中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

過少と過剰で揺れるセキュリティ対策、求められる「原価」の発想(2016/11/24 日経コンピュータ)

ニュースウォッチ ブックマーク

http://itpro.nikkeibp.co.jp/atcl/column/14/531236/112100070/

セキュリティ関連も含めたシステムの費用は、会計上もデジタルビジネスにおける原価となるが、「セキュリティは重要」と言われるわりには、企業のセキュリティ関連投資が進まない企業と、デジタルビジネスなどの取り組みに支障をきたすほどセキュリティ対策を厳格に行う企業の両極に分かれている。

「セキュリティはビジネスにとっての原価」として、会計上はセキュリティ対策費が原価に計上されたのに、中小企業の経営者は、その原価の費用対効果を認識せずに、過小もしくは過大なセキュリティ対策投資をしていることに関して、両極のそれぞれの企業実態に応じた意識改革の啓発活動が必要ではないでしょうか。

各種ガイドラインでの対策ポイントの抜粋

各種ガイドラインでの対策ポイントの抜粋

各種ガイドラインでの対策ポイントの抜粋

■脅威の現状(マイクロソフト)

 1/3

  3 社に 1 社は、ライセンスが付与されていないソフトウェアの入手およびインストール時にマルウェアが見つかっています。(The Software Alliance (BSA | ザ・ソフトウェア・アライアンス) 調査)

 200 日以上

  侵入されてから、マルウェアを発見するまで 242 日かかっています(中央値)。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

 4.2 億円

  データ侵害に対する平均的なコストは 4.2 億円にのぼり、生産性低下など試算すると 360 兆円に達します。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

 90%

  企業の 7 割はセキュリティ事故を経験、また 9 割は未知の脅威が侵入済みです。(トレンドマイクロ IT Japan 2015 2015 年 7 月)

■中小企業経営者向け

 ■経営者が認識する必要な「3原則」(中小企業の情報セキュリティ対策ガイドライン(第2版))

  原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

  原則2 委託先における情報セキュリティ対策まで考慮する

  原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

 ■企業 として実施する「重要7項目の取組」(中小企業の情報セキュリティ対策ガイドライン(第2版))

  取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

  取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

  取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

  取組4 情報セキュリティ対策に関する定期的な見直しを行う

  取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

  取組6 情報セキュリティに関する最新動向を収集する

  取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 ■セキュリティポリシー策定項目(中小企業の情報セキュリティ対策ガイドライン(第2版))

  1 組織的対策

  2 人的対策

  3 情報資産管理

  4 マイナンバー対応

  5 アクセス制御及び認証

  6 物理的対策

  7 IT機器利用

  8 IT基盤運用管理

  9 システムの開発及び保守

   社内でシステム開発を行う場合

  10 委託管理

   業務委託を行う場合

  11 情報セキュリティインシデント対応及び事業継続管理

  12 社内体制図

   従業員数2名以上

  13 委託契約書サンプル

   委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合

 ■緊急時の対応(中小企業の情報セキュリティ対策ガイドライン(第2版))

  ① 緊急時における 指揮命令と対応の優先順位決定

  ② インシデントへの対応(インシデントレスポンス)

  ③ インシデントの影響と被害分析

  ④ 情報収集と自社に必要な情報の選別

  ⑤ 社内関係者への連絡と周知

  ⑥ 外部関係機との連絡

 ■情報セキュリティ 5か条(中小企業の情報セキュリティ対策ガイドライン(第2版))

  ソフトウェアはつねに更新しよう

  機器に応じたマルウェア対策をしよう

  パスワードなど、認証を強化しよう

  業務に使うすべてのサービスの設定を見直そう

  脅威や攻撃の手口を知ろう

 ■サイバーセキュリティ経営の3原則 (サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  (1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

  (2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

  (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

 ■サイバーセキュリティ経営の重要10項目(サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  3.1.リーダーシップの表明と体制の構築

  3.3.リスクを踏まえた攻撃を防ぐための事前対策

  3.4.サイバー攻撃を受けた場合に備えた準備

 ■ サイバーセキュリティ経営チェックシート(サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  (1)サイバーセキュリティリスクの認識、組織全体での対応の策定

  (2)サイバーセキュリティリスク管理体制の構築

  (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

  (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

  (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

  (6)サイバーセキュリティ対策のための資源(予算、人材等)確保

  (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

  (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

  (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

  (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

■個人向け

 ■インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】

  OS やソフトウェアは常に最新の状態にしておこう

  パスワードは貴重品のように管理しよう

  ログインID・パスワード絶対教えない用心深さ

  身に覚えのない添付ファイルは開かない

  ウイルス対策ソフトを導入しよう

  ネットショッピングでは信頼できるお店を選ぼう

  大切な情報は失う前に複製しよう

  外出先では紛失・盗難に注意しよう

  困ったときはひとりで悩まず まず相談

 ■初心者の3原則【総務省

  原則1 ソフトウェアの更新

  原則2 ウイルス対策ソフト(ウイルス対策サービス)の導入

  原則3 IDとパスワードの適切な管理

■事例・トッピクス

 ■中小企業における組織的な情報セキュリティ対策ガイドライン事例集【IPA】

  Case 1. 従業員の情報持ち出し

  Case 2. 退職者の情報持ち出し、競合他社への就職

  Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故

  Case 4. ホームページへの不正アクセス

  Case 5. 無許可の外部サービスの利用

  Case 6. 委託した先からの情報漏えい

  Case 7. 在庫管理システム障害の発生

  Case 8. 無線LANのパスワードのいい加減な管理

  Case 9. IT管理者の不在

  Case 10. 電子メール経由でのウイルス感染

 ■最近の主な出来事(情報セキュリティ白書2016より)

  標的型攻撃により日本年金機構から個人情報が流出

  インターネットバンキングの不正送金、被害額は過去最悪を更新

  オンライン詐欺・脅迫被害が拡大

  広く普及しているソフトウェアの脆弱性が今年も問題に

  DDoS攻撃の被害が拡大、IoT端末が狙われる

  重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

  法改正による政府機関のセキュリティ強化

  企業のセキュリティ強化に経営層の参画が重要

  セキュリティ人材育成への取り組み

  自動車・IoTのセキュリティ脅威が高まる

 ■情報セキュリティ 10 大脅威(組織)【IPA】

  標的型攻撃による情報流出

  内部不正による情報漏えいとそれに伴う業務停止

  ウェブサービスからの個人情報の搾取

  サービス妨害攻撃によるサービスの停止

  踏み台にならないため、利用している機器も含めて管理

  ウェブサイトの改ざん

  脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

  ランサムウェアを使った詐欺・恐喝

  インターネットバンキングやクレジットカード情報の不正利用

  ウェブサービスへの不正ログイン

  過失による情報漏えい

中小企業向け各種ガイドライン内容構成

セキュリティ FIX

中小企業向け各種ガイドライン内容構成

中小企業向け各種ガイドライン内容構成

■インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】

 OS やソフトウェアは常に最新の状態にしておこう

 パスワードは貴重品のように管理しよう

 ログインID・パスワード絶対教えない用心深さ

 身に覚えのない添付ファイルは開かない

 ウイルス対策ソフトを導入しよう

 ネットショッピングでは信頼できるお店を選ぼう

 大切な情報は失う前に複製しよう

 外出先では紛失・盗難に注意しよう

 困ったときはひとりで悩まず まず相談

■中小企業の情報セキュリティ対策ガイドライン(第2版)【2016年11月15日IPA】

 一式公開ページ

  http://www.ipa.go.jp/security/keihatsu/sme/guideline/

 経営者の皆様へ

  情報セキュリティ対策は、経営に大きな影響を与えます!

  経営者が自ら動かなければ、法的・道義的責任を問われます!

  組織として対策するために、担当者への指示が必要です!

 対象組織と想定する読者

  経営者層・システム管理者層

  対象組織

   本ガイドラインは、業種を問わず中小企業及び小規模事業者(法人のほか、個人事業 主や各種団体も含む) 1を対象として作成されています。

  想定読者

   組織の経営者と、経営者の指示のもとで重要な情報を管理する方を読者と想定して います。

 全体解説

  (1)本ガイドラインの構成

   本編2部と付録より構成

  (2)本ガイドラインの使い方

   ①経営者の方

   ②経営者の指示のもとで重要な情報を管理する方

   【図3】情報セキュリティ対策の進め方

    Step1 まず始める

     情報セキュリティ5か条

    Step2 現状を知り改善する

     情報セキュリティ自社診断

    Step3 本格的に取り組む

     情報セキュリティポリシーの策定

    Step4 改善を続ける

     情報セキュリティ対策のさらなる改善に向けて

 第 1部 経営者編

  情報セキュリティ対策を怠ることで企業が被る不利益

   (1) 金銭の喪失

    【表2】最近のサイバー攻撃等による情報漏えい等の経済的損失例

     情報漏えい

      教育サービス事業者で顧客の個人情報が3504件が漏えい(2014年)

       システム開発・運用を行っている委託先の再委託先社員による不正取得と名簿の売却

      株式を公開している雑貨卸事業者でインターネット上の株主向けサービスに登録された株主の個人情報6187件(他社の株主個人情報含め12014件)が漏えいした(2015年)

       運営委託先サービスサイトへの不正アクセス

      航空会社の顧客の個人情報4131件が漏えいした(2014年)

      菓子食品製造事業者で個人情報29999件が漏えいした(2015年)

      国内半導体製造事業者の技術jに関する機密情報が韓国の同業者に漏えい(2014年)

      メガネ販売事業者でオンラインショップ顧客のクレジットカード情報2059件の漏えい(2013年)

     ウイルス感染

      米国の病院で院内ネットワークで共有する電子カルテシステムがウイルスによる攻撃により動作しなくなり診療不能に(2016年)

       ランサムウェアに感染し、ファイルが暗号化されたため

     ウェブサイト改ざん

      観光バス事業者のホームページが改ざんされ閲覧するとウイルスに感染する恐れ(2014年)

   (2) 顧客の喪失

   (3) 業務 の喪失

   (4) 従業員 への影響

  経営者が負う責任

   (1) 経営者などに問われる法的責任

    ・個人情報

    ・他社から預かった秘密情報

    ・自社の秘密情報

    ・株価に影響を与える可能性のある未公開内部情報

   (2) 関係者や社会に対する責任

    ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

    法令順守・顧客・取引先・従業員

  経営者は何をすればよいか

   サイバーセキュリティ経営ガイドライン【2015年12月MEIT・IPA】の内容を中小企業向けに編集

   経営者が認識する必要な「3原則」

    原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

     さまざまな脅威がもたらすリスクに対する対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策を実施します。

     セキュリティ対策をしないことによる損失、対策に要する投資、ITの利活用を推進することによる利益を勘案して判断

      セキュリティ対策をしないことによる損失>対策に要する投資

      ITの利活用を推進することによる利益>対策に要する投資

    原則2 委託先における情報セキュリティ対策まで考慮する

     自社同様に十分な注意を払い、必要に応じて委託先が実施している情報セキュリティ対策も確認

    原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

     普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。

   企業 として重要 として実施する「重要 7項目の取組」

    取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

     「当社は中小企業の情報セキュリティ対策ガイドラインに基づき情報セキュリティ対策を実践する。」「当社は顧客情報の流出防止を徹底することから情報セキュリティ対策を開始する。」

    取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

     万が一事故(インシデント7)が起きてしまった場合、被害を最小限に止めるために、あらかじめ準備することも含みます。

    取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

     事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。検討した対策ごとに予算を与え、担当者を任命し、実行を指示します。

    取組4 情報セキュリティ対策に関する定期的な見直しを行う

     最初から最適な形で実現することはどんな会社でも難しいもの。また情報技術は進化が早く、加えて脅威も変化します。

    取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

     契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する

     利用規約やサービスに付随する情報セキュリティ対策等を確認したうえで選定するよう担当者に指示する

    取組6 情報セキュリティに関する最新動向を収集する

     情報セキュリティに関する最新動向を発信している公的機関8などを把握しておき、常時参照することで、新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。

    取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

     万が一のインシデントに備えて、緊急時の連絡体制を整備します。、経営者の対応についても、あらかじめ決めておけば、冷静で的確な対応が可能になります。

 第 2部 管理実践編

  情報セキュリティ管理の進め方

   【図5】ガイドラインの使用方法

  情報セキュリティ5か条

   【表4】情報セキュリティ5か条

   OSやソフトウェアは常に最新の状態にしよう!

   ウイルス対策ソフトを導入しよう!

   パスワードを強化しよう!

   共有設定を見直そう!

   脅威や攻撃の手口を知ろう!

  5分でできる!情報セキュリティ自社診断

   Part1 基本的対策

   Part2 従業員としての対策

   Part3 組織としての対策

  情報セキュリティポリシーの策定

   (1)基本的な考え方

    ① 自社に適合したポリシーを策定

     【図6】セキュリティポリシー文書構成

    ② 情報セキュリティリスクの大きなものから重点的に対策を実施

     【図7】リスクの「保有」の考え方

   (2) ポリシー策定までの流れ

    【図8】情報セキュリティポリシー策定までの流れ

    手順1 情報資産台帳を作成する

     どのような情報資産があるか洗い出して重要度を判断する

     ●機密性、完全性、可用性それぞれの評価値11を記入します(表6)。

     ●機密性・完全性・可用性の評価値から重要度を判定します(表7)。

     【表6】情報資産の機密性・完全性・可用性の評価基準

      機密性・完全性・可用性→重要度

     【表7】情報資産の重要度判断基準

     付録の利用方法(手順1)

    手順2 リスク値の算定

     リスク値=重要度(機密性×完全性×機密性)×被害発生可能性の合計(脅威の起きる可能性×脆弱性の大きさ)

     【表9】リスク値の算定基準

     【表10】脅威例に応じたリスクのレベル

     付録の利用方法(手順2)

    手順3 情報セキュリティ対策を決定(対策を決める)

     ア)リスクを低減する

       自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。

     イ)リスクを保有する

       事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持します。

     ウ)リスクを回避する

       仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。

     リスクを許容する

     付録の利用方法(ツールA)

    手順4 情報セキュリティポリシーを策定(対策をルールにする)

     付録の利用方法(手順4)

     【表11】情報セキュリティポリシーサンプル

      1 組織的対策

      2 人的対策

      3 情報資産管理

      4 マイナンバー対応

      5 アクセス制御及び認証

      6 物理的対策

      7 IT機器利用

      8 IT基盤運用管理

      9 システムの開発及び保守

       社内でシステム開発を行う場合

      10 委託管理

       業務委託を行う場合

      11 情報セキュリティインシデント対応及び事業継続管理

      12 社内体制図

       従業員数2名以上

      13 委託契約書サンプル

       委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合

   (3)委託時の情報セキュリティ対策

   (4)情報セキュリティ対策の実行

    ① 通常時の役割

     経営者

     管理者層

     一般従業員

    ② 緊急時の対応

     ※しおり

      ① 緊急時の指揮命令と対応の優先順位の決定

      ② インシデントへの対応(インシデントレスポンス)

      ③ インシデントの影響と被害の分析

      ④ 情報収集と自社に必要な情報の選別

      ⑤ 社内関係者への連絡と周知

      ⑥ 外部関係機関との連絡

   (5)チェックと改善

    ① チェックの方法

    ② 改善の方法

  情報セキュリティ対策のさらなる改善に向けて

   (1)情報セキュリティマネジメントサイクルによる継続的改善

     ISO/IEC27001 が定めているマネジメントシステム(管理のしくみ)の考え方の基本は、Plan(計画)、Do(実行)、Check(チェック)、Act(改善)の4段階の活動(PDCA サイクル13)を順に繰り返すことを通じて改善していくことにあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。

     ● Plan:情報セキュリティ対策の計画立案または見直し

     ● Do:情報セキュリティ対策の実践

     ● Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定

     ● Act:改善の実施

   (2)情報セキュリティ対策に関する標準規格

    付録3で示す対策は、中小企業でも取り組みやすいように情報セキュリティの国際規格であるISO/IEC 27002(情報セキュリティ管理策の実践のための規範)から抜粋し、解りやすい表現にしています。

   (3)情報セキュリティ監査・点検の実施

    ● 質問(ヒアリング):従業員や委託先の管理者などに直接質問して回答を求める

    ● 閲覧(レビュー):情報セキュリティポリシーの関連手続きで申請書などの帳票や、コンピュータのログ、設定内容など実行の証拠となるものを見て確認する

    ● 観察(視察):監査・点検者が現場に赴き、情報セキュリティ対策を行う当事者が情報セキュリティポリシーに従った行動をしていることを目視で確認する

    ● 技術診断:技術的対策の運用状況などについて、監査・点検者が自ら機器を操作することによって検証する(情報システムや社内ネットワークの脆弱性を確認するために、専用ソフトウェアを使い技術的な脆弱性を診断することもある)

   (4)改善の実施

    経営者や管理者層での議論、検討を通じて、情報セキュリティポリシーや具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に向けた改善につなげていきます。

 おわりに

  

   標的型攻撃の巧妙化により、適切な対策を実施していても被害を完全に防ぐこ とが困難になる中、異常事態の発生を素早く検知し、被害を最小限に抑制するための 体制が注目されるなど、対策面も変化しています。また、マイナンバー法の施行、個人 情報保護法の改正などに伴い、企業規模を問わず情報セキュリティに対する社会的要 請、法的責任が拡大し、中小企業においても情報セキュリティへの取り組みは優先課 題となっています。

    一方で、中小企業では依然として資金面や人材面での制約から情報セキュリティ対 策の実施が難しいといわれており、実際の統計からも大企業に比較すれば対策が進ん でいない傾向が認められます。

   。こうした状況を踏まえ、近年、変化・増大する脅威に対 する情報セキュリティ対策を、適切かつ有効なものとすることを目的として、本ガイ ドラインの初版の内容を抜本的に見直し、改訂版を作成することとしました。

   中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができない という不利を抱える一方で、経営者を含め「従業員の顔が見える」という有利な条件を 備えています。

   情報セキュリティの第一歩は、経営者が情報セキュリティの重要性を 自ら認識し、そのことを従業員に伝え、従業員がその対策を行う意義を理解すること です

   。つまり、「従業員の顔が見える」ということは経営者が直接管理者・担当者に対策 を指示することができ、対策の結果についても直接報告を受けることができるなど、 大企業に比べて迅速に対応ができるという有利な条件を備えています。

   また、この特 質を生かすことで、大企業では必要となるセキュリティ監視や情報共有のための設備 が不要とできるため、大企業よりも費用をかけずに対策を実現することも可能です。

 本書で用いてる語の説明

  インシデント

  (情報の)可用性

  (情報の)完全性

  (情報の)機密性

  クラウドサービス

  個人情報

  サイバーセキュリティ

  CSIRT( シーサート、Computer Security Incident Response Team)

  情報セキュリティ

  情報セキュリティインシデント

  情報セキュリティに関連した保険商品

  情報セキュリティポリシー

  情報セキュリティマネジメントサイクル

  ソーシャルエンジニアリング

  ランサムウェア

 ◦付録1:

  情報セキュリティ5か条(全2ページ、721KB)pdf

   こんな情報があるはず!

