中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

【参考】サイバーセキュリティ関連各種ガイドブックの内容要約 (2017年7月6日)

www.xmind.net

1.一般ユーザ向け

1.1.インターネットを安全に利用するための情報セキュリティ対策9か条 NISCIPA

1.1.1.OS やソフトウェアは常に最新の状態にしておこう

1.1.2.パスワードは貴重品のように管理しよう

1.1.3.ログインID・パスワード絶対教えない用心深さ

1.1.4.身に覚えのない添付ファイルは開かない

1.1.5.ウイルス対策ソフトを導入しよう

1.1.6.ネットショッピングでは信頼できるお店を選ぼう

1.1.7.大切な情報は失う前に複製しよう

1.1.8.外出先では紛失・盗難に注意しよう

1.1.9.困ったときはひとりで悩まず まず相談

1.2.ネットワークビギナーのための情報セキュリティハンドブック(小冊子)【20160202NISC20161202NISC

 

1.2.1.目次

1.2.1.1.人物紹介

1.2.1.2.おうちのCSIRTになってね

1.2.1.3.Black Hat the Cracker

1.2.2.プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ

1.2.2.1.S1. サイバー攻撃のイメージ

1.2.2.1.1.S1. サイバー攻撃って誰がやっているの?どうするの?

1.2.2.1.2.コラム:攻撃者とハッカーとクラッカー

1.2.2.1.3.コラム:攻撃者が使う武器「マルウェア」

1.2.2.1.3.1.どんな種類があるの?

1.2.2.1.3.2.どんな機能を持つの?

1.2.2.1.3.3.どんなものが感染したり、感染させたり、悪さするようになるのか

1.2.2.1.4.S2. サイバー攻撃の例

1.2.2.1.4.1.偽サイトでのフィッシング詐欺や重要情報の不正送信

1.2.2.1.4.2.ランサムウェアで身代金要求

1.2.2.1.4.3.ボットネットに組み込まれる

1.2.2.1.5.S3. サイバー関連の犯罪やトラブル

1.2.2.1.5.1.なりすましや略取・誘拐(連れ去り)

1.2.2.1.5.2.セクスティング

1.2.2.1.5.3.ネットいじめ

1.2.2.1.6.S4. 人の心の隙を突く「ソーシャルエンジニアリング」攻撃

1.2.2.1.6.1.「ソーシャルエンジニアリング」は現実でもネットでも心の隙を突いてだます

1.2.3.1 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!

1.2.3.1.S1. 4つのポイントでセキュリティを守る

1.2.3.1.1.P1. システムを最新に保つ。セキュリティソフトを入れて防ぐ

1.2.3.1.1.1.様々な段階でセキュリティを守る

1.2.3.1.2.P2. 複雑なパスワードと多要素認証で侵入されにくくする

1.2.3.1.3.P3. 攻撃されにくくするには侵入に手間(コスト)がかかるようにする

1.2.3.1.3.1.守りを何重にもして侵入されにくくする

1.2.3.1.4.P4. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

1.2.3.2.S2. 環境を最新に保つ、セキュリティソフトを導入する

1.2.3.2.1.P1. セキュリティソフトを導入して守りを固めよう

1.2.3.2.1.1.単純なウイルス検知ソフト

1.2.3.2.1.2.進化したセキュリティソフト(ふるまい検知、ヒューリスティック分析)

1.2.3.2.1.3.手配書が間に合わないゼロディ攻撃も

1.2.3.2.2.P2. パソコン本体とセキュリティの状態を最新に保とう

1.2.3.2.2.1.本体もOSもセキュリティソフトも重要ソフトもアップデート

1.2.3.2.3.P3. スマートフォンやネットワーク機器も最新に保とう

1.2.3.2.3.1.アプリやセキュリティソフトの更新は基本的に自動にし、まめにチェック

1.2.3.2.3.2.ネットにつながる家電もファームウェア更新、設定ページのID・パスワードは変更しておくこと

1.2.3.2.4.P4. ソフトやアプリは信頼できる場ところ所から。権限にも気をつける

1.2.3.2.4.1.不審な場所からアプリをインストールしない。権限に気をつける

1.2.3.2.5.コラム:必要ならばスマホにはセキュリティパックを検討しよう

1.2.3.2.5.1.必要性を感じるなら、スマホにはセキュリティパック導入を検討しよう

1.2.3.2.5.2.スマホの改造をしてはいけません

1.2.3.2.5.3.スマート家電の中にはパソコンやスマホがある?

1.2.3.2.6.コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!

1.2.3.2.6.1.ゼロディ攻撃とは? 対処の例

1.2.3.2.6.2.ゼロディ攻撃に対抗するには?

1.2.3.3.S3. 複雑なパスワードと多要素認証で侵入されにくくする

1.2.3.3.1.P1. パスワードの安全性を高める

1.2.3.3.1.1.パスワードは少なくとも英大文字小文字+数字+記号で10

1.2.3.3.2.P2. パスワードの使い回しをしない

1.2.3.3.2.1.同じパスワードを使い回さない。似たパスワード、法則性のあるパスワードは×

1.2.3.3.3.P3. パスワードを適切に保管する

1.2.3.3.3.1.パスワードを使用する場所に置かない。パソコンの中も×

1.2.3.3.3.2.パスワードはノートに書いて保管するか、パスワード管理アプリで守る

1.2.3.3.3.3.ブラウザの自動入力にパスワードを覚えさせない

1.2.3.3.4.P4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う

1.2.3.3.4.1.秘密の質問にはまじめに答えない。答えは使い回さない

1.2.3.3.4.2.多要素認証やログイン通知でセキュリティを向上

1.2.3.3.5.コラム:パスワードはどうやって漏れるの?どう使われるの?

1.2.3.3.5.1.様々なID・パスワードの抜き取り方法

1.2.3.3.5.2.盗んだID・パスワードを使い様々なサービスを乗っ取れるか試す

1.2.3.4.S4. 攻撃されにくくするには、手間(コスト)がかかるようにする

1.2.3.4.1.攻撃されにくくするには手間がかかるようにする

1.2.3.4.2.金銭目的ではない攻撃にも備えよう

1.2.3.4.3.攻撃者に操られて内側から鍵を開けてしまわないように心がまえを持とう

1.2.3.5.S5. 心の隙を作らないようにする(対ソーシャルエンジニアリング)

1.2.3.5.1.古典的なソーシャルエンジニアリング

1.2.3.5.2.デジタル世代のソーシャルエンジニアリング

1.2.3.5.3.標的型メールの例

1.2.3.5.4.フィッシングメールの例

1.2.3.5.5.悪意はないが拡散してしまう例

1.2.3.5.6.コラム:軍事スパイ、産業スパイに狙われてしまったら

1.2.3.5.6.1.職業スパイにはコストによる防御が効かない

1.2.3.5.6.2.スパイ活動の今昔

1.2.3.5.7.コラム:映画「ザ・ハッカー」にみるソーシャルエンジニアリング

1.2.3.5.8.コラム:スパムメールとその由来

1.2.4.2章セキュリティを理解して、ネットを安全に使う

1.2.4.1.S1. パスワードを守る、 パスワードで守る

1.2.4.1.1.P1. パスワードってなに?

1.2.4.1.2.P2. 3種類の「パスワード」を理解する

1.2.4.1.2.1.1を「PINコード」

1.2.4.1.2.2.2を「ログインパスワード」

1.2.4.1.2.3.3を「暗号キー」

1.2.4.1.3.P3. PI Nコード」と「ログインパスワード」に求められる複雑さの違い

1.2.4.1.4.P4. 「暗号キー」に求められる複雑さ

1.2.4.1.5.P5. どちらの「パスワード」か、わかりにくい例

1.2.4.1.5.1.トピック:パスワードを破る手段は色々

1.2.4.1.5.1.1.ブルートフォース攻撃(総当たり攻撃)

1.2.4.1.5.1.2.リスト型攻撃(アカウントリスト/パスワードリスト攻撃)

1.2.4.1.5.1.3.辞書攻撃(ディクショナリアタック)

1.2.4.1.6.P6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御

1.2.4.1.6.1.トピック:多要素認証の構成要素は?

1.2.4.1.6.1.1.①知っているもの

1.2.4.1.6.1.2.②持っているもの

1.2.4.1.6.1.3.③本人自身に関するもの

1.2.4.1.6.2.トピック:指紋認証が破られることも

1.2.4.1.7.P7. パスワードの定期変更は必要なし。流出時は速やかに変更する

1.2.4.1.8.P8. パスワード流出時の便乗攻撃に注意

1.2.4.1.9.P9. 厳重なパスワードの保管

1.2.4.1.9.1.トピック:ブラウザにはパスワード保存しない

1.2.4.1.9.2.トピック:パスワード管理方法の例

1.2.4.1.9.3.トピック:パスワード管理方法のメリットデメリット

1.2.4.1.10.P10. パスワード情報をクラウドで利用する善し悪し

1.2.4.1.11.P11. ノートやスマホを失くした場合のリカバリ考察

1.2.4.1.12.P12. 次善の策のソーシャルログイン。二段階認証などで防御

1.2.4.1.13.P13. ソーシャルログインで連携される情報に注意

1.2.4.1.13.1.トピック:ソーシャルログインに使えるアカウント

1.2.4.1.13.1.1.二段階認証

1.2.4.1.13.1.2.ログイン通知

1.2.4.1.13.2.トピック:ソーシャルログインとサービス・アプリ連携の違い

1.2.4.1.13.2.1.ソーシャルログイン

1.2.4.1.13.2.2.アプリ・サービス連携

1.2.4.1.13.3.トピック:アプリなどの連携は定期的に棚卸ししよう

1.2.4.1.14.P14. ソーシャルログインとは性格が違うサービス連携

1.2.4.1.15.コラム:暗号化の超簡単説明

1.2.4.1.15.1.トピック:暗号化ってなに?

1.2.4.1.15.1.1.平文での通信は読めてしまう

1.2.4.1.15.1.2.暗号化の魔法は内容を読めなくする

1.2.4.1.15.1.3.暗号化したものを送れば攻撃者が読めない

1.2.4.1.15.1.4.事前に決めておいた方法(暗号化方法)と呪文(「暗号キー」)で暗号文を復元(復号)する

1.2.4.1.15.2.トピック:暗号が破られる場合

1.2.4.1.15.2.1.暗号化方法の種類はいろいろ

1.2.4.1.15.2.2.暗号破られ① 呪文がバレている!

1.2.4.1.15.2.3.暗号破られ② 方法が古くて解読可能!

1.2.4.1.15.2.4.暗号破られ③ 呪文が簡単すぎて解読される

1.2.4.2.S2. 通信を守る、無線LANを安全に利用する

1.2.4.2.1.P1. それぞれの状況に合わせた暗号化の必要性

1.2.4.2.1.1.トピック:それぞれの状況に合わせた暗号化

1.2.4.2.1.1.1.通信の暗号化

1.2.4.2.1.1.2.ファイルの暗号化

1.2.4.2.2.P2. 無線LAN通信(Wi-Fi)の構成要素

1.2.4.2.2.1.トピック:暗号を使う無線LANの構成要素

1.2.4.2.2.2.トピック:公衆無線LANが安全とは限らない

1.2.4.2.2.3.トピック:「暗号キー」共有は接続しちゃダメ

1.2.4.2.3.P3. 暗号化なしや、方式が安全ではないものは危険

1.2.4.2.4.P4. 暗号化方式が安全でも「暗号キー」が漏れれば危険

1.2.4.2.5.P5. 家庭内での安全な無線LANの設定(暗号化方式

1.2.4.2.6.P6. 家庭内での安全な無線LANの設定(その他

1.2.4.2.6.1.トピック:家庭でのWi-Fiの利用

1.2.4.2.6.1.1.①出荷時の管理者パスワード、「暗号キー」の変更

1.2.4.2.6.1.2.②「暗号キー」は家族のヒミツ

1.2.4.2.6.1.3.③ルータと機器の安全な運用

1.2.4.2.7.P7. 公衆無線LAN の安全な利用

1.2.4.2.8.P8. 個別の「暗号キー」を用いる方式の無線LAN

1.2.4.2.9.P9. 公衆無線LAN に関して新規に購入したスマホなどで行うこと

1.2.4.2.9.1.トピック:公衆無線LAN通信の表示の意味

1.2.4.2.9.1.1.①スマホやパソコンの画面から見た無線LAN暗号化

1.2.4.2.9.1.2.②詳細な区分けから見た無線LAN暗号化

1.2.4.2.9.2.トピック:新しいスマホを購入したら

1.2.4.2.10.P10. 公衆無線LAN が安全ではない場合の利用方法

1.2.4.2.11.P11. 自前の暗号化による盗聴対策

1.2.4.2.12.P12. まとめて暗号化するVPN、現状は過信できないが今後に期待

1.2.4.2.12.1.トピック:様々な場所から安全なアクセスを可能にするVPN新しいスマホを購入したら

1.2.4.2.12.1.1.①詳細なVPNのイメージ

1.2.4.2.12.1.2.②簡単なVPNのイメージ

1.2.4.3.S3. ウェブを安全に利用する、暗号化で守る

1.2.4.3.1.P1. 無線LAN の暗号化とVPNの守備範囲

1.2.4.3.1.1.トピック:それぞれの暗号化の守備範囲

1.2.4.3.1.1.1.①無線LANの暗号化

1.2.4.3.1.1.2.②VPNによる暗号化

1.2.4.3.1.1.3.③ウェブ、メールの暗号化

1.2.4.3.1.1.4.④VPN+ウェブメールの暗号化

1.2.4.3.2.P2. 全ての通信と、その一部であるウェブの通信

1.2.4.3.3.P3. httpsで始まる暗号化通信にはどんなものがあるか

1.2.4.3.4.P4. より厳格な審査の「EVSSL証明書

1.2.4.3.5.P5. EV-SSL証明書」を持つサイトを見分ける方法

1.2.4.3.6.P6. 有効期限が切れた証明書は拒否する

1.2.4.3.7.P7. 他にも証明書に関する警告が出るサイトは接続しない

1.2.4.3.8.P8. ウェブサービスのログインは二段階認証などを使う

1.2.4.3.8.1.トピック:httpsの暗号化通信で情報を守る

1.2.4.3.8.1.1.個人情報の入力は基本的には……

1.2.4.3.8.2.トピック:攻撃者が不正に取得した証明書に注意

1.2.4.3.8.3.トピック:証明書の内容をチェックする

1.2.4.3.9.P9. 二段階認証を破る「中間者攻撃」

1.2.4.3.9.1.トピック:間に入ってなりすます中間者攻撃の例

1.2.4.3.9.1.1.①中間者攻撃で二段階認証が破られる例

1.2.4.3.9.1.2.②中間者攻撃で二段階認証が破られにくい例

1.2.4.3.9.2.トピック:ウェブを使ったサイバー攻撃の例

1.2.4.3.9.2.1.①メール等による感染

1.2.4.3.9.2.2.②水飲み場攻撃による感染

1.2.4.3.10.P10. ウェブを使ったサイバー攻撃に対応する

1.2.4.4.S4. メールを安全に利用する、暗号化で守る

1.2.4.4.1.P1. メールにおける暗号化

1.2.4.4.2.P2. スパムメールの嵐と、メールの暗号化

1.2.4.4.3.P3. 受信側も暗号化で保護

1.2.4.4.4.P4. メールにおける暗号化の守備範囲

1.2.4.4.4.1.トピック:メールの送受信は暗号化されているか

1.2.4.4.4.1.1.メールソフトやアプリが暗号化(SSL)利用になっているか?

1.2.4.4.4.2.トピック:しかしSSLの通信は自分のサーバまで

1.2.4.4.4.3.トピック:暗号化している同じサービスを利用する

1.2.4.4.5.P5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化

1.2.4.4.6.P6. 怪しいメールとはなにか.. .

1.2.4.4.7.P7. マルウェア入りの添付ファイルに気をつける

1.2.4.4.7.1.トピック:ウェブメールの送受信は暗号化されているか

1.2.4.4.7.2.トピック:怪しいメールとはなにか

1.2.4.4.7.2.1.①仕事のメールを装う

1.2.4.4.7.2.2.② 銀行、カード会社、ECサイト、プロバイダ関係を装うメール

1.2.4.4.7.3.トピック:本当の仕事仲間のメールでも攻撃は来る

1.2.4.4.8.P8. メールアドレスのウェブサービスなどからの流出

1.2.4.4.9.P9. 流出・スパム対策としての、変更可能メールアドレスの利用

1.2.4.4.10.P10. 通信の安全と永続性を考えたSNSやメールの利用

1.2.4.4.10.1.トピック:マルウェア入りファイルの偽装

1.2.4.4.10.2.トピック:メールアドレスを変えてスパムメールから逃げる

1.2.4.5.S5. データファイルを守る、暗号化で守る

1.2.4.5.1.トピック:データの暗号化は保険

1.2.4.5.2.トピック:データを持ち運ぶときは必ず暗号化メディアを使う

1.2.4.5.3.トピック:「暗号キー」が1個の方式(共通鍵暗号方式)

1.2.4.5.4.トピック:「暗号キー」が2個の方式(公開鍵暗号方式)

1.2.4.5.5.コラム:クラウドサービスからのデータ流出。原因は?

