中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

政府機関等向けサイバーセキュリティ対策

セキュリティ FIX

■NISC第9回会合(持ち回り開催)【平成28年8月31日NISC】

【ニュース】サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)の公開

ニュースウォッチ セキュリティ

http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf

サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)が12月8日付けで、METIのWebサイトで公開されました。

特にVer1.0との差分資料は、変更履歴がわかる形で掲載されており、政府としての現状認識、対策、用語の使い方等の見直しの方向性がわかるので、変更履歴の部分だけでも一読の価値があると思います。

■サイバーセキュリティ経営ガイドライン【2016年12月METI

http://www.meti.go.jp/policy/netsecurity/mng_guide.html

■サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA

http://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html

【ニュース】過少と過剰で揺れるセキュリティ対策、求められる「原価」の発想(2016/11/24 日経コンピュータ)

ニュースウォッチ ブックマーク

http://itpro.nikkeibp.co.jp/atcl/column/14/531236/112100070/

セキュリティ関連も含めたシステムの費用は、会計上もデジタルビジネスにおける原価となるが、「セキュリティは重要」と言われるわりには、企業のセキュリティ関連投資が進まない企業と、デジタルビジネスなどの取り組みに支障をきたすほどセキュリティ対策を厳格に行う企業の両極に分かれている。

「セキュリティはビジネスにとっての原価」として、会計上はセキュリティ対策費が原価に計上されたのに、中小企業の経営者は、その原価の費用対効果を認識せずに、過小もしくは過大なセキュリティ対策投資をしていることに関して、両極のそれぞれの企業実態に応じた意識改革の啓発活動が必要ではないでしょうか。

各種ガイドラインでの対策ポイントの抜粋

各種ガイドラインでの対策ポイントの抜粋

各種ガイドラインでの対策ポイントの抜粋

■脅威の現状(マイクロソフト)

 1/3

  3 社に 1 社は、ライセンスが付与されていないソフトウェアの入手およびインストール時にマルウェアが見つかっています。(The Software Alliance (BSA | ザ・ソフトウェア・アライアンス) 調査)

 200 日以上

  侵入されてから、マルウェアを発見するまで 242 日かかっています(中央値)。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

 4.2 億円

  データ侵害に対する平均的なコストは 4.2 億円にのぼり、生産性低下など試算すると 360 兆円に達します。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

 90%

  企業の 7 割はセキュリティ事故を経験、また 9 割は未知の脅威が侵入済みです。(トレンドマイクロ IT Japan 2015 2015 年 7 月)

■中小企業経営者向け

 ■経営者が認識する必要な「3原則」(中小企業の情報セキュリティ対策ガイドライン(第2版))

  原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

  原則2 委託先における情報セキュリティ対策まで考慮する

  原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

 ■企業 として実施する「重要7項目の取組」(中小企業の情報セキュリティ対策ガイドライン(第2版))

  取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

  取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

  取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

  取組4 情報セキュリティ対策に関する定期的な見直しを行う

  取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

  取組6 情報セキュリティに関する最新動向を収集する

  取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 ■セキュリティポリシー策定項目(中小企業の情報セキュリティ対策ガイドライン(第2版))

  1 組織的対策

  2 人的対策

  3 情報資産管理

  4 マイナンバー対応

  5 アクセス制御及び認証

  6 物理的対策

  7 IT機器利用

  8 IT基盤運用管理

  9 システムの開発及び保守

   社内でシステム開発を行う場合

  10 委託管理

   業務委託を行う場合

  11 情報セキュリティインシデント対応及び事業継続管理

  12 社内体制図

   従業員数2名以上

  13 委託契約書サンプル

   委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合

 ■緊急時の対応(中小企業の情報セキュリティ対策ガイドライン(第2版))

  ① 緊急時における 指揮命令と対応の優先順位決定

  ② インシデントへの対応(インシデントレスポンス)

  ③ インシデントの影響と被害分析

  ④ 情報収集と自社に必要な情報の選別

  ⑤ 社内関係者への連絡と周知

  ⑥ 外部関係機との連絡

 ■情報セキュリティ 5か条(中小企業の情報セキュリティ対策ガイドライン(第2版))