    従業員のマイナンバー、住所、給与明細

    お客様や取引先の連絡先一覧

    取引先ごとの仕切り額や取引実績

    新製品の設計図などの開発情報

    組織の経理情報

    取引先から取扱注意と言われた情報

   漏れたら大変!こんなダメージが!

    被害者への損害賠償などの支払い

    取引停止、顧客の他社への流出

    ネットの遮断などによる生産効率のダウン

    従業員の士気低下

   まずは始めてみよう

    OSやソフトウェアは常に最新の状態に使用!

    ウイルス対策ソフトを導入しよう!

    パスワードを強化しよう!

    共有設定を見直そう!

    脅威や攻撃の手口を知ろう!

 ◦付録2:

  5分でできる!情報セキュリティ自社診断シート(全2ページ、417KB)pdf

   Part1 基本的対策

    1.Windows Update※1 を行うなどのように、常にOS やソフトウェアを安全な状態にしていますか?

    2.パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル※2 を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

    3,パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?

    4.ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?

    5.利用中のウェブサービス※3 や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

   Part2 従業員としての対策

    6.受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?

    7.電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?

    8.重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?

    9.無線LAN を利用する時は強固な暗号化を必ず利用するなどのように、無線LAN を安全に使うための対策をしていますか?

    10.業務端末でのウェブサイトの閲覧やSNS への書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?

    11.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?

    12.重要情報を机の上に放置せず書庫に保管し施錠するなどのように、重要情報の紛失や漏えいを防止していますか?

    13.重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?

    14.離席時にコンピュータのロック機能を利用するなどのように、他人に使われないようにしていますか?

    15.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?

    16.退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなどのように、盗難防止対策をしていますか?

    17.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

    18.重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?

   Part3 組織としての対策

    19.クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?

    20.社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利用の可否を明確にしていますか?

    21.採用の際に守秘義務や罰則規定があることを知らせるなどのように、従業員に秘密を守らせていますか?

    22.情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?

    23.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?

    24.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?

    25.情報セキュリティ対策(上記1~24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?

   ●さらなる情報セキュリティ対策の検討するには

    「5 分でできる!情報セキュリティ自社診断」の次のステップとして、ガイドラインを活用したポリシーの策定やベンチマークでの自己診断を実施してみよう。

    ■ 中小企業の情報セキュリティ対策ガイドライン

     https://www.ipa.go.jp/security/keihatsu/sme/guideline/

    ■ 情報セキュリティ対策ベンチマーク

     https://www.ipa.go.jp/security/benchmark/

   ●自社診断シートで100 点満点を目指すには

    「5 分でできる!情報セキュリティ自社診断パンフレット」のほか、以下のページで提供されている資料もより具体的な対策の検討に有用ですのでご活用ください。

    ■ 情報セキュリティ対策支援サイトiSupport

     https://www.ipa.go.jp/security/isec-portal/

    ■ 対策のしおり

     https://www.ipa.go.jp/security/antivirus/shiori.html

    ■ 映像で知る情報セキュリティ

     https://www.ipa.go.jp/security/keihatsu/videos/

   情報セキュリティハンドブックひな形(全11ページ、444KB)PowerPoint

   1 全社基本ルール

    OSとソフトウェアのアップデート

    ウイルス対策ソフトの導入

    パスワードの管理

    アクセス制限

    セキュリティに対する注意

     独立行政法人情報処理推進機構((略称:IPA) 重要なセキュリティ情報

      http://www.ipa.go.jp/security/index.html

     JVN (Japan Vulnerability Notes)

      http://jvn.jp/index.html

      一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)

      https://www.jpcert.or.jp/

   2 仕事中のルール

    電子メールの利用

    インターネットの利用

    データのバックアップ

    クリアデスク・クリアスクリーン

    重要情報の持ち出し

    入退室

    電子媒体・書類の廃棄

   3 全社共通のルール

    私有情報機器の利用

    クラウドサービスの利用

   3 従業員のみなさんへ

    従業員の守秘義務

    事故が起きてしまったら

  ◦付録3:

  <ツールA>リスク分析シート(全5シート、79KB)excel

   情報資産台帳記入例

   情報資産管理台帳

   脅威の状況

    書類

     秘密書類の事務所からの盗難

     秘密書類の外出先での紛失・盗難

     情報搾取目的の内部不正による書類の不正持ち出し

     業務遂行に必要な情報が記載された書類の紛失

    可搬電子媒体

     秘密情報が格納された電子媒体の事務所からの盗難

     秘密情報が格納された電子媒体の外出先での紛失・盗難

     情報搾取目的の内部不正による電子媒体の不正持ち出し

     業務遂行に必要な情報が記載された電子媒体の紛失

    事務所PC

     情報搾取目的の事務所PCへのサイバー攻撃

     情報搾取目的の事務所PCでの内部不正

     事務所PCの故障による業務に必要な情報の喪失

     事務所PC内データがランサムウェアに感染して閲覧不可

     不正送金を狙った事務所PCへのサイバー攻撃

    モバイル機器

     情報搾取目的でのモバイル機器へのサイバー攻撃

     情報搾取目的の不正アプリをモバイル機器にインストール

     秘密情報が格納されたモバイル機器の紛失・盗難

    社内サーバー

     情報搾取目的の社内サーバーへのサイバー攻撃

     情報搾取目的の社内サーバーでの内部不正

     社内サーバーの故障による業務に必要な情報の喪失

    クラウド

     安易なパスワードの悪用によるアカウントの乗っ取り

     バックアップを怠ることによる業務に必要な情報の喪失

   対策状況チェック

     (1) 組織的セキュリティ対策

     経営者の主導で情報セキュリティの方針を示していますか?

     情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか?

     情報セキュリティ対策を実施するための体制を整備していますか?

     情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか?

    (2) 人的セキュリティ対策

     秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員等を含む)に就業規則や契約等を通じて秘密保持義務を課していますか?

     従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか?

     会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか?

    (3) 情報資産管理

     管理を必要とする情報資産は、すべて情報資産管理台帳に記載することを定めていますか?

     秘密情報は業務上必要な範囲でのみ利用を認めていますか?

     秘密情報の対象となるファイルやデータを丸秘マークや格付け表示等で識別可能とすることを定めていますか?

     秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか?

     秘密情報を机の上に放置せず施錠保管するなどして、のぞき見されたり紛失しないようにしていますか?

     情報資産のバックアップに関する手順を定め、手順が遵守されていることを確認していますか?

     秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか?

    (4) マイナンバー対応

     特定個人情報の取扱ルール(管理担当者の割当て、関連規程の整備、記録の保存、定期的点検)が定められていますか?

     特定個人情報に関する漏えい等の事案に備えた報告連絡体制が整備されていますか?

     特定個人情報の保護のための安全管理措置(人的、物理的、技術的のそれぞれ)を行うことが定められていますか?

     (5) アクセス制御と認証

     業務で利用するすべてのサーバに対して、アクセス制御の方針が定められていますか?

     サーバのアクセス権限は、従業員の退職や異動に応じて随時更新され、定期的なレビューを通じてその適切性が検証されていますか?

     情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なアクセス制御を行うことを定めていますか?

     サーバで用いるパスワードは、適切なもののみが受け入れられる機能を通じて設定されていますか?

     業務で利用する暗号化機能及び暗号化に関するアプリケーションは、その運用方針が明確に定められていますか?

     (6) 物理的セキュリティ対策

     業務を行う場所に、第三者が許可無く立入できないようにするための対策(物理的に区切る、見知らぬ人には声をかける、等)が講じられていますか?

     最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

     高いセキュリティを確保する区域には、許可された者以外は接近できないような保護措置がなされていますか?

     秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体等の持込み・利用は禁止されていますか?

     (7) IT機器利用

     セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか?

     ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか?

     業務で利用するIT機器で用いるパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、等)ことを定めていますか?

     業務で利用する機器が誰かに勝手に使われないようにするための措置(離席時にパスワード付きのスクリーンセーバーが動作する、持ち運び可能な機器は施錠できる場所に格納する、等)を定めていますか?

     業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか?

     社外で業務を行う場合のルールを定めていますか?

     業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定めていますか?

     受信した電子メールが不審かどうかを確認することを求めていますか?

     電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか?

     インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか?

     (8) IT基盤運用管理

     IT機器と台帳との棚卸(実機確認)を行うとともに、社内ネットワークに許可なく接続された機器や無線LAN基地局がないことを確認していますか?

     サーバで利用するアプリケーションは、ブラックリスト方式(利用してはいけないものを明示)またはホワイトリスト方式(利用してよいものを明示)のいずれかで特定していますか?

     業務で利用するすべてのサーバに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか?

     サーバで用いた機器の廃棄の手順を定めていますか?

     業務で利用するすべてのサーバやネットワーク機器に対して、必要性に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、定期的にレビューしていますか?

     サーバを対象とする監査を行うことを定めていますか?

     ファイアウォールなど、外部からの攻撃の影響を防ぐための対策を導入していますか?

     業務で使っているネットワーク機器のパスワードを初期状態のまま使わず、推測できないパスワードを設定して運用していますか?

     クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか?

     最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか?

     (9) システム開発及び保守

     情報システムの開発を行う場合、開発環境と運用環境とを分離していますか?

     セキュアな開発を行うための手続きを定めていますか?

     情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか?

     (10) 外部委託管理

     契約書に秘密保持(守秘義務)、漏洩した場合の賠償義務、再委託の制限についての項目を盛り込むなどのように、委託先が遵守すべき事項について具体的に規定していますか?

     委託先との秘密情報の受渡手順を定めていますか?

     委託先に提供した秘密情報の廃棄または消去の手順を定めていますか?

     (11) 情報セキュリティインシデント対応ならびに事業継続管理

     秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか?

     インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか?

     事業継続計画における情報セキュリティ対策を定めていますか?

   診断結果

  <ツールB>情報セキュリティポリシーサンプル (11月18日公開予定)

 パブコメ段階

  付録 1 情報セキュリティ 5か条

   ソフトウェアはつねに更新しよう

   機器に応じたマルウェア対策をしよう

   パスワードなど、認証を強化しよう

   業務に使うすべてのサービスの設定を見直そう

   脅威や攻撃の手口を知ろう

  付録 2 5分できる!情報セキュリティ自社診断

   Part 1 最重要事項

    自社診断シートNo.1 ソフトウェアは常に最新の状態に更新

    自社診断シートNo.2 マルウェア対策が提供されていれば導入

    自社診断シートNo.3 推測されにくいパスワードを使用する

    自社診断シートNo.4 すべてのサービスの設定を見直す

    自社診断シートNo.5 脅威や攻撃に関する最新情報を集める

   Part 2 ネットの脅威への対処

    自社診断シートNo.6 電子メールは疑ってみる

    自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入

    自社診断シートNo.8 インターネットバンキングの偽サイトに注意する

    自社診断シートNo.9 機器のパスワードは初期設定で使わない

    自社診断シートNo.10 信頼できるクラウドを使う

   Part 3 情報資産の保護

    自社診断シートNo.11 社外保存データへのアクセス権に注意する

    自社診断シートNo.12 バックアップを励行する

    自社診断シートNo.13 秘密情報は安全な方法で持ち出す

    自社診断シートNo.14 秘密情報は復元できないように消去する

    自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める

   Part 4 職場のセキュリティ

    自社診断シートNo.16 重要情報の放置を禁止する

    自社診断シートNo.17 機器の盗難防止対策を講じる

    自社診断シートNo.18 機器を勝手に操作させない

    自社診断シートNo.19 見知らぬ人には声をかける

    自社診断シートNo.20 オフィスの戸締まりに気を配る

   Part 5 組織的対策事項

    自社診断シートNo.21 従業員に守秘義務について理解してもらう

    自社診断シートNo.22 従業員への定期的な教育・啓発を行う

    自社診断シートNo.23 取引先にも秘密保持を要請する

    自社診断シートNo.24 事故発生に備えて事前に準備する

    自社診断シートNo.25 情報セキュリティ対策をルール化する

   5分でできる自社診断シート

    

  付録 3 わが社の情報セキュリティポリシー

   情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

   ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

   手順1:情報資産管理台帳を作成して重要情報を確認

    この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

    また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

   手順2:警戒すべき脅威について確認

    <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

    これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。

    なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

    サブトピック 4

   手順3:情報セキュリティ診断を実施

    <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

    1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

   手順4;必要なひな形を選んで編集すれば完成!

    手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

    <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

    なお必要に応じて、さらに項目を追加していただいてもかまいません。

   ツール 3-1 情報資産管理台帳

   ツール 3-2 脅威一覧

   ツール 3-3 対策状況チェックシート

   ツール 3-4 情報セキュリティポリシー サンプル

  付録 4 情報セキュリティ関連ガイド・法令一覧

   1. 1. 法令

    1-1 個人情報保護法

    1-2 マイナンバー法

    1-3 不正競争防止法

    1-4 不正アクセス禁止法

    1-5 不正指令電磁的記録に関する罪

    1-6 労働契約法

   2. 2. ガイドライン

    2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

    2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

    2-3 サイバーセキュリティ経営ガイドライン経済産業省

    2-4 営業秘密管理指針(経済産業省

    2-5 秘密情報の保護ハンドブック(経済産業省

    2-6 組織における内部不正防止ガイドラン(IPA

  付録 5 情報セキュリティ相談窓口

   マルウェアに関する技術的な相談

   標的型攻撃に関する相談

   情報セキュリティに関する普及啓発の相談

   Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼

   不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害

■中小企業の情報セキュリティ対策ガイドライン(パブコメ版)【IPA】

 経営者の皆様へ

  情報セキュリティ対策は、経営に大きな影響を与えます!

  経営者が自ら動かなければ、法的・道義的責任を問われます!

  組織として対策するために、担当者への指示が必要です!