1.2.5.3 スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方

1.2.5.1.1. スマホのセキュリティ設定.. .

1.2.5.1.1.1 スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×

1.2.5.1.2.2 情報漏れを防ぐ

1.2.5.1.3.3 情報漏れを防ぐ

1.2.5.1.4.4 スムーズな機種変更と、予期せぬデータ流出の防ぎ方

1.2.5.1.5.5 防水機能を過信してデータを失わないように

1.2.5.1.6.コラム:GPS、位置情報、ジオタグの管理

1.2.5.2.2. パソコンのセキュリティ設定..

1.2.5.2.1.1 パソコンを買ったら初期設定などを確実に

1.2.5.2.2.2 暗号化機能等でセキュリティレベルを高める

1.2.5.2.3.3 マルウェア感染に備え、バックアップ体制を整える

1.2.5.2.4.4 売却や廃棄するときはデータを消去する

1.2.5.2.5.5 盗難や紛失のとき、スマホとパソコン、どっちが安全?

1.2.5.2.6.コラム:ダブルラインでトラブルに備える

1.2.5.3.3. 屋外・海外でのネットワーク利用..

1.2.5.3.1.1 一見なにもないように見えて、危険がいっぱい

1.2.5.3.2.2 インターネットカフェの利用

1.2.5.4.4. それでも攻撃を受けてしまったときの対処..

1.2.5.4.1.1 兆候に気をつけて被害が出たら対処

1.2.5.4.2.コラム:究極の防御手段「ネットにつながない」エアギャップ

1.2.5.4.2.1.有線でも無線でも、つながっていないパソコンにはマルウェアは感染しない

1.2.5.4.2.2.しかし、USBメモリを介して感染することも

1.2.5.4.2.3.ネットに接続していなくても、少量のデータであれば盗める

1.2.5.4.2.4.オンラインで銀行口座が狙われるなら

1.2.5.4.2.5.インターネットバンキングを止めるという手も

1.2.5.4.3.コラム:無料ということの意味は何か

1.2.5.4.3.1.試食サービスのコストの例

1.2.5.4.3.2.無料ウェブサービスの例

1.2.5.4.3.3.無料の公衆無線LANサービスの例

1.2.6.4 被害に遭わないために、知らない間に加害者にならないために

1.2.6.1.1. 攻撃者に乗っ取られるとこんなことが起こる

1.2.6.1.1.1 被害に遭わない、そして加害者にならないために

1.2.6.1.2.2 盗まれた情報は犯罪に使われる

1.2.6.1.3.3 乗っ取られた機器はサイバー攻撃に使われる

1.2.6.1.4.4 IoTも乗っ取られる。知らずにマルウェアの拡散も

1.2.6.2.2. サイバー関連でやってはいけないこと

1.2.6.2.1.1 アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権侵害

1.2.6.2.2.2 ゲームの不正行為。恋人や家族でもプライバシーは守る

1.2.6.2.3.3 クラッキングはクールじゃない!

1.2.6.2.4.コラム:モラルを逸脱すると炎上を生む

1.2.6.2.4.1.モラルを逸脱することが炎上を生む

1.2.6.2.4.2.自作自演やアオリ行為、嘘の書き込み

1.2.7.5 自分を守る、家族を守る、災害に備える

1.2.7.1.1. SNSやネットとのつきあい方、守り方

1.2.7.1.1.1 SNSやネットの楽しみと気をつけること

1.2.7.1.2.2 SNSやネットの怖さ、こんなことが実際に起こっている

1.2.7.1.2.1.略取

1.2.7.1.2.2.ストーカー

1.2.7.1.2.3.犯罪勧誘

1.2.7.1.2.4.ネットいじめ

1.2.7.1.2.5.リベンジポルノ・デジタルタトゥー

1.2.7.1.3.3 SNSやネットとのつきあい方の基本

1.2.7.1.3.1.個人情報は基本的に公開しない

1.2.7.1.3.2.会ったことがない人とむやみに友だちにならない

1.2.7.1.3.3.現実世界で会おうとする人を警戒する。出会い系に近づかない

1.2.7.1.3.4.個人が特定される情報はSNSなどに投稿しない

1.2.7.1.4.4 存在するデータは流出することがある。流出したら消すことは難しい

1.2.7.1.5.コラム:SNSや学校裏サイトを使ったいじめに備える(いじめ経験者からのアドバイス)

1.2.7.1.6.コラム:デマに踊らされない! ソースを探せ! 確かめよう!

1.2.7.2.2. デジタルテクノロジーで家族を守る.. .

1.2.7.2.1.1 子ども達を守る

1.2.7.2.2.2 お年寄りを守る

1.2.7.3.3. 大災害やテロに備える..

1.2.7.3.1.1 まずは自分の身の安全を確保する

1.2.7.3.2.2 電池をもたす、情報収集をする

1.2.7.3.3.3 ラジオ、ワンセグを使った情報収集

1.2.7.3.4.4 徒歩帰宅。海外での災害やテロに備えて

1.2.7.3.5.コラム:屋外でのゲームを安全に楽しむ

1.2.7.3.6.5 ネットを使わない移動トレーニング(現代オリエンテーリング)

1.2.7.3.7.コラム:デジタル遺産相続

1.2.8.エピローグ 来たるべき新世界

1.2.8.1.1 ネットの「今」と、どう守っていくか

1.2.8.2.2 デジタルネイティブと未来

1.2.8.3.3 バーチャル空間を超えて世界へ

1.2.8.4.4 おわりに

1.2.9.用語集.

1.2.10.情報セキュリティ関連サイト一覧

1.2.10.1.情報セキュリティ関連のサイト

1.2.10.2.海外旅行関連のサイト

1.2.10.3.災害時関連のサイト

1.2.10.4.災害時関連のサイト

1.2.10.5.いじめ対策関連

1.2.10.6.Twitterアカウント

1.2.10.7.アプリ(AndroidiOS

1.2.10.8.その他

1.2.11.索引..

1.3.マンガで学ぶサイバーセキュリティ【NISC】【初心者向け】

1.3.1.スマートフォンのセキュリティ

1.3.1.1.注意点

1.3.1.1.1.最近ではパソコンだけでなく、スマートフォンでも悪意のあるウイルスが横行している

1.3.1.1.2.ウイルス感染は「無料のアプリ」からが多い

1.3.1.1.3.OSやアプリのバージョンが古いままだと、ウイルス感染の危険性あり

1.3.1.2.対策

1.3.1.2.1.スマートフォンへのウイルス対策ソフトの導入を検討しよう

1.3.1.2.2.アプリの詳細、提供企業やレビューを確認し、信頼できるサイトからアプリをダウンロードしよう

1.3.1.2.3.OSやアプリは常に最新のバージョンにアップデートしよう

1.3.1.3.豆知識

1.3.1.3.1.最近ではマンガのような、画面をロックしてお金を要求するウイルス(ランサムウェアと呼ぶ)が流行している

1.3.1.3.2.スマートフォンだけでなく、PCも被害が出ているので注意しよう

1.3.1.3.3.迷惑メールの添付ファイルを実行すると、ウイルスに感染してしまうこともあるため、注意しよう

1.3.2.無線LANのセキュリティ

1.3.2.1.注意点誰でも接続できる無線LANのアクセスポイントの中には、悪意をもって設置されているものがある

1.3.2.1.1.悪意をもって設置されたアクセスポイントに接続すると、通信内容を見られてしまうことがある

1.3.2.1.2.インターネット接続業者が提供している公衆無線LANでも、通信が暗号化などで保護されていないものがあり、通信内容が傍受されるおそれがある

1.3.2.2.対策

1.3.2.2.1.不審な公衆Wi-Fiには接続しない

1.3.2.2.2.公衆Wi-Fiに接続する場合は、出来るだけ暗号化された、信頼できるWi-Fiを利用しよう

1.3.2.3.豆知識

1.3.2.3.1.ファイル共有機能をONにして公衆Wi-Fiに接続すると、同じWi-Fiにつないでいる人からデータが見られてしまう

1.3.2.3.2.公衆Wi-Fiを使う場合は、設定に注意しよう

1.3.2.3.3.自宅のWi-Fiにはきちんとパスワードをかけ、知らない人が接続できないようにしよう

1.3.3.インターネット上の詐欺

1.3.3.1.注意点

1.3.3.1.1.インターネット上には、ネットショッピングやインターネットバンキング等を利用する上で、お金に関する詐欺が存在する

1.3.3.1.2.ユーザを巧妙な偽サイト(フィッシングサイト)に誘導して騙す手法も増加している

1.3.3.1.3.安易にjメールを信用してUrlや添付ファイルを開くと、偽物のサイトに飛んでしまったり、ウイルスに感染してしまうことがある

1.3.3.2.対策

1.3.3.2.1.ウェブサイトのURLやメール所送付先が正規のものか、注意深く確認しよう

1.3.3.2.2.言語がカタコトだったり。連絡先が書いていないなど、疑わしいサイトは利用しない

1.3.3.3.豆知識

1.3.3.3.1.フィッシングサイトでは銀行のウェブサイトを模倣して、インターネットバンキングのIDやパスワードを盗むものも多く存在するため、注意しよう。

1.3.4.SNSの利用上の注意

1.3.4.1.注意点

1.3.4.1.1.SNSでは、悪意のあるユーザが、女性などの画像を使用してなりすまし、接触を図ってくることがある

1.3.4.1.2.悪意のあるユーザは「直接会おう」などと接近してくることもあり、犯罪に巻き込まれることもある

1.3.4.2.対策

1.3.4.2.1.見知らぬユーザとは、コンタクトをとらない

1.3.4.2.2.「会おう」などと誘われても絶対に会わない

1.3.4.3.豆知識

1.3.4.3.1.見知らぬ人が接触してくるのは、悪事を目的としていることが多い

1.3.4.3.2.見知らぬ人が写真や住所、電話番号など、個人情報を要求してくることもあるが、決して応じないこと

1.3.4.3.3.知り合いに成りすまして接近してくることも有るので、知っている人だからと言って油断しない

1.4.基礎知識|国民のための情報セキュリティサイト【総務省】

1.4.1.インターネットを使ったサービス|基礎知識|国民のための情報セキュリティサイト【総務省】

1.4.1.1.インターネットって何?

1.4.1.2.インターネットの仕組み

1.4.1.3.ホームページの仕組み

1.4.1.4.電子メールの仕組み

1.4.1.5.ブログの仕組み

1.4.1.6.電子掲示板の仕組み

1.4.1.7.SNS(ソーシャルネットワーキングサービス)の仕組み

1.4.1.8.チャットの仕組み

1.4.1.9.メーリングリストの仕組み

1.4.1.10.ショッピングサイトの仕組み

1.4.1.11.ネットオークションの仕組み

1.4.1.12.インターネットバンキングの仕組み

1.4.1.13.クラウドサービスとは?

1.4.1.14.スマートフォンとは?

1.4.1.15.無線LANの仕組み

1.4.2.どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト【総務省】

1.4.2.1.ウイルスとは?

1.4.2.2.ウイルスの感染経路と主な活動

1.4.2.2.1.ウイルスの感染経路

1.4.2.2.2.ウイルスの主な活動

1.4.2.3.不正アクセスとは?

1.4.2.3.1.ホームページやファイルの改ざん

1.4.2.3.2.他のシステムへの攻撃の踏み台に

1.4.2.4.詐欺等の犯罪

1.4.2.5.事故・障害

1.4.2.6.脆弱性(ぜいじゃくせい)とは?

1.4.2.7.情報発信に関するトラブル

1.4.3.インターネットの安全な歩き方|基礎知識|国民のための情報セキュリティサイト【総務省】

1.4.3.1.IDとパスワード

1.4.3.1.1.認証の仕組みと必要性

1.4.3.1.2.設定と管理のあり方

1.4.3.2.ウイルスに感染しないために

1.4.3.3.不正アクセスに遭わないために

1.4.3.4.詐欺や犯罪に巻き込まれないために

1.4.3.5.事故・障害への備え

1.4.3.6.情報発信の心得

1.4.4.情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト【総務省】

1.4.4.1.ファイアウォールの仕組み

1.4.4.2.暗号化の仕組み

1.4.4.3.SSLの仕組み

1.4.4.4.ファイル共有ソフトとは?

1.4.5.情報セキュリティ関連の法律・ガイドライン|基礎知識|国民のための情報セキュリティサイト

1.4.5.1.法律違反の事例

1.4.5.2.刑法

1.4.5.3.サイバーセキュリティ基本法

1.4.5.4.著作権法

1.4.5.5.電気通信事業法

1.4.5.6.電子署名及び認証業務に関する法律

1.4.5.7.電子署名に係る地方公共団体の認証業務に関する法律

1.4.5.8.電波法

1.4.5.9.特定電子メールの送信の適正化等に関する法律

1.4.5.10.不正アクセス行為の禁止等に関する法律

1.4.5.11.有線電気通信法

1.5.一般利用者の対策|国民のための情報セキュリティサイト【総務省】

1.5.1.基本的な対策

1.5.1.1.ソフトウェアを最新に保とう

1.5.1.2.ウイルス対策をしよう

1.5.1.2.1.ウイルス対策ソフト

1.5.1.2.2.記憶媒体からのウイルス感染

1.5.1.3.ホームページ閲覧の危険性

1.5.1.4.パスワードの設定と管理

1.5.1.5.フィッシング詐欺に注意

1.5.1.6.ワンクリック詐欺に注意

1.5.1.7.無線LANの安全な利用

1.5.1.8.機器の廃棄

1.5.1.9.個人に関する情報の取扱い

1.5.1.10.プライバシー情報の取扱い

1.5.1.11.サポート期間が終了するソフトウェアに注意

1.5.1.12.サーバ証明書の切り替えによる影響について

1.5.2.インターネット上のサービス利用時の脅威と対策

1.5.2.1.【インターネット】

1.5.2.1.1.ホームページ閲覧における注意点

1.5.2.1.2.ネットオークションにおける危険性

1.5.2.1.3.ショッピングサイトの利用

1.5.2.1.4.インターネットバンキングの注意点

1.5.2.1.5.SNS利用上の注意点

1.5.2.1.6.クラウドサービス利用上の注意点

1.5.2.1.7.動画配信サイトなどの注意点

1.5.2.1.8.オンラインゲームの注意点

1.5.2.2.【電子メール】

1.5.2.2.1.ウイルス添付メールなどへの対応

1.5.2.2.2.迷惑メールへの対応

1.5.2.2.3.チェーンメールの問題点

1.5.2.2.4.メールの誤送信

1.5.2.3.【情報機器】

1.5.2.3.1.家族共用パソコンの注意点

1.5.2.3.2.携帯電話・スマートフォン・タブレット端末の注意点

1.5.2.3.3.ゲーム機の注意点

1.5.2.3.4.インターネット対応機器(家電、記憶媒体等)の注意点

1.5.2.4.【その他】

1.5.2.4.1.ファイル共有ソフトの利用とその危険性

1.5.3.情報発信の際の注意

1.5.3.1.著作権侵害に注意

1.5.3.2.個人情報の公開の危険性

1.5.3.3.ネットを使ったいやがらせや迷惑行為

1.5.3.4.発信内容は慎重に

1.5.4.事故・被害の事例

1.5.4.1.事例1:資料請求の情報が漏洩した

1.5.4.2.事例2:私の名前で誰かがメールを

1.5.4.3.事例3:ホームページを見ただけで・・・

1.5.4.4.事例4:猛威!デマウイルス

1.5.4.5.事例5:メールが他人に読まれている?

1.5.4.6.事例6:ネットストーカーに注意

1.5.4.7.事例7:ウイルス対策はしていたはずなのに・・・

1.5.4.8.事例8:送った覚えがないのに・・・

1.5.4.9.事例9:オークションの商品が届かない

1.5.4.10.事例10:メールの儲け話に注意

1.5.4.11.事例11:中古パソコンによるデータの漏洩

1.5.4.12.事例12:クレジットカード番号が盗まれた

1.5.4.13.事例13:ファイル共有ソフトが原因で・・・

1.5.4.14.事例14:ワンクリック詐欺に注意

1.5.4.15.事例15:自分の名前で勝手に書き込みが・・・

1.5.4.16.事例16:インターネットバンキングで情報が盗まれた

1.5.4.17.事例17:有名サイトからダウンロードしたはずなのに・・・

1.5.4.18.事例18:ブロードバンドルータから認証情報が盗まれた・・・

2.企業向け(特に中小企業)

 

2.1.中小企業の情報セキュリティ対策ガイドライン(第2版)【20161115IPA

2.1.1.一式公開ページ

2.1.2.本文

2.1.2.1.経営者の皆様へ

2.1.2.1.1.情報セキュリティ対策は、経営に大きな影響を与えます!