  ソフトウェアはつねに更新しよう

  機器に応じたマルウェア対策をしよう

  パスワードなど、認証を強化しよう

  業務に使うすべてのサービスの設定を見直そう

  脅威や攻撃の手口を知ろう

 ■サイバーセキュリティ経営の3原則 (サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  (1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

  (2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

  (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

 ■サイバーセキュリティ経営の重要10項目(サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  3.1.リーダーシップの表明と体制の構築

  3.3.リスクを踏まえた攻撃を防ぐための事前対策

  3.4.サイバー攻撃を受けた場合に備えた準備

 ■ サイバーセキュリティ経営チェックシート(サイバーセキュリティ経営ガイドライン Ver 1.0【METI】)

  (1)サイバーセキュリティリスクの認識、組織全体での対応の策定

  (2)サイバーセキュリティリスク管理体制の構築

  (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

  (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

  (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

  (6)サイバーセキュリティ対策のための資源(予算、人材等)確保

  (7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

  (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

  (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

  (10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

■個人向け

 ■インターネットを安全に利用するための情報セキュリティ対策9か条 【NISC・IPA】

  OS やソフトウェアは常に最新の状態にしておこう

  パスワードは貴重品のように管理しよう

  ログインID・パスワード絶対教えない用心深さ

  身に覚えのない添付ファイルは開かない

  ウイルス対策ソフトを導入しよう

  ネットショッピングでは信頼できるお店を選ぼう

  大切な情報は失う前に複製しよう

  外出先では紛失・盗難に注意しよう

  困ったときはひとりで悩まず まず相談

 ■初心者の3原則【総務省

  原則1 ソフトウェアの更新

  原則2 ウイルス対策ソフト(ウイルス対策サービス)の導入

  原則3 IDとパスワードの適切な管理

■事例・トッピクス

 ■中小企業における組織的な情報セキュリティ対策ガイドライン事例集【IPA】

  Case 1. 従業員の情報持ち出し

  Case 2. 退職者の情報持ち出し、競合他社への就職

  Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故

  Case 4. ホームページへの不正アクセス

  Case 5. 無許可の外部サービスの利用

  Case 6. 委託した先からの情報漏えい

  Case 7. 在庫管理システム障害の発生

  Case 8. 無線LANのパスワードのいい加減な管理

  Case 9. IT管理者の不在

  Case 10. 電子メール経由でのウイルス感染

 ■最近の主な出来事(情報セキュリティ白書2016より)

  標的型攻撃により日本年金機構から個人情報が流出

  インターネットバンキングの不正送金、被害額は過去最悪を更新

  オンライン詐欺・脅迫被害が拡大

  広く普及しているソフトウェアの脆弱性が今年も問題に

  DDoS攻撃の被害が拡大、IoT端末が狙われる

  重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

  法改正による政府機関のセキュリティ強化

  企業のセキュリティ強化に経営層の参画が重要

  セキュリティ人材育成への取り組み

  自動車・IoTのセキュリティ脅威が高まる

 ■情報セキュリティ 10 大脅威(組織)【IPA】

  標的型攻撃による情報流出

  内部不正による情報漏えいとそれに伴う業務停止

  ウェブサービスからの個人情報の搾取

  サービス妨害攻撃によるサービスの停止

  踏み台にならないため、利用している機器も含めて管理

  ウェブサイトの改ざん

  脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

  ランサムウェアを使った詐欺・恐喝

  インターネットバンキングやクレジットカード情報の不正利用

  ウェブサービスへの不正ログイン

  過失による情報漏えい

中小企業向けセキュリティ対策の実践ガイド(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

はじめに

 【適用範囲】本資料の目的、対象、期待する効果

  目的

   システム管理者が、経営者に対して、情報セキュリティ対策の実施に投資することを説得できるように

   経営者が情報セキュリティ対策の必要性を認識し、システ管理者に対して、対策の実施を指示するように

  組織の姿勢3分類 (企業経営のためのサイバーセキュリティの考え方の策定について(2016年8月2日)【NISC】より)

   【レベル1】自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

    小企業・零細企業の多く

    (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

   【レベル2】IT・セキュリティをビジネスの基盤として捉えている企業

    (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

   【レベル3】ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

    (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

  対象者

   経営者層

    システム管理者がいない組織(経営者が管理)