 対象組織と想定する読者 対象組織と想定する読者

  経営者層・システム管理者層

 全体解説

  Step1 未対策

   情報セキュリティを意識していない企業または個人事業主

  Step2 何らかは実施済み

   基準や規則はないが何らかの対策を実施している企業

  Step3 自己診断達成

   自社診断25項目の基本対策を全て実施できている企業

  Step4 ポリシー策定済

   情報セキュリティポリシーを策定・導入済の企業

 第 1部 経営者編

  情報セキュリティ対策を怠ることで企業が被る不利益

   (1) 資金の喪失

   (2) 顧客の喪失

   (3) 業務 の喪失

   (4) 従業員 への影響

  経営者が負う責任

   (1) 経営者などに問われる法的責任

    ・個人情報

    ・他社から預かった秘密情報

    ・自社の秘密情報

   (2) 関係者や社会に対する責任

    ・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

  経営者は何をすればよいか

   経営者が認識する必要な「3原則」

    原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

    原則2 委託先における情報セキュリティ対策まで考慮する

    原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

   企業 として重要 として実施する「重要 7項目の取組」

    取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

    取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

    取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

    取組4 情報セキュリティ対策に関する定期的な見直しを行う

    取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

    取組6 情報セキュリティに関する最新動向を収集する

    取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 第 2部 管理実践編

  情報セキュリティポシーの策定手順 情報セキュリティポシーの策定手順

   基本的な考え方

    自社に適合したポリシーを策定

    情報セキュリティリスクの大きなものから重点的に対策を実施

   情報セキュリティ対策の策定まで流れ

    対象とすべき情報資産の選定、重要度定義

     (機密性、完全性、可用性レベル)

    リスク値算定

     (リスク値=(a)資産価値×(b)脅威の発生確率/頻度×(c) 脆弱性

    情報セキュリティ対策決定

     (1)リスクを低減する

     (2)リスクを保有する

     (3)リスクを回避する

     (4)リスクを移転する

    ポリシー策定

     (1)組織的対策

     (2)人的対策

     (3)情報資産管理

     (4)アクセス制御

     (5)物理的対策

     (6)IT機器利用

     (7)IT基盤運用管理

     (8)システムの開発及び 保守

     (9)委託管理

     (10)情報セキュリティインシデント対処及び事業継続管理

     (11)マイナンバー対応

     (12)秘密保持契約書

     (13)社内体制図

     

   委託時の情報セキュリティ対策

    機密情報の種類、業務委託関係など諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ リティ対策を 契約条件に含めて締結します 。

  情報セキュリティ対策の実行

   通常時の実行における役割

    経営者、管理者層、一般従業員

   緊急時の対応

    ① 緊急時における 指揮命令と対応の優先順位決定

    ② インシデントへの対応(インシデントレスポンス)

    ③ インシデントの影響と被害分析

    ④ 情報収集と自社に必要な情報の選別

    ⑤ 社内関係者への連絡と周知

    ⑥ 外部関係機との連絡

  チェックと改善

   チェック方法

   改善の方法

  情報セキュリティ対策のさらなる改善に向けて

   情報セキュリティマネジメントサイクルによる継続的改善

   情報セキュリティ対策に関する標準規格

   情報セキュリティ監査・点検の実施

   改善の実施

 おわりに

 本書で用いてる語の説明

 付録 1 情報セキュリティ 5か条

  ソフトウェアはつねに更新しよう

  機器に応じたマルウェア対策をしよう

  パスワードなど、認証を強化しよう

  業務に使うすべてのサービスの設定を見直そう

  脅威や攻撃の手口を知ろう

 付録 2 【旧】5分できる!情報セキュリティ自社診断

  Part 1 最重要事項

   自社診断シートNo.1 ソフトウェアは常に最新の状態に更新

   自社診断シートNo.2 マルウェア対策が提供されていれば導入

   自社診断シートNo.3 推測されにくいパスワードを使用する

   自社診断シートNo.4 すべてのサービスの設定を見直す

   自社診断シートNo.5 脅威や攻撃に関する最新情報を集める

  Part 2 ネットの脅威への対処

   自社診断シートNo.6 電子メールは疑ってみる

   自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入

   自社診断シートNo.8 インターネットバンキングの偽サイトに注意する

   自社診断シートNo.9 機器のパスワードは初期設定で使わない

   自社診断シートNo.10 信頼できるクラウドを使う

  Part 3 情報資産の保護

   自社診断シートNo.11 社外保存データへのアクセス権に注意する

   自社診断シートNo.12 バックアップを励行する

   自社診断シートNo.13 秘密情報は安全な方法で持ち出す

   自社診断シートNo.14 秘密情報は復元できないように消去する

   自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める

  Part 4 職場のセキュリティ

   自社診断シートNo.16 重要情報の放置を禁止する

   自社診断シートNo.17 機器の盗難防止対策を講じる

   自社診断シートNo.18 機器を勝手に操作させない

   自社診断シートNo.19 見知らぬ人には声をかける

   自社診断シートNo.20 オフィスの戸締まりに気を配る

  Part 5 組織的対策事項

   自社診断シートNo.21 従業員に守秘義務について理解してもらう

   自社診断シートNo.22 従業員への定期的な教育・啓発を行う

   自社診断シートNo.23 取引先にも秘密保持を要請する

   自社診断シートNo.24 事故発生に備えて事前に準備する

   自社診断シートNo.25 情報セキュリティ対策をルール化する

  5分でできる自社診断シート

   

 付録 3 わが社の情報セキュリティポリシー

  情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

  ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

  手順1:情報資産管理台帳を作成して重要情報を確認

   この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

   また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

  手順2:警戒すべき脅威について確認

   <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

   これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。

   なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

   サブトピック 4

  手順3:情報セキュリティ診断を実施

   <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

   1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

  手順4;必要なひな形を選んで編集すれば完成!

   手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

   <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

   なお必要に応じて、さらに項目を追加していただいてもかまいません。

  ツール 3-1 情報資産管理台帳

  ツール 3-2 脅威一覧

  ツール 3-3 対策状況チェックシート

  ツール 3-4 情報セキュリティポリシー サンプル

 付録 4 情報セキュリティ関連ガイド・法令一覧

  1. 1. 法令

   1-1 個人情報保護法

   1-2 マイナンバー法

   1-3 不正競争防止法

   1-4 不正アクセス禁止法

   1-5 不正指令電磁的記録に関する罪

   1-6 労働契約法

  2. 2. ガイドライン

   2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

   2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

   2-3 サイバーセキュリティ経営ガイドライン経済産業省

   2-4 営業秘密管理指針(経済産業省

   2-5 秘密情報の保護ハンドブック(経済産業省

   2-6 組織における内部不正防止ガイドラン(IPA

 付録 5 情報セキュリティ相談窓口

  マルウェアに関する技術的な相談

  標的型攻撃に関する相談

  情報セキュリティに関する普及啓発の相談

  Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼

  不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害

■企業(組織)における最低限の情報セキュリティ対策のしおり【2015年8月21日IPA】

 情報セキュリティ対策とは

 5分でできる!中小企業のための情報セキュリティ自社診断

 情報(資産)の扱いは

  №1 保管について

   重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、重要情報がみだりに扱われないようにしていますか?

  №2 持ち出しについて

   重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗難・紛失対策をしていますか?

   サブトピック 2

  №3 廃棄について(紙媒体等)

   重要な書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどのように、重要情報が読めなくなるような処分をしていますか?

  №4 廃棄について(電子機器・電子媒体等)

   重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用したり、業者に消去を依頼するなどのように、電子データが読めなくなるような処理をしていますか?

 事務所では

  №5 事務所について

   事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?

  №6 事務所について

   退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのように、盗難防止対策をしていますか?

  №7 事務所について

   最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

 パソコンは

  №8 パソコンについて

   Windows Update を行うなどのように、常にソフトウェアを安全な状態にしていますか?

  №9 パソコンについて

   ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する危険性が高いソフトウェアの使用を禁止していますか?

  №10 パソコンについて

   社内外での個人パソコンの業務使用を許可制にするなどのように、業務で個人パソコンを使用することの是非を明確にしていますか?

  №11 パソコンについて

   退社時にパソコンの電源を落とすなどのように、他人に使われないようにしていますか?

 パスワードは

  №12 パスワードについて

   パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?

  №13 パスワードについて

   パスワードを他人が見えるような場所に貼らないなどのように、他人にわからないように管理していますか?

  №14 パスワードについて

   ログイン用のパスワードを定期的に変更するなどのように、他人に見破られにくくしていますか?

 ウイルス対策

  №15 ウイルス対策について

   パソコンにはウイルス対策ソフトを入れるなどのように、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっていますか?

  №16 ウイルス対策について

   ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように、常に最新のウイルス定義ファイルになるようにしていますか?

 メールは

  №17 メールについて

   電子メールを送る前に、目視にて送信先アドレスの確認をするなどのように、宛先の送信ミスを防ぐ仕組みを徹底しいますか?

  №18 メールについて

   お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用するなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか?

  №19 メールについて

   重要情報をメールで送る場合は、重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?

 バックアップは

  №20 バックアップについて

   重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?

 従業員・取引先は

  №21 従業者について

   採用の際に守秘義務があることを知らせるなどのように、従業者に機密を守らせていますか?

  №22 従業者について

   情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?

  №23 取引先について

   契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に機密を守ることを求めていますか?

 事故対応・セキュリティルールは

  №24 事故対応について

   重要情報の流出や紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?

  №25 ルールについて

   情報セキュリティ対策(№1~№24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確していますか?

 いかがでしたか

  情報セキュリティ(対策)実施の成功ポイント(PDCAサイクル

  参考情報

  5分でできる!!情報セキュリティポイント学習

■中小企業における組織的な情報セキュリティ対策ガイドラインチェック項目【2012年9月3日IPA】

 1. 情報セキュリティに対する組織的な取り組み

  1.1 情報セキュリティに関する経営者の意図が従業員に明確に示されている

   経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つこと。

   情報セキュリティポリシーを定期的に見直しすること。

  1.2 情報セキュリティ対策に関わる責任者と担当者を明示する

   責任者として情報セキュリティと経営を理解する立場の人を任命すること。

   責任者は、各セキュリティ対策について(社内外を含め)、責任者、担当者それぞれの役割を具体化し、役割を徹底すること。

  1.3 管理すべき重要な情報資産を区分する

   管理すべき重要な情報資産を、他の情報資産と分類すること。

   情報資産の管理者を定めること。

   重要度に応じた情報資産の取り扱い指針を定めること。

   重要な情報資産を利用できる人の範囲を定めること。

  1.4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める

   各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っていること。

   重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っていること。

   (例)

   重要な情報を利用できる人に対してのみ、アクセス可能とすること。

   重要な情報の利用履歴を残しておくこと。

   重要な情報を確実に消去・廃棄すること。 等

  1.5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る

   契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含めること。

   (例)

   システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含めること。

   関係者のみにデータの取り扱いを制限すること。

   外部の組織との間で情報を授受する場合、情報受渡書を持っておこなうこと。

   契約に基づく作業を遂行することによって新たに発生する情報(例:新たに作製された、金型・図面・モックアップ等々)の取扱を含めること。

   等

  1.6 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなければいけないかを明示する

   従業者を採用する際に、守秘義務契約や誓約書を交わしていること。

   従業者が順守すべき事項を明確にしていること。

   違反を犯した従業員に対する懲戒手続きが整備されていること。

   在職中及び退職後の機密保持義務を明確化するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取ること。

  1.7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える

   ポリシーや関連規程を従業員に理解させること。

   実践するために必要な教育を定期的に行っていること。

 2. 物理的セキュリティ

  2.1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う

   重要な情報を保管したり、扱ったりする区域を定めていること。

   重要な情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること。

   重要な情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること。

  2.2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する

   重要なコンピュータは許可された人だけが入ることができる安全な場所に設置すること。

   電源や通信ケーブルなどは、他の人が容易に接触できないようにすること。

   重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っていること。

  2.3 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う

   (重要な書類について)

    不要になった場合、シュレッダーや焼却などして確実に処分すること。

    重要な書類を保管するキャビネットには、施錠管理を行うこと。

    重要な情報が存在する机上、書庫、会議室などは整理整頓を行うこと。

    郵便物、FAX、印刷物などの放置は禁止。重要な書類の裏面を再利用しないこと。

   (モバイルPC、記憶媒体について)

    保存した情報が不要になった場合、消去ソフトを用いるなど、確実に処分していること。

    モバイルPC、記憶媒体については、盗難防止の対策を行うこと。

    私有PCを会社に持ち込んだり、私有PCで業務を行ったりしないこと。

 3. 情報システム及び通信ネットワークの運用管理

  3.1 情報システムの運用に関して運用ルールを策定する

   システム運用におけるセキュリティ要求事項を明確にしていること。

   情報システムの運用手順書(マニュアル)を整備していること。

   システムの運用状況を点検していること。

   システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ(記録)を取得していること。

   設備(具体例)の使用状況を記録していること。

  3.2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う

   ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。

   ウイルス対策ソフトが持っている機能(ファイアウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること。

   各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。

   Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っていること。

  3.3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

   脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること。

   脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集すること。

   情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること。

   Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行うこと。

   Webブラウザや電子メールソフトのセキュリティ設定を行うこと。

  3.4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する

   必要に応じて、SSL等を用いて通信データを暗号化すること。

   外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPNなどを用いて暗号化した通信路を使用していること。

   電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化すること。

  3.5 モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、適切なパスワード設定や暗号化などの対策を実施する

   モバイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めていること。

   外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じていること。

   モバイルPCやUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等)を行うこと。

   保存されているデータを、重要度に応じてHDD暗号化、BIOSパスワード設定などの技術的対策を実施すること。

   PCを持出す場合の持出者、持出・返却管理を実施すること。

   盗難、紛失時に情報漏えいの脅威にさらされた情報が何かを正確に把握するため、持ち出し情報の一覧、内容管理を行うこと。

 4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策

  4.1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う

   利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証

   を確実に行うこと。

   利用者IDの登録や削除に関する規程を整備すること。

   パスワードの定期的な見直しを求めること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること。

   離席する際は、パスワードで保護されたスクリ

   ーンセーバーでパソコンを保護すること。

   不要になった利用者IDを削除すること。

  4.2 重要な情報に対するアクセス権限の設定を行う

   重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定すること。

   職務の変更や異動に際して、利用者のアクセス権限を見直すこと。

  4.3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISPサービス 等)を行う

   (外部から内部へのアクセス)

    外部から内部のシステムにアクセスする際、利用者認証を実施すること。

    保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにすること。

   (内部から外部へのアクセス)

    不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み(フィルタリングソフトの導入等)を行っていること。

  4.4 無線LANのセキュリティ対策(WPA2の導入等)を行う

   無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等)の設定を行うこと。

   無線LANの使用を許可する端末(MAC認証)や利用者の認証を行うこと。

  4.5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う

   ソフトウェアの導入や変更に関する手順を整備していること。

   システム開発において、レビューの実施と記録を残していること。

   外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めていること。

   開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できること。

 5. 情報セキュリティ上の事故対応

  5.1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する

   情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておくこと。

   障害対策の仕組みが組織として効果的に機能するよう、よく検討していること。

   システムの切り離し(即応処理)、必要なサービスを提供できるような機能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておくこと。

   日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておくこと。

   障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておくこと。

   (例)

   大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施。

   関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っていること。

  5.2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握する

   ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておくこと。

   (例)

   ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより、コンピュータの検査を実施し、ワクチンソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる。

   情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある。

■中小企業における組織的な情報セキュリティ対策ガイドライン事例集【2012年9月3日IPA】

 Case 1. 従業員の情報持ち出し

  様々な情報が分類・整理されていない

  従業員が機密情報か否かを判別できない

  重要な情報に誰でもアクセスできるようになっている(アクセス制御が出来ていない)

 Case 2. 退職者の情報持ち出し、競合他社への就職

  退職後の機密保持策や競業避止対策の未整備

  営業秘密管理の不徹底

 Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故

  業務に必要なPCを支給していなかった

  規定の存在が周知されていなかった

  守られることが期待されない実効性の低い社内規定の存在

  情報が第三者に流出した場合も想定した対策の不備

 Case 4. ホームページへの不正アクセス

  開発管理の不備

  脆弱な運用体制

  不十分な不正アクセス対策

  事故対応体制の未整備

 Case 5. 無許可の外部サービスの利用

  外部サービスの無許可利用

  外部サービスのサービス内容についての不十分な理解

 Case 6. 委託した先からの情報漏えい

  委託先管理の不十分さ

  法令遵守に対する意識の低さ

 Case 7. 在庫管理システム障害の発生

  事業継続への意識の低さ

 Case 8. 無線LANのパスワードのいい加減な管理

  無線LANの危険性に対する認識の不足

  パスワード管理の重要性に対する認識の不足

 Case 9. IT管理者の不在

  特定の個人や委託先のスキルに依存しすぎている

  代替要員やマニュアル等の未整備

 Case 10. 電子メール経由でのウイルス感染

  ウイルス対策ソフト等の動作の確認を定期的にしていない

  ウイルス対策等が十分に出来ないPCへの考慮が不十分

  エンドユーザーがシステム構成等を変更することへの考慮が不十分

 付録1:情報セキュリティ対策チェックリスト

■サイバーセキュリティ経営ガイドライン Ver 1.0【METI】

 2.サイバーセキュリティ経営の3原則

  (1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

    セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。

    また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。

    このため、多様な経営リスクの中での一つのリスクとして、サイバーセキュリティリスクを経営リスクの中に適切に位置づけ、その対応について組織の内外に対応指針を明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。

  (2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

    サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。

    自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要。

  (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

    事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。

    万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。

    事業のリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかするなどのコミュニケーションを積極的に行うことが必要である。