2.1.2.1.2.経営者が自ら動かなければ、法的・道義的責任を問われます!

2.1.2.1.3.組織として対策するために、担当者への指示が必要です!

2.1.2.2.対象組織と想定する読者

2.1.2.2.1.経営者層・システム管理者層

2.1.2.2.2.対象組織

2.1.2.2.2.1.本ガイドラインは、業種を問わず中小企業及び小規模事業者(法人のほか、個人事業 主や各種団体も含む) 1を対象として作成されています。

2.1.2.2.3.想定読者

2.1.2.2.3.1.組織の経営者と、経営者の指示のもとで重要な情報を管理する方を読者と想定して います。

2.1.2.3.全体解説

2.1.2.3.1.1)本ガイドラインの構成

2.1.2.3.1.1.本編2部と付録より構成

2.1.2.3.2.2)本ガイドラインの使い方

2.1.2.3.2.1.経営者の方

2.1.2.3.2.2.経営者の指示のもとで重要な情報を管理する方

2.1.2.3.2.3.【図3】情報セキュリティ対策の進め方

2.1.2.3.2.3.1.Step1 まず始める

2.1.2.3.2.3.1.1.情報セキュリティ5か条

2.1.2.3.2.3.2.Step2 現状を知り改善する

2.1.2.3.2.3.2.1.情報セキュリティ自社診断

2.1.2.3.2.3.3.Step3 本格的に取り組む

2.1.2.3.2.3.3.1.情報セキュリティポリシーの策定

2.1.2.3.2.3.4.Step4 改善を続ける

2.1.2.3.2.3.4.1.情報セキュリティ対策のさらなる改善に向けて

2.1.2.4. 1 経営者編

2.1.2.4.1.情報セキュリティ対策を怠ることで企業が被る不利益

2.1.2.4.1.1.(1) 金銭の喪失

2.1.2.4.1.1.1.【表2】最近のサイバー攻撃等による情報漏えい等の経済的損失例

2.1.2.4.1.1.1.1.情報漏えい

2.1.2.4.1.1.1.1.1.教育サービス事業者で顧客の個人情報が3504件が漏えい(2014年)

2.1.2.4.1.1.1.1.2.システム開発・運用を行っている委託先の再委託先社員による不正取得と名簿の売却

2.1.2.4.1.1.1.1.3.株式を公開している雑貨卸事業者でインターネット上の株主向けサービスに登録された株主の個人情報6187件(他社の株主個人情報含め12014件)が漏えいした(2015年)

2.1.2.4.1.1.1.1.4.運営委託先サービスサイトへの不正アクセス

2.1.2.4.1.1.1.1.5.航空会社の顧客の個人情報4131件が漏えいした(2014年)

2.1.2.4.1.1.1.1.6.菓子食品製造事業者で個人情報29999件が漏えいした(2015年)

2.1.2.4.1.1.1.1.7.国内半導体製造事業者の技術jに関する機密情報が韓国の同業者に漏えい(2014年)

2.1.2.4.1.1.1.1.8.メガネ販売事業者でオンラインショップ顧客のクレジットカード情報2059件の漏えい(2013年)

2.1.2.4.1.1.1.2.ウイルス感染

2.1.2.4.1.1.1.2.1.米国の病院で院内ネットワークで共有する電子カルテシステムがウイルスによる攻撃により動作しなくなり診療不能に(2016年)

2.1.2.4.1.1.1.2.2.ランサムウェアに感染し、ファイルが暗号化されたため

2.1.2.4.1.1.1.3.ウェブサイト改ざん

2.1.2.4.1.1.1.3.1.観光バス事業者のホームページが改ざんされ閲覧するとウイルスに感染する恐れ(2014年)

2.1.2.4.1.2.(2) 顧客の喪失

2.1.2.4.1.3.(3) 業務 の喪失

2.1.2.4.1.4.(4) 従業員 への影響

2.1.2.4.2.経営者が負う責任

2.1.2.4.2.1.(1) 経営者などに問われる法的責任

2.1.2.4.2.1.1.・個人情報

2.1.2.4.2.1.2.・他社から預かった秘密情報

2.1.2.4.2.1.3.・自社の秘密情報

2.1.2.4.2.1.4.・株価に影響を与える可能性のある未公開内部情報

2.1.2.4.2.2.(2) 関係者や社会に対する責任

2.1.2.4.2.2.1.・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

2.1.2.4.2.2.2.法令順守・顧客・取引先・従業員

2.1.2.4.3.経営者は何をすればよいか

2.1.2.4.3.1.サイバーセキュリティ経営ガイドライン【201512MEITIPA】の内容を中小企業向けに編集

2.1.2.4.3.2.経営者が認識する必要な「3原則」

2.1.2.4.3.2.1.原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

2.1.2.4.3.2.1.1.さまざまな脅威がもたらすリスクに対する対策は、経営者が判断して意思決定し、自社の事業に見合った情報セキュリティ対策を実施します。

2.1.2.4.3.2.1.2.セキュリティ対策をしないことによる損失、対策に要する投資、ITの利活用を推進することによる利益を勘案して判断

2.1.2.4.3.2.1.2.1.セキュリティ対策をしないことによる損失>対策に要する投資

2.1.2.4.3.2.1.2.2.ITの利活用を推進することによる利益>対策に要する投資

2.1.2.4.3.2.2.原則2 委託先における情報セキュリティ対策まで考慮する

2.1.2.4.3.2.2.1.自社同様に十分な注意を払い、必要に応じて委託先が実施している情報セキュリティ対策も確認

2.1.2.4.3.2.3.原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

2.1.2.4.3.2.3.1.普段から自社の情報セキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。

2.1.2.4.3.3.企業が重要 として実施する「重要 7項目の取組」

2.1.2.4.3.3.1.取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

2.1.2.4.3.3.1.1.「当社は中小企業の情報セキュリティ対策ガイドラインに基づき情報セキュリティ対策を実践する。」「当社は顧客情報の流出防止を徹底することから情報セキュリティ対策を開始する。」

2.1.2.4.3.3.2.取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

2.1.2.4.3.3.2.1.万が一事故(インシデント7)が起きてしまった場合、被害を最小限に止めるために、あらかじめ準備することも含みます。

2.1.2.4.3.3.3.取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

2.1.2.4.3.3.3.1.事業を行う上で見込まれる情報セキュリティのリスクを把握した上で、必要十分な対策を検討させます。検討した対策ごとに予算を与え、担当者を任命し、実行を指示します。

2.1.2.4.3.3.4.取組4 情報セキュリティ対策に関する定期的な見直しを行う

2.1.2.4.3.3.4.1.最初から最適な形で実現することはどんな会社でも難しいもの。また情報技術は進化が早く、加えて脅威も変化します。

2.1.2.4.3.3.5.取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

2.1.2.4.3.3.5.1.契約書に情報セキュリティに関する相手先の責任や実施すべき対策を明記し、合意する

2.1.2.4.3.3.5.2.利用規約やサービスに付随する情報セキュリティ対策等を確認したうえで選定するよう担当者に指示する

2.1.2.4.3.3.6.取組6 情報セキュリティに関する最新動向を収集する

2.1.2.4.3.3.6.1.情報セキュリティに関する最新動向を発信している公的機関8などを把握しておき、常時参照することで、新たな脅威に備えるようにします。また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。

2.1.2.4.3.3.7.取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

2.1.2.4.3.3.7.1.万が一のインシデントに備えて、緊急時の連絡体制を整備します。、経営者の対応についても、あらかじめ決めておけば、冷静で的確な対応が可能になります。

2.1.2.5. 2 管理実践編

2.1.2.5.1.情報セキュリティ管理の進め方

2.1.2.5.1.1.【図5】ガイドラインの使用方法

2.1.2.5.2.情報セキュリティ5か条

2.1.2.5.2.1.【表4】情報セキュリティ5か条

2.1.2.5.2.2.OSやソフトウェアは常に最新の状態にしよう!

2.1.2.5.2.3.ウイルス対策ソフトを導入しよう!

2.1.2.5.2.4.パスワードを強化しよう!

2.1.2.5.2.5.共有設定を見直そう!

2.1.2.5.2.6.脅威や攻撃の手口を知ろう!

2.1.2.5.3.5分でできる!情報セキュリティ自社診断

2.1.2.5.3.1.Part1 基本的対策

2.1.2.5.3.2.Part2 従業員としての対策

2.1.2.5.3.3.Part3 組織としての対策

2.1.2.5.4.情報セキュリティポリシーの策定

2.1.2.5.4.1.1)基本的な考え方

2.1.2.5.4.1.1.① 自社に適合したポリシーを策定

2.1.2.5.4.1.1.1.【図6】セキュリティポリシー文書構成

2.1.2.5.4.1.2.② 情報セキュリティリスクの大きなものから重点的に対策を実施

2.1.2.5.4.1.2.1.【図7】リスクの「保有」の考え方

2.1.2.5.4.2.2 ポリシー策定までの流れ

2.1.2.5.4.2.1.【図8】情報セキュリティポリシー策定までの流れ

2.1.2.5.4.2.2.手順1 情報資産台帳を作成する

2.1.2.5.4.2.2.1.どのような情報資産があるか洗い出して重要度を判断する

2.1.2.5.4.2.2.2.機密性、完全性、可用性それぞれの評価値11を記入します(表6)。

2.1.2.5.4.2.2.3.機密性・完全性・可用性の評価値から重要度を判定します(表7)。

2.1.2.5.4.2.2.4.【表6】情報資産の機密性・完全性・可用性の評価基準

2.1.2.5.4.2.2.4.1.機密性・完全性・可用性→重要度

2.1.2.5.4.2.2.5.【表7】情報資産の重要度判断基準

2.1.2.5.4.2.2.6.付録の利用方法(手順1)

2.1.2.5.4.2.3.手順2 リスク値の算定

2.1.2.5.4.2.3.1.リスク値=重要度(機密性×完全性×機密性)×被害発生可能性の合計(脅威の起きる可能性×脆弱性の大きさ)

2.1.2.5.4.2.3.2.【表9】リスク値の算定基準

2.1.2.5.4.2.3.3.【表10】脅威例に応じたリスクのレベル

2.1.2.5.4.2.3.4.付録の利用方法(手順2)

2.1.2.5.4.2.4.手順3 情報セキュリティ対策を決定(対策を決める)

2.1.2.5.4.2.4.1.ア)リスクを低減する

2.1.2.5.4.2.4.1.1.自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。

2.1.2.5.4.2.4.2.イ)リスクを保有する

2.1.2.5.4.2.4.2.1.事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持します。

2.1.2.5.4.2.4.3.ウ)リスクを回避する

2.1.2.5.4.2.4.3.1.仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。

2.1.2.5.4.2.4.4.リスクを許容する

2.1.2.5.4.2.4.5.付録の利用方法(ツールA)

2.1.2.5.4.2.5.手順4 情報セキュリティポリシーを策定(対策をルールにする)

2.1.2.5.4.2.5.1.付録の利用方法(手順4)

2.1.2.5.4.2.5.2.【表11】情報セキュリティポリシーサンプル

2.1.2.5.4.2.5.2.1.1 組織的対策

2.1.2.5.4.2.5.2.2.2 人的対策

2.1.2.5.4.2.5.2.3.3 情報資産管理

2.1.2.5.4.2.5.2.4.4 マイナンバー対応

2.1.2.5.4.2.5.2.5.5 アクセス制御及び認証

2.1.2.5.4.2.5.2.6.6 物理的対策

2.1.2.5.4.2.5.2.7.7 IT機器利用

2.1.2.5.4.2.5.2.8.8 IT基盤運用管理

2.1.2.5.4.2.5.2.9.9 システムの開発及び保守

2.1.2.5.4.2.5.2.10. 社内でシステム開発を行う場合

2.1.2.5.4.2.5.2.11. 10 委託管理

2.1.2.5.4.2.5.2.12. 業務委託を行う場合

2.1.2.5.4.2.5.2.13. 11 情報セキュリティインシデント対応及び事業継続管理

2.1.2.5.4.2.5.2.14. 12 社内体制図

2.1.2.5.4.2.5.2.15. 従業員数2名以上

2.1.2.5.4.2.5.2.16. 13 委託契約書サンプル

2.1.2.5.4.2.5.2.17. 委託先と秘密情報や個人情報等の重要な情報の授受が発生する場合

2.1.2.5.4.3.3)委託時の情報セキュリティ対策

2.1.2.5.4.4.4)情報セキュリティ対策の実行

2.1.2.5.4.4.1.① 通常時の役割

2.1.2.5.4.4.1.1.経営者

2.1.2.5.4.4.1.2.管理者層

2.1.2.5.4.4.1.3.一般従業員

2.1.2.5.4.4.2.② 緊急時の対応

2.1.2.5.4.4.2.1.※しおり

2.1.2.5.4.4.2.1.1.① 緊急時の指揮命令と対応の優先順位の決定

2.1.2.5.4.4.2.1.2.② インシデントへの対応(インシデントレスポンス)

2.1.2.5.4.4.2.1.3.③ インシデントの影響と被害の分析

2.1.2.5.4.4.2.1.4.④ 情報収集と自社に必要な情報の選別

2.1.2.5.4.4.2.1.5.⑤ 社内関係者への連絡と周知

2.1.2.5.4.4.2.1.6.⑥ 外部関係機関との連絡

2.1.2.5.4.5.5)チェックと改善

2.1.2.5.4.5.1.① チェックの方法

2.1.2.5.4.5.2.② 改善の方法

2.1.2.5.5.情報セキュリティ対策のさらなる改善に向けて

2.1.2.5.5.1.1)情報セキュリティマネジメントサイクルによる継続的改善

2.1.2.5.5.1.1.ISO/IEC27001 が定めているマネジメントシステム(管理のしくみ)の考え方の基本は、Plan(計画)、Do(実行)、Check(チェック)、Act(改善)の4段階の活動(PDCA サイクル13)を順に繰り返すことを通じて改善していくことにあります。情報セキュリティ対策で見ると、それぞれ次の活動に相当します。

2.1.2.5.5.1.1.1.Plan:情報セキュリティ対策の計画立案または見直し

2.1.2.5.5.1.1.2.Do:情報セキュリティ対策の実践

2.1.2.5.5.1.1.3.Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定

2.1.2.5.5.1.1.4.Act:改善の実施

2.1.2.5.5.2.2)情報セキュリティ対策に関する標準規格

2.1.2.5.5.2.1.付録3で示す対策は、中小企業でも取り組みやすいように情報セキュリティの国際規格であるISO/IEC 27002(情報セキュリティ管理策の実践のための規範)から抜粋し、解りやすい表現にしています。

2.1.2.5.5.3.3)情報セキュリティ監査・点検の実施

2.1.2.5.5.3.1.質問(ヒアリング):従業員や委託先の管理者などに直接質問して回答を求める

2.1.2.5.5.3.2.閲覧(レビュー):情報セキュリティポリシーの関連手続きで申請書などの帳票や、コンピュータのログ、設定内容など実行の証拠となるものを見て確認する

2.1.2.5.5.3.3.観察(視察):監査・点検者が現場に赴き、情報セキュリティ対策を行う当事者が情報セキュリティポリシーに従った行動をしていることを目視で確認する

2.1.2.5.5.3.4.技術診断:技術的対策の運用状況などについて、監査・点検者が自ら機器を操作することによって検証する(情報システムや社内ネットワークの脆弱性を確認するために、専用ソフトウェアを使い技術的な脆弱性を診断することもある)

2.1.2.5.5.4.4)改善の実施

2.1.2.5.5.4.1.経営者や管理者層での議論、検討を通じて、情報セキュリティポリシーや具体的な対策に関する従業員や関係者の理解を促し、不備を改善し、今後に向けた改善につなげていきます。

2.1.2.6.おわりに

2.1.2.6.1.