   システム管理者層

    システム管理者がいる組織

    ITパスポート試験レベル、基礎情報処理技術者試験レベル

  期待する効果

   経営者が、情報セキュリティ対策の必要性を認識して、自組織の問題として、情報セキュリティ対策をシステム管理者に指示し、具体的な対策を実施できるようになること

  内容構成

   「東京防災」と同レベルの難易度

   事例、緊急時対応、恒久的対策、知っておくべき知識

何のために情報セキュリティ対策を行う必要があるのか

 【現状認識】インシデント発生の事例

  最近の主な出来事(情報セキュリティ白書2016より)

   標的型攻撃により日本年金機構から個人情報が流出

   インターネットバンキングの不正送金、被害額は過去最悪を更新

   オンライン詐欺・脅迫被害が拡大

   広く普及しているソフトウェアの脆弱性が今年も問題に

   DDoS攻撃の被害が拡大、IoT端末が狙われる

   重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

   法改正による政府機関のセキュリティ強化

   企業のセキュリティ強化に経営層の参画が重要

   セキュリティ人材育成への取り組み

   自動車・IoTのセキュリティ脅威が高まる

  事象シナリオ(数種)【総務省】【主な事象を例示】

   事例1:資料請求の情報が漏洩した

   事例2:ホームページが書き換えられた

   事例3:顧客のメールアドレスが漏洩

    同報メールをCCで送った

   事例4:他人のIDで不正にオンライン株取引

   事例5:中古パソコンによるデータの漏洩

   事例6:情報セキュリティ対策は万全だったはずなのに・・・

   事例7:ファイル共有ソフトが原因で・・・

   事例8:SQLインジェクションでサーバの情報が・・・

   事例9:標的型攻撃で、企業の重要情報が・・・

    メール添付ファイルを開いた

    メールに記載のURLを開いた

   事例10:自分の名前で勝手に書き込みが・・・

   事例11:公式アカウントが乗っ取られた

   事例12:有名サイトからダウンロードしたはずなのに・・・

   事例13:クラウドサービスに預けていた重要データが消えた

  事故・被害の事例(一般利用者の対策|国民のための情報セキュリティサイト【総務省】)

   事例1:資料請求の情報が漏洩した

   事例2:私の名前で誰かがメールを

   事例3:ホームページを見ただけで・・・

   事例4:猛威!デマウイルス

   事例5:メールが他人に読まれている?

   事例6:ネットストーカーに注意

   事例7:ウイルス対策はしていたはずなのに・・・

   事例8:送った覚えがないのに・・・

   事例9:オークションの商品が届かない

   事例10:メールの儲け話に注意

   事例11:中古パソコンによるデータの漏洩

   事例12:クレジットカード番号が盗まれた

   事例13:ファイル共有ソフトが原因で・・・

   事例14:ワンクリック詐欺に注意

   事例15:自分の名前で勝手に書き込みが・・・

   事例16:インターネットバンキングで情報が盗まれた

   事例17:有名サイトからダウンロードしたはずなのに・・・

   事例18:ブロードバンドルータから認証情報が盗まれた・・・(IoT等)

  その他最近の傾向

   IoT機器を踏み台にした攻撃

   サポート詐欺

  セキュリティ対策の現状(統計値等)【傾向値を例示】

   脅威の現状(マイクロソフト)

    1/3

     3 社に 1 社は、ライセンスが付与されていないソフトウェアの入手およびインストール時にマルウェアが見つかっています。(The Software Alliance (BSA | ザ・ソフトウェア・アライアンス) 調査)

    200 日以上

     侵入されてから、マルウェアを発見するまで 242 日かかっています(中央値)。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    4.2 億円

     データ侵害に対する平均的なコストは 4.2 億円にのぼり、生産性低下など試算すると 360 兆円に達します。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    90%

     企業の 7 割はセキュリティ事故を経験、また 9 割は未知の脅威が侵入済みです。(トレンドマイクロ IT Japan 2015 2015 年 7 月)

   対策状況

    アンケート調査より

   被害

    アンケート調査より

   原因

    【例(統計1)】「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)⇒漏えいの多くは、人為的ミス

     管理ミス32.3%、誤操作34.9%、不正アクセス4.7、盗難5.5%、紛失・置忘れ14.3%

    【統計2】個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)