 3.サイバーセキュリティ経営の重要10項目

  3.1.リーダーシップの表明と体制の構築

   (1)サイバーセキュリティリスクの認識、組織全体での対応の策定

    ・経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。

    ・トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。

   (2)サイバーセキュリティリスク管理体制の構築

    ・サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。

    ・CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。

    ・組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である

    ・万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。

  3.2 サイバーセキュリティリスク管理の枠組み決定

   (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

    ・ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。

    ・企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。

    ・受容できない残留リスクが残る場合、想定外の損失を被る恐れがある。

   (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

    ・PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。

    ・適切な開示が行われなかった場合、社会的責任の観点から、事業のリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、リスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。

   (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

    ・系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。

  3.3.リスクを踏まえた攻撃を防ぐための事前対策

   (6)サイバーセキュリティ対策のための資源(予算、人材等)確保

    ・適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。

    ・適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

   (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

    ・ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。

    ・委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。

   (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

    ・情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない

  3.4.サイバー攻撃を受けた場合に備えた準備

   (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

    ・緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。

    ・緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急時手順を実際に再確認することが出来ない。

   (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

    ・速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。

    ・法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。

    ・組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。

 付録A サイバーセキュリティ経営チェックシート

  (1)サイバーセキュリティリスクの認識、組織全体での対応の策定

   ●5.1 リーダーシップ及びコミットメント

   ●5.2 方針

  (2)サイバーセキュリティリスク管理体制の構築

   ●5.3 組織の役割、責任及び権限

   ・6.1.1 情報セキュリティの役割及び責任

  (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

   ●6.1 リスク及び機会に対処する活動

   ●6.2 情報セキュリティ目的及びそれを達成するための計画策定

   ・5.1.1 情報セキュリティのための方針群

   ・5.1.2 情報セキュリティのための方針群のレビュー

  (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

   ●7.4 コミュニケーション

   ●8.1 運用の計画及び管理

   ●8.2 情報セキュリティリスクアセスメント

   ●8.3 情報セキュリティリスク対応

   ●9.1 監視、測定、分析及び評価

   ●9.2 内部監査

   ●9.3 マネジメントレビュー

   ●10.1 不適合及び是正処置

   ●10.2 継続的改善

   ・17.1.1 情報セキュリティ継続の計画

   ・17.1.2 情報セキュリティ継続の実施

   ・17.1.3 情報セキュリティ継続の検証、レビュー及び評価

   ・18.1.1 適用法令及び契約上の要求事項の特定

   ・18.2.1 情報セキュリティの独立したレビュー

   ・18.2.2 情報セキュリティのための方針群及び標準の順守

   ・18.2.3 技術的順守のレビュー

  (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

   ●8.1 運用の計画及び管理

  (6)サイバーセキュリティ対策のための資源(予算、人材等)確保

   ●7.1 資源

   ●7.2 力量

  (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

   ●8.1 運用の計画及び管理

   ・15.1.1 供給者関係のための情報セキュリティの方針

   ・15.1.2 供給者との合意におけるセキュリティの取扱い

   ・15.1.3 ICTサプライチェーン

   ・15.2.1 供給者のサービス提供の管理及びレビュー

   ・15.2.2 供給者のサービス提供の変更に対する管理

  (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

   ・6.1.3 関係当局との連絡

   ・6.1.4 専門組織との連絡

  (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

   ・16.1.1 責任及び手順

   ・16.1.2 情報セキュリティ事象の報告

   ・16.1.3 情報セキュリティ弱点の報告

   ・16.1.4 情報セキュリティ事象の評価及び決定

   ・16.1.5 情報セキュリティインシデントの対応

  (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

   ・6.1.3 関係当局との連絡

   ・6.1.4 専門組織との連絡

 付録B 望ましい技術対策と参考文献

 付録C 国際規格ISO/IEC27001及び27002との関係

 付録D 用語の定義

■企業経営のためのサイバーセキュリティの考え方の策定について【2016年8月2日NISC】

 http://www.nisc.go.jp/conference/cs/dai09/pdf/09shiryou07.pdf

 サイバーセキュリティ戦略本部

  http://www.nisc.go.jp/conference/cs/index.html

 経営層に期待される“認識”や経営戦略を企画する人材層に向けた実装のためのツールを示す

 基本方針

  ーサイバーセキュリティは、より積極的な経営への「投資」へー

  サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

 I.基本的考え方

  二つの基本的認識

   <①挑戦>

    新しい製品やサービスを創造するための戦略の一環として考えていく

   <②責任>

    サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

  三つの留意事項

   <①情報発信による社会的評価の向上>

    • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

    • そのような取組に係る姿勢や方針を情報発信することが重要。

   <②リスクの一項目としてのサイバーセキュリティ>

    • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

    • 経営層のリーダーシップが必要。

   <③サプライチェーン全体でのサイバーセキュリティの確保>

    • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

    • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

 II.企業の視点別の取組

  ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある

  ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

   (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

   【経営者に期待される認識】

    • 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。

    • 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。

    • 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。

   【実装に向けたツール】

    • IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)

    • 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信

  IT・セキュリティをビジネスの基盤として捉えている企業

   (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

   【経営者に期待される認識】

    • 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。

    • サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。

    • 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。

   【実装に向けたツール】

    • サイバーセキュリティ経営ガイドライン

    • 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用

    • サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信

  自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

   (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

   【経営者に期待される認識】

    • サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。

    • 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。

   【実装に向けたツール】

    • 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)

    • サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用

■IoTセキュリティガイドラインver1.0【2016年7月5日総務省・経済産業省】

 目的等

  セキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利⽤者が安⼼してIoT機器やシステム、サービスを利⽤できる環境を生み出す

  関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供すること

  守るべきものやリスクの⼤きさ等を踏まえ、役割・⽴場に応じて適切なセキュリティ対策の検討が⾏われることを期待

 各指針と要点

  方針

   IoTの性質を考慮した基本方針を定める

    • 経営者がIoTセキュリティにコミットする

    • 内部不正やミスに備える

  分析

   IoTのリスクを認識する

    • 守るべきものを特定する

    • つながることによるリスクを想定する

  設計

   守るべきものを守る・設計を考える

    • つながる相手に迷惑をかけない設計をする

    • 不特定の相手とつなげられても安全安心を確保できる設計をする

    • 安全安心を実現する設計の評価・検証を行う

  構築・接続

   ネットワーク上での対策を考える

    • 機能及び用途に応じて適切にネットワーク接続する

    • 初期設定に留意する

    • 認証機能を導入する

  運用・保守

   安全安心な状態を維持し、情報発信・共有を行う

    • 出荷・リリース後も安全安心な状態を維持する

    • 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える

    • IoTシステム・サービスにおける関係者の役割を認識する

    • 脆弱な機器を把握し、適切に注意喚起を行う

  一般利用者のためのルール

   • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える

    インターネットに接続する機器やサービスの問合せ窓口やサポートがない場合、何か不都合が生じたとしても、適切に対処すること等が困難になる。問合せ窓口やサポートがない機器やサービスの購入・利用は行わないようにする。

   • 初期設定に気をつける

    ・機器を初めて使う際には、IDやパスワードの設定を適切に行う。パスワードの設定では、「機器購入時のパスワードのままとしない」、「他の人とパスワードを共有しない」、「他のパスワードを使い回さない」等に気をつける。

    ・取扱説明書等の手順に従って、自分でアップデートを実施してみる。

   • 使用しなくなった機器については電源を切る

    使用しなくなった機器や不具合が生じた機器をインターネットに接続した状態のまま放置すると、不正利用される恐れがあることから、使用しなくなった機器は、そのまま放置せずに電源を切る。

   • 機器を手放す時はデータを消す

    情報が他の人に漏れることのないよう、機器を捨てる、売るなど機器を手放す時は、事前に情報を削除する。

 今後の検討

  リスク分析に基づく分野別の対策について

    IoTは、様々な分野に浸透していくことになるが、分野ごとに求められるセキュリティレベルが異なるため、多くのIoT機器が利用されている、もしくは利用が想定される分野では、具体的なIoTの利用シーンを想定し、詳細なリスク分析を行った上で、その分野の性質、特徴に応じた対策を検討する必要がある。

  法的責任関係について

   IoTにおいては、製造メーカ、SIer、サービス提供者、利用者が複雑な関係になることが多い。よって、サイバー攻撃により被害が生じた場合の責任の在り方については、今後出現するIoTサービスの形態や、IoTが利用されている分野において規定されている法律などに応じて整理を行っていく必要がある。

  IoT時代のデータ管理の在り方について

   IoTシステムでは、利用者の個人情報等のデータを保持・管理等を行う者又は場所が、サービスの形態により変わってくる。IoTシステムの特徴を踏まえつつ、個人情報や技術情報など重要データを適切に保持・管理等を行うことが必要であり、その具体的な方法について、検討していく必要がある。

  IoTに対する総合的なセキュリティ対策について

   IoT社会の健全な発展の実現には、既に実施されている、情報処理推進機構IPA)、情報通信研究機構NICT)、JPCERT/CC及びTelecom ISAC Japan(ICT ISAC Japan)のサイバーセキュリティに関する取組に加え、一般利用者に対するIoT機器のマルウェア感染に関する注意喚起などの取組について、官民連携による強化を検討する。

  本ガイドラインの見直しについて

   上記のような検討事項の取組や、IoTを取り巻く社会的な動向、脆弱性・脅威事象の変化、対策技術の進歩等を踏まえて、今後、必要に応じて改訂を行っていく必要がある。

■コンシューマ向けIoTセキュリティガイド【2016年6月24日JNSA】

■安全なIoTシステムの創出【2016年3月1日NISC】

 • 任務保証の考え方に基づく取組

  業務責任者(任務責任者)がシステム責任者(資産責任者)と、機能やサービスを全うするという観点からリスクを分析し、協議し、残存リスクの情報も添えて経営者層に対し提供し総合的な判断を受ける「機能保証(任務保証)」の考え方に基づく取組が必要

 • セキュリティ品質の実現が企業価値

  ・IoTシステムのサービスの効用と比較してセキュリティリスクを許容し得る程度まで低減

  ・高いレベルのセキュリティ品質の実現が企業価値や国際競争力の源泉に

 • セキュリティ・バイ・デザインの推進

  ・連携される既存システムを含めて、IoTシステム全体の企画・設計段階からセキュリティの確保を盛り込むセキュリティ・バイ・デザインの推進が重要。

 • データとシステム全体のセキュリティ確保

  IoTシステムはデータの流通プラットフォーム。

  データとシステム全体のセキュリティ確保を行う必要がある。

 • システム間の相互連携の際のリスク評価

  レベルの異なるIoTシステムを相互連携させる場合は、残存リスクを客観的に評価し、許容範囲内に収めるためのリスク評価が必要

■サイバーセキュリティ2016【2016年8月31日NISC】

 政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

  サブトピック 1

 企業経営のためのサイバーセキュリティの考え方の策定について【NISC】

  サイバーセキュリティ戦略本部

  経営層に期待される“認識”や経営戦略を企画する人材層に向けた実装のためのツールを示す

  基本方針

   ーサイバーセキュリティは、より積極的な経営への「投資」へー

   サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

  I.基本的考え方

   二つの基本的認識

    <①挑戦>

     新しい製品やサービスを創造するための戦略の一環として考えていく

     

    <②責任>

     サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

   三つの留意事項

    <①情報発信による社会的評価の向上>

     • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

     • そのような取組に係る姿勢や方針を情報発信することが重要。

    <②リスクの一項目としてのサイバーセキュリティ>

     • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

     • 経営層のリーダーシップが必要。

    <③サプライチェーン全体でのサイバーセキュリティの確保>

     • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

     • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

  II.企業の視点別の取組

   ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある

   ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

    (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

    【経営者に期待される認識】

     • 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。

     • 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。

     • 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。

    【実装に向けたツール】

     • IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)

     • 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信

   IT・セキュリティをビジネスの基盤として捉えている企業

    (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

    【経営者に期待される認識】

     • 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。

     • サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。

     • 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。

    【実装に向けたツール】

     • サイバーセキュリティ経営ガイドライン

     • 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用

     • サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信

   自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

    (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

    【経営者に期待される認識】

     • サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。

     • 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。

    【実装に向けたツール】

     • 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)

     • サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用

■ITのスキル指標を活用した情報セキュリティ人材育成ガイド【2015年5月IPA】

 あなたの企業に迫る脅威~ あなたの企業は大丈夫ですか?

 <脅威1> 標的型攻撃・サイバー攻撃

  必要な対策は実施されていますか?

   □ ウィルス対策ソフトを社内のすべてのコンピュータに導入し、ウィルスチェックやウィルス対策ソフトの更新を頻繁に実施していますか。

   □ 社内のメール利用者に対して、「怪しいメールは開封しない」、「疑わしいメールのURLはクリックしない」、「不審な添付ファイルは開かない」などの基本事項についての教育が徹底されていますか。

   □ ウィルス対策ソフトから「ウィルスに感染した」という警告メッセージが表示された場合、まず何をすればよいか、すべての従業員が十分に理解していますか。

   □ 標的型攻撃を防御・検知するためのシステムの監視を行っていますか。また、そのような機能をもったセキュリティ対策ソフトを導入していますか。

   □ ウィルス感染や情報漏えいが発覚した場合の組織としての緊急対応手順は定められていますか。また、その手順は関係者に周知されていますか。

  あなたの企業は 大丈夫?被害を防ぐためには、こんな役割も重要です!

   システム運用において、セキュリティ障害管理 (事故の検知、初動対応、分析、復旧等)のタスクを実行する役割

  その役割を担う人材の例

   セキュリティ アドミニストレータ (インシデントハンドラ)

    自社内のセキュリティインシデント発生直後の初動対応(被害拡大防止策の実施)や被害からの復旧業務の実施において、自らあるいは適切な対応者をアサインして対応にあたる役割。被害の拡大防止のために、適切かつ迅速な対応が求められる。

   ITサービスマネジメント(システム管理)

    顧客の情報システムの日々の運用業務やシステム基盤の管理業務を担い、円滑な運用を実現する役割。運用時にセキュリティインシデントモニタリングし、インシデントが発生した場合には、被害拡大防止等の初動対応を担う。

     

 <脅威2> 不正アクセス

  必要な対策は実施されていますか?

   □ 123456, admin, password などの単語を避けることは当然ながら、意味のある単語にしない、最低8文字以上にする、定期的に変更するなど、パスワードに関する基本的なルールが社内で徹底されていますか。

   □ 自分の席を離れる際は、パスワードで保護されたスクリーンセーバーでパソコンを保護することをルール化していますか。

   □ 退職した従業員の ID など、不要な ID を放置せず、きちんと削除していますか。

   □ ユーザーごとにアクセス権を設定し、定期的な見直しや管理を行っていますか。

   □ 企業内のネットワークやコンピュータに、ファイアウォールなどの外部からの不正アクセスを検知・遮断する仕組みを導入していますか。

   □ 自社が提供しているサービスについて、不正アクセス対策を実施していますか。 (例:不正アクセス対策 http://www.ipa.go.jp/security/fusei/ciadr.html

  被害を防ぐためには、こんな役割も重要です

   システム運用において、セキュリティ管理のタスクを実行する役割

  その役割を担う人材の例

   セキュリティ アドミニストレータ (ISセキュリティアドミニストレータ

    自社の情報セキュリティ対策の具体化や実施を統括する役割。企業全体としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込み、対策の立案や実施(指示・統括)、その見直しなどを行う。また、利用者に対する教育等も実施する。

   ITサービスマネジメント(運用管理)

    顧客の情報システムの運用管理の責任者として、ITサービスマネジメントの統括責任を担う。セキュリティの面では、運用するシステムのセキュリティマネジメントに関する方針や計画を策定し、具体的な対策の実施を統括する。

 <脅威3> エクスプロイト

  必要な対策は実施されていますか?

   □社内のコンピュータ上で利用しているソフトウェアの修正プログラム(セキュリティパッチ)が公表されたら迅速に適用していますか。セキュリティパッチが適用されずに長期間そのまま利用されているコンピュータはありませんか。

   □セキュリティパッチの適用状況をきちんと把握していますか。また、それを把握し、管理する担当者は決められていますか。

   □情報システムを設計・開発する際に、セキュリティに関する仕様や基準、要求事項などを明確にしていますか。

   □開発した情報システムのテストを行う際に、外部からの攻撃などを意識したセキュリティに関するテストも実施していますか。

   □現在運用している自社のWEBシステムに脆弱性がないか、検査を行ったことはありますか。

  被害を防ぐためには、こんな役割も重要です!

   システム開発・構築において、システム設計における セキュリティ面の検討や決定などのタスクを実行する役割

  その役割を担う人材の例

   システムテザイナー

    自社で用いるシステムの要件定義から、システム基盤(インフラストラクチャ)の分析・設計及び構築を担う役割。ネットワークの構成やアプリケーション基盤の設計の際に、セキュリティを考慮した設計を行う。

   ITスペシャリスト(セキュリティ)

    情報システムの設計・開発・運用において、情報セキュリティに関する高い専門性を発揮するスペシャリスト。

    セキュリティインシデントが発生した際は、高度な技術的スキルを駆使して原因の究明や復旧対応等も担う。

 <脅威4> クラウド利用におけるデータ消失・流出

  必要な対策は実施されていますか?

