中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

中小企業サイバーセキュリティ対策関連の備忘録

サイバーセキュリティに対する備えとして、特に中小企業、学校、個人が考慮すべき事項にフォーカスしてわかりやすく解説した備忘録です。

●ドキュメントの保存場所の変更


■緊急対応時のピックアップ情報

■相談対応手引き関連

■事例(FAQ候補)

■攻めのIT活用のためのセキュリティ対策

●デジタルトランスフォーメーション時代のセキュリティ対策

■中小企業向けの情報セキュリティ対策関連

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構(2017年5月)

●サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン解説書Ver.1.0【2016年12月IPA】

●企業経営のためのサイバーセキュリティの考え方

●組織における内部不正防止ガイドライン

●その他

家庭個人向け

重要インフラ関連

政府機関等

情報セキュリティマネジメント関連

人材育成・人材確保

関連基準、法規、対策機関等

セキュリティ関連情報提供サイト一覧

ニュース

その他

 

サイバーセキュリティ2018の決定と中小企業関連部分の抜粋

サイバーセキュリティ基本法(平成 26 年法律第 104 号)に基づく「サイバーセキュリティ戦略」(今後3年程度のセキュリティ施策の方向性)として、2021年度までの新たなサイバーセキュリティ戦略が策定されました。

その戦略に基づく年次計画「サイバーセキュリティ 2018」が2018年7月25日のNISCサイバーセキュリティ戦略本部第19回会合で決定しました。

 

以下は、中小企業に関連する記述の抜粋です。

 

■サイバーセキュリティに対する投資の推進

〇)総務省及び経済産業省において、一定のサイバーセキュリティ対策が講じられたデータ連携・利活用により生産性を向上させる取組について、それに必要となるシステムやサイバーセキュリティ対策製品等の導入に対して税額控除等を措置するコネクテッド・インダストリーズ税制の活用を促すことで、事業者のセキュリティ対策の強化と生産性向上を同時に促進する。

〇)経済産業省において、中小企業のサイバーセキュリティ対策の促進を図るため、身近な相談窓口の整備等の支援体制の強化を検討するとともに、サイバーセキュリティ保険の普及を図る。

(カ)総務省において、サイバーセキュリティ保険も活用した、関係者間のセキュリティに関する情報開示・共有を促進するためのモデル事業について検討を行う。

 

サプライチェーンにおけるサイバーセキュリティを確保できる仕組みの構築

内閣府において、戦略的イノベーション創造プログラム(SIP)第2期「IoT社会に対応したサイバー・フィジカル・セキュリティ」により、セキュアなSociety 5.0の実現に向けて、様々なIoT機器を守り、社会全体の安全・安心を確立するため、中小企業を含むサプライチェーン全体を守ることに活用できる、『サイバー・フィジカル・セキュリティ対策基盤』の研究開発及びその社会実装を推進する

 

■中小企業の取組の促進

内閣官房において、中小企業における実態を踏まえつつ、ITやセキュリティの知識がなくとも理解できるような対策集の作成に向けた取組を行う。

〇認定されたITベンターに対してサイバーセキュリティの情報提供などを実施するとともに、当該ITベンダーが取り組むセキュリティ対策に関する情報を中小企業向けに開示する仕組みの構築を進める。

財政投融資制度において、中小企業で導入が進んでいないネットワークセキュリティの更なる普及促進に向けて、特別利率による融資を実施する。

経済産業省において、IPAを通じ、中小企業における情報セキュリティ教育担当者や中小企業を指導する立場にある者等を対象とした「中小企業情報セキュリティ講習講師養成セミナー」を実施するとともに、中小企業団体、関係機関等との連携により、当該団体等が主催する情報セキュリティ対策セミナーに協力する取組を実施する。さらに、IPAが2017年度に創設した、対策ガイドラインに基づき中小企業自らが情報セキュリティ対策に取り組むことを 自己宣言する制度「SECURITY ACTION」への登録を促すことで、中小企業のセキュリティレベルの向上、IPA等の作成する啓発資料や情報セキュリティ対策支援サイト等のツール等の利用促進等を図る。

http://www.nisc.go.jp/conference/cs/dai19/pdf/19cs_press.pdf

相談窓口対応事例(FAQ候補)