     紙媒体58.7%、USB等記憶媒体25.9%、電子メール5.5%、インターネット5.0%

    【統計X】

【レベル1】【今やろう】全ての従業員、個人が知っておくべきこと

 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

  IT人材、資金がない。。。

 【即効性のある対策】最低限の対策(本格的な対策前でも今すぐに)

  情報セキュリティ初心者のための三原則【総務省】

   原則1 ソフトウェアの更新

   原則2 ウイルス対策ソフト(ウイルス対策サービス)の導入

   原則3 IDとパスワードの適切な管理

  情報セキュリティ対策9か条【NISC/IPA】

   OS やソフトウェアは常に最新の状態にしておこう

   パスワードは貴重品のように管理しよう

   ログインID・パスワード絶対教えない用心深さ

   身に覚えのない添付ファイルは開かない

   ウイルス対策ソフトを導入しよう

   ネットショッピングでは信頼できるお店を選ぼう

   大切な情報は失う前に複製しよう

   外出先では紛失・盗難に注意しよう

   困ったときはひとりで悩まず まず相談

【レベル2】【組織を維持するために】経営者、管理者に認識していただきたいこと

 管理者が知っておくべきこと(管理者を設置していない場合は経営者が自ら知っておくべきこと)

 どんな情報資産があるか

  ビジネスに影響を与える情報資産の洗い出し

 リスクの認識

  どんな脅威があるか

   サイバー攻撃,情報漏えい,故意,過失,誤謬びゅう,不正行為,妨害行為,サービス妨害,

   風評,炎上,SPAM(迷惑メール),ファイル共有ソフト

   物理的脅威

    (事故,災害,故障,破壊,盗難,不正侵入 ほか)

   技術的脅威

    (不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか)

   人的脅威

    (誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか)

  どんな情報資産にどんな脆弱性があるか

   どんな情報資産があるか

   情報資産ごとにどんな脆弱性があるか

   バグ,セキュリティホール,人為的脆弱性

  情報資産ごとのリスクの大きさは?

  どんな予防的対策を取るか?

  予防的対策を取っても残るリスクは?(情報資産ごとの残留リスク)

  リスクは許容範囲か

   セキュリティ侵害をどこまで許せるか

  予防できなかったセキュリティ侵害が起きた場合

   どこまで対策をしてもリスクはゼロにならない。残留リスクによりセキュリティ侵害があった場合、対応策を明確にしておく

 組織の社会的責任の認識

  情報セキュリティ対策を怠ることで企業が被る不利益【中小企業の情報セキュリティ対策ガイドライン案】

   資金の喪失

   顧客の喪失

   業務の喪失

   従業員への影響

  経営者が負う責任【中小企業の情報セキュリティ対策ガイドライン案】

   経営者などに問われる法的責任

    個人情報

    他社から預かった秘密情報

    自社の秘密情報

   関係者や社会に対する責任

    営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

  経営者が認識する必要な「3原則」【中小企業の情報セキュリティ対策ガイドライン案】

   原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

   原則2 委託先における情報セキュリティ対策まで考慮する

   原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

【レベル2】【抜本的な対策】恒久的対策(予防・予兆・事象発生時のための備え)

 IT・セキュリティをビジネスの基盤として捉えている企業

 体系的な対策

  セキュリティホールを作らない、何かあっても被害を最小限に食い止める

  ISMSに準拠した対策

   情報資産毎のリスクのレベルにあった対策を必要なだけ行う

   (人的・管理的・物理的・技術的対策)