   □外部のクラウドサービスを利用する際のリスク(データの消失・流出や改ざんなど)について認識していますか。

  情報セキュリティ強化対応スキル指標のご紹介

   □自社のどのような情報がクラウドサービス上にあるか、把握していますか。

  情報セキュリティを担う人材育成のヒント

   □クラウドサービスの利用・管理に関する責任者や実務担当者を決めていますか。

  組織において求められる情報セキュリティ対策

   □クラウドサービスを提供する事業者が実施しているセキュリティ対策の具体的な内容や水準を把握していますか。

   □クラウドサービスを利用する際の ID やパスワードは、適切に管理していますか。特に「なりすまし」を防ぐために、推測されにくいものになっていますか。

   □クラウドサービスの停止時や障害発生時に、情報が手元で(自社内で)利用できるような対策が取られていますか。

  被害を防ぐためには、こんな役割も重要です!

   ITシステム企画において、システム化計画の具体化 (要件定義、アーキテクチャの設計等)のタスクを実行する役割

  その役割を担う人材の例

   ISアーキテクト

    自社内の情報システム基盤の構築・維持・管理を主に担う役割。自社のIT戦略に基づき、自社システムのアーキテクチャ設計を行うほか、基盤の整備や品質統制のための取り組みなども行う。

   ITアーキテクト(セキュリティアーキテクチャ

    強固なセキュリティ対策が求められる情報システムのアーキテクチャの設計を担う役割。システムの企画・開発・構築・運用の各工程において、情報セキュリティ対策が十分に機能し、維持されることを担保する組織設計、ルール設計、プロセス設計もあわせて行う。

 <脅威5> スマートデバイスからの情報漏えい

  必要な対策は実施されていますか?

   □ 紛失・盗難対策として、スマートフォンなどのモバイル機器の利用時に、パスワード入力しなければ使えない「パスワードロック」を設定していますか。

   □ ウィルス対策として、スマートフォンなどのモバイル機器のOSを、常に最新のバージョンにアップデートしていますか。

   □ スマートフォンのアプリは、メーカーやキャリアのアプリケーション・ストアなど、信頼できる場所からインストールしていますか。

   □ 業務で利用するスマートフォンなどのモバイル機器に、業務とは関係のないアプリが数多くインストールされていませんか。

   □ 私用のモバイル機器を業務上で利用することは、現状ではあまり推奨されませんが、利用可とする場合は、モバイル機器用のセキュリティソフトを導入するなど、適切なセキュリティ対策を利用者に義務付けていますか。

  被害を防ぐためには、こんな役割も重要です

   事業戦略、経営戦略の中で情報セキュリティ戦略の策定のタスクを実行する役割

  その役割を担う人材の例

   セキュリティアドミニストレータ情報セキュリティアドミニストレータ

    自社の情報セキュリティ戦略やポリシーの策定等を推進する役割。戦略策定のほか、戦略実行体制の確立や開発組織の統括も担う。また、企業内のセキュリティ業務全体を俯瞰し、アウトソース等のリソース配分の判断・決定も行う。

   コンサルタント(情報リスクマネジメント)

    ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。

 <脅威6> 内部不正・うっかりミス

  必要な対策は実施されていますか?

   □ 一時的な従業員も含め、重要な情報を扱う作業は、管理監督者の目の届くところで行われていますか。単独で重要な情報にアクセスしている従業員はいませんか。

   □ 社員の管理・監督権限に応じて、適切なアクセス権限を設定していますか。多くの従業員が、管理者アカウントを自由に利用できるような設定になっていませんか。

   □ 重要な顧客情報などを保存しているコンピュータは、管理者の目の届くところに置く、別室に置いて入退室記録をつける、部屋に鍵をかけるなどの対策を行っていますか。

   □ 個人情報などの機密情報については、保存されているファイルにもパスワードを設定するなど、二重三重の対策を工夫していますか。

   □ 重要な情報が保存されているコンピュータでは、アクセスログを記録していますか。

   □ 重要な情報については、担当者を決めて定期的にバックアップを取っていますか。

  被害を防ぐためには、こんな役割も重要です!

   情報セキュリティマネジメントにおいて、セキュリティ方針の策定、 セキュリティ基準の策定のタスクを実行する役割

  その役割を担う人材の例

   セキュリティアドミニストレータ(ISセキュリティアドミニストレータ)

    情報セキュリティ戦略やポリシーを具体的なルールや計画に落とし込み、その実行(ないしは実行の指示)のほか、維持・管理や見直しを行う役割。また、インシデント対応に備えて日頃のマネジメントや教育等の実施も担当する。

   コンサルタント(情報リスクマネジメント)

    ビジネス機能内で情報マネジメントが適切に実現される土台としての組織体制の整備や組織内の各種ルール整備等に関する支援を担う役割。組織ガバナンスやリスクマネジメント、コンプライアンス等に関する領域において、ITソリューションを前提としたコンサルティングを行う。

 情報セキュリティ強化対応スキル指標のご紹介

  「iコンピテンシ・ディクショナリ」とは、ITスキル標準ITSS)や情報システムユーザースキル標準(UISS)、組込みスキル標準(ETSS)の3つのスキル標準を包含する形で整理した、タスクとスキルのデータのことです。この iコンピテンシ・ディクショナリを参照することで、3つのスキル標準の区別を意識することなく、スキル指標としてIT関連業務に携わる人材の役割、タスクやスキルを確認することができます。

 情報セキュリティを担う人材育成のヒント

  情報セキュリティを担う人材の育成についての悩み

   自社の情報セキュリティ対策

     現場が情報セキュリティの重要性を理解してくれない。

     セキュリティに関する事故を経験したことがあるかないかによって、現場のセキュリティ意識は大きく異なる。以前事故が発生したことをきっかけに、経営者がセキュリティ対策を現場横断的な重要なテーマとして掲げ、全社的な取り組みを始めることができた

     経営層に対して、情報セキュリティ対策の重要性を効果的に伝えられず、企業全体としての対策が進まない。

     企業にとってのセキュリティ対策は、今や単なる事故の予防ではなく、企業のサービスの機能・品質の向上の一環であるということを、経営者に伝える必要がある。

     経営層に対してセキュリティの重要性を伝えられる人材の有無によって、経営層の理解が変わる。これは、経営とITの関係と同じであり、“経営と現場をつなぐキーマンの育成”が鍵である。

     情報セキュリティ担当者のスキルアップが難しい。

     ユーザー企業には、専任の情報セキュリティ担当者は少なく、担当者は数年で異動・交代することが一般的であるため、限られた期間で効果的にスキルアップする必要がある。情報セキュリティマネジメントに関する資格などの学習も効果的である。

   情報セキュリティを担う専門人材の育成

     専門性の高い人材の育成方法が分からない。

     専門性は高いが、スキルの幅が広がらない。

     専門性は高いが、ビジネスマインドが身につかない。

 組織において求められる 情報セキュリティ対策のレベル

  自社の属性に合った情報セキュリティ対策のレベルを見極めていく

■スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書【2015年 5月21日NISC】

 1.総則

  1.1 本書の目的・位置付け

  1.2 本書が対象とする者

  1.3 本書の使い方

  1.4 用語の定義

 2.スマートフォン等の特性と業務利用におけるリスク

  2.1 スマートフォン等の特性

  2.2 スマートフォン等の特性及び業務利用における脅威

   表2-1 スマートフォン等の業務利用における脅威と対策の例

 3.スマートフォン等の業務利用の形態

  3.1 端末の配備

  3.2 利用する場所

  3.3 私物端末の利用

  3.4 情報システムの利用形態

 4.目的及び適用範囲の明確化

  4.1 目的の明確化

  4.2 対象とする業務

  4.3 利用者

 5.業務・サービスの利用要件の策定

  5.1 端末やOSの種類

  5.2 端末機能・サービスの要件

   表5-1 端末機能・サービスの利用要件及び利用制限の例

  5.3 業務用アプリの導入

  5.4 通信ネットワークの要件

  5.5 情報セキュリティ対策要件

   (1) ソフトウェアの脆弱性対策

   (2) 不正プログラム対策

   (3) のぞき見防止対策

   (4) 盗難・紛失対策

   (5) ログ管理機能

   (6) 端末管理ツール(MDM:Mobile Device Management)の導入

   表5-2 MDMの主な機能

    端末ロックの遠隔制御

     端末個体ごとに、遠隔制御でロック、アンロックを実施

    リモートデータワイプ

     端末内全データ削除、個別データ/特定フォルダ削除、業務領域のみ削除 等

    暗号化

     外部メモリ出力時のデータ暗号化/復号、個別データの暗号化/復号

    端末機能制御

     カメラ、スクリーンショット、近距離無線通信、外部メモリ出力等の機能制限

    端末状態監視

     端末状態の取得(OS、アプリ、改造の有無、起動中アプリ 等)

     死活監視、ログ収集、位置情報取得、アラートメールの送信、管理者向け統計処理

    ポリシー設定及び実行

     パスワードポリシー設定、MDMポリシー(リモートデータワイプの条件、機能制限 等)設定

     メーラー無線LAN接続、証明書等の端末構成の設定変更 等

    資産管理

     端末所有者の属性管理や端末個体情報(機種、電話番号 等)の管理 等

    アプリ配信及び削除

     業務用アプリの配信と自動インストール、遠隔削除

    アプリ利用制限

     非公認アプリのインストール制限や強制終了、アプリのアクセス許可制御

     外部媒体経由のアプリインストール制御 等

    MDMサーバ接続

     SSLVPNによる通信路暗号化、GCM等によるエージェント・MDMサーバ間通信路の維持 等

    フィルタリング機能

     ウェブフィルタ、メールフィルタ等の設定情報管理やアクセスログの収集

    不正プログラム対策ソフトウェアの管理

    不正プログラム対策ソフトウェアのバージョンやパターンファイルの管理、最新版への更新、スキャンログの収集、スキャン実行の要求 等

    バックアップ

     端末データのバックアップやリスア

  5.6 私物端末の業務利用に際して留意すべき事項

   表5-3 私物端末の業務利用する際に留意すべき事項と要件策定例

    業務情報と私的な情報の混在の回避

      端末内の私的な情報と業務情報を混在させないよう、これらを明確に分けるための仕組みを導入する

      業務用アプリ導入又は端末に業務情報を保存させない仕組みを導入する

    家族や友人への貸与の禁止

      私的な利用においても家族や友人が利用することを禁止することを合意した者のみに私物端末の利用を認める

     外出先等での端末の盗難・紛失

      業務利用する際の利用場所を限定する

      私的利用時を含めて端末ロックやデータワイプ機能の設定を必須し、対策の実施について合意した者のみに私物端末の利用を認める

    利用するネットワークの制限

      私的な利用時であっても安全性の確認できないサイトや通信ネットワークへの接続を禁止するなどの利用手順を策定し、合意した者のみに私物端末の利用を認める

    ソフトウェア更新や不正プログラム対策の実施

      ソフトウェア更新や不正プログラム対策ソフトウェアの実行を義務付け、合意したのみに私物端末の利用を認める(OSの更新により業務用アプリが正常動作しなくなる可能性について留意が必要)

    業務用アプリのインストール

      業務用アプリのインストール可能な端末を所有していて、かつインストールに合意した者のみに私物端末の利用を認める

    点検内容の明確化

      業務用アプリ、MDMやMAMにより点検を自動化する

      あらかじめ点検内容を明確化し、合意した者のみに私物端末の利用を認める

 6.実施手順の整備

  6.1 責任者の設置と運用管理体制の整備

  6.2 利用手順の整備

   表6-1 利用者が遵守すべき端末の利用手順に関する注意事項の例

    利用の原則

     行政事務の遂行以外の目的で端末を利用しないこと

     不要不急な業務においては極力利用しないこと

     不要な情報は端末に残留させず、速やかに消去すること

     他の手段が無い場合に限り利用すること

    利用手順の遵守

     利用手順を遵守すること

     定められた手順以外の方法で業務を行わないこと

     手順外の処理を行う必要が生じた場合は、事前に責任者の許可又は承認を得ること

     利用を終了した場合は、速やかに手続すること

     利用中にインシデント等が発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること

    端末管理の徹底

     盗難・紛失が起こらないように、日常的に端末の管理を厳重に行うこと

     家族や知人、第三者が端末操作や画面をのぞき見する行為に注意すること

    禁止事項

     管理責任者の許可なく、端末の設定を変更しないこと

     安全性が確認できないアプリケーションや利用が禁止されているソフトウェアをインストールしないこと

     許可された通信回線以外に接続しないこと

     PCに接続しないこと(充電等の場合であってもNG)

     端末は家族や知人、第三者に端末を貸与しないこと

  6.3 運用管理手順の整備

■情報セキュリティ読本 四訂版- IT時代の危機管理入門 -【2014年11月4日IPA】

 第4章 組織の一員としての情報セキュリティ対策

 1.      1. 組織のセキュリティ対策

  計画(Plan) - 体制の整備とポリシーの策定

  実行(Do) - 導入と運用

  点検(Check) - 監視と評価

  処置(Act) - 見直しと改善

  1.1.     1) 計画(Plan)- 体制の整備とポリシーの策定

   組織内の体制を確立する

   セキュリティポリシーを策定する

   対策事項の立案と手順書の整備

   1.1.1.      組織内の体制を確立する

    情報セキュリティを推進するための体制を組織内に作ることが出発点

    実施担当者と、その役割、権限、責任を定める

    望ましい体制

     経営陣が中心となって取り組む

     全社横断的な体制

     トップダウンの管理体制

   1.1.2.      セキュリティポリシーの策定

    セキュリティポリシーとは

     組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの

    セキュリティポリシーの階層

     基本方針

     対策基準

     対策実施手順

    策定前の準備

     情報資産の「何を守るのか」を決定する

     「どのようなリスクがあるのか」を分析する

    責任者と担当者を明確にする

     組織体の長=情報セキュリティの最高責任者

   1.1.3.      対策事項の立案と手順書の整備

    対策基準とは

     情報資産を脅威から守る方法を具体的に定めたもの

    実施手順とは

     対策基準を実際の行動に移す際の手順書(マニュアルのようなもの)

     最初に設定する内容とその手順

     定期的に実施する対策の手順

     インシデント発生時の対策と手順

  1.2.     2) 実行(Do)- 導入と運用

   導入フェーズ

   運用フェーズ

   1.2.1.      導入フェーズ

    構築と設定

     ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入

     OS、アプリケーションのセキュリティ設定

    設定における注意点

     デフォルト設定は使用しない

     不要なサービスの停止

    脆弱性の解消

     最新の修正プログラムを適用

    レベルに応じたアクセス制御

     組織のメンバーごとにアクセスレベルを設定

     アクセスできる範囲と操作権限を制限する

   1.2.2.      運用フェーズ

    セキュリティポリシーの周知徹底とセキュリティ教育

     役割と責任、セキュリティ対策上のルールを周知

     被害に遭わないために脅威と対策を教える

    脆弱性対策

     定期的な情報収集とパッチの適用

    異動/退職社員のフォロー

     退職者のアカウントは確実に削除(セキュリティホールになりうる)

  1.3.     3) 点検(Check) - 監視と評価 -

   監視と評価

   セキュリティ事故への対処

   1.3.1.      監視と評価

    ネットワークを監視し、異常や不正アクセスを検出する

     通信、不正アクセスの監視

     異常検知、不正アクセス検知、脆弱性検査

    ポリシーが守られているか自己または第三者による評価を行う

     自己点検(チェックリストなどにより実施)

     情報セキュリティ対策ベンチマークでの自己診断

     情報セキュリティ監査

   1.3.2.      セキュリティ事故への対処

    セキュリティポリシーに則ったインシデント対応

    特に注意すべき点

     被害状況を調査し、二次災害を防ぐ

     原因を特定し、再発防止策を徹底する

     実施した対応の記録、各種届出(必要な場合)

     対応窓口を設置し、正確な情報を提供する

     

  1.4.     4) 処置(Act) - 見直しと改善

   セキュリティポリシーを見直し、改善点を検討する

   セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要

 2.      2. 従業員としての心得

  規則を知り、遵守する

  情報セキュリティ上の脅威と対策を知る

  「自分だけは…」、「これぐらいなら…」は通用しない

   必ず上司に報告・相談する

  特に、情報漏えいに気を付ける

 3.      3. 気を付けたい情報漏えい

  情報漏えいの経路と原因

  情報漏えいを防止するための管理対策のポイント

  企業や組織の一員としての情報セキュリティ心得

  3.1.     情報漏えいの経路と原因

   情報漏えいの経路

    PC本体、スマートフォンタブレット端末、

    外部記憶媒体USBメモリなど)、

    紙媒体、P2Pファイル交換ソフト

   情報漏えいの原因

    管理ミス、誤操作、紛失・置忘れが約8割

   人為的なミスを防ぐことが重要

  3.2.     情報漏えいを防止するための管理対策のポイント

   P2Pファイル交換ソフトは使用しない

   私物パソコン等を業務で使用しない(持ち込ませない)