相談窓口対応事例

FAQ候補になりそうな相談事例

  • 元従業員が自社名義のホームページを無断で開設した
    • 元従業員のアカウントを削除する。
    • 元従業員が把握している管理者権限の認証情報を変更する。
  • サイバー空間ってなんですか
    • 実社会と対比して、インターネット情報仮想社会
  • ネットバンキングのセキュリティ対策
    • 銀行サイト指定の対策アプリの利用
    • 2段階認証、ログイン端末通知
  • 迷惑メールが届いている。セキュリティ対策ソフトから警告メッセージが出て迷惑メールフォルダーに残っている。このPCは安全か?
    • メール本文や、添付ファイルを開いていなければ大丈夫と思われる
    • 削除して、ごみ箱を空にする
  • 成りすましと思われるメールが来ている
    • 相手に連絡をしたり、要求に応じない
  • 無料のウイルス対策ソフトを導入しているがそれだけで大丈夫か
    • 無料でもウイルス対策はできる
    • 有償の対策ソフトをWebサイトの閲覧、個人情報の流出防止も可能
    • 未知のウイルスもあり、対策ソフトを入れても感染する場合がある
    • 相手の手口や傾向を理解して、常に注意することが重要
  • PC画面に「ウイルスに感染している」との表示がされた
    • ウイルス対策ソフト以外からの表示は、アドウェアの可能性がある
    • 表示を止めて無視する
  • ランサムウェアに感染したので調査業者を紹介してほしい
    • システム管理者、PC保守会社、PC購入元に確認
  • ランサムウェアの危険性及び対策を教えてほしい
    • ウイルスか、外部からの侵入により、ファイルが暗号化されて、復号のために、一定期間内に金銭を要求
    • 対策
      • ウイルス対策ソフト、侵入防止機能の実装
      • ファイルを定期的にバックアップ、ネットワークから切り離し
  • スパムメールが頻繁に届くようになった
    • プロバイダにスパムメールのメールアドレスを通知
    • 最悪の場合は、メールアドレスを変更
  • メールでビットコインを支払わないとDDoS攻撃をすると予告されたがどうしたらいい?
    • 多少のDDoS攻撃でネットワークが停止しないような対策
      • インターネットルータの辺りでのDDoS攻撃の検知とアクセス制限
    • プロバイダへの通知
  • Webサーバがハッキングされた場合の対処療法は
    • WebサーバをDMZに設置し、外部からの変更用ポートの閉鎖
    • ファイルを定期的にバックアップ
  • ブライダル関係のお店でお客様の情報を登録したら、そのお客様に他のブライダル関係のメールが届くようになった
    • 消費者ホットラインに相談
  • GoogleMapの口コミで誹謗中傷された。削除してもらうためには?
    • Googleに削除要請
    • 名誉棄損、営業妨害の疑いがある場合は、証拠を揃えて、所轄の警察署に相談
  • PC上に外部からのメッセージが書き込まれている
    • 状況を正確に把握できる画面や事象の資料がなければ判断できない
  • 業務での私物端末使用における留意点
    • 端末の盗難防止、パスワードロック、紛失時の遠隔ロック
    • 重要ファイルは保存しない
    • 社内システムへのログインは、2段認証、端末認証
    • インストールするアプリの信頼性を認識
  • UTM(Unified Threat Management;統合脅威管理)を導入した場合は、従来からのファイアウォールは撤去していいか?
    • UTMがあれば通常はファイアウォールの機能は持つ
    • UTMのような高価なシステムを導入する際は、被害に遭った場合の被害額を評価して、過剰設備にならないように。
  • 登録者へのメールを誤ってCCで送ってしまった
    • 消すことはできない
    • サイト等で謝罪文を掲載する
    • 場合によっては損害賠償も必要
  • まだウイルスワクチンソフトで駆除できないマルウェアに感染した。どうしたらいい?
    • ネットワークから切り離す
    • 最新のソフトで除去を試みる
    • 感染した後の状況に応じて復旧を試みる
    • 完全に痕跡をなくすためには、PCの初期化が必要
    • 障害対応のために定期的にバックアップしておく
  • 「あなたのサーバが丸見えなので、対策の指導料をくれとのメールあり。「shodan」サイトで検索して見つけたよう。
    • 実際に閲覧可能なっているかは不明であり、具体的に有りうるのかは、IPA情報セキュリティ安心相談窓口に相談
  • ハッキング攻撃を受けているのでその対策等を教えてもらいたい。
    • 入り口、出口対策、DDoS攻撃の防御/フィルタリング等の技術的な対策が必要
    • 運用保守業者に相談
    • ITコーディネータ等に相談
  • 迷惑FAXが多いが、回避方法は?
    • 電話番号による受信拒否
    • 受信時の紙出力の停止

 

【ニュースクリップ】【2018年版】意外にあるぞ、無料で強力なセキュリティの教科書

www.itmedia.co.jp

ちょっと前ならば、何かを本気で学ぶためには「専門書を買い込み、熟読すべし」というのが当たり前でした。ところが最近は、その筋の専門家が集まって作成した質の高いドキュメントを、公的な機関が無料で配信する事例が増えています。

セキュリティのビギナー向けハンドブック

情報セキュリティハンドブック[みんなでしっかりサイバーセキュリティ]

ハードボイルドな装いの中小企業向けセキュリティ対策本

サイバーセキュリティガイドブック|中小企業支援|東京都産業労働局

ガイドブック「中小企業向けサイバーセキュリティ対策の極意」の配布

ガイドブック「中小企業向けサイバーセキュリティ対策の極意」の配布近年、サイバー攻撃の脅威が懸念されていますが、中小企業においては、「対策は必要だと分かっていても、難しくてどこから手をつけたらいいかよく分からない」などの声が聞かれます。
本ガイドブックは、「サイバー探偵 冴羽 守(さいば まもる)」が、中小企業がサイバー攻撃について必ず行うべき対策や、事故が発生した場合の初期対応などをなるべく分かりやすく伝える内容のものです。
都内中小企業の皆様へ無償で提供いたしますので、ぜひご活用ください。

【ニュースクリップ】脆弱性体験学習ツール AppGoat

www.ipa.go.jp

IPAは、AppGoat V3.0を活用し、高校や大学での講義、組織の新人教育等で効果的な集合教育を効率良く実施する上で必要な段取りや注意点をまとめた、「脆弱性体験学習ツール「AppGoat」を用いた集合教育実施の手引き」を公開しました。