  ISMSPDCAサイクル

  「重要 として実施する「重要 7項目の取組」

   取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

   取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

   取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

   取組4 情報セキュリティ対策に関する定期的な見直しを行う

   取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える対策が担保されるようにする

   取組6 情報セキュリティに関する最新動向を収集する

   取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 チェックリスト

  自己点検表

【レベル3】【将来を見据えて】組織の発展を目指した戦略的なIT活用とセキュリティ対策

 ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

 企業経営のためのサイバーセキュリティの考え方の策定について

  基本方針ーサイバーセキュリティは、より積極的な経営への「投資」へー

   グローバルな競争環境の変化

   ITの発展によるビジネスの変革が、消費者向けのビジネスから企業間取引へと拡大

   サイバー空間と実空間の融合がさらに進み、チャンスもリスクも一層増大

   ⇒サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

  基本的な考え方

   二つの基本的認識

    <①挑戦>サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく

    <②責任>全てがつながる社会において、サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

   三つの留意事項

    <①情報発信による社会的評価の向上>

     • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

     • そのような取組に係る姿勢や方針を情報発信することが重要。

    <②リスクの一項目としてのサイバーセキュリティ>

     • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

     • 経営層のリーダーシップが必要。

    <③サプライチェーン全体でのサイバーセキュリティの確保>

     • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

     • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

 IT活用の必然性

  IT活用するためにセキュリティ対策を実施する

   セキュリティ対策は目的ではない。

   業務の効率化のためにITを活用する。

    必要以上のサイバーセキュリティ対策は、業務の効率化を阻害する

  単なる効率化だけではビジネスの競争に勝ち残れない

   これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。

  組織の発展のためにはITの活用が重要

   これからはデジタルトランスフォーメーションの時代の時代と言われている。社会の進展に対応したサービスを展開するためにITを活用する

   IT化、デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業は、大きなビジネスチャンスを得ることが期待できる。

  デジタルトランスフォーメーションに対応することが重要

   10分で分かる! 近未来予想図202X | nikkei BPnet 〈日経BPネット〉:日経BPオールジャンルまとめ読みサイト

   デジタルトランスフォーメーション時代には、創造力、技術力を持ったベンチャー企業など、ビジネスチャンスあり

   柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。

    人海戦術、定型化した作業、精密作業は、匠の技レベルでなければはシステム、機械に置き換わっていく。

    「つながる工場」「インダストリー4.0」「自動運転」「スマートアグリ」

    人工知能(AI), ディープラーニング, ビッグデータ, IoT, M2M. 仮想現実(AR), 3Dプリンタ等のデジタルを、ITを駆使した新サービスを、一般化する前に先駆的に取り入れることが重要

 ITを活用したサービスを継続するためには、情報セキュリティ対策は必須

  セキュリティ侵害は組織の存続が脅かす

   ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。

  事業を継続できるように

   どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要

  サービスの向上を図るために

   情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる

  セキュリティ対策は先行投資

   ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない

 情報公開とセキュリティ対策

  特に個人情報保護法等と情報公開法等との趣旨を理解した対策を

  的確なリスク分析に応じて必要な対策を

  個人情報の管理はその程度でいいのか

  公開を制限しているその情報はほんとに機密性があるのか

  公開してもいい情報は、その完全性、可用性の確保が重要

【付録】役立つ情報のインデックス

 用語解説

  情報セキュリティとサイバーセキュリティ

   •サイバーとは

     ◦インターネットが形成する仮想空間(サイバースペース

   •サイバー攻撃とは

    、 ◦コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うこと。

    ◦特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がある。

   •サイバーセキュリティとは

     ◦サイバー攻撃に対する防御行為。コンピューターへの不正侵入、データの改竄や破壊、情報漏洩、コンピューターウイルスの感染などがなされないよう、コンピューターやコンピューターネットワークの安全を確保すること。

   •サイバーセキュリティ基本法において、

     ◦電子的方式、磁気的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること。

  IT関連用語

  セキュリティ関連用語

 セキュリティ侵害以外のインシデントと対策

  セキュリティ対策は事業継続計画の一環で考える

  【レベル2】事業継続計画(BCP

   緊急事態(自然災害、大火災、感染症、テロ、、、)に遭遇した場合において、

   事業資産(人・もの(情報及び設備)・金)の損害を最小限にとどめつつ、

   中核となる事業の継続あるいは早期普及を可能とするため

 インシデント発生時に役立つ対策の解説

  解説1

  解説2

 【レベル2】PDCAサイクルのそれぞれのセキュリティ対策の知識

  体系的な対策で、網羅性の確保(リスクの高い情報資産にセキュリティホールを作らない)

  ISMSに準拠した情報セキュリティポリシーの策定

   情報セキュリティポリシー(基本方針)