   個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない)

   社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する

  3.3.     企業や組織の一員としての情報セキュリティ心得

   企業や組織の情報や機器を、許可なく持ち出さない

   私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない

   企業や組織の情報や機器を未対策のまま放置しない

   企業や組織の情報や機器を未対策のまま廃棄しない

   個人に割り当てられた権限を他の人に貸与または譲渡しない

   業務上知り得た情報を公言しない

   情報漏えいを起こした場合は速やかに報告する

 4.      4. 終わりのないプロセス

  一度、導入・設定すればそれで終わり、というものではない。

  運用、見直し、フィードバックを繰り返すプロセスが必要。

  技術面だけでなく、管理面も強化する

  技術的対策と管理的対策はクルマの両輪の関係

 5.      情報セキュリティにおけるさまざまな対策

  参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」

  http://www.ipa.go.jp/security/manager/protect/management.html 

  参考)読者層別:情報セキュリティ対策実践情報:

  http://www.ipa.go.jp/security/awareness/awareness.html

■情報セキュリティ 10 大脅威【IPA

 情報セキュリティ 10 大脅威(組織)【2016年4月IPA】

  標的型攻撃による情報流出

   ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール

   チェックリスト

    □送信者の名前やアドレスが見慣れないものである。

    □組織内の話題なのに、外部のメールアドレスから届いている。

    □フリーのメールアドレスから届いている。

    □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。

    □「緊急」などと急がせて、メールの内容を吟味させまいとしている。

    □送信者の署名が無いか曖昧である。

    □送信者の名前や組織名として、架空のものを名乗っている。

    □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。

    □上記以外で不審な箇所がある。

   経営者層

    •問題に迅速に対応できる体制の構築

    •対策予算の確保と継続的な対策実施

   システム管理者

    •情報の取扱い・保管状態の確認

    •システム設計対策・アクセス制限

    •ネットワーク監視・分離

   セキュリティ担当部署

    •セキュリティ教育の実施

    •情報の保管方法ルール策定

    •サイバー攻撃に関する情報共有

   従業員・職員

    •セキュリティ教育の受講

    •OS・ソフトウェアの更新

    •ウイルス対策ソフトの導入・更新

  内部不正による情報漏えいとそれに伴う業務停止

   組織

    •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約

    •資産の把握・体制の整備

    •情報の取扱教育の実施

    •重要情報の管理・保護

    •アカウント、権限の管理・定期監査

    •システム操作の記録・監視

   サービス利用者

    •情報の管理が適切かを確認

  ウェブサービスからの個人情報の搾取

   ウェブサービス運営者

    •セキュアなウェブサービスの構築

    (登録する個人情報も必要最低限に)

    •OS・ソフトウェアの更新

    •WAF・IPSの導入

   ウェブサービス利用者

    •不要な情報は極力サイトに登録しない

  サービス妨害攻撃によるサービスの停止

   個人・組織

    •OS・ソフトウェアの更新

  踏み台にならないため、利用している機器も含めて管理

   組織

    •DDoS攻撃の影響を緩和するISP等によるサービスの利用

    •通信制御(DDoS攻撃元をブロック等)

    •システムの冗長化等の軽減策

    •サイト停止時の代替サーバーの用意

  ウェブサイトの改ざん

   ウェブサイト運営者

    •OS・サーバーソフトウェアの更新

    •サーバーソフトウェアの設定の見直し

    •ウェブアプリケーションの脆弱性対策

    •アカウント・パスワードの適切な管理

    •信頼できないサーバーソフトウェアを利用しない

    •改ざん検知ソフトウェアの利用

   ウェブサイト利用者

    •OS・ソフトウェアの更新

    •ウイルス対策ソフトの導入

  脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

   システム管理者

    •担当するシステムの把握・管理の徹底

    •継続的な脆弱性対策情報の収集

    •脆弱性発見時の対応手順の作成

    •ソフトウェアの更新または緩和策

    •ネットワークの適切なアクセス制限

   ソフトウェア利用者

    •利用しているソフトウェアの把握

    •定期的な脆弱性情報の収集

    •ソフトウェアの更新または緩和策

   ソフトウェア開発ベンダー

    •製品に組み込まれているソフトウェアの把握・管理の徹底

    •継続的な脆弱性対策情報の収集

    •脆弱性発見時の対応手順の作成

    •情報を迅速に展開できる仕組みの整備

  ランサムウェアを使った詐欺・恐喝

   悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害

   PC利用者

    •定期的なバックアップ(PCだけではなく、共有サーバーも)

    また、復元できるかの事前の確認

    •OS・ソフトウェアの更新

    •ウイルス対策ソフトの導入・更新

    •メールの添付ファイル・リンクのURLを不用意に開かない

   スマートフォン利用者

    •ウイルス対策ソフトの導入・更新

  インターネットバンキングやクレジットカード情報の不正利用

   •OS・ソフトウェアの更新

   •ウイルス対策ソフトの導入

   •事例や手口を知る

   •二要素認証等の強い認証方式の利用

  ウェブサービスへの不正ログイン

   攻撃者が不正に入手したIDやパスワードでログインを試みる

  過失による情報漏えい

   ルールの明文化と遵守

   フールプルーフ

    ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計

■ネットワークビギナーのための情報セキュリティハンドブック(小冊子)【2016年02月02日NISC】

 目次

  人物紹介

  おうちのCSIRTになってね

  Black Hat the Cracker

 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ

  1. サイバー攻撃のイメージ

   1. サイバー攻撃って誰がやっているの?どうするの?

   コラム:攻撃者とハッカーとクラッカー

   コラム:攻撃者が使う武器「マルウェア

   2. サイバー攻撃の例

   3. サイバー関連の犯罪やトラブル

   4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃

 第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!

  1. 4つのポイントでセキュリティを守る

   1. システムを最新に保つ。セキュリティソフトを入れて防ぐ

   2. 複雑なパスワードと多要素認証で侵入されにくくする

   3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする

   4. 心の隙を作らないようにする(対ソーシャルエンジニアリング

  2. 環境を最新に保つ、セキュリティソフトを導入する

   1. セキュリティソフトを導入して守りを固めよう

   2. パソコン本体とセキュリティの状態を最新に保とう

   3. スマートフォンやネットワーク機器も最新に保とう

   4. ソフトやアプリは信頼できる場ところ所から。権限にも気をつける

   コラム:必要ならばスマホにはセキュリティパックを検討しよう

   コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!

  3. 複雑なパスワードと多要素認証で侵入されにくくする

   1. パスワードの安全性を高める

   2. パスワードの使い回しをしない

   3. パスワードを適切に保管する

   4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う

   コラム:パスワードはどうやって漏れるの?どう使われるの?

  4. 攻撃されにくくするには、手間(コスト)がかかるようにする

  5. 心の隙を作らないようにする(対ソーシャルエンジニアリング

   コラム:軍事スパイ、産業スパイに狙われてしまったら

■マンガで学ぶサイバーセキュリティ【NISC】

 スマートフォンのセキュリティ

  注意点

   最近ではパソコンだけでなく、スマートフォンでも悪意のあるウイルスが横行している

   ウイルス感染は「無料のアプリ」からが多い

   OSやアプリのバージョンが古いままだと、ウイルス感染の危険性あり

  対策

   すまーろフォンへのウイルス対策ソフトの導入を検討しよう

   アプリの詳細、提供企業やレビューを確認し、信頼できるサイトからアプリをダウンロードしよう

   OSやアプリは常に最新のバージョンにアップデートしよう

  豆知識

   最近ではマンガのような、画面をロックしてお金を要求するウイルス(ランサムウェアと呼ぶ)が流行している

   スマートフォンだけでなく、PCも被害が出ているので注意しよう

   迷惑メールの添付ファイルを実行すると、ウイルスに感染してしまうこともあるため、注意しよう

 無線LANのセキュリティ

  注意点誰でも接続できる無線LANのアクセスポイントの中には、悪意をもって設置されているものがある

   悪意をもって設置されたアクセスポイントに接続すると、通信内容を見られてしまうことがある

   インターネット接続業者が提供している公衆無線LANでも、通信が暗号化などで保護されていないものがあり、通信内容が傍受されるおそれがある

  対策

   不審な公衆Wi-Fiには接続しない

   公衆Wi-Fiに接続する場合は、出来るだけ暗号化された、信頼できるWi-Fiを利用しよう

  豆知識

   ファイル共有機能をONにして公衆Wi-Fiに接続すると、同じWi-Fiにつないでいる人からデータが見られてしまう

   公衆Wi-Fiを使う場合は、設定に注意しよう

   自宅のWi-Fiにはきちんとパスワードをかけ、知らない人が接続できないようにしよう

 インターネット上の詐欺

  注意点

   インターネット上には、ネットショッピングやインターネットバンキング等を利用する上で、お金に関する詐欺が存在する

   ユーザを巧妙な偽サイト(フィッシングサイト)に誘導して騙す手法も増加している

   安易にjメールを信用してUrlや添付ファイルを開くと、偽物のサイトに飛んでしまったり、ウイルスに感染してしまうことがある

  対策

   ウェブサイトのURLやメール所送付先が正規のものか、注意深く確認しよう

   言語がカタコトだったり。連絡先が書いていないなど、疑わしいサイトは利用しない

  豆知識

   フィッシングサイトでは銀行のウェブサイトを模倣して、インターネットバンキングのIDやパスワードを盗むものも多く存在するため、注意しよう。

 SNSの利用上の注意

  注意点

   SNSでは、悪意のあるユーザが、女性などの画像を使用してなりすまし、接触を図ってくることがある

   悪意のあるユーザは「直接会おう」などと接近してくることもあり、犯罪に巻き込まれることもある

  対策

   見知らぬユーザとは、コンタクトをとらない

   「会おう」などと誘われても絶対に会わない

  豆知識

   見知らぬ人が接触してくるのは、悪事を目的としていることが多い

   見知らぬ人が写真や住所、電話番号など、個人情報を要求してくることもあるが、決して応じないこと

   知り合いに成りすまして接近してくることも有るので、知っている人だからと言って油断しない

■基礎知識|国民のための情報セキュリティサイト【総務省】

 インターネットを使ったサービス|基礎知識|国民のための情報セキュリティサイト【総務省】

  インターネットって何?

  インターネットの仕組み

  ホームページの仕組み

  電子メールの仕組み

  ブログの仕組み

  電子掲示板の仕組み

  SNSソーシャルネットワーキングサービス)の仕組み

  チャットの仕組み

  メーリングリストの仕組み

  ショッピングサイトの仕組み

  ネットオークションの仕組み

  インターネットバンキングの仕組み

  クラウドサービスとは?

  スマートフォンとは?

  無線LANの仕組み

 どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト【総務省】

  ウイルスとは?

  ウイルスの感染経路と主な活動

   ウイルスの感染経路

   ウイルスの主な活動

  不正アクセスとは?

   ホームページやファイルの改ざん

   他のシステムへの攻撃の踏み台に

  詐欺等の犯罪

  事故・障害

  脆弱性(ぜいじゃくせい)とは?

  情報発信に関するトラブル

 インターネットの安全な歩き方|基礎知識|国民のための情報セキュリティサイト【総務省】

  IDとパスワード

   認証の仕組みと必要性

   設定と管理のあり方

  ウイルスに感染しないために

  不正アクセスに遭わないために

  詐欺や犯罪に巻き込まれないために

  事故・障害への備え

  情報発信の心得

 情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト【総務省】

  ファイアウォールの仕組み

  暗号化の仕組み

  SSLの仕組み

  ファイル共有ソフトとは?

 情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト

  法律違反の事例

  刑法

  サイバーセキュリティ基本法

  著作権法

  電気通信事業法

  電子署名及び認証業務に関する法律

  電子署名に係る地方公共団体の認証業務に関する法律

  電波法

  特定電子メールの送信の適正化等に関する法律

  不正アクセス行為の禁止等に関する法律

  有線電気通信法

■一般利用者の対策|国民のための情報セキュリティサイト【総務省】

 基本的な対策

  ソフトウェアを最新に保とう

  ウイルス対策をしよう

   ウイルス対策ソフト

   記憶媒体からのウイルス感染

  ホームページ閲覧の危険性

  パスワードの設定と管理

  フィッシング詐欺に注意

  ワンクリック詐欺に注意

  無線LANの安全な利用

  機器の廃棄

  個人に関する情報の取扱い

  プライバシー情報の取扱い

  サポート期間が終了するソフトウェアに注意

  サーバ証明書の切り替えによる影響について

 インターネット上のサービス利用時の脅威と対策

  【インターネット】

   ホームページ閲覧における注意点

   ネットオークションにおける危険性

   ショッピングサイトの利用

   インターネットバンキングの注意点

   SNS利用上の注意点

   クラウドサービス利用上の注意点

   動画配信サイトなどの注意点

   オンラインゲームの注意点

  【電子メール】

   ウイルス添付メールなどへの対応

   迷惑メールへの対応

   チェーンメールの問題点

   メールの誤送信

  【情報機器】

   家族共用パソコンの注意点

   携帯電話・スマートフォンタブレット端末の注意点

   ゲーム機の注意点

   インターネット対応機器(家電、記憶媒体等)の注意点

  【その他】

   ファイル共有ソフトの利用とその危険性

 情報発信の際の注意

  著作権侵害に注意

  個人情報の公開の危険性

  ネットを使ったいやがらせや迷惑行為

  発信内容は慎重に

 事故・被害の事例

  事例1:資料請求の情報が漏洩した

  事例2:私の名前で誰かがメールを

  事例3:ホームページを見ただけで・・・

  事例4:猛威!デマウイルス

  事例5:メールが他人に読まれている?

  事例6:ネットストーカーに注意

  事例7:ウイルス対策はしていたはずなのに・・・

  事例8:送った覚えがないのに・・・

  事例9:オークションの商品が届かない

  事例10:メールの儲け話に注意

  事例11:中古パソコンによるデータの漏洩

  事例12:クレジットカード番号が盗まれた

  事例13:ファイル共有ソフトが原因で・・・

  事例14:ワンクリック詐欺に注意

  事例15:自分の名前で勝手に書き込みが・・・

  事例16:インターネットバンキングで情報が盗まれた

  事例17:有名サイトからダウンロードしたはずなのに・・・

  事例18:ブロードバンドルータから認証情報が盗まれた・・・

■企業・組織の対策|国民のための情報セキュリティサイト【総務省】

 組織幹部のための情報セキュリティ対策

  【技術的対策】

  情報セキュリティ対策の必要性

  情報セキュリティの概念

  必要な情報セキュリティ対策

  情報セキュリティマネジメントとは

   情報セキュリティマネジメントの実施サイクル

   情報セキュリティポリシーの概要と目的

   情報セキュリティポリシーの内容

   情報セキュリティポリシーの策定

   情報セキュリティ教育の実施

   情報セキュリティポリシーの評価と見直し

   事故やトラブル発生時の対応

  個人情報取扱事業者の責務

 社員・職員全般の情報セキュリティ対策

  安全なパスワード管理

  ソフトウェアの情報セキュリティ対策

  ウイルス対策

  電子メールの誤送信

  標的型攻撃への対策

  悪意のあるホームページ

  バックアップ

  安全な無線LANの利用

  廃棄するパソコンやメディアからの情報漏洩(ろうえい)