2.1.2.6.1.1.標的型攻撃の巧妙化により、適切な対策を実施していても被害を完全に防ぐことが困難になる中、異常事態の発生を素早く検知し、被害を最小限に抑制するための体制が注目されるなど、対策面も変化しています。また、マイナンバー法の施行、個人情報保護法の改正などに伴い、企業規模を問わず情報セキュリティに対する社会的要請、法的責任が拡大し、中小企業においても情報セキュリティへの取り組みは優先課題となっています。

2.1.2.6.1.2.一方で、中小企業では依然として資金面や人材面での制約から情報セキュリティ対策の実施が難しいといわれており、実際の統計からも大企業に比較すれば対策が進んでいない傾向が認められます。

2.1.2.6.1.3.。こうした状況を踏まえ、近年、変化・増大する脅威に対する情報セキュリティ対策を、適切かつ有効なものとすることを目的として、本ガイドラインの初版の内容を抜本的に見直し、改訂版を作成することとしました。

2.1.2.6.1.4.中小企業は情報セキュリティ対策に十分な経営資源を割り当てることができないという不利を抱える一方で、経営者を含め「従業員の顔が見える」という有利な条件を備えています。

2.1.2.6.1.5.情報セキュリティの第一歩は、経営者が情報セキュリティの重要性を自ら認識し、そのことを従業員に伝え、従業員がその対策を行う意義を理解することです

2.1.2.6.1.6.。つまり、「従業員の顔が見える」ということは経営者が直接管理者・担当者に対策を指示することができ、対策の結果についても直接報告を受けることができるなど、大企業に比べて迅速に対応ができるという有利な条件を備えています。

2.1.2.6.1.7.また、この特質を生かすことで、大企業では必要となるセキュリティ監視や情報共有のための設備が不要とできるため、大企業よりも費用をかけずに対策を実現することも可能です。

2.1.2.7.本書で用いてる語の説明

2.1.2.7.1.インシデント

2.1.2.7.2.(情報の)可用性

2.1.2.7.3.(情報の)完全性

2.1.2.7.4.(情報の)機密性

2.1.2.7.5.クラウドサービス

2.1.2.7.6.個人情報

2.1.2.7.7.サイバーセキュリティ

2.1.2.7.8.CSIRT シーサート、Computer Security Incident Response Team

2.1.2.7.9.情報セキュリティ

2.1.2.7.10.情報セキュリティインシデント

2.1.2.7.11.情報セキュリティに関連した保険商品

2.1.2.7.12.情報セキュリティポリシー

2.1.2.7.13.情報セキュリティマネジメントサイクル

2.1.2.7.14.ソーシャルエンジニアリング

2.1.2.7.15.ランサムウェア

2.1.3.◦付録1

2.1.3.1.情報セキュリティ5か条(全2ページ、721KBpdf

2.1.3.1.1.こんな情報があるはず!

2.1.3.1.1.1.従業員のマイナンバー、住所、給与明細

2.1.3.1.1.2.お客様や取引先の連絡先一覧

2.1.3.1.1.3.取引先ごとの仕切り額や取引実績

2.1.3.1.1.4.新製品の設計図などの開発情報

2.1.3.1.1.5.組織の経理情報

2.1.3.1.1.6.取引先から取扱注意と言われた情報

2.1.3.1.2.漏れたら大変!こんなダメージが!

2.1.3.1.2.1.被害者への損害賠償などの支払い

2.1.3.1.2.2.取引停止、顧客の他社への流出

2.1.3.1.2.3.ネットの遮断などによる生産効率のダウン

2.1.3.1.2.4.従業員の士気低下

2.1.3.1.3.まずは始めてみよう

2.1.3.1.3.1.OSやソフトウェアは常に最新の状態に使用!

2.1.3.1.3.1.1.OSやソフトウェアのセキュリティ上の問題点を放置していると、それを悪用したウイルスに感染してしまう危険性があります。お使いのOSやソフトウェアに修正プログラムを適用する、もしくは最新版を利用しましょう。

2.1.3.1.3.2.ウイルス対策ソフトを導入しよう!

2.1.3.1.3.2.1.ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。

2.1.3.1.3.3.パスワードを強化しよう!

2.1.3.1.3.3.1.パスワードが推測や解析されたり、ウェブサービスから窃取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。

2.1.3.1.3.4.共有設定を見直そう!

2.1.3.1.3.4.1.データ保管などのクラウドサービスやネットワーク接続の複合機の設定を間違ったため無関係な人に情報を覗き見られるトラブルが増えています。クラウドサービスや機器は必要な人にのみ共有されるよう設定しましょう。

2.1.3.1.3.5.脅威や攻撃の手口を知ろう!

2.1.3.1.3.5.1.取引先や関係者と偽ってウイルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。脅威や攻撃の手口を知って対策をとりましょう。

2.1.4.◦付録2

2.1.4.1.5分でできる!情報セキュリティ自社診断シート(全2ページ、417KBpdf

2.1.4.1.1.Part1 基本的対策

2.1.4.1.1.1.1.Windows Update1 を行うなどのように、常にOS やソフトウェアを安全な状態にしていますか?

2.1.4.1.1.2.2.パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル2 を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

2.1.4.1.1.3.3,パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?

2.1.4.1.1.4.4.ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?

2.1.4.1.1.5.5.利用中のウェブサービス3 や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

2.1.4.1.2.Part2 従業員としての対策

2.1.4.1.2.1.6.受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?

2.1.4.1.2.2.7.電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?

2.1.4.1.2.3.8.重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?

2.1.4.1.2.4.9.無線LAN を利用する時は強固な暗号化を必ず利用するなどのように、無線LAN を安全に使うための対策をしていますか?

2.1.4.1.2.5.10.業務端末でのウェブサイトの閲覧やSNS への書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?

2.1.4.1.2.6.11.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?

2.1.4.1.2.7.12.重要情報を机の上に放置せず書庫に保管し施錠するなどのように、重要情報の紛失や漏えいを防止していますか?

2.1.4.1.2.8.13.重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?

2.1.4.1.2.9.14.離席時にコンピュータのロック機能を利用するなどのように、他人に使われないようにしていますか?

2.1.4.1.2.10.15.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?

2.1.4.1.2.11.16.退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなどのように、盗難防止対策をしていますか?

2.1.4.1.2.12.17.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

2.1.4.1.2.13.18.重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?

2.1.4.1.3.Part3 組織としての対策

2.1.4.1.3.1.19.クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?

2.1.4.1.3.2.20.社内外での個人所有のパソコンやスマートフォンの業務利用を許可制にするなどのように、業務で個人所有端末の利用の可否を明確にしていますか?

2.1.4.1.3.3.21.採用の際に守秘義務や罰則規定があることを知らせるなどのように、従業員に秘密を守らせていますか?

2.1.4.1.3.4.22.情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?

2.1.4.1.3.5.23.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?

2.1.4.1.3.6.24.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?

2.1.4.1.3.7.25.情報セキュリティ対策(上記124 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?

2.1.4.1.4.さらなる情報セキュリティ対策の検討するには

2.1.4.1.4.1.5 分でできる!情報セキュリティ自社診断」の次のステップとして、ガイドラインを活用したポリシーの策定やベンチマークでの自己診断を実施してみよう。

2.1.4.1.4.2.中小企業の情報セキュリティ対策ガイドライン

2.1.4.1.4.2.1.https://www.ipa.go.jp/security/keihatsu/sme/guideline/

2.1.4.1.4.3.情報セキュリティ対策ベンチマーク

2.1.4.1.4.3.1.https://www.ipa.go.jp/security/benchmark/

2.1.4.1.5.自社診断シートで100 点満点を目指すには

2.1.4.1.5.1.5 分でできる!情報セキュリティ自社診断パンフレット」のほか、以下のページで提供されている資料もより具体的な対策の検討に有用ですのでご活用ください。

2.1.4.1.5.2.情報セキュリティ対策支援サイトiSupport

2.1.4.1.5.2.1.https://www.ipa.go.jp/security/isec-portal/

2.1.4.1.5.3.対策のしおり

2.1.4.1.5.3.1.https://www.ipa.go.jp/security/antivirus/shiori.html

2.1.4.1.5.4.映像で知る情報セキュリティ

2.1.4.1.5.4.1.https://www.ipa.go.jp/security/keihatsu/videos/

2.1.4.2.一般職員向け 情報セキュリティハンドブックひな形(全11ページ、444KBPowerPoint

2.1.4.2.1. 全社基本ルール

2.1.4.2.1.1.OSとソフトウェアのアップデート

2.1.4.2.1.2.ウイルス対策ソフトの導入

2.1.4.2.1.3.パスワードの管理

2.1.4.2.1.4.アクセス制限

2.1.4.2.1.5.セキュリティに対する注意

2.1.4.2.1.5.1.独立行政法人情報処理推進機構((略称:IPA) 重要なセキュリティ情報

2.1.4.2.1.5.1.1.http://www.ipa.go.jp/security/index.html

2.1.4.2.1.5.2.JVN (Japan Vulnerability Notes)

2.1.4.2.1.5.2.1.http://jvn.jp/index.html

2.1.4.2.1.5.3.一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)

2.1.4.2.1.5.3.1.https://www.jpcert.or.jp/

2.1.4.2.2. 仕事中のルール

2.1.4.2.2.1.電子メールの利用

2.1.4.2.2.2.インターネットの利用

2.1.4.2.2.3.データのバックアップ

2.1.4.2.2.4.クリアデスク・クリアスクリーン

2.1.4.2.2.5.重要情報の持ち出し

2.1.4.2.2.6.入退室

2.1.4.2.2.7.電子媒体・書類の廃棄

2.1.4.2.3. 全社共通のルール

2.1.4.2.3.1.私有情報機器の利用

2.1.4.2.3.2.クラウドサービスの利用

2.1.4.2.4. 従業員のみなさんへ

2.1.4.2.4.1.従業員の守秘義務

2.1.4.2.4.2.事故が起きてしまったら

2.1.5.付録3

2.1.5.1.<ツールA>リスク分析シート(全5シート、79KBexcel

2.1.5.1.1.情報資産台帳記入例

2.1.5.1.2.情報資産管理台帳

2.1.5.1.3.脅威の状況

2.1.5.1.3.1.書類

2.1.5.1.3.1.1.秘密書類の事務所からの盗難

2.1.5.1.3.1.2.秘密書類の外出先での紛失・盗難

2.1.5.1.3.1.3.情報搾取目的の内部不正による書類の不正持ち出し

2.1.5.1.3.1.4.業務遂行に必要な情報が記載された書類の紛失

2.1.5.1.3.2.可搬電子媒体

2.1.5.1.3.2.1.秘密情報が格納された電子媒体の事務所からの盗難

2.1.5.1.3.2.2.秘密情報が格納された電子媒体の外出先での紛失・盗難

2.1.5.1.3.2.3.情報搾取目的の内部不正による電子媒体の不正持ち出し

2.1.5.1.3.2.4.業務遂行に必要な情報が記載された電子媒体の紛失

2.1.5.1.3.3.事務所PC

2.1.5.1.3.3.1.情報搾取目的の事務所PCへのサイバー攻撃

2.1.5.1.3.3.2.情報搾取目的の事務所PCでの内部不正

2.1.5.1.3.3.3.事務所PCの故障による業務に必要な情報の喪失

2.1.5.1.3.3.4.事務所PC内データがランサムウェアに感染して閲覧不可

2.1.5.1.3.3.5.不正送金を狙った事務所PCへのサイバー攻撃

2.1.5.1.3.4.モバイル機器

2.1.5.1.3.4.1.情報搾取目的でのモバイル機器へのサイバー攻撃

2.1.5.1.3.4.2.情報搾取目的の不正アプリをモバイル機器にインストール

2.1.5.1.3.4.3.秘密情報が格納されたモバイル機器の紛失・盗難

2.1.5.1.3.5.社内サーバー

2.1.5.1.3.5.1.情報搾取目的の社内サーバーへのサイバー攻撃

2.1.5.1.3.5.2.情報搾取目的の社内サーバーでの内部不正

2.1.5.1.3.5.3.社内サーバーの故障による業務に必要な情報の喪失

2.1.5.1.3.6.クラウド

2.1.5.1.3.6.1.安易なパスワードの悪用によるアカウントの乗っ取り

2.1.5.1.3.6.2.バックアップを怠ることによる業務に必要な情報の喪失

2.1.5.1.4.対策状況チェック

2.1.5.1.4.1.(1) 組織的セキュリティ対策

2.1.5.1.4.1.1.経営者の主導で情報セキュリティの方針を示していますか?

2.1.5.1.4.1.2.情報セキュリティの方針に基づき、具体的な対策の内容を明確にしていますか?

2.1.5.1.4.1.3.情報セキュリティ対策を実施するための体制を整備していますか?

2.1.5.1.4.1.4.情報セキュリティ対策のためのリソース(人材、費用)の割当を行っていますか?

2.1.5.1.4.2.(2) 人的セキュリティ対策

2.1.5.1.4.2.1.秘密情報を扱う全ての者(パートタイマー、アルバイト、派遣社員、顧問、社内に常駐する委託先要員等を含む)に就業規則や契約等を通じて秘密保持義務を課していますか?

2.1.5.1.4.2.2.従業員の退職に際しては、退職後の秘密保持義務への合意を求めていますか?

2.1.5.1.4.2.3.会社の秘密情報や個人情報を扱うときの規則や、関連法令による罰則に関して全従業員に説明していますか?

2.1.5.1.4.3.(3) 情報資産管理

2.1.5.1.4.3.1.管理を必要とする情報資産は、すべて情報資産管理台帳に記載することを定めていますか?

2.1.5.1.4.3.2.秘密情報は業務上必要な範囲でのみ利用を認めていますか?

2.1.5.1.4.3.3.秘密情報の対象となるファイルやデータを丸秘マークや格付け表示等で識別可能とすることを定めていますか?

2.1.5.1.4.3.4.秘密情報を社外へ持ち出す時はデータを暗号化したり、パスワード保護をかけたりするなどの盗難・紛失対策を定めていますか?

2.1.5.1.4.3.5.秘密情報を机の上に放置せず施錠保管するなどして、のぞき見されたり紛失しないようにしていますか?

2.1.5.1.4.3.6.情報資産のバックアップに関する手順を定め、手順が遵守されていることを確認していますか?

2.1.5.1.4.3.7.秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合、ゴミとして処分する前に、データの完全消去用のツールを用いたり、物理的に破壊したりすることで、データを復元できないようにすることを定めていますか?

2.1.5.1.4.4.(4) マイナンバー対応

2.1.5.1.4.4.1.特定個人情報の取扱ルール(管理担当者の割当て、関連規程の整備、記録の保存、定期的点検)が定められていますか?

2.1.5.1.4.4.2.特定個人情報に関する漏えい等の事案に備えた報告連絡体制が整備されていますか?

2.1.5.1.4.4.3.特定個人情報の保護のための安全管理措置(人的、物理的、技術的のそれぞれ)を行うことが定められていますか?

2.1.5.1.4.5.(5) アクセス制御と認証

2.1.5.1.4.5.1.業務で利用するすべてのサーバに対して、アクセス制御の方針が定められていますか?

2.1.5.1.4.5.2.サーバのアクセス権限は、従業員の退職や異動に応じて随時更新され、定期的なレビューを通じてその適切性が検証されていますか?

2.1.5.1.4.5.3.情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なアクセス制御を行うことを定めていますか?

2.1.5.1.4.5.4.サーバで用いるパスワードは、適切なもののみが受け入れられる機能を通じて設定されていますか?

2.1.5.1.4.5.5.業務で利用する暗号化機能及び暗号化に関するアプリケーションは、その運用方針が明確に定められていますか?

2.1.5.1.4.6.(6) 物理的セキュリティ対策

2.1.5.1.4.6.1.業務を行う場所に、第三者が許可無く立入できないようにするための対策(物理的に区切る、見知らぬ人には声をかける、等)が講じられていますか?

2.1.5.1.4.6.2.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

2.1.5.1.4.6.3.高いセキュリティを確保する区域には、許可された者以外は接近できないような保護措置がなされていますか?

2.1.5.1.4.6.4.秘密情報を保管および扱う場所への個人所有のパソコン・記録媒体等の持込み・利用は禁止されていますか?

2.1.5.1.4.7.(7) IT機器利用

2.1.5.1.4.7.1.セキュリティ更新を自動的に行うなどにより、常にソフトウェアを安全な状態にすることを定めていますか?

2.1.5.1.4.7.2.ウイルス対策ソフトウェアが提供されている製品については、用途に応じて導入し、定義ファイルを常に最新の状態にすることを定めていますか?

2.1.5.1.4.7.3.業務で利用するIT機器で用いるパスワードに関するルール(他人に推測されにくいものを選ぶ、機器やサービスごとに使い分ける、他人にわからないように管理する、等)ことを定めていますか?

2.1.5.1.4.7.4.業務で利用する機器が誰かに勝手に使われないようにするための措置(離席時にパスワード付きのスクリーンセーバーが動作する、持ち運び可能な機器は施錠できる場所に格納する、等)を定めていますか?

2.1.5.1.4.7.5.業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか?

2.1.5.1.4.7.6.社外で業務を行う場合のルールを定めていますか?

2.1.5.1.4.7.7.業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定めていますか?

2.1.5.1.4.7.8.受信した電子メールが不審かどうかを確認することを求めていますか?

2.1.5.1.4.7.9.電子メールアドレスの漏えい防止のためのBCC利用ルールを定めていますか?

2.1.5.1.4.7.10.インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか?

2.1.5.1.4.8.(8) IT基盤運用管理

2.1.5.1.4.8.1.IT機器と台帳との棚卸(実機確認)を行うとともに、社内ネットワークに許可なく接続された機器や無線LAN基地局がないことを確認していますか?

2.1.5.1.4.8.2.サーバで利用するアプリケーションは、ブラックリスト方式(利用してはいけないものを明示)またはホワイトリスト方式(利用してよいものを明示)のいずれかで特定していますか?

2.1.5.1.4.8.3.業務で利用するすべてのサーバに対して、脆弱性及びマルウェアからの保護のための対策を講じていますか?

2.1.5.1.4.8.4.サーバで用いた機器の廃棄の手順を定めていますか?

2.1.5.1.4.8.5.業務で利用するすべてのサーバやネットワーク機器に対して、必要性に応じてイベントログや通信ログの取得及び保存の手順を定めた上で、定期的にレビューしていますか?

2.1.5.1.4.8.6.サーバを対象とする監査を行うことを定めていますか?

2.1.5.1.4.8.7.ファイアウォールなど、外部からの攻撃の影響を防ぐための対策を導入していますか?

2.1.5.1.4.8.8.業務で使っているネットワーク機器のパスワードを初期状態のまま使わず、推測できないパスワードを設定して運用していますか?

2.1.5.1.4.8.9.クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関する仕様を考慮して選定していますか?

2.1.5.1.4.8.10.最新の脅威や攻撃についての情報収集を行い、必要に応じて社内で共有していますか?

2.1.5.1.4.9.(9) システム開発及び保守

2.1.5.1.4.9.1.情報システムの開発を行う場合、開発環境と運用環境とを分離していますか?

2.1.5.1.4.9.2.セキュアな開発を行うための手続きを定めていますか?

2.1.5.1.4.9.3.情報システムの保守を行う場合、既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか?

2.1.5.1.4.10.(10) 外部委託管理

2.1.5.1.4.10.1.契約書に秘密保持(守秘義務)、漏洩した場合の賠償義務、再委託の制限についての項目を盛り込むなどのように、委託先が遵守すべき事項について具体的に規定していますか?

2.1.5.1.4.10.2.委託先との秘密情報の受渡手順を定めていますか?

2.1.5.1.4.10.3.委託先に提供した秘密情報の廃棄または消去の手順を定めていますか?

2.1.5.1.4.11.(11) 情報セキュリティインシデント対応ならびに事業継続管理

2.1.5.1.4.11.1.秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事故の発生に備えた準備をしていますか?

2.1.5.1.4.11.2.インシデントの発生に備えた証拠情報の収集手順を定め、運用していますか?

2.1.5.1.4.11.3.事業継続計画における情報セキュリティ対策を定めていますか?

2.1.5.1.5.診断結果

2.1.5.2.<ツールB>情報セキュリティポリシーサンプル【20161130IPA

2.1.5.2.1.組織的対策(基本方針)

2.1.5.2.1.1.情報セキュリティ基本方針を当社のホームページで公表する。/情報セキュリティ基本方針を本社各部署に掲示し従業員及び関係者に周知する。/情報セキュリティ基本方針を顧客の要請の応じ適宜に公表する。

2.1.5.2.1.2.1.情報セキュリティ基本方針

2.1.5.2.1.3.2. 個人番号及び特定個人情報の適正な取扱いに関する基本方針

2.1.5.2.1.4.3.安全管理措置に関する事項

2.1.5.2.1.5.4.委託の取り扱い

2.1.5.2.1.6.5.継続的改善

2.1.5.2.1.7.6.特定個人情報等の開示

2.1.5.2.2.組織的対策(当社全体)

2.1.5.2.2.1.情報セキュリティ対策活動を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。

2.1.5.2.2.2.1.情報セキュリティのための組織

2.1.5.2.2.3.2.情報セキュリティ取組みの監査・点検/点検

2.1.5.2.2.4.3.情報セキュリティに関する情報共有

2.1.5.2.3.人的対策(全従業員(役員、社員、派遣社員、パート・アルバイトを含む))

2.1.5.2.3.1.1.雇用条件

2.1.5.2.3.2.2.取締役及び従業員の責務

2.1.5.2.3.3.3.雇用の終了

2.1.5.2.3.4.4.情報セキュリティ教育

2.1.5.2.3.5.5.人材育成

2.1.5.2.3.5.1.<情報セキュリティに関わる推奨資格>

2.1.5.2.4.情報資産管理(当社事業に必要で価値がある情報及び個人情報)

2.1.5.2.4.1.1.情報資産の管理

2.1.5.2.4.1.1.1.1情報資産の特定と重要度の評価

2.1.5.2.4.1.2.1.2情報資産の分類と表示

2.1.5.2.4.1.3.1.3情報資産の管理責任者

2.1.5.2.4.1.4.1.4情報資産の利用者

2.1.5.2.4.2.2.情報資産の社外持ち出し

2.1.5.2.4.3.3.媒体の処分

2.1.5.2.4.3.1.3.1媒体の廃棄

2.1.5.2.4.3.2.3.2媒体の再利用

2.1.5.2.4.4.4.バックアップ

2.1.5.2.4.4.1.4.1バックアップ取得対象

2.1.5.2.4.4.2.4.2バックアップ媒体の取扱い

2.1.5.2.4.4.3.4.3クラウドサービスを利用したバックアップ

2.1.5.2.5.マイナンバー対応(特定個人情報(マイナンバーを内容に含む個人情報))

2.1.5.2.5.1.1.総則

2.1.5.2.5.1.1.1.1目的

2.1.5.2.5.1.2.1.2定義

2.1.5.2.5.2.2.特定個人情報等の取り扱い

2.1.5.2.5.2.1.2.1利用目的の特定

2.1.5.2.5.2.2.2.2取得に際しての利用目的の通知等

2.1.5.2.5.2.3.2.3取得の制限

2.1.5.2.5.2.4.2.4個人番号の提供の求めの制限

2.1.5.2.5.2.5.2.5本人確認

2.1.5.2.5.2.6.2.6利用目的外の利用の制限

2.1.5.2.5.2.7.2.7特定個人情報ファイルの作成の制限

2.1.5.2.5.2.8.2.8特定個人情報等の保管

2.1.5.2.5.2.9.2.9データ内容の正確性の確保

2.1.5.2.5.2.10.2.10特定個人情報等の提供

2.1.5.2.5.2.11.2.11特定個人情報等の削除・廃棄

2.1.5.2.5.2.12.2.12特定個人情報等を誤って収集した場合の措置

2.1.5.2.5.2.13.2.13安全管理措置

2.1.5.2.5.3.3. 組織及び体制

2.1.5.2.5.3.1.3.1事務取扱担当者・責任者

2.1.5.2.5.3.2.3.2苦情対応

2.1.5.2.5.3.3.3.3従業員の義務

2.1.5.2.5.4.4.委託の取扱い

2.1.5.2.5.4.1.4.1委託

2.1.5.2.5.4.2.4.2再委託

2.1.5.2.5.5.5.安全管理措置

2.1.5.2.5.5.1.5.1組織的安全管理措置

2.1.5.2.5.5.1.1.5.1.2取扱規程等に基づく運用

2.1.5.2.5.5.1.2.5.1.2取扱規程等に基づく運用

2.1.5.2.5.5.1.3.5.1.3取扱状況を確認する手段の整備

2.1.5.2.5.5.1.4.5.1.4情報漏えい等事案に対応する体制の整備

2.1.5.2.5.5.2.5.2人的安全管理措置

2.1.5.2.5.5.3.5.3物理的安全管理措置

2.1.5.2.5.5.3.1.5.3.1特定個人情報等を取り扱う領域の管理

2.1.5.2.5.5.3.2.5.3.2IT機器及び電子媒体等の盗難等の防止

2.1.5.2.5.5.3.3.5.3.3電子媒体等を持ち出す場合の漏えい等の防止

2.1.5.2.5.5.3.4.5.3.4個人番号の削除、機器及び電子媒体等の廃棄

2.1.5.2.5.5.4.5.4技術的安全管理措置

2.1.5.2.5.5.4.1.5.4.1アクセス制御

2.1.5.2.5.5.4.2.5.4.2アクセス者の識別と認証

2.1.5.2.5.5.4.3.5.4.3外部の不正アクセス等の防止

2.1.5.2.5.5.4.4.5.4.4情報漏えい等の防止

2.1.5.2.5.6.6.特定個人情報等の開示、訂正等、利用停止等

2.1.5.2.5.6.1.6.1特定個人情報等の開示等

2.1.5.2.5.6.2.6.2特定個人情報等の訂正等

2.1.5.2.5.6.3.6.3特定個人情報等の利用停止等

2.1.5.2.6.アクセス制御及び認証(情報資産の利用者及び情報処理施設)

2.1.5.2.6.1.1.アクセス制御方針

2.1.5.2.6.2.2.利用者の認証

2.1.5.2.6.3.3.利用者アカウントの登録

2.1.5.2.6.4.4.利用者アカウントの管理

2.1.5.2.6.5.5.パスワードの設定

2.1.5.2.6.6.6.従業員以外の者に対する利用者アカウントの発行

2.1.5.2.6.7.7.機器の識別による認証

2.1.5.2.6.8.8.端末のタイムアウト機能

2.1.5.2.6.9.9.標準設定等

2.1.5.2.6.9.1.9.1アクセス制御対象情報システム及びアクセス制御方法

2.1.5.2.6.9.2.9.2利用者認証方法

2.1.5.2.6.9.3.9.3利用者アカウント・パスワードの条件

2.1.5.2.6.9.4.9.4機器の認証方法

2.1.5.2.7.物理的対策(情報処理設備が設置される領域)

2.1.5.2.7.1.1.セキュリティ領域の設定

2.1.5.2.7.2.2.関連設備の管理

2.1.5.2.7.3.3.セキュリティ領域内注意事項

2.1.5.2.7.4.4.搬入物の受け渡し

2.1.5.2.8.IT機器利用(業務で利用する情報処理設備・機器)

2.1.5.2.8.1.1.ソフトウェアの利用

2.1.5.2.8.1.1.1.1標準ソフトウェア

2.1.5.2.8.1.2.1.2ソフトウェアの利用制限

2.1.5.2.8.1.3.1.3ソフトウェアのアップデート

2.1.5.2.8.1.4.1.4ウイルス対策ソフトウェアの利用

2.1.5.2.8.1.4.1.1.4.1ウイルス検知

2.1.5.2.8.1.4.2.1.4.2ウイルス対策ソフト定義ファイルの更新

2.1.5.2.8.1.4.3.1.4.3社外機器のLAN接続

2.1.5.2.8.1.5.1.5ウイルス対策の啓発

2.1.5.2.8.2.2.IT機器の利用

2.1.5.2.8.3.3.クリアデスク・クリアスクリーン

2.1.5.2.8.3.1.3.1クリアデスク

2.1.5.2.8.3.2.3.2クリアスクリーン

2.1.5.2.8.4.4.インターネットの利用

2.1.5.2.8.4.1.4.1ウェブ閲覧

2.1.5.2.8.4.2.4.2オンラインサービス

2.1.5.2.8.4.2.1.<インターネットバンキング・電子決済>

2.1.5.2.8.4.2.2.<オンラインストレージ>

2.1.5.2.8.4.3.4.3SNSの利用

2.1.5.2.8.4.4.4.4電子メールの利用

2.1.5.2.8.4.4.1.<誤送信防止>

2.1.5.2.8.4.4.2.<メールアドレス漏えい防止>

2.1.5.2.8.4.4.3.<傍受による漏えい防止>

2.1.5.2.8.4.4.4.<クラウド型メールの利用>

2.1.5.2.8.4.4.5.<禁止事項>

2.1.5.2.8.4.5.4.5ウイルス感染の防止

2.1.5.2.8.4.6.5.私有IT機器・電子媒体の利用

2.1.5.2.8.4.6.1.5.1利用開始時

2.1.5.2.8.4.6.2.5.2利用期間中

2.1.5.2.8.4.6.2.1.5.2.1社内での利用

2.1.5.2.8.4.6.3.5.3利用終了時

2.1.5.2.8.4.7.6.標準等

2.1.5.2.8.4.7.1.6.1標準ソフトウェア

2.1.5.2.8.4.7.2.6.2ソフトウェアのアップデート方法

2.1.5.2.8.4.7.3.6.3ウイルス対策ソフトウェアの定義ファイルの更新方法

2.1.5.2.9.IT基盤運用管理(情報資産を扱うサーバ・ネットワーク等のITインフラ)

2.1.5.2.9.1.1.管理体制

2.1.5.2.9.1.1.1.1 IT基盤の情報セキュリティ対策

2.1.5.2.9.1.1.1.1.1.1サーバー機器の情報セキュリティ要件

2.1.5.2.9.1.1.2.1.1.2サーバー機器に導入するソフトウェア

2.1.5.2.9.1.1.3.1.1.3ネットワーク機器の情報セキュリティ要件

2.1.5.2.9.2.2.IT基盤の運用

2.1.5.2.9.3.3.クラウドサービスの導入

2.1.5.2.9.4.4.脅威や攻撃に関する情報の収集

2.1.5.2.9.5.5.廃棄・返却・譲渡

2.1.5.2.9.6.6.IT基盤標準

2.1.5.2.9.6.1.6.1サーバー機器情報セキュリティ要件

2.1.5.2.9.6.2.6.2IT基盤標準ソフトウェア

2.1.5.2.9.6.3.6.3標準ネットワーク機器

2.1.5.2.9.6.4.6.4ネットワーク機器情報セキュリティ要件

2.1.5.2.9.6.5.6.5クラウドサービス情報セキュリティ対策評価基準

2.1.5.2.9.6.5.1.<適合性評価制度の種類>

2.1.5.2.10.システム開発及び保守(当社が独自に開発及び保守を行う情報システム)

2.1.5.2.10.1.1.情報システムの開発

2.1.5.2.10.1.1.1.1新規システム開発・改修

2.1.5.2.10.1.2.1.2脆弱性への対処

2.1.5.2.10.1.3.1.3情報システムの開発環境

2.1.5.2.10.1.4.1.4情報システムの保守

2.1.5.2.10.1.5.1.5情報システムの変更

2.1.5.2.11.外部委託管理(情報資産を取り扱う業務の委託)

2.1.5.2.11.1.1.委託先の評価(クラウドサービスの利用を除く)

2.1.5.2.11.1.1.1.1委託先評価基準

2.1.5.2.11.1.2.1.2委託先の選定

2.1.5.2.11.1.3.1.3委託契約の締結

2.1.5.2.11.1.4.1.4委託先の評価

2.1.5.2.11.1.5.1.5再委託

2.1.5.2.12.情報セキュリティインシデント対応ならびに事業継続管理(情報セキュリティ事故対応及び事業継続管理)

2.1.5.2.12.1.事象が発生した場合に、混乱しないように事前に対応策を明確にしておくことが肝要

2.1.5.2.12.2.1.対応体制

2.1.5.2.12.2.1.最高責任者、対応責任者、一次対応者を明確にする

2.1.5.2.12.3.2.情報セキュリティインシデントの影響範囲と対応者

2.1.5.2.12.3.1.想定する影響範囲を事故レベル(0~3)で分類し、それぞれの対応者を明確にする

2.1.5.2.12.4.3.インシデントの連絡及び報告

2.1.5.2.12.4.1.レベル1以上のインシデントが発生した場合、発見者が速やかに指示を仰ぐべき対応者を明確にする

2.1.5.2.12.5.4.対応手順

2.1.5.2.12.5.1.基本【中山】

2.1.5.2.12.5.1.1.事象の検知、報告受付(Detect)

2.1.5.2.12.5.1.2.事実確認、対応の判断 被害の局所化(拡大防止)(Triage)

2.1.5.2.12.5.1.3.緊急連絡

2.1.5.2.12.5.1.4.原状保全

2.1.5.2.12.5.1.5.原因調査

2.1.5.2.12.5.1.6.早期復旧・事業継続 (Respond)

2.1.5.2.12.5.1.7.恒久的対策(再発防止策)

2.1.5.2.12.5.1.8.通常運用

2.1.5.2.12.5.2.4.1漏えい・流出発生時の対応

2.1.5.2.12.5.2.1.事象:社外秘又は極秘情報資産の盗難、流出、紛失

2.1.5.2.12.5.2.2.事故レベル3【中分類付け】【中山】

2.1.5.2.12.5.2.2.1. 事象の検知、報告受付(Detect)

2.1.5.2.12.5.2.2.2. ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。

2.1.5.2.12.5.2.2.3. 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)

2.1.5.2.12.5.2.2.4. ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。

2.1.5.2.12.5.2.2.5. ③インシデント対応責任は被害者/本人対応を準備する。

2.1.5.2.12.5.2.2.6. ④インシデント対応責任は問合せ対応を準備する。

2.1.5.2.12.5.2.2.7. 緊急連絡

2.1.5.2.12.5.2.2.8. ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。

2.1.5.2.12.5.2.2.9. ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。

2.1.5.2.12.5.2.2.10.⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。

2.1.5.2.12.5.2.2.11.代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。

2.1.5.2.12.5.2.2.12.原状保全

2.1.5.2.12.5.2.2.13.原因調査

2.1.5.2.12.5.2.2.14.早期復旧・事業継続 (Respond)

2.1.5.2.12.5.2.2.15.恒久的対策(再発防止策)

2.1.5.2.12.5.2.2.16.通常運用

2.1.5.2.12.5.2.3.事故レベル3【基本手順】

2.1.5.2.12.5.2.3.1. ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。

2.1.5.2.12.5.2.3.2. ②インシデント対応責任者は原因を特定するとともに、二次被害が想定される場合には防止策を実行する。

2.1.5.2.12.5.2.3.3. ③インシデント対応責任は被害者/本人対応を準備する。

2.1.5.2.12.5.2.3.4. ④インシデント対応責任は問合せ対応を準備する。

2.1.5.2.12.5.2.3.5. ⑤インシデント対応責任は影響範囲・被害の大きさによっては総務部に報道発表の準備を申請する。

2.1.5.2.12.5.2.3.6. ⑥インシデント対応責任者はサイバー攻撃等の不正アクセスによる被害の場合は都道府県警察本部のサイバー犯罪相談窓口に届け出る。

2.1.5.2.12.5.2.3.7. ⑦インシデント対応責任者は個人情報の漏えいの場合には監督官庁に届け出る。

2.1.5.2.12.5.2.3.8. 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。

2.1.5.2.12.5.2.4.事故レベル2

2.1.5.2.12.5.2.4.1. ①発見者は発見次第、システム管理者に報告する。

2.1.5.2.12.5.2.4.2. ②システム管理者は漏えい先を調査し、インシデント対応責任者に報告する。

2.1.5.2.12.5.2.4.3. ③システム管理者は社内関係者に周知する。

2.1.5.2.12.5.2.5.事故レベル1

2.1.5.2.12.5.2.5.1. ※情報漏えい・流出は全て事故レベル2以上

2.1.5.2.12.5.3.4.2改ざん・消失・破壊・サービス停止発生時の対応

2.1.5.2.12.5.3.1.情報資産の意図しない改ざん、消失、破壊 情報資産が必要なときに利用できない

2.1.5.2.12.5.3.2.事故レベル3【中分類付け】【中山】

2.1.5.2.12.5.3.2.1. 事象の検知、報告受付(Detect)

2.1.5.2.12.5.3.2.2. 手順の確認

2.1.5.2.12.5.3.2.3. 作業記録の作成

2.1.5.2.12.5.3.2.4. ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。

2.1.5.2.12.5.3.2.5. 事実確認、対応の判断 被害の局所化(拡大防止)(Triage)

2.1.5.2.12.5.3.2.6. ②システム管理者は原因を特定し、応急処置を実行する。

2.1.5.2.12.5.3.2.7. 影響範囲の特定

2.1.5.2.12.5.3.2.8. ネットワーク接続やシステムの遮断もしくは停止

2.1.5.2.12.5.3.2.9. 緊急連絡

2.1.5.2.12.5.3.2.10.③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。

2.1.5.2.12.5.3.2.11.原状保全

2.1.5.2.12.5.3.2.12.各種ログの保全

2.1.5.2.12.5.3.2.13.スナップショットの保存

2.1.5.2.12.5.3.2.14.場合によっては、ストレージ装置全体

2.1.5.2.12.5.3.2.15.原因調査

2.1.5.2.12.5.3.2.16.⑦システム管理者は原因対策を実施する。

2.1.5.2.12.5.3.2.17.要因の特定

2.1.5.2.12.5.3.2.18.早期復旧・事業継続 (Respond)

2.1.5.2.12.5.3.2.19.④電子データの場合はシステム管理者がバックアップによる復旧を実行する。

2.1.5.2.12.5.3.2.20.⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。

2.1.5.2.12.5.3.2.21.⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。

2.1.5.2.12.5.3.2.22.恒久的対策(再発防止策)

2.1.5.2.12.5.3.2.23.再発防止策の実施

2.1.5.2.12.5.3.2.24.監視体制の強化

2.1.5.2.12.5.3.2.25.作業結果の報告

2.1.5.2.12.5.3.2.26.作業の評価、ポリシー・運用体制・運用手順の見直し

2.1.5.2.12.5.3.2.27.通常運用

2.1.5.2.12.5.3.2.28.代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。

2.1.5.2.12.5.3.3.事故レベル3【基本手順】

2.1.5.2.12.5.3.3.1. ①発見者は即座にインシデント対応責任者及び代表取締役社長に報告する。

2.1.5.2.12.5.3.3.2. ②システム管理者は原因を特定し、応急処置を実行する。

2.1.5.2.12.5.3.3.3. ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。

2.1.5.2.12.5.3.3.4. ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。

2.1.5.2.12.5.3.3.5. ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。

2.1.5.2.12.5.3.3.6. ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。

2.1.5.2.12.5.3.3.7. ⑦システム管理者は原因対策を実施する。

2.1.5.2.12.5.3.3.8. 代表取締役は社内及び影響範囲の全ての組織・人に対応結果及び対策を公表する。

2.1.5.2.12.5.3.4.事故レベル2

2.1.5.2.12.5.3.4.1. ①発見者は発見次第、システム管理者に報告する。

2.1.5.2.12.5.3.4.2. ②システム管理者は原因を特定し、応急処置を実行する。

2.1.5.2.12.5.3.4.3. ③インシデント対応責任者は社内に周知するとともに総務部情報システム担当に連絡する。

2.1.5.2.12.5.3.4.4. ④電子データの場合はシステム管理者がバックアップによる復旧を実行する。

2.1.5.2.12.5.3.4.5. ⑤機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。

2.1.5.2.12.5.3.4.6. ⑥書類・フィルム原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する。

2.1.5.2.12.5.3.4.7. ⑦システム管理者は原因対策を実施する。

2.1.5.2.12.5.3.5.事故レベル1

2.1.5.2.12.5.3.5.1. ①発見者は発見次第、システム管理者に報告する。

2.1.5.2.12.5.3.5.2. ②システム管理者は原因を特定し、応急処置を実行する。

2.1.5.2.12.5.3.5.3. ③電子データの場合はシステム管理者がバックアップによる復旧もしくは再作成・入手を実行する。

2.1.5.2.12.5.3.5.4. ④機器の場合はシステム管理者が修理、復旧、交換等の手続きを行う。

2.1.5.2.12.5.3.5.5. ⑤書類・フィルム等の原本の場合は情報セキュリティ部門責任者が可能な範囲で修復する

2.1.5.2.12.5.3.5.6. ⑥システム管理者は原因対策を実施する

2.1.5.2.12.5.3.6.事故レベル0

2.1.5.2.12.5.3.6.1. 発見者は発見次第、発生可能性のあるインシデントと想定される被害をシステム管理者に報告する。

2.1.5.2.12.5.4.4.3ウイルス感染時の初期対応

2.1.5.2.12.5.4.1.悪意のあるソフトウェアに感染

2.1.5.2.12.5.4.2.従業員は、業務に利用しているパソコン、サーバー又はスマートフォン、タブレット(以下「コンピュータ」といいます。)がウイルスに感染した場合には、以下を実行する。

2.1.5.2.12.5.4.3.①ネットワークからコンピュータを切断する。

2.1.5.2.12.5.4.4.②システム管理者に連絡する。

2.1.5.2.12.5.4.5.③ウイルス対策ソフトの定義ファイルを最新版に更新する。

2.1.5.2.12.5.4.6.④ウイルス対策ソフトを実行しウイルス名を確認する。

2.1.5.2.12.5.4.7.⑤ウイルス対策ソフトで駆除可能な場合は駆除する。

2.1.5.2.12.5.4.8.⑥駆除後再度ウイルス対策ソフトでスキャンし、駆除を確認する。

2.1.5.2.12.5.4.9.⑦システム管理者に報告する。

2.1.5.2.12.5.4.10.以下の場合など従業員自身で対応できないと判断される場合はシステム管理者に問い合わせる。

2.1.5.2.12.5.4.10.1.ウイルス対策ソフトで駆除できない。

2.1.5.2.12.5.4.10.2.システムファイルが破壊・改ざんされている。

2.1.5.2.12.5.4.10.3.ファイルが改ざん・暗号化・削除されている。

2.1.5.2.12.5.5.4.5届け出及び相談

2.1.5.2.12.5.5.1.システム管理者は、インシデント対応後に以下の機関への届け出又は相談を検討する。

2.1.5.2.12.5.5.2.<届け出・相談先>

2.1.5.2.12.5.5.2.1. 独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)

2.1.5.2.12.5.5.2.2. Øウイルスの届け出先 https://www.ipa.go.jp/security/outline/todokede-j.html TEL: 03-5978-7518 E-mail:virus@ipa.go.jp

2.1.5.2.12.5.5.2.3. Ø不正アクセスに関する届出 E-Mail:crack@ipa.go.jp FAX:03-5978-7518

2.1.5.2.12.5.5.2.4. Ø情報セキュリティ安心相談窓口 https://www.ipa.go.jp/security/anshin/index.html TEL:03-5978-7509 E-mail:anshin@ipa.go.jp

2.1.5.2.12.6.5.情報セキュリティインシデントによる事業中断と事業継続管理

2.1.5.2.12.6.1.代表取締役は、情報セキュリティインシデントの影響により当社事業が中断した場合に備え、以下を定める。

2.1.5.2.12.6.2.5.1想定される情報セキュリティインシデント

2.1.5.2.12.6.2.1.以下のインシデントによる事業の中断を想定する。

2.1.5.2.12.6.2.2.l情報セキュリティインシデント:大型地震の発生に伴う設備の倒壊、回線の途絶、停電等にによる○○システム停止

2.1.5.2.12.6.2.3.l想定理由:当社の事業は、商品の販売から請求回収までの業務を○○システムに依存しているため、停止した場合は事業の継続が困難になり多大な損失が発生

2.1.5.2.12.6.3.5.2復旧責任者及び関連連絡先

2.1.5.2.12.6.3.1.被害対象毎に、復旧責任者、関係者連絡先をリスト化しておく

2.1.5.2.12.6.4.5.3事業継続計画

2.1.5.2.12.6.4.1.インシデント対応責任者は、想定する情報セキュリティインシデントが発生し、事業が中断した際の復旧責任者の役割認識及び関係者連絡先について、有効に機能するか検証する。

2.1.5.2.12.6.4.2.復旧責任者は、被害対象に応じて復旧から事業再開までの計画を立案する。

2.1.5.2.13.社内体制図(当社の情報セキュリティ管理)

2.1.5.2.13.1.1.情報セキュリティのための組織

2.1.5.2.14.委託契約書機密保持条項サンプル(外部委託契約の締結時)

2.1.5.2.14.1.1.委託契約時の機密保持契約条項

2.1.5.2.14.1.1.<機密保持条項サンプル>

2.2.中小企業の情報セキュリティ対策ガイドライン(パブコメ版)【IPA

2.2.1.経営者の皆様へ

2.2.1.1.情報セキュリティ対策は、経営に大きな影響を与えます!

2.2.1.2.経営者が自ら動かなければ、法的・道義的責任を問われます!

2.2.1.3.組織として対策するために、担当者への指示が必要です!

2.2.2.対象組織と想定する読者 対象組織と想定する読者

2.2.2.1.経営者層・システム管理者層

2.2.3.全体解説

2.2.3.1.Step 未対策

2.2.3.1.1.情報セキュリティを意識していない企業または個人事業主

2.2.3.2.Step2 何らかは実施済み

2.2.3.2.1.基準や規則はないが何らかの対策を実施している企業

2.2.3.3.Step3 自己診断達成

2.2.3.3.1.自社診断25項目の基本対策を全て実施できている企業

2.2.3.4.Step4 ポリシー策定済

2.2.3.4.1.情報セキュリティポリシーを策定・導入済の企業

2.2.4. 1 経営者編

2.2.4.1.情報セキュリティ対策を怠ることで企業が被る不利益

2.2.4.1.1.(1) 資金の喪失

2.2.4.1.2.(2) 顧客の喪失

2.2.4.1.3.(3) 業務 の喪失

2.2.4.1.4.(4) 従業員 への影響

2.2.4.2.経営者が負う責任

2.2.4.2.1.(1) 経営者などに問われる法的責任

2.2.4.2.1.1.・個人情報

2.2.4.2.1.2.・他社から預かった秘密情報

2.2.4.2.1.3.・自社の秘密情報

2.2.4.2.2.(2) 関係者や社会に対する責任

2.2.4.2.2.1.・営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

2.2.4.3.経営者は何をすればよいか

2.2.4.3.1.経営者が認識する必要な「3原則」

2.2.4.3.1.1.原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

2.2.4.3.1.2.原則2 委託先における情報セキュリティ対策まで考慮する

2.2.4.3.1.3.原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

2.2.4.3.2.企業 として重要 として実施する「重要 7項目の取組」

2.2.4.3.2.1.取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

2.2.4.3.2.2.取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

2.2.4.3.2.3.取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

2.2.4.3.2.4.取組4 情報セキュリティ対策に関する定期的な見直しを行う

2.2.4.3.2.5.取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える情報セキュリティ対策が担保されるようにする

2.2.4.3.2.6.取組6 情報セキュリティに関する最新動向を収集する

2.2.4.3.2.7.取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

2.2.5. 2 管理実践編

2.2.5.1.情報セキュリティポシーの策定手順 情報セキュリティポシーの策定手順

2.2.5.1.1.基本的な考え方

2.2.5.1.1.1.自社に適合したポリシーを策定

2.2.5.1.1.2.情報セキュリティリスクの大きなものから重点的に対策を実施

2.2.5.1.2.情報セキュリティ対策の策定まで流れ

2.2.5.1.2.1.対象とすべき情報資産の選定、重要度定義

2.2.5.1.2.1.1.(機密性、完全性、可用性レベル)

2.2.5.1.2.2.リスク値算定

2.2.5.1.2.2.1.(リスク値=(a)資産価値×(b)脅威の発生確率/頻度×(c) 脆弱性)

2.2.5.1.2.3.情報セキュリティ対策決定

2.2.5.1.2.3.1.(1)リスクを低減する

2.2.5.1.2.3.2.(2)リスクを保有する

2.2.5.1.2.3.3.(3)リスクを回避する

2.2.5.1.2.3.4.(4)リスクを移転する

2.2.5.1.2.4.ポリシー策定

2.2.5.1.2.4.1.(1)組織的対策

2.2.5.1.2.4.2.(2)人的対策

2.2.5.1.2.4.3.(3)情報資産管理

2.2.5.1.2.4.4.(4)アクセス制御

2.2.5.1.2.4.5.(5)物理的対策

2.2.5.1.2.4.6.(6)IT機器利用

2.2.5.1.2.4.7.(7)IT基盤運用管理

2.2.5.1.2.4.8.(8)システムの開発及び 保守

2.2.5.1.2.4.9.(9)委託管理

2.2.5.1.2.4.10.(10)情報セキュリティインシデント対処及び事業継続管理

2.2.5.1.2.4.11.(11)マイナンバー対応

2.2.5.1.2.4.12.(12)秘密保持契約書

2.2.5.1.2.4.13.(13)社内体制図

2.2.5.1.2.4.14.

2.2.5.1.3.委託時の情報セキュリティ対策

2.2.5.1.3.1.機密情報の種類、業務委託関係など諸条件を考慮して、委託先と協議のうえ、委託先が実施する適切な情報セキュ リティ対策を 契約条件に含めて締結します

2.2.5.2.情報セキュリティ対策の実行

2.2.5.2.1.通常時の実行における役割

2.2.5.2.1.1.経営者、管理者層、一般従業員

2.2.5.2.2.緊急時の対応

2.2.5.2.2.1. 緊急時における 指揮命令と対応の優先順位決定

2.2.5.2.2.2. インシデントへの対応(インシデントレスポンス)

2.2.5.2.2.3. インシデントの影響と被害分析

2.2.5.2.2.4. 情報収集と自社に必要な情報の選別

2.2.5.2.2.5. 社内関係者への連絡と周知

2.2.5.2.2.6. 外部関係機との連絡

2.2.5.3.チェックと改善

2.2.5.3.1.チェック方法

2.2.5.3.2.改善の方法

2.2.5.4.情報セキュリティ対策のさらなる改善に向けて

2.2.5.4.1.情報セキュリティマネジメントサイクルによる継続的改善

2.2.5.4.2.情報セキュリティ対策に関する標準規格

2.2.5.4.3.情報セキュリティ監査・点検の実施

2.2.5.4.4.改善の実施

2.2.6.おわりに

2.2.7.本書で用いてる語の説明

2.2.8.付録 1 情報セキュリティ 5か条

2.2.8.1.ソフトウェアはつねに更新しよう

2.2.8.2.機器に応じたマルウェア対策をしよう

2.2.8.3.パスワードなど、認証を強化しよう

2.2.8.4.業務に使うすべてのサービスの設定を見直そう

2.2.8.5.脅威や攻撃の手口を知ろう

2.2.9.付録 2 【旧】5分できる!情報セキュリティ自社診断

2.2.9.1.Part 1 最重要事項

2.2.9.1.1.自社診断シートNo.1 ソフトウェアは常に最新の状態に更新

2.2.9.1.2.自社診断シートNo.2 マルウェア対策が提供されていれば導入

2.2.9.1.3.自社診断シートNo.3 推測されにくいパスワードを使用する

2.2.9.1.4.自社診断シートNo.4 すべてのサービスの設定を見直す

2.2.9.1.5.自社診断シートNo.5 脅威や攻撃に関する最新情報を集める

2.2.9.2.Part 2 ネットの脅威への対処

2.2.9.2.1.自社診断シートNo.6 電子メールは疑ってみる

2.2.9.2.2.自社診断シートNo.7 共有不可の電子メールアドレスはBCC に記入

2.2.9.2.3.自社診断シートNo.8 インターネットバンキングの偽サイトに注意する

2.2.9.2.4.自社診断シートNo.9 機器のパスワードは初期設定で使わない

2.2.9.2.5.自社診断シートNo.10 信頼できるクラウドを使う

2.2.9.3.Part 3 情報資産の保護

2.2.9.3.1.自社診断シートNo.11 社外保存データへのアクセス権に注意する

2.2.9.3.2.自社診断シートNo.12 バックアップを励行する

2.2.9.3.3.自社診断シートNo.13 秘密情報は安全な方法で持ち出す

2.2.9.3.4.自社診断シートNo.14 秘密情報は復元できないように消去する

2.2.9.3.5.自社診断シートNo.15 従業員の私物機器の業務での利用可否を決める

2.2.9.4.Part 4 職場のセキュリティ

2.2.9.4.1.自社診断シートNo.16 重要情報の放置を禁止する

2.2.9.4.2.自社診断シートNo.17 機器の盗難防止対策を講じる

2.2.9.4.3.自社診断シートNo.18 機器を勝手に操作させない

2.2.9.4.4.自社診断シートNo.19 見知らぬ人には声をかける

2.2.9.4.5.自社診断シートNo.20 オフィスの戸締まりに気を配る

2.2.9.5.Part 5 組織的対策事項

2.2.9.5.1.自社診断シートNo.21 従業員に守秘義務について理解してもらう

2.2.9.5.2.自社診断シートNo.22 従業員への定期的な教育・啓発を行う

2.2.9.5.3.自社診断シートNo.23 取引先にも秘密保持を要請する

2.2.9.5.4.自社診断シートNo.24 事故発生に備えて事前に準備する

2.2.9.5.5.自社診断シートNo.25 情報セキュリティ対策をルール化する

2.2.9.6.5分でできる自社診断シート

2.2.9.6.1.

2.2.10.付録 3 わが社の情報セキュリティポリシー

2.2.10.1.情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

2.2.10.2.ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

2.2.10.3.手順1:情報資産管理台帳を作成して重要情報を確認

2.2.10.3.1.この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

2.2.10.3.2.また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

2.2.10.4.手順2:警戒すべき脅威について確認

2.2.10.4.1.<ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

2.2.10.4.2.これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に印を記入してください。

2.2.10.4.3.なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

2.2.10.4.4.サブトピック 4

2.2.10.5.手順3:情報セキュリティ診断を実施

2.2.10.5.1.<ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

2.2.10.5.2.1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

2.2.10.6.手順4;必要なひな形を選んで編集すれば完成!

2.2.10.6.1.手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

2.2.10.6.2.<ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

2.2.10.6.3.なお必要に応じて、さらに項目を追加していただいてもかまいません。

2.2.10.7.ツール 3-1 情報資産管理台帳

2.2.10.8.ツール 3-2 脅威一覧

2.2.10.9.ツール 3-3 対策状況チェックシート

2.2.10.10.ツール 3-4 情報セキュリティポリシー サンプル

2.2.11.付録 4 情報セキュリティ関連ガイド・法令一覧

2.2.11.1.1. 1. 法令

2.2.11.1.1.1-1 個人情報保護法

2.2.11.1.2.1-2 マイナンバー法

2.2.11.1.3.1-3 不正競争防止法

2.2.11.1.4.1-4 不正アクセス禁止法

2.2.11.1.5.1-5 不正指令電磁的記録に関する罪

2.2.11.1.6.1-6 労働契約法

2.2.11.2.2. 2. ガイドライン

2.2.11.2.1.2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

2.2.11.2.2.2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

2.2.11.2.3.2-3 サイバーセキュリティ経営ガイドライン(経済産業省)

2.2.11.2.4.2-4 営業秘密管理指針(経済産業省)

2.2.11.2.5.2-5 秘密情報の保護ハンドブック(経済産業省)

2.2.11.2.6.2-6 組織における内部不正防止ガイドラン(IPA

2.2.12.付録 5 情報セキュリティ相談窓口

2.2.12.1.マルウェアに関する技術的な相談

2.2.12.2.標的型攻撃に関する相談

2.2.12.3.情報セキュリティに関する普及啓発の相談

2.2.12.4.Web改ざんやDoS攻撃に関する技術的な相談、攻撃元への調整依頼

2.2.12.5.不正アクセス/ウイルス感染による被害、事件性のあるもの、刑事罰対象の被害

2.3.中小企業における組織的な情報セキュリティ対策ガイドラインチェック項目【201293IPA

2.3.1.1. 情報セキュリティに対する組織的な取り組み

2.3.1.1.1.1 情報セキュリティに関する経営者の意図が従業員に明確に示されている

2.3.1.1.1.経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つこと。

2.3.1.1.2.情報セキュリティポリシーを定期的に見直しすること。

2.3.1.2.1.2 情報セキュリティ対策に関わる責任者と担当者を明示する

2.3.1.2.1.責任者として情報セキュリティと経営を理解する立場の人を任命すること。

2.3.1.2.2.責任者は、各セキュリティ対策について(社内外を含め)、責任者、担当者それぞれの役割を具体化し、役割を徹底すること。

2.3.1.3.1.3 管理すべき重要な情報資産を区分する

2.3.1.3.1.管理すべき重要な情報資産を、他の情報資産と分類すること。

2.3.1.3.2.情報資産の管理者を定めること。

2.3.1.3.3.重要度に応じた情報資産の取り扱い指針を定めること。

2.3.1.3.4.重要な情報資産を利用できる人の範囲を定めること。

2.3.1.4.1.4 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める

2.3.1.4.1.各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っていること。

2.3.1.4.2.重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っていること。

2.3.1.4.3.(例)

2.3.1.4.4.重要な情報を利用できる人に対してのみ、アクセス可能とすること。

2.3.1.4.5.重要な情報の利用履歴を残しておくこと。

2.3.1.4.6.重要な情報を確実に消去・廃棄すること。

2.3.1.5.1.5 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る

2.3.1.5.1.契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含めること。

2.3.1.5.2.(例)

2.3.1.5.3.システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含めること。

2.3.1.5.4.関係者のみにデータの取り扱いを制限すること。

2.3.1.5.5.外部の組織との間で情報を授受する場合、情報受渡書を持っておこなうこと。

2.3.1.5.6.契約に基づく作業を遂行することによって新たに発生する情報(例:新たに作製された、金型・図面・モックアップ等々)の取扱を含めること。

2.3.1.5.7.

2.3.1.6.1.6 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなければいけないかを明示する

2.3.1.6.1.従業者を採用する際に、守秘義務契約や誓約書を交わしていること。

2.3.1.6.2.従業者が順守すべき事項を明確にしていること。

2.3.1.6.3.違反を犯した従業員に対する懲戒手続きが整備されていること。

2.3.1.6.4.在職中及び退職後の機密保持義務を明確化するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取ること。

2.3.1.7.1.7 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える

2.3.1.7.1.ポリシーや関連規程を従業員に理解させること。

2.3.1.7.2.実践するために必要な教育を定期的に行っていること。

2.3.2.2. 物理的セキュリティ

2.3.2.1.2.1 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う

2.3.2.1.1.重要な情報を保管したり、扱ったりする区域を定めていること。

2.3.2.1.2.重要な情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を行っていること。

2.3.2.1.3.重要な情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、入退の記録を取得していること。

2.3.2.2.2.2 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する

2.3.2.2.1.重要なコンピュータは許可された人だけが入ることができる安全な場所に設置すること。

2.3.2.2.2.電源や通信ケーブルなどは、他の人が容易に接触できないようにすること。

2.3.2.2.3.重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っていること。

2.3.2.3.2.3 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う

2.3.2.3.1.(重要な書類について)

2.3.2.3.1.1.不要になった場合、シュレッダーや焼却などして確実に処分すること。

2.3.2.3.1.2.重要な書類を保管するキャビネットには、施錠管理を行うこと。

2.3.2.3.1.3.重要な情報が存在する机上、書庫、会議室などは整理整頓を行うこと。

2.3.2.3.1.4.郵便物、FAX、印刷物などの放置は禁止。重要な書類の裏面を再利用しないこと。

2.3.2.3.2.(モバイルPC、記憶媒体について)

2.3.2.3.2.1.保存した情報が不要になった場合、消去ソフトを用いるなど、確実に処分していること。

2.3.2.3.2.2.モバイルPC、記憶媒体については、盗難防止の対策を行うこと。

2.3.2.3.2.3.私有PCを会社に持ち込んだり、私有PCで業務を行ったりしないこと。

2.3.3.3. 情報システム及び通信ネットワークの運用管理

2.3.3.1.3.1 情報システムの運用に関して運用ルールを策定する

2.3.3.1.1.システム運用におけるセキュリティ要求事項を明確にしていること。

2.3.3.1.2.情報システムの運用手順書(マニュアル)を整備していること。

2.3.3.1.3.システムの運用状況を点検していること。

2.3.3.1.4.システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ(記録)を取得していること。

2.3.3.1.5.設備(具体例)の使用状況を記録していること。

2.3.3.2.3.2 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う

2.3.3.2.1.ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。

2.3.3.2.2.ウイルス対策ソフトが持っている機能(ファイアウォール機能、スパムメール対策機能、有害サイト対策機能)を活用すること。

2.3.3.2.3.各サーバやクライアントPCについて、定期的なウイルス検査を行っていること。

2.3.3.2.4.Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っていること。

2.3.3.3.3.3 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

2.3.3.3.1.脆弱性の解消(修正プログラムの適用、Windows update等)を行っていること。

2.3.3.3.2.脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集すること。

2.3.3.3.3.情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認すること。

2.3.3.3.4.Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行うこと。

2.3.3.3.5.Webブラウザや電子メールソフトのセキュリティ設定を行うこと。

2.3.3.4.3.4 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する

2.3.3.4.1.必要に応じて、SSL等を用いて通信データを暗号化すること。

2.3.3.4.2.外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPNなどを用いて暗号化した通信路を使用していること。

2.3.3.4.3.電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化すること。

2.3.3.5.3.5 モバイルPCUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、適切なパスワード設定や暗号化などの対策を実施する

2.3.3.5.1.モバイルPCUSBメモリ等の使用や外部持ち出しについて、規程を定めていること。

2.3.3.5.2.外部でモバイルPCUSBメモリ等を使用する場合の紛失や盗難対策を講じていること。

2.3.3.5.3.モバイルPCUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等)を行うこと。

2.3.3.5.4.保存されているデータを、重要度に応じてHDD暗号化、BIOSパスワード設定などの技術的対策を実施すること。

2.3.3.5.5.PCを持出す場合の持出者、持出・返却管理を実施すること。

2.3.3.5.6.盗難、紛失時に情報漏えいの脅威にさらされた情報が何かを正確に把握するため、持ち出し情報の一覧、内容管理を行うこと。

2.3.4.4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策

2.3.4.1.4.1 情報(データ)や情報システムへのアクセスを制限するために、利用者IDの管理(パスワードの管理など)を行う

2.3.4.1.1.利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証

2.3.4.1.2.を確実に行うこと。

2.3.4.1.3.利用者IDの登録や削除に関する規程を整備すること。

2.3.4.1.4.パスワードの定期的な見直しを求めること。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求めること。

2.3.4.1.5.離席する際は、パスワードで保護されたスクリ

2.3.4.1.6.ーンセーバーでパソコンを保護すること。

2.3.4.1.7.不要になった利用者IDを削除すること。

2.3.4.2.4.2 重要な情報に対するアクセス権限の設定を行う

2.3.4.2.1.重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定すること。

2.3.4.2.2.職務の変更や異動に際して、利用者のアクセス権限を見直すこと。

2.3.4.3.4.3 インターネット接続に関わる不正アクセス対策(ファイアウォール機能、パケットフィルタリング、ISPサービス 等)を行う

2.3.4.3.1.(外部から内部へのアクセス)

2.3.4.3.1.1.外部から内部のシステムにアクセスする際、利用者認証を実施すること。

2.3.4.3.1.2.保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにすること。

2.3.4.3.2.(内部から外部へのアクセス)

2.3.4.3.2.1.不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み(フィルタリングソフトの導入等)を行っていること。

2.3.4.4.4.4 無線LANのセキュリティ対策(WPA2の導入等)を行う

2.3.4.4.1.無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等)の設定を行うこと。

2.3.4.4.2.無線LANの使用を許可する端末(MAC認証)や利用者の認証を行うこと。

2.3.4.5.4.5 ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う

2.3.4.5.1.ソフトウェアの導入や変更に関する手順を整備していること。

2.3.4.5.2.システム開発において、レビューの実施と記録を残していること。

2.3.4.5.3.外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めていること。

2.3.4.5.4.開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できること。

2.3.5.5. 情報セキュリティ上の事故対応

2.3.5.1.5.1 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する

2.3.5.1.1.情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておくこと。

2.3.5.1.2.障害対策の仕組みが組織として効果的に機能するよう、よく検討していること。

2.3.5.1.3.システムの切り離し(即応処理)、必要なサービスを提供できるような機能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておくこと。

2.3.5.1.4.日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておくこと。

2.3.5.1.5.障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておくこと。

2.3.5.1.6.(例)

2.3.5.1.7.大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施。

2.3.5.1.8.関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っていること。

2.3.5.2.5.2 情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何をすべきかを把握する

2.3.5.2.1.ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておくこと。

2.3.5.2.2.(例)

2.3.5.2.3.ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより、コンピュータの検査を実施し、ワクチンソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる。

2.3.5.2.4.情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある。

2.4.中小企業における組織的な情報セキュリティ対策ガイドライン事例集【201293IPA

2.4.1.Case 1. 従業員の情報持ち出し

2.4.1.1.様々な情報が分類・整理されていない

2.4.1.2.従業員が機密情報か否かを判別できない

2.4.1.3.重要な情報に誰でもアクセスできるようになっている(アクセス制御が出来ていない)

2.4.2.Case 2. 退職者の情報持ち出し、競合他社への就職

2.4.2.1.退職後の機密保持策や競業避止対策の未整備

2.4.2.2.営業秘密管理の不徹底

2.4.3.Case 3. 従業員による私物PCの業務利用と Winnyの利用による業務情報の漏洩事故

2.4.3.1.業務に必要なPCを支給していなかった

2.4.3.2.規定の存在が周知されていなかった

2.4.3.3.守られることが期待されない実効性の低い社内規定の存在

2.4.3.4.情報が第三者に流出した場合も想定した対策の不備

2.4.4.Case 4. ホームページへの不正アクセス

2.4.4.1.開発管理の不備

2.4.4.2.脆弱な運用体制

2.4.4.3.不十分な不正アクセス対策

2.4.4.4.事故対応体制の未整備

2.4.5.Case 5. 無許可の外部サービスの利用

2.4.5.1.外部サービスの無許可利用

2.4.5.2.外部サービスのサービス内容についての不十分な理解

2.4.6.Case 6. 委託した先からの情報漏えい

2.4.6.1.委託先管理の不十分さ

2.4.6.2.法令遵守に対する意識の低さ

2.4.7.Case 7. 在庫管理システム障害の発生

2.4.7.1.事業継続への意識の低さ

2.4.8.Case 8. 無線LANのパスワードのいい加減な管理

2.4.8.1.無線LANの危険性に対する認識の不足

2.4.8.2.パスワード管理の重要性に対する認識の不足

2.4.9.Case 9. IT管理者の不在

2.4.9.1.特定の個人や委託先のスキルに依存しすぎている

2.4.9.2.代替要員やマニュアル等の未整備

2.4.10.Case 10. 電子メール経由でのウイルス感染

2.4.10.1.ウイルス対策ソフト等の動作の確認を定期的にしていない

2.4.10.2.ウイルス対策等が十分に出来ないPCへの考慮が不十分

2.4.10.3.エンドユーザーがシステム構成等を変更することへの考慮が不十分

2.4.11.付録1:情報セキュリティ対策チェックリスト

2.5.SECURITY ACTION20174IPA

2.5.1.中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度

2.5.2.経営に欠かせない 情報セキュリティ

2.5.2.1.IT社会では、企業経営においても、IT活用による「攻め」と同時に、情報セキュリティによる「守り」が不可欠です。身近なところから情報セキュリティ対策を始めましょう。

2.5.3.一つ星

2.5.3.1.中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取組むことを宣言した中小企業等であることを示すロゴマーク

2.5.3.2.情報セキュリティ5か条

2.5.4.二つ星

2.5.4.1.中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)*1を定め、外部に公開したことを宣言した中小企業等であることを示すロゴマーク

2.5.4.2.5分でできる!情報セキュリティ自社診断パンフレット(PDF)

2.5.4.3.5分でできる!情報セキュリティ自社診断シート(PDF)

2.5.4.4.中小企業の情報セキュリティ対策ガイドライン(PDF)

2.5.5.SECURITY ACTIONロゴマークの使用申込

2.6.中小企業における情報セキュリティの普及促進に関する共同宣言

2.6.1.第四次産業革命の波が押し寄せる中、急速に変化する社会に対応するために、中小企業においてもITの利活用による新たな商品・サービスの開発、業務の高度化・効率化等が重要になってくる

2.6.2.しかし、ITの利活用の進展と相まって、サイバー攻撃・犯罪の巧妙化等により、情報セキュリティ上の脅威がこれまで以上に悪質化・多様化してきている

2.6.3.そのため、中小企業におけるITの利活用の拡大に向け、中小企業における情報セキュリティへの意識啓発及び自発的な対策の策定、実践を推進するよう、下記団体は連携して活動することを宣言する

2.6.4.連携団体

2.6.4.1.一般社団法人中小企業診断協会

2.6.4.2.全国社会保険労務士会連合会

2.6.4.3.全国商工会連合会

2.6.4.4.全国中小企業団体中央会

2.6.4.5.特定非営利活動法人ITコーディネータ協会

2.6.4.6.特定非営利活動法人日本ネットワークセキュリティ協会

2.6.4.7.独立行政法人情報処理推進機構

2.6.4.8.独立行政法人中小企業基盤整備機構

2.6.4.9.日本商工会議所

2.6.4.10.日本税理士会連合会

3.企業向け(全ての企業・組織)

 

3.1.情報セキュリティ白書201720177IPA

3.1.1.序章 2016年度の情報セキュリティの概況

3.1.2.1 情報セキュリティインシデント・脆弱性の現状と対策

3.1.2.1.1.1 2016年度に観測されたインシデント状況

3.1.2.2.1.2 情報セキュリティインシデント別の状況と事例

3.1.2.3.1.3 攻撃・手口の動向と対策

3.1.2.4.1.4 情報システムの脆弱性の動向

3.1.2.5.1.5 情報セキュリティ対策の状況

3.1.3.2 情報セキュリティを支える基盤の動向

3.1.3.1.2.1 日本の情報セキュリティ政策の状況

3.1.3.2.2.2 情報セキュリティ関連法の整備状況

3.1.3.3.2.3 国別・地域別の情報セキュリティ政策の状況

3.1.3.4.2.4 情報セキュリティ人材の現状と育成

3.1.3.5.2.5 情報セキュリティマネジメント

3.1.3.6.2.6 国際標準化活動

3.1.3.7.2.7 評価認証制度

3.1.3.8.2.8 情報セキュリティの普及啓発活動

3.1.3.9.2.9 情報セキュリティ産業の規模と成長の動向

3.1.3.10.2.10 その他の情報セキュリティの状況

3.1.4.3 個別テーマ

3.1.4.1.3.1 制御システムの情報セキュリティ

3.1.4.2.3.2 IoTの情報セキュリティ

3.1.4.3.3.3 スマートデバイスの情報セキュリティ

3.1.4.4.3.4 金融の情報セキュリティ

3.1.4.5.3.5 オリンピックに向けた情報セキュリティ対策

3.1.5.付録 情報セキュリティ10大脅威2017・資料・ツール

3.1.5.1.情報セキュリティ10大脅威2017

3.1.5.2.資料A 2016年のコンピュータウイルス届出状況

3.1.5.3.資料B 2016年のコンピュータ不正アクセス届出状況

3.1.5.4.資料C ソフトウェア等の脆弱性関連情報に関する届出状況

3.1.5.5.ツール 各ツールの紹介

3.2.情報セキュリティ白書201620167IPA

3.2.1.部 情報セキュリティの概要と分析

3.2.2.序章 2015年度の情報セキュリティの概況~10の主な出来事~

3.2.2.1.標的型攻撃により日本年金機構から個人情報が流出

3.2.2.2.インターネットバンキングの不正送金、被害額は過去最悪を更新

3.2.2.3.オンライン詐欺・脅迫被害が拡大

3.2.2.4.広く普及しているソフトウェアの脆弱性が今年も問題に

3.2.2.5.DDoS攻撃の被害が拡大、IoT端末が狙われる

3.2.2.6.重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

3.2.2.7.法改正による政府機関のセキュリティ強化

3.2.2.8.企業のセキュリティ強化に経営層の参画が重要

3.2.2.9.セキュリティ人材育成への取り組み

3.2.2.10.自動車・IoTのセキュリティ脅威が高まる

3.2.3.1章情報セキュリティインシデント・脆弱性の現状と対策

3.2.3.1.1.1 2015年度に観測されたインシデント状況

3.2.3.1.1.1.1.1 世界における情報セキュリティインシデント状況

3.2.3.1.2.1.1.2 国内における情報セキュリティインシデント状況

3.2.3.2.1.2 情報セキュリティインシデント別の状況と事例

3.2.3.2.1.1.2.1 広く普及しているソフトウェアの脆弱性

3.2.3.2.2.1.2.2 活動妨害を狙った攻撃

3.2.3.2.3.1.2.3 インターネットバンキングを狙った攻撃

3.2.3.2.4.1.2.4 個人情報の大量取得を狙った攻撃

3.2.3.2.5.1.2.5 政府関連・重要インフラの機密情報を狙った攻撃

3.2.3.2.6.1.2.6 オンライン詐欺

3.2.3.2.7.1.2.7 ランサムウェアによる被害

3.2.3.2.8.1.2.8 内部者による情報の不正な持ち出し

3.2.3.2.9.1.2.9 不適切な運用による情報漏えい

3.2.3.3.1.3 攻撃・手口の動向と対策

3.2.3.3.1.1.3.1 広く普及しているソフトウェアの脆弱性を悪用する攻撃

3.2.3.3.2.1.3.2 巧妙化する標的型攻撃

3.2.3.3.3.1.3.3 巧妙化するばらまき型メール

3.2.3.3.4.1.3.4 DDoS攻撃

3.2.3.3.5.1.3.5 インターネットバンキングを狙った攻撃

3.2.3.3.6.1.3.6 オンライン詐欺

3.2.3.3.7.1.3.7 ランサムウェア

3.2.3.4.1.4 情報システムの脆弱性の動向

3.2.3.4.1.1.4.1 脆弱性対策情報の登録状況

3.2.3.4.2.1.4.2 脆弱性の状況

3.2.3.4.3.1.4.3 脆弱性評価の取り組み

3.2.3.5.1.5 情報セキュリティ対策の状況

3.2.3.5.1.1.5.1 企業における対策状況

3.2.3.5.2.1.5.2 政府における対策状況

3.2.3.5.3.1.5.3 地方公共団体における対策状況

3.2.3.5.4.1.5.4 教育機関における対策状況

3.2.3.5.5.1.5.5 一般利用者における対策状況

3.2.4.2章情報セキュリティを支える基盤の動向

3.2.4.1.2.1 日本の情報セキュリティ政策の状況

3.2.4.1.1.2.1.1 政府全体の政策動向

3.2.4.1.2.2.1.2 経済産業省の政策

3.2.4.1.3.2.1.3 総務省の政策

3.2.4.1.4.2.1.4 警察におけるサイバー犯罪対策

3.2.4.1.5.2.1.5 電子政府システムの安全性確保への取り組み

3.2.4.2.2.2 情報セキュリティ関連法の整備状況

3.2.4.2.1.2.2.1 行政機関個人情報保護法等の改正

3.2.4.2.2.2.2.2 サイバーセキュリティ基本法の改正

3.2.4.2.3.2.2.3 情報処理の促進に関する法律の改正

3.2.4.3.2.3 国別・地域別の情報セキュリティ政策の状況

3.2.4.3.1.2.3.1 国際社会と連携した取り組み

3.2.4.3.2.2.3.2 米国のセキュリティ政策

3.2.4.3.3.2.3.3 欧州のセキュリティ政策

3.2.4.3.4.2.3.4 アジア各国におけるセキュリティへの取り組み

3.2.4.3.5.2.3.5 アフリカ地域におけるセキュリティへの取り組み

3.2.4.4.2.4 情報セキュリティ人材の現状と育成

3.2.4.4.1.2.4.1 情報セキュリティ人材の育成に関する政策と政府の取り組み事例

3.2.4.4.2.2.4.2 情報セキュリティ人材育成のための資格制度

3.2.4.4.3.2.4.3 情報セキュリティ人材育成のための活動

3.2.4.5.2.5 情報セキュリティマネジメント

3.2.4.5.1.2.5.1 情報セキュリティ対策の実施状況

3.2.4.5.2.2.5.2 情報セキュリティマネジメントシステム(ISMS)と関連規格

3.2.5.3章個別テーマ

3.2.5.1.3.1 SSL/TLSの安全な利用に向けて

3.2.5.1.1.3.1.1 安全性と相互接続性を考慮した三つの設定基準

3.2.5.1.2.3.1.2 要求設定の概要

3.2.5.1.3.3.1.3 チェックリストと具体的な設定方法の紹介

3.2.5.2.3.2 自動車の情報セキュリティ

3.2.5.2.1.3.2.1 2015年度の攻撃研究事例

3.2.5.2.2.3.2.2 各国の取り組み

3.2.5.2.3.3.2.3 今後の見通し

3.2.5.3.3.3 制御システムの情報セキュリティ

3.2.5.3.1.3.3.1 制御システムの概要

3.2.5.3.2.3.3.2 制御システムのインシデント事例

3.2.5.3.3.3.3.3 海外における制御システムセキュリティの動向

3.2.5.3.4.3.3.4 国内における制御システムセキュリティの動向

3.2.5.4.3.4 IoTの情報セキュリティ

3.2.5.4.1.3.4.1 今、そこにあるIoTのセキュリティ脅威

3.2.5.4.2.3.4.2 IoTセキュリティへの取り組み

3.2.5.5.3.5 スマートデバイスの情報セキュリティ

3.2.5.5.1.3.5.1 スマートデバイスの普及状況

3.2.5.5.2.3.5.2 スマートデバイスを取り巻く脅威

3.2.5.5.3.3.5.3 今後の展望

3.2.5.6.3.6 情報システムにおけるログ管理の現状と対策

3.2.5.6.1.3.6.1 ログ管理の必要性

3.2.5.6.2.3.6.2 企業におけるログ管理の現状と課題

3.2.5.6.3.3.6.3 ログ管理ソフトウェアの特徴とログ管理要件

3.2.5.6.4.3.6.4 ログ管理の導入プロセス

3.2.5.6.5.3.6.5 取り組むべきログ管理のステップ

3.2.6.II 情報セキュリティ10大脅威2016 ~個人と組織で異なる脅威、立場ごとに適切な対応を~

3.2.6.1.情報セキュリティ10大脅威2016

3.2.7.付録 資料・ツール

3.2.7.1.資料A 2015年のコンピュータウイルス届出状況

3.2.7.2.資料B 2015年のコンピュータ不正アクセス届出状況

3.2.7.3.資料C ソフトウェア等の脆弱性関連情報に関する届出状況

3.2.7.4.ツール1 企業や組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク)

3.2.7.4.1.本ツールの設間は、ISMS認証基準であるJIS Q 27001:2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27間と、自社の状況を回答する「企業プロフィールに関する評価項目」19間の計46間で構成しています

3.2.7.5.ツール2 脆弱性体験学習ツール「AppGoat突いてみますか?脆弱性!

3.2.7.5.1.職場や自宅のパソコンにインストールし、ナビゲーシンに従つて脆弱性の検証手法から原理、影響、対策までを自習することができる

3.2.7.6.ツール3 脆弱性対策情報データベース「JVN iPedia

3.2.7.6.1.入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能です

3.2.7.7.ツール4 MyJVN脆弱性対策情報収集ツール

3.2.7.7.1.JVN IPediaに登録された情報の中から、利用者自身に関係する情報のみを効率的に収集できるよう、IPAが開発したツール

3.2.7.8.ツール5 MyJVNバージョンチェッカ

3.2.7.9.ツール6 MyJVNセキュリテイ設定チェッカ

3.2.7.10.ツール7 サイバーセキュリティ注意喚起サービス「icat for JSON

3.2.7.11.ツール8 ウェブサイトの攻撃兆候検出ツール「iLogscanner

3.2.7.12.ツール9 知つていますか?脆弱性-アニメで見るウェブサイトの脅威と仕組み-

3.2.7.13.ツール10 5分でできる!情報セキュリティポイント学習-事例で学ぶ中小企業のためのセキュリティ対策-

3.2.7.14.ツール11 情報セキュリテイ対策支援サイト「iSupport

3.2.7.15.ツール12 セキュリテイ要件確認支援ツール

3.2.7.16.ツール13 情報セキュリテイ・ポータルサイト「ここからセキュリテイ!」

3.2.7.17.ツール14 JPEGテスト支援ツール「iFuzzMaker

3.2.7.18.ツール15 情報漏えい対策ツール

3.3.企業(組織)における最低限の情報セキュリティ対策のしおり【2015821IPA

3.3.1.情報セキュリティ対策とは

3.3.2.5分でできる!中小企業のための情報セキュリティ自社診断

3.3.3.情報(資産)の扱いは

3.3.3.1.№1 保管について

3.3.3.1.1.重要情報を机の上に放置せず鍵付き書庫に保管し施錠するなどのように、重要情報がみだりに扱われないようにしていますか?

3.3.3.2.№2 持ち出しについて

3.3.3.2.1.重要情報を社外へ持ち出す時はパスワードロックをかけるなどのように、盗難・紛失対策をしていますか?

3.3.3.2.2.サブトピック 2

3.3.3.3.№3 廃棄について(紙媒体等)

3.3.3.3.1.重要な書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどのように、重要情報が読めなくなるような処分をしていますか?

3.3.3.4.№4 廃棄について(電子機器・電子媒体等)

3.3.3.4.1.重要情報の入ったパソコン・記憶媒体を廃棄する場合は、消去ソフトを利用したり、業者に消去を依頼するなどのように、電子データが読めなくなるような処理をしていますか?

3.3.4.事務所では

3.3.4.1.№5 事務所について

3.3.4.1.1.事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがないようにしていますか?

3.3.4.2.№6 事務所について

3.3.4.2.1.退社時に、机の上の備品やノートパソコンを引き出しに片付けるなどのように、盗難防止対策をしていますか?

3.3.4.3.№7 事務所について

3.3.4.3.1.最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所の施錠を管理していますか?

3.3.5.パソコンは

3.3.5.1.№8 パソコンについて

3.3.5.1.1.Windows Update を行うなどのように、常にソフトウェアを安全な状態にしていますか?

3.3.5.2.№9 パソコンについて

3.3.5.2.1.ファイル交換ソフト を入れないようにするなどのように、ファイルが流出する危険性が高いソフトウェアの使用を禁止していますか?

3.3.5.3.№10 パソコンについて

3.3.5.3.1.社内外での個人パソコンの業務使用を許可制にするなどのように、業務で個人パソコンを使用することの是非を明確にしていますか?

3.3.5.4.№11 パソコンについて

3.3.5.4.1.退社時にパソコンの電源を落とすなどのように、他人に使われないようにしていますか?

3.3.6.パスワードは

3.3.6.1.№12 パスワードについて

3.3.6.1.1.パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?

3.3.6.2.№13 パスワードについて

3.3.6.2.1.パスワードを他人が見えるような場所に貼らないなどのように、他人にわからないように管理していますか?

3.3.6.3.№14 パスワードについて