    ◦組織は、情報セキュリティを重視し、その保障に努める。

    ◦組織は、組織のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。

    ◦組織は、利用者情報、利用情報及び組織が公開する権利を有しない情報の機密性を確保する。

    ◦組織は、職員が組織内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。

    ◦組織は、職員以外の者による組織内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

   情報セキュリティポリシー(対策基準)

    ◦人的セキュリティ対策

     情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。

    ◦物理的セキュリティ対策

     情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。

    ◦技術的セキュリティ対策

     情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。

    ◦運用に関するセキュリティ対策

     情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。

   情報セキュリティ実施手順

    •情報セキュリティ対策指針

      ◦「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策(サブコントロールレベル)を示す

    •情報資産リスクマネジメント実施手順

      ◦情報資産のリスクアセスメント、リスク対応に関する分析手法、リスク対応策を定めたもの。

     ◦機密性・完全性・可用性の視点からリスクアセスメントを行い、必要なリスク対応手順を示す。

    •情報セキュリティ実施手順(一般職員向け)

    •情報セキュリティ実施手順(システム管理者向け)

    •各部課の情報セキュリティ実施手順

  ISMS構築手順

   •ISMSの適用範囲を決定する

   •基本方針文書を策定する

   •リスクアセスメントの体系的な取り組み方法を策定する

   •リスクを識別する

   •リスクアセスメントを行う

   •リスク対策を行う

   •管理目的と管理策を選択する

   •各部課の実施手順に選択した管理策を反映させる

   •残留リスクを承認し、ISMSの実施を許可する

  ISMSPDCAサイクル

   •情報セキュリティポリシーの策定

   •リスクアセスメント

   •リスクへの対応 管理策の導入と運用

   •情報セキュリティの評価

   •情報セキュリティマネジメントの規格や標準

  わが社の情報セキュリティポリシー『中小企業の情報セキュリティ対策ガイドライン(改定案)付録 3 【IPA】』

   情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

   ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

   手順1:情報資産管理台帳を作成して重要情報を確認

    この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

    また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

   手順2:警戒すべき脅威について確認

    <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

    これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。

    なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

    サブトピック 4

   手順3:情報セキュリティ診断を実施

    <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

    1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

   手順4;必要なひな形を選んで編集すれば完成!

    手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

    <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

    なお必要に応じて、さらに項目を追加していただいてもかまいません。

 セキュリティ関連法規【IPAガイドライン案】

  1-1 個人情報保護法

  1-2 マイナンバー法

  1-3 不正競争防止法

  1-4 不正アクセス禁止法

  1-5 不正指令電磁的記録に関する罪

  1-6 労働契約法

 各種ガイドライン

  2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

  2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

  2-3 サイバーセキュリティ経営ガイドライン経済産業省)2-4 営業秘密管理指針(経済産業省

  2-5 秘密情報の保護ハンドブック(経済産業省

  2-6 組織における内部不正防止ガイドラン(IPA

 セキュリティ関係機関

  TCYSS

   TCYSSとは

   国全体のセキュリティ対策の中での位置づけ

   参加機関の役割

  政府関係機関

   サイバーセキュリティ戦略本部

   内閣サイバーセキュリティセンター(NISC)

   

  民間機関

 参考文献・参考サイト

  調査報告書

 普及・啓発・教育教材

  調査報告書

【ニュース】「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!

ニュースウォッチ

「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!
http://itpro.nikkeibp.co.jp/atcl/column/14/463805/100600108/

これは、中小企業に限ったことではありませんが、セキュリティ対策が重要と意識しすぎて、ITを活用させないことがセキュリティ対策として行動してしまう中企業、公的機関の組織体質の典型で、セキュリティ対策の普及啓発をすることが困難な組織だと思います。

こういう経営者、IT担当者に対して、
「新しいビジネスを展開するためにITを活用する。そのためにはリスクに応じた的確なレベルのセキュリティ対策が必要。セキュリティ対策のためにITを活用しない方向に進むのは本末転倒。」
ということを普及啓発することが重要と思っています。


以下、記事の引用です。

・確かにセキュリティは重要だが、一番重要なことはITを使って新しいビジネスを創り出したり、既存のビジネスモデルを刷新したりすることだ
・「IT部門がセキュリティの話を持ち出すものだから、ビジネスの機を逸したことがある。確かにクルマを運転する時にブレーキが必要なように、セキュリティが重要なのは理解している。だが、IT部門はなぜかクルマが車庫を出る前からブレーキを踏むんだ」
・費用対効果を無視してガチガチのセキュリティを実現しようとするのはまだ良いほうで、「ブレーキを踏んでクルマを車庫から出さない」、つまりセキュリティ面でのリスクがあるから、何もしないことがベストと思っている輩も多い。
・「デジタルビジネスなど新しい取り組みより、セキュリティのほうが重要」という“誤ったメッセージ”が広まれば、立場の弱くセキュリティに責任を持たなければいけないIT部門の技術者などは当然、「ブレーキを踏んでクルマを車庫から出さない」人々となってしまう。
・本来なら、社長やCIO(最高情報責任者)など責任ある立場の人間は、「新しい取り組みを成功させるために、セキュリティを担う君たちの役割が重要だ」と技術者らを鼓舞する必要があるのだ。
・デジタルビジネスを立ち上げるなど、新しい取り組みを行うことが前提になって初めて、「セキュリティ対策は最も重要」などと言えるのだ。
・「早めにブレーキを踏む」、つまり「サイバー攻撃のリスクが高まっているので、こんな対策を打つ」といった理性的なセキュリティ対策の話になるのだ。
・IT部門のセキュリティに関する第1のミッションは、デジタルビジネスなどを成功させることではなく、謝罪会見でトップに頭を下げさせないことになる。
・いくら現場に画期的なアイデアがあったとしても、IT部門はセキュリティを錦の御旗に動いてくれない。後はシャドーITで推進するしかないが、その場合、新たな取り組みが成功するかという事業リスクに加え、とてつもないセキュリティリスクが乗る。
サイバー攻撃の被害や個人情報漏洩など、日常的に発生する様々なセキュリティ絡みの事件や事故の多くが、人の怠慢や体制面での杜撰さによるものだったりする。例えば、ユーザー企業のIT部門がシステムの運用をITベンダーに丸投げし、そのITベンダーもさらに丸投げ、統制が働かない中で情報漏洩が発生。そんな事件はよく聞く話。

 

相談窓口対応事例(FAQ候補)

FIX セキュリティ

相談窓口対応事例

FAQ候補になりそうな相談事例

  • 元従業員が自社名義のホームページを無断で開設した
  • サイバー空間ってなんですか
  • ネットバンキングのセキュリティ対策
  • 迷惑メールが届いている。セキュリティ対策ソフトから警告メッセージが出て迷惑メールフォルダーに残っている。このPCは安全か?
  • 成りすましと思われるメールが来ている
  • 無料のウイルス対策ソフトを導入しているがそれだけで大丈夫か
  • PC画面に「ウイルスに感染している」との表示がされた
  • ランサムウェアに感染したので調査業者を紹介してほしい
  • ランサムウェアの危険性及び対策を教えてほしい
  • スパムメールが頻繁に届くようになった
  • メールでビットコインを支払わないとDDoS攻撃をすると予告されたがどうしたらいい?
  • Webサーバがハッキングされた場合の対処療法は
  • ブライダル関係のお店でお客様の情報を登録したら、そのお客様に他のブライダル関係のメールが届くようになった
  • GoogleMapの口コミで誹謗中傷された。削除してもらうためには?
  • PC上に外部からのメッセージが書き込まれている
  • 業務での私物端末使用における留意点
  • UTM(Unified Threat Management;統合脅威管理)を導入した場合は、従来からのファイアウォールは撤去していいか?
  • 登録者へのメールを誤ってCCで送ってしまった
  • まだウイルスワクチンソフトで駆除できないマルウェアに感染した。どうしたらいい?
  • 「あなたのサーバが丸見えなので、対策の指導料をくれとのメールあり。「shodan」サイトで検索して見つけたよう。
  • ハッキング攻撃を受けているのでその対策等を教えてもらいたい。
  • 迷惑FAXが多いが、回避方法は?
  • 契約締結の際、メールで印鑑証明や謄本を送信しても悪用されたり、何らかの被害を受けないか。