  外出先で業務用端末を利用する場合の対策

  持ち運び可能なメディアや機器を利用する上での危険性と対策

  ソーシャルエンジニアリングの対策

  クラウドサービス利用時の注意点

  SNS利用上の注意点

 情報管理担当者の情報セキュリティ対策

  【技術的対策】

   ソフトウェアの更新

   ウイルス対策

   ネットワークの防御

   不正アクセスによる被害と対策

   外出先で業務用端末を利用する場合の対策

   SQLインジェクションへの対策

   標的型攻撃への対策

   安全な無線LAN利用の管理

   ユーザ権限とユーザ認証の管理

   バックアップの推奨

   セキュリティ診断

   ログの適切な取得と保管

   サポート期間が終了するソフトウェアに注意

  【情報セキュリティポリシー

   情報セキュリティポリシーの導入と運用

   ソーシャルエンジニアリングの対策

   クラウドサービスを利用する際の情報セキュリティ対策

   SNSを利用する際の情報セキュリティ対策

   社員の不正による被害と対策

   廃棄するパソコンやメディアからの情報漏洩

   持ち運び可能な記憶媒体や機器を利用する上での危険性と対策

  【物理セキュリティ】

   サーバの設置と管理

   機器障害への対策

 事故・被害の事例

  事故・被害の事例

   事例1:資料請求の情報が漏洩した

   事例2:ホームページが書き換えられた

   事例3:顧客のメールアドレスが漏洩

   事例4:他人のIDで不正にオンライン株取引

   事例5:中古パソコンによるデータの漏洩

   事例6:情報セキュリティ対策は万全だったはずなのに・・・

   事例7:ファイル共有ソフトが原因で・・・

   事例8:SQLインジェクションでサーバの情報が・・・

   事例9:標的型攻撃で、企業の重要情報が・・・

   事例10:自分の名前で勝手に書き込みが・・・

   事例11:公式アカウントが乗っ取られた

   事例12:有名サイトからダウンロードしたはずなのに・・・

   事例13:クラウドサービスに預けていた重要データが消えた

 脆弱性の注意喚起

  Internet Explorer脆弱性について

  Apache Struts脆弱性について

  OpenSSLの脆弱性について

■@police-被害事例と対処法【警察庁】

 PCユーザ 被害事例と対処法

  ID・パスワードを盗まれて「なりすまし」に遭った

  身に覚えのない料金請求をされた

  パソコンのハードディスクの中身がインターネット上に公開された

  携帯電話の情報が勝手に登録された

  Keyloggerキーロガー)によって個人情報を盗まれた

  フィッシング詐欺に遭った

  会社の顧客情報が流出した

  身に覚えの無い国際電話利用料金の請求が来た

  有料サイトの利用料金を請求するメールが来た

  インターネットを利用中に、ブラウザクラッシャーに遭った

  ネットストーカーに困っている

  悪徳商法やネット詐欺にあった

  掲示板に個人情報を書き込まれた

  パソコンがウイルスに感染してしまった

  迷惑メールが来たがどうすれば良いか

 システム/ネットワーク管理者 被害事例と対処法

  自組織内の機密情報が、ファイル共有ソフトにより流出した

  組織内で管理する個人情報がスタッフによって外部へ流出した

  Webサイトの掲示板に、悪意のある書き込みを大量にされた

  自組織のドメイン名に詐称された迷惑メールをばらまかれた

  自分が管理する掲示板上の書き込みに対して削除を求められた

  他組織のホストへウイルスを感染させてしまった

  サーバがウイルスに感染してしまった

  サーバがクラックされ、ページが書き換えられた

  スパムメールの踏み台にされた

  DoS攻撃を受けて、サーバが利用不能になった

  サーバに侵入され個人情報が流出した

■クラウドセキュリティガイドライン活用ガイドブック2013年版【METI】

■クラウドサービス提供における情報セキュリティ対策ガイドライン【2014年4月総務省】

クラウドセキュリティ関連ISO規格

 ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(スライド)【JIPDEC】

 ISMSクレアウドセキュリティ認証の概要(スライド)【JIPDEC】

 ISO/IEC27017:2015に基づくクラウドセキュリティの構築のポイント(スライド)【JIPDEC】

■教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック【総務省】

 第1章 クラウド導入のプロセスと情報セキュリティに係る手続き

  1.1 調達のプロセスと情報セキュリティの関係

 第2章 情報セキュリティ手続きにおける「準備段階」の留意点

  2.1 教育用コンテンツに関する情報収集

  2.2 法令やポリシーに関する情報収集

 第3章 情報セキュリティ手続きにおける「計画段階」の留意点

  3.1 クラウド上で取り扱う情報資産の洗い出し

  3.2 クラウドを中心としたICT環境に関するリスクの洗い出し

  3.3 リスクおよび情報セキュリティポリシーを踏まえた仕様書の作成

 第4章 情報セキュリティに関する手続きにおける「運用段階」の留意点

  4.1 緊急時対応計画の整備

  4,2 研修の実施

  4.3 情報セキュリティに関する監査

  4.4 著作権

■教育ICTの新しいスタイルクラウド導入ガイドブック2015【総務省】

 第5 章情報セキュリティポリシー

  5.1 教育現場にふさわしい情報セキュリティポリシーとは

  5.2 クラウドに対応した情報セキュリティポリシーとは

  5.3 学校における情報セキュリティポリシーの事例

 Column 先進事例④ 教育用SNS

■情報セキュリティポリシーサンプル改版(1.0版)【2016年3月29日JNSA】

■すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~【トレンドマイクロ

 1 はじめに インシデント対応の実情

 2 「インシデント発生」を把握し対応開始を判断する

  2.1 インシデントの発生に気づくために

  2.2 インシデント対応を判断するために

  2.3 まとめ インシデントの把握と対応判断のポイント

 3 「不審な通信」、その時に行うべきインシデント対応

  3.1 インシデント対応の考え方

  3.2 「影響範囲の確認」のために必要な対応

  3.3 「脅威の封じ込め/根絶」のために必要な対応

  3.4 被疑端末への対応

  3.5 まとめ 具体的なインシデント対応のポイント

 4 「適切な対応」を迅速に行うために

  4.1 インシデント発生を把握し対応開始を判断するための事前準備

  4.2 インシデント対応を適切かつ迅速に行うための事前準備

 5 まとめ

■情報セキュリティ白書2016【2016年7月IPA

 第Ⅰ部 情報セキュリティの概要と分析

 序章 2015年度の情報セキュリティの概況~10の主な出来事~

  標的型攻撃により日本年金機構から個人情報が流出

  インターネットバンキングの不正送金、被害額は過去最悪を更新

  オンライン詐欺・脅迫被害が拡大

  広く普及しているソフトウェアの脆弱性が今年も問題に

  DDoS攻撃の被害が拡大、IoT端末が狙われる

  重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

  法改正による政府機関のセキュリティ強化

  企業のセキュリティ強化に経営層の参画が重要

  セキュリティ人材育成への取り組み

  自動車・IoTのセキュリティ脅威が高まる

 第1章情報セキュリティインシデント脆弱性の現状と対策

  1.1 2015年度に観測されたインシデント状況

   1.1.1 世界における情報セキュリティインシデント状況

   1.1.2 国内における情報セキュリティインシデント状況

  1.2 情報セキュリティインシデント別の状況と事例

   1.2.1 広く普及しているソフトウェアの脆弱性

   1.2.2 活動妨害を狙った攻撃

   1.2.3 インターネットバンキングを狙った攻撃

   1.2.4 個人情報の大量取得を狙った攻撃

   1.2.5 政府関連・重要インフラの機密情報を狙った攻撃

   1.2.6 オンライン詐欺

   1.2.7 ランサムウェアによる被害

   1.2.8 内部者による情報の不正な持ち出し

   1.2.9 不適切な運用による情報漏えい

  1.3 攻撃・手口の動向と対策

   1.3.1 広く普及しているソフトウェアの脆弱性を悪用する攻撃

   1.3.2 巧妙化する標的型攻撃

   1.3.3 巧妙化するばらまき型メール

   1.3.4 DDoS攻撃

   1.3.5 インターネットバンキングを狙った攻撃

   1.3.6 オンライン詐欺

   1.3.7 ランサムウェア

  1.4 情報システムの脆弱性の動向

   1.4.1 脆弱性対策情報の登録状況

   1.4.2 脆弱性の状況

   1.4.3 脆弱性評価の取り組み

  1.5 情報セキュリティ対策の状況

   1.5.1 企業における対策状況

   1.5.2 政府における対策状況

   1.5.3 地方公共団体における対策状況

   1.5.4 教育機関における対策状況

   1.5.5 一般利用者における対策状況

 第2章情報セキュリティを支える基盤の動向

  2.1 日本の情報セキュリティ政策の状況

   2.1.1 政府全体の政策動向

   2.1.2 経済産業省の政策

   2.1.3 総務省の政策

   2.1.4 警察におけるサイバー犯罪対策

   2.1.5 電子政府システムの安全性確保への取り組み

  2.2 情報セキュリティ関連法の整備状況

   2.2.1 行政機関個人情報保護法等の改正

   2.2.2 サイバーセキュリティ基本法の改正

   2.2.3 情報処理の促進に関する法律の改正

  2.3 国別・地域別の情報セキュリティ政策の状況

   2.3.1 国際社会と連携した取り組み

   2.3.2 米国のセキュリティ政策

   2.3.3 欧州のセキュリティ政策

   2.3.4 アジア各国におけるセキュリティへの取り組み

   2.3.5 アフリカ地域におけるセキュリティへの取り組み

  2.4 情報セキュリティ人材の現状と育成

   2.4.1 情報セキュリティ人材の育成に関する政策と政府の取り組み事例

   2.4.2 情報セキュリティ人材育成のための資格制度

   2.4.3 情報セキュリティ人材育成のための活動

  2.5 情報セキュリティマネジメント

   2.5.1 情報セキュリティ対策の実施状況

   2.5.2 情報セキュリティマネジメントシステムISMS)と関連規格

 第3章個別テーマ

  3.1 SSL/TLSの安全な利用に向けて

   3.1.1 安全性と相互接続性を考慮した三つの設定基準

   3.1.2 要求設定の概要

   3.1.3 チェックリストと具体的な設定方法の紹介

  3.2 自動車の情報セキュリティ

   3.2.1 2015年度の攻撃研究事例

   3.2.2 各国の取り組み

   3.2.3 今後の見通し

  3.3 制御システムの情報セキュリティ

   3.3.1 制御システムの概要

   3.3.2 制御システムのインシデント事例

   3.3.3 海外における制御システムセキュリティの動向

   3.3.4 国内における制御システムセキュリティの動向

  3.4 IoTの情報セキュリティ

   3.4.1 今、そこにあるIoTのセキュリティ脅威

   3.4.2 IoTセキュリティへの取り組み

  3.5 スマートデバイスの情報セキュリティ

   3.5.1 スマートデバイスの普及状況

   3.5.2 スマートデバイスを取り巻く脅威

   3.5.3 今後の展望

  3.6 情報システムにおけるログ管理の現状と対策

   3.6.1 ログ管理の必要性

   3.6.2 企業におけるログ管理の現状と課題

   3.6.3 ログ管理ソフトウェアの特徴とログ管理要件

   3.6.4 ログ管理の導入プロセス

   3.6.5 取り組むべきログ管理のステップ

 第II部 情報セキュリティ10大脅威2016 ~個人と組織で異なる脅威、立場ごとに適切な対応を~

  情報セキュリティ10大脅威2016

 付録 資料・ツール

  資料A 2015年のコンピュータウイルス届出状況

  資料B 2015年のコンピュータ不正アクセス届出状況

  資料C ソフトウェア等の脆弱性関連情報に関する届出状況

  ツール1 企業や組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)

   本ツールの設間は、ISMS認証基準であるJIS Q 27001:2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27間と、自社の状況を回答する「企業プロフィールに関する評価項目」19間の計46間で構成しています

  ツール2 脆弱性体験学習ツール「AppGoat」―突いてみますか?脆弱性!―

   職場や自宅のパソコンにインストールし、ナビゲーシ∃ンに従つて脆弱性の検証手法から原理、影響、対策までを自習することができる

  ツール3 脆弱性対策情報データベース「JVN iPedia」

   入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能です

  ツール4 MyJVN脆弱性対策情報収集ツール

   JVN IPediaに登録された情報の中から、利用者自身に関係する情報のみを効率的に収集できるよう、IPAが開発したツール

  ツール5 MyJVNバージョンチェッカ

  ツール6 MyJVNセキュリテイ設定チェッカ

  ツール7 サイバーセキュリティ注意喚起サービス「icat for JSON」

  ツール8 ウェブサイトの攻撃兆候検出ツール「iLogscanner」

  ツール9 知つていますか?脆弱性-アニメで見るウェブサイトの脅威と仕組み-

  ツール10 5分でできる!情報セキュリティポイント学習-事例で学ぶ中小企業のためのセキュリティ対策-

  ツール11 情報セキュリテイ対策支援サイト「iSupport」

  ツール12 セキュリテイ要件確認支援ツール

  ツール13 情報セキュリテイ・ポータルサイト「ここからセキュリテイ!」

  ツール14 JPEGテスト支援ツール「iFuzzMaker」

  ツール15 情報漏えい対策ツール

中小企業向けセキュリティ対策の実践ガイド(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

はじめに

 【適用範囲】本資料の目的、対象、期待する効果

  目的

   システム管理者が、経営者に対して、情報セキュリティ対策の実施に投資することを説得できるように

   経営者が情報セキュリティ対策の必要性を認識し、システ管理者に対して、対策の実施を指示するように

  組織の姿勢3分類 (企業経営のためのサイバーセキュリティの考え方の策定について(2016年8月2日)【NISC】より)

   【レベル1】自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

    小企業・零細企業の多く

    (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

   【レベル2】IT・セキュリティをビジネスの基盤として捉えている企業

    (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

   【レベル3】ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

    (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

  対象者

   経営者層

    システム管理者がいない組織(経営者が管理)

   システム管理者層

    システム管理者がいる組織

    ITパスポート試験レベル、基礎情報処理技術者試験レベル

  期待する効果

   経営者が、情報セキュリティ対策の必要性を認識して、自組織の問題として、情報セキュリティ対策をシステム管理者に指示し、具体的な対策を実施できるようになること

  内容構成

   「東京防災」と同レベルの難易度

   事例、緊急時対応、恒久的対策、知っておくべき知識

何のために情報セキュリティ対策を行う必要があるのか

 【現状認識】インシデント発生の事例

  最近の主な出来事(情報セキュリティ白書2016より)

   標的型攻撃により日本年金機構から個人情報が流出

   インターネットバンキングの不正送金、被害額は過去最悪を更新

   オンライン詐欺・脅迫被害が拡大

   広く普及しているソフトウェアの脆弱性が今年も問題に

   DDoS攻撃の被害が拡大、IoT端末が狙われる

   重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

   法改正による政府機関のセキュリティ強化

   企業のセキュリティ強化に経営層の参画が重要

   セキュリティ人材育成への取り組み

   自動車・IoTのセキュリティ脅威が高まる

  事象シナリオ(数種)【総務省】【主な事象を例示】

   事例1:資料請求の情報が漏洩した

   事例2:ホームページが書き換えられた

   事例3:顧客のメールアドレスが漏洩

    同報メールをCCで送った

   事例4:他人のIDで不正にオンライン株取引

   事例5:中古パソコンによるデータの漏洩

   事例6:情報セキュリティ対策は万全だったはずなのに・・・

   事例7:ファイル共有ソフトが原因で・・・

   事例8:SQLインジェクションでサーバの情報が・・・

   事例9:標的型攻撃で、企業の重要情報が・・・

    メール添付ファイルを開いた

    メールに記載のURLを開いた

   事例10:自分の名前で勝手に書き込みが・・・

   事例11:公式アカウントが乗っ取られた

   事例12:有名サイトからダウンロードしたはずなのに・・・

   事例13:クラウドサービスに預けていた重要データが消えた

  事故・被害の事例(一般利用者の対策|国民のための情報セキュリティサイト【総務省】)

   事例1:資料請求の情報が漏洩した

   事例2:私の名前で誰かがメールを

   事例3:ホームページを見ただけで・・・

   事例4:猛威!デマウイルス

   事例5:メールが他人に読まれている?

   事例6:ネットストーカーに注意

   事例7:ウイルス対策はしていたはずなのに・・・

   事例8:送った覚えがないのに・・・

   事例9:オークションの商品が届かない

   事例10:メールの儲け話に注意

   事例11:中古パソコンによるデータの漏洩

   事例12:クレジットカード番号が盗まれた

   事例13:ファイル共有ソフトが原因で・・・

   事例14:ワンクリック詐欺に注意

   事例15:自分の名前で勝手に書き込みが・・・

   事例16:インターネットバンキングで情報が盗まれた

   事例17:有名サイトからダウンロードしたはずなのに・・・

   事例18:ブロードバンドルータから認証情報が盗まれた・・・(IoT等)

  その他最近の傾向

   IoT機器を踏み台にした攻撃

   サポート詐欺

  セキュリティ対策の現状(統計値等)【傾向値を例示】

   脅威の現状(マイクロソフト)

    1/3

     3 社に 1 社は、ライセンスが付与されていないソフトウェアの入手およびインストール時にマルウェアが見つかっています。(The Software Alliance (BSA | ザ・ソフトウェア・アライアンス) 調査)

    200 日以上

     侵入されてから、マルウェアを発見するまで 242 日かかっています(中央値)。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    4.2 億円

     データ侵害に対する平均的なコストは 4.2 億円にのぼり、生産性低下など試算すると 360 兆円に達します。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    90%

     企業の 7 割はセキュリティ事故を経験、また 9 割は未知の脅威が侵入済みです。(トレンドマイクロ IT Japan 2015 2015 年 7 月)

   対策状況

    アンケート調査より

   被害

    アンケート調査より

   原因

    【例(統計1)】「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)⇒漏えいの多くは、人為的ミス

     管理ミス32.3%、誤操作34.9%、不正アクセス4.7、盗難5.5%、紛失・置忘れ14.3%

    【統計2】個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)

     紙媒体58.7%、USB等記憶媒体25.9%、電子メール5.5%、インターネット5.0%

    【統計X】

【レベル1】【今やろう】全ての従業員、個人が知っておくべきこと

 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

  IT人材、資金がない。。。

 【即効性のある対策】最低限の対策(本格的な対策前でも今すぐに)

  情報セキュリティ初心者のための三原則【総務省】

   原則1 ソフトウェアの更新

   原則2 ウイルス対策ソフト(ウイルス対策サービス)の導入

   原則3 IDとパスワードの適切な管理

  情報セキュリティ対策9か条【NISC/IPA】

   OS やソフトウェアは常に最新の状態にしておこう

   パスワードは貴重品のように管理しよう

   ログインID・パスワード絶対教えない用心深さ

   身に覚えのない添付ファイルは開かない

   ウイルス対策ソフトを導入しよう

   ネットショッピングでは信頼できるお店を選ぼう

   大切な情報は失う前に複製しよう

   外出先では紛失・盗難に注意しよう

   困ったときはひとりで悩まず まず相談

【レベル2】【組織を維持するために】経営者、管理者に認識していただきたいこと

 管理者が知っておくべきこと(管理者を設置していない場合は経営者が自ら知っておくべきこと)

 どんな情報資産があるか

  ビジネスに影響を与える情報資産の洗い出し

 リスクの認識

  どんな脅威があるか

   サイバー攻撃,情報漏えい,故意,過失,誤謬びゅう,不正行為,妨害行為,サービス妨害,

   風評,炎上,SPAM(迷惑メール),ファイル共有ソフト

   物理的脅威

    (事故,災害,故障,破壊,盗難,不正侵入 ほか)

   技術的脅威

    (不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか)

   人的脅威

    (誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか)

  どんな情報資産にどんな脆弱性があるか

   どんな情報資産があるか

   情報資産ごとにどんな脆弱性があるか

   バグ,セキュリティホール,人為的脆弱性

  情報資産ごとのリスクの大きさは?

  どんな予防的対策を取るか?

  予防的対策を取っても残るリスクは?(情報資産ごとの残留リスク)

  リスクは許容範囲か

   セキュリティ侵害をどこまで許せるか

  予防できなかったセキュリティ侵害が起きた場合

   どこまで対策をしてもリスクはゼロにならない。残留リスクによりセキュリティ侵害があった場合、対応策を明確にしておく

 組織の社会的責任の認識

  情報セキュリティ対策を怠ることで企業が被る不利益【中小企業の情報セキュリティ対策ガイドライン案】

   資金の喪失

   顧客の喪失

   業務の喪失

   従業員への影響

  経営者が負う責任【中小企業の情報セキュリティ対策ガイドライン案】

   経営者などに問われる法的責任

    個人情報

    他社から預かった秘密情報

    自社の秘密情報

   関係者や社会に対する責任

    営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

  経営者が認識する必要な「3原則」【中小企業の情報セキュリティ対策ガイドライン案】

   原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

   原則2 委託先における情報セキュリティ対策まで考慮する

   原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

【レベル2】【抜本的な対策】恒久的対策(予防・予兆・事象発生時のための備え)

 IT・セキュリティをビジネスの基盤として捉えている企業

 体系的な対策

  セキュリティホールを作らない、何かあっても被害を最小限に食い止める

  ISMSに準拠した対策

   情報資産毎のリスクのレベルにあった対策を必要なだけ行う

   (人的・管理的・物理的・技術的対策)

  ISMSPDCAサイクル

  「重要 として実施する「重要 7項目の取組」

   取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

   取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

   取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

   取組4 情報セキュリティ対策に関する定期的な見直しを行う

   取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える対策が担保されるようにする

   取組6 情報セキュリティに関する最新動向を収集する

   取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 チェックリスト

  自己点検表

【レベル3】【将来を見据えて】組織の発展を目指した戦略的なIT活用とセキュリティ対策

 ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

 企業経営のためのサイバーセキュリティの考え方の策定について

  基本方針ーサイバーセキュリティは、より積極的な経営への「投資」へー

   グローバルな競争環境の変化

   ITの発展によるビジネスの変革が、消費者向けのビジネスから企業間取引へと拡大

   サイバー空間と実空間の融合がさらに進み、チャンスもリスクも一層増大

   ⇒サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

  基本的な考え方

   二つの基本的認識

    <①挑戦>サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく

    <②責任>全てがつながる社会において、サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

   三つの留意事項

    <①情報発信による社会的評価の向上>

     • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

     • そのような取組に係る姿勢や方針を情報発信することが重要。

    <②リスクの一項目としてのサイバーセキュリティ>

     • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

     • 経営層のリーダーシップが必要。

    <③サプライチェーン全体でのサイバーセキュリティの確保>

     • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

     • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

 IT活用の必然性

  IT活用するためにセキュリティ対策を実施する

   セキュリティ対策は目的ではない。

   業務の効率化のためにITを活用する。

    必要以上のサイバーセキュリティ対策は、業務の効率化を阻害する

  単なる効率化だけではビジネスの競争に勝ち残れない

   これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。

  組織の発展のためにはITの活用が重要

   これからはデジタルトランスフォーメーションの時代の時代と言われている。社会の進展に対応したサービスを展開するためにITを活用する

   IT化、デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業は、大きなビジネスチャンスを得ることが期待できる。

  デジタルトランスフォーメーションに対応することが重要

   10分で分かる! 近未来予想図202X | nikkei BPnet 〈日経BPネット〉:日経BPオールジャンルまとめ読みサイト

   デジタルトランスフォーメーション時代には、創造力、技術力を持ったベンチャー企業など、ビジネスチャンスあり

   柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。

    人海戦術、定型化した作業、精密作業は、匠の技レベルでなければはシステム、機械に置き換わっていく。

    「つながる工場」「インダストリー4.0」「自動運転」「スマートアグリ」

    人工知能(AI), ディープラーニング, ビッグデータ, IoT, M2M. 仮想現実(AR), 3Dプリンタ等のデジタルを、ITを駆使した新サービスを、一般化する前に先駆的に取り入れることが重要

 ITを活用したサービスを継続するためには、情報セキュリティ対策は必須

  セキュリティ侵害は組織の存続が脅かす

   ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。

  事業を継続できるように

   どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要

  サービスの向上を図るために

   情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる

  セキュリティ対策は先行投資

   ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない

 情報公開とセキュリティ対策

  特に個人情報保護法等と情報公開法等との趣旨を理解した対策を

  的確なリスク分析に応じて必要な対策を

  個人情報の管理はその程度でいいのか

  公開を制限しているその情報はほんとに機密性があるのか

  公開してもいい情報は、その完全性、可用性の確保が重要

【付録】役立つ情報のインデックス

 用語解説

  情報セキュリティとサイバーセキュリティ

   •サイバーとは

     ◦インターネットが形成する仮想空間(サイバースペース

   •サイバー攻撃とは

    、 ◦コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うこと。

    ◦特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がある。

   •サイバーセキュリティとは

     ◦サイバー攻撃に対する防御行為。コンピューターへの不正侵入、データの改竄や破壊、情報漏洩、コンピューターウイルスの感染などがなされないよう、コンピューターやコンピューターネットワークの安全を確保すること。

   •サイバーセキュリティ基本法において、

     ◦電子的方式、磁気的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること。

  IT関連用語

  セキュリティ関連用語

 セキュリティ侵害以外のインシデントと対策

  セキュリティ対策は事業継続計画の一環で考える

  【レベル2】事業継続計画(BCP

   緊急事態(自然災害、大火災、感染症、テロ、、、)に遭遇した場合において、

   事業資産(人・もの(情報及び設備)・金)の損害を最小限にとどめつつ、

   中核となる事業の継続あるいは早期普及を可能とするため

 インシデント発生時に役立つ対策の解説

  解説1

  解説2

 【レベル2】PDCAサイクルのそれぞれのセキュリティ対策の知識

  体系的な対策で、網羅性の確保(リスクの高い情報資産にセキュリティホールを作らない)

  ISMSに準拠した情報セキュリティポリシーの策定

   情報セキュリティポリシー(基本方針)

    ◦組織は、情報セキュリティを重視し、その保障に努める。

    ◦組織は、組織のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。

    ◦組織は、利用者情報、利用情報及び組織が公開する権利を有しない情報の機密性を確保する。

    ◦組織は、職員が組織内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。

    ◦組織は、職員以外の者による組織内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

   情報セキュリティポリシー(対策基準)

    ◦人的セキュリティ対策

     情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。

    ◦物理的セキュリティ対策

     情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。

    ◦技術的セキュリティ対策

     情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。

    ◦運用に関するセキュリティ対策

     情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。

   情報セキュリティ実施手順

    •情報セキュリティ対策指針

      ◦「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策(サブコントロールレベル)を示す

    •情報資産リスクマネジメント実施手順

      ◦情報資産のリスクアセスメント、リスク対応に関する分析手法、リスク対応策を定めたもの。

     ◦機密性・完全性・可用性の視点からリスクアセスメントを行い、必要なリスク対応手順を示す。

    •情報セキュリティ実施手順(一般職員向け)

    •情報セキュリティ実施手順(システム管理者向け)

    •各部課の情報セキュリティ実施手順

  ISMS構築手順

   •ISMSの適用範囲を決定する

   •基本方針文書を策定する

   •リスクアセスメントの体系的な取り組み方法を策定する

   •リスクを識別する

   •リスクアセスメントを行う

   •リスク対策を行う

   •管理目的と管理策を選択する

   •各部課の実施手順に選択した管理策を反映させる

   •残留リスクを承認し、ISMSの実施を許可する

  ISMSPDCAサイクル

   •情報セキュリティポリシーの策定

   •リスクアセスメント

   •リスクへの対応 管理策の導入と運用

   •情報セキュリティの評価

   •情報セキュリティマネジメントの規格や標準

  わが社の情報セキュリティポリシー『中小企業の情報セキュリティ対策ガイドライン(改定案)付録 3 【IPA】』

   情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

   ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

   手順1:情報資産管理台帳を作成して重要情報を確認

    この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

    また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

   手順2:警戒すべき脅威について確認

    <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

    これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。

    なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

    サブトピック 4

   手順3:情報セキュリティ診断を実施

    <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

    1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

   手順4;必要なひな形を選んで編集すれば完成!

    手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

    <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

    なお必要に応じて、さらに項目を追加していただいてもかまいません。

 セキュリティ関連法規【IPAガイドライン案】

  1-1 個人情報保護法

  1-2 マイナンバー法

  1-3 不正競争防止法

  1-4 不正アクセス禁止法

  1-5 不正指令電磁的記録に関する罪

  1-6 労働契約法

 各種ガイドライン

  2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

  2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

  2-3 サイバーセキュリティ経営ガイドライン経済産業省)2-4 営業秘密管理指針(経済産業省

  2-5 秘密情報の保護ハンドブック(経済産業省

  2-6 組織における内部不正防止ガイドラン(IPA

 セキュリティ関係機関

  TCYSS

   TCYSSとは

   国全体のセキュリティ対策の中での位置づけ

   参加機関の役割

  政府関係機関

   サイバーセキュリティ戦略本部

   内閣サイバーセキュリティセンター(NISC)

   

  民間機関

 参考文献・参考サイト

  調査報告書

 普及・啓発・教育教材

  調査報告書

「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!

ニュースウォッチ

「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!
http://itpro.nikkeibp.co.jp/atcl/column/14/463805/100600108/

これは、中小企業に限ったことではありませんが、セキュリティ対策が重要と意識しすぎて、ITを活用させないことがセキュリティ対策として行動してしまう中企業、公的機関の組織体質の典型で、セキュリティ対策の普及啓発をすることが困難な組織だと思います。

こういう経営者、IT担当者に対して、
「新しいビジネスを展開するためにITを活用する。そのためにはリスクに応じた的確なレベルのセキュリティ対策が必要。セキュリティ対策のためにITを活用しない方向に進むのは本末転倒。」
ということを普及啓発することが重要と思っています。


以下、記事の引用です。

・確かにセキュリティは重要だが、一番重要なことはITを使って新しいビジネスを創り出したり、既存のビジネスモデルを刷新したりすることだ
・「IT部門がセキュリティの話を持ち出すものだから、ビジネスの機を逸したことがある。確かにクルマを運転する時にブレーキが必要なように、セキュリティが重要なのは理解している。だが、IT部門はなぜかクルマが車庫を出る前からブレーキを踏むんだ」
・費用対効果を無視してガチガチのセキュリティを実現しようとするのはまだ良いほうで、「ブレーキを踏んでクルマを車庫から出さない」、つまりセキュリティ面でのリスクがあるから、何もしないことがベストと思っている輩も多い。
・「デジタルビジネスなど新しい取り組みより、セキュリティのほうが重要」という“誤ったメッセージ”が広まれば、立場の弱くセキュリティに責任を持たなければいけないIT部門の技術者などは当然、「ブレーキを踏んでクルマを車庫から出さない」人々となってしまう。
・本来なら、社長やCIO(最高情報責任者)など責任ある立場の人間は、「新しい取り組みを成功させるために、セキュリティを担う君たちの役割が重要だ」と技術者らを鼓舞する必要があるのだ。
・デジタルビジネスを立ち上げるなど、新しい取り組みを行うことが前提になって初めて、「セキュリティ対策は最も重要」などと言えるのだ。
・「早めにブレーキを踏む」、つまり「サイバー攻撃のリスクが高まっているので、こんな対策を打つ」といった理性的なセキュリティ対策の話になるのだ。
・IT部門のセキュリティに関する第1のミッションは、デジタルビジネスなどを成功させることではなく、謝罪会見でトップに頭を下げさせないことになる。
・いくら現場に画期的なアイデアがあったとしても、IT部門はセキュリティを錦の御旗に動いてくれない。後はシャドーITで推進するしかないが、その場合、新たな取り組みが成功するかという事業リスクに加え、とてつもないセキュリティリスクが乗る。
サイバー攻撃の被害や個人情報漏洩など、日常的に発生する様々なセキュリティ絡みの事件や事故の多くが、人の怠慢や体制面での杜撰さによるものだったりする。例えば、ユーザー企業のIT部門がシステムの運用をITベンダーに丸投げし、そのITベンダーもさらに丸投げ、統制が働かない中で情報漏洩が発生。そんな事件はよく聞く話。

 

情報セキュリティが心配になったら

セキュリティ FIX

【緊急】どんな環境で何が起きてますか?まずは落ち着いて今起きている事象を確認しましょう

【緊急】セキュリティ侵害の可能性があるが、どこに問い合せていいかわからない?

【緊急】情報の漏えい・改ざんが起きている?

  • 犯罪の可能性がある場合は、警視庁へ
    • サイバー犯罪に係る電話相談
    • サイバー犯罪の届出(東京都)
  • 犯罪ではなさそうな場合は、下記へ

【緊急】PC、スマホの動きがおかしくなった、データが壊れた?

【緊急】実被害にあった場合

【一般】セキュリティに限らず、消費生活全般に関する苦情や問合せ先は?

【事前予防】情報セキュリティ侵害に遭わないように事前に対処しておきましょう

【知識】情報セキュリティ対策の必要性を認識し、網羅的な対策を知るには?

参考情報

■信頼性の高いセキュリティ対策情報を提供しているサイトの内容を解説します

    • 「ここからセキュリティ!」のサイト内情報を検索・選択しやすいように、1ページ内に全リンクを表示し、その内容によってレベル表示をし、また必要に応じで内容の解説を加えたもの。
    • 検索の際はWebブラウザの検索機能を利用してください
    • 緊急対応の段階と、情報セキュリティ対策の基本要件

■中小企業向けサイバーセキュリティ関連ニュース

■他のページへのリンク

 

 

相談窓口対応事例(FAQ候補)

FIX セキュリティ

相談窓口対応事例

FAQ候補になりそうな相談事例

  • 元従業員が自社名義のホームページを無断で開設した
  • サイバー空間ってなんですか
  • ネットバンキングのセキュリティ対策
  • 迷惑メールが届いている。セキュリティ対策ソフトから警告メッセージが出て迷惑メールフォルダーに残っている。このPCは安全か?
  • 成りすましと思われるメールが来ている
  • 無料のウイルス対策ソフトを導入しているがそれだけで大丈夫か
  • PC画面に「ウイルスに感染している」との表示がされた
  • ランサムウェアに感染したので調査業者を紹介してほしい
  • ランサムウェアの危険性及び対策を教えてほしい
  • スパムメールが頻繁に届くようになった
  • メールでビットコインを支払わないとDDoS攻撃をすると予告されたがどうしたらいい?
  • Webサーバがハッキングされた場合の対処療法は
  • ブライダル関係のお店でお客様の情報を登録したら、そのお客様に他のブライダル関係のメールが届くようになった
  • GoogleMapの口コミで誹謗中傷された。削除してもらうためには?
  • PC上に外部からのメッセージが書き込まれている
  • 業務での私物端末使用における留意点
  • UTM(Unified Threat Management;統合脅威管理)を導入した場合は、従来からのファイアウォールは撤去していいか?
  • 登録者へのメールを誤ってCCで送ってしまった
  • まだウイルスワクチンソフトで駆除できないマルウェアに感染した。どうしたらいい?
  • 「あなたのサーバが丸見えなので、対策の指導料をくれとのメールあり。「shodan」サイトで検索して見つけたよう。
  • ハッキング攻撃を受けているのでその対策等を教えてもらいたい。
  • 迷惑FAXが多いが、回避方法は?
  • 契約締結の際、メールで印鑑証明や謄本を送信しても悪用されたり、何らかの被害を受けないか。