合せ先は?

【事前予防】情報セキュリティ侵害に遭わないように事前に対処しておきましょう

【知識】情報セキュリティ対策の必要性を認識し、網羅的な対策を知るには?

参考情報

信頼性の高いセキュリティ対策情報を提供しているサイトの内容を解説します

    • 「ここからセキュリティ!」のサイト内情報を検索・選択しやすいように、1ページ内に全リンクを表示し、その内容によってレベル表示をし、また必要に応じで内容の解説を加えたもの。
    • 検索の際はWebブラウザの検索機能を利用してください
    • 緊急対応の段階と、情報セキュリティ対策の基本要件

中小企業向けサイバーセキュリティ関連ニュース

他のページへのリンク

 

【ニュース】「セキュリティができる会社とできない会社に分かれる理由」

ニュースウォッチ

「セキュリティができる会社とできない会社に分かれる理由」
http://www.itmedia.co.jp/enterprise/articles/1701/13/news010.html

啓発活動を行う側で意識を共有しておいたほうがいいと思われる内容です。

 経営者の意識は、ますます二極化されていくと思われますが、TVや新聞報道などで様々な形でサイバーセキュリティの脅威と被害事例が報道されているにも関わらず、対岸の火事だとか、セキュリティ対策のお金がないと言っている経営者は、一度危うい目に遭わないとわからないのでしょうか。

 ~~~以下、記事の抜粋~~~
●「ある一面」「局所的」な防御策では、別の局面での穴を空けることができれば、それで攻撃の目的を成し遂げられる。防御側には全方位での対策が求められる。
・個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みは同じ。

●2017年に見直すべきセキュリティ対策の内容とは?
・情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしい。
・いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。
・経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。
・CSIRTの設置が普及してきたが、NISCなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった
 ・「攻撃対象になりづらい」体制にしておくことが必要。万一攻撃されても被害を極小化、無害化することが重要。⇒そこで効果的なのがCSIRT。
・最も改善すべきは経営者であり、経営者はその事実を認めないといけない。

●2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。

重要インフラ・大企業向けサイバーセキュリティ対策

セキュリティ

●重要インフラの情報セキュリティ対策に係る第3次行動計画の見直しに向けたロードマップ(案)【NISC】

●サイバーセキュリティ経営ガイドライン【2016年12月METI】

●サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA】