中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

情報セキュリティが心配になったら

セキュリティ FIX

【緊急】どんな環境で何が起きてますか?まずは落ち着いて今起きている事象を確認しましょう

【緊急】セキュリティ侵害の可能性があるが、どこに問い合せていいかわからない?

【緊急】情報の漏えい・改ざんが起きている?

  • 犯罪の可能性がある場合は、警視庁へ
    • サイバー犯罪に係る電話相談
    • サイバー犯罪の届出(東京都)
  • 犯罪ではなさそうな場合は、下記へ

【緊急】PC、スマホの動きがおかしくなった、データが壊れた?

【緊急】実被害にあった場合

【一般】セキュリティに限らず、消費生活全般に関する苦情や問合せ先は?

【事前予防】情報セキュリティ侵害に遭わないように事前に対処しておきましょう

【知識】情報セキュリティ対策の必要性を認識し、網羅的な対策を知るには?

参考情報

■信頼性の高いセキュリティ対策情報を提供しているサイトの内容を解説します

    • 「ここからセキュリティ!」のサイト内情報を検索・選択しやすいように、1ページ内に全リンクを表示し、その内容によってレベル表示をし、また必要に応じで内容の解説を加えたもの。
    • 検索の際はWebブラウザの検索機能を利用してください
    • 緊急対応の段階と、情報セキュリティ対策の基本要件

■中小企業向けサイバーセキュリティ関連ニュース

■他のページへのリンク

 

 

相談窓口対応事例(FAQ候補)

FIX セキュリティ

相談窓口対応事例

FAQ候補になりそうな相談事例

  • 元従業員が自社名義のホームページを無断で開設した
  • サイバー空間ってなんですか
  • ネットバンキングのセキュリティ対策
  • 迷惑メールが届いている。セキュリティ対策ソフトから警告メッセージが出て迷惑メールフォルダーに残っている。このPCは安全か?
  • 成りすましと思われるメールが来ている
  • 無料のウイルス対策ソフトを導入しているがそれだけで大丈夫か
  • PC画面に「ウイルスに感染している」との表示がされた
  • ランサムウェアに感染したので調査業者を紹介してほしい
  • ランサムウェアの危険性及び対策を教えてほしい
  • スパムメールが頻繁に届くようになった
  • メールでビットコインを支払わないとDDoS攻撃をすると予告されたがどうしたらいい?
  • Webサーバがハッキングされた場合の対処療法は
  • ブライダル関係のお店でお客様の情報を登録したら、そのお客様に他のブライダル関係のメールが届くようになった
  • GoogleMapの口コミで誹謗中傷された。削除してもらうためには?
  • PC上に外部からのメッセージが書き込まれている
  • 業務での私物端末使用における留意点
  • UTM(Unified Threat Management;統合脅威管理)を導入した場合は、従来からのファイアウォールは撤去していいか?
  • 登録者へのメールを誤ってCCで送ってしまった
  • まだウイルスワクチンソフトで駆除できないマルウェアに感染した。どうしたらいい?
  • 「あなたのサーバが丸見えなので、対策の指導料をくれとのメールあり。「shodan」サイトで検索して見つけたよう。

 

デジタルトランスフォーメーション時代のITとデジタル情報の活用

【作成中】

 

■活用戦略

 

■活用技術

 

クラウドコンピューティング

 

IT化・デジタル化により業務の効率化・サービスの向上を図るために、セキュリティ対策を実施【私見】

■デジタルトランスフォーメーション時代の情報セキュリティ対策

●IT活用の必然性と情報セキュリティ対策の必要性

  • デジタルトランスフォーメーションとは、

    • 組織をデジタルの世界に移行させる変化
      • 旧態依然のサービスを捨てて、テクノロジーの進展と共に常に変化し続けるビジネス・モデルを受け入れる時代
    • 人やものがデジタルデータで直接繋がり、時空間の制約なく、「業種業態の枠を越えた」新たな仕組みを作り出せる時代の変化
      • 形を変革、再編成により、既存の事業にない「デジタルビジネス」が登場しつつある。
    • 「デジタル・トランスフォーメーション」によりサービス化、オープン化、ソーシャル化、スマート化の4つの大きな変化が生まれつつある。
    • 現代のデジタルネイティブなユーザをターゲットとしたビジネスモデルやビジネスプロセスの変革
  • デジタルトランスフォーメーションの効果、

    • 業界・業種を越えた企業が連携し、新たなビジネスやサービスを創出していく原動力となりつつある。
    • グローバルビジネスの世界に新たな競争原理をもたらそうとしている。
    • 中小企業において
      • デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業にとっては、大きなビジネスチャンスが到来している。
      • 柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。
  • 今まで

    • これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。
    • 単なる効率化だけではビジネスの競争に勝ち残れない
    • 従来型のサービスはしばらくは継続できるかもしれないが、デジタルの未来に移行し始めなければ、もう生き残ることができない
    • 現在、必要とされているのがデジタルトランスフォーメーションによる大胆かつ、スピーディーな変革が発展への道
  • 今後

    • 従来から業務の改善のために情報化が進められてきたが、今後はDigital Transformation時代に、如何にIT、デジタル情報を戦略的に活用できるかが問われる
    • サービスの向上、サービスの継続、事業の効率化のために、デジタル化した情報をITによって利活用し、高付加価値の新たなサービスに変遷していく。
  • 情報セキュリティ対策の必要性

    • しかし、ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。
    • どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要
    • 情報セキュリティ対策は、事業継続計画の一つ
    • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる
    • ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない
  • 情報システムの構築において

    • 即時性が要求されるサービスや提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、他業務業態のシステムとの連携等を検討する

●セキュリティ侵害の実態

  • 「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)
    • ・誤操作34.9%
    • ・管理ミス32.3%
    • ・紛失・置忘れ14.3%
    • ・盗難5.5%
    • 不正アクセス4.7%
  • 個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)
    • ・紙媒体58.7%
    • ・USB等記憶媒体25.9%
    • ・電子メール5.5%
    • ・インターネット5.0%

●情報セキュリティ対策の必要性の認識が必要

  • 被害にあった場合、影響が如何に大きいかを認識する⇒事例に基づいた被害と対策の必要性の認識が必要。
      • セキュリティ侵害事象は対岸の火事ではない
      • 一度セキュリティ侵害を受けると、社会的信用、経済的被害により、事業継続が困難になる
  • ☆セキュリティ対策の目的は、

    • IT化、デジタル化は、業務の効率化、ITを使ったサービスの向上
      • どんな優れたサービスも、セキュリティに不安があるサービスは利用されない
    • ITを活用するために、セキュリティ対策を実施
    • セキュリティ侵害の影響を認識する
      • 機密性(個人情報、取引先の情報、知的財産)、預金残高
      • 完全性(Webページ、帳簿類)
      • 可用性(業務システム、サービスシステム)
    • 費用対効果を考える
      • 対策に要する費用と、侵害にあった場合の被害の大きさを比較する
        • 自動車任意保険、火災保険のようなもの。
        • また、自動車のレーダー探知機とかも⇒監視することにより抑止効果もあり
      • 守るべき資産に応じてリスクの高いものから優先的に対応することにより、少ないコストで大きな効果が得られる
        • どれだけ費用をかけて対策をしてもリスクは0にならない。
        • 最も大きなリスク要因は「人」であり、ルールの策定と遵守が最も効果が大きい
    • 事業継続の観点で
      • 経済的損失、社会的信用の喪失⇒事業存続、事業継続の危機

●システムをベンダーに任せて開発もしくは導入、運用している

  • セキュリティ対策を明確にした調達仕様書作成のスキル習得が必要

●効果的な情報セキュリティ対策の方法がわからない

  • 認識すること
    • 断片的な対策では、セキュリティホールはなくならない
    • 内部職員による故意もしくは過失によるセキュリティ侵害は全体の80%以上
    • どれだけお金を掛けても脆弱性はゼロにはならない
    • リスク(脅威×資産価値×脆弱性)の高いものから順次対策を講ずる
    •  
  • 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステムISMS)に準拠した情報セキュリティ対策の考え方

中小企業サイバーセキュリティ対策関連の備忘録

FIX セキュリティ

サイバーセキュリティ対策として、特に中小企業、学校、個人が考慮すべき対策にフォーカスした情報の備忘録です。

■緊急対応時のピックアップ情報

■相談対応手引き関連

■事例(FAQ候補

■情報化推進のためのセキュリティ対策

●デジタルトランスフォーメーション時代のセキュリティ対策

■中小企業向けの情報セキュリティ対策関連

家庭個人向け

重要インフラ関連

情報セキュリティマネジメント関連

人材育成・人材確保

関連基準、法規、対策機関等

    • 公的機関、教育機関向け、個人ユーザー向け、事業者向け
    • 全体的内容、規定の趣旨、対策例

セキュリティ関連情報提供サイト一覧

ニュース

その他

 

相談対応の手引きレファレンスリスト【相談員用】

FIX セキュリティ

信頼性の高いセキュリティ対策情報を提供しているサイトの内容の解説

事例等の紹介

対策まとめ資料

――――――――相談対応の手引き用【更新中】――――――

家庭個人向け最低限のサイバーセキュリティ対策

  • 【●】これだけはやろう!セキュリティ対策(IPA)【LEVEL1】【簡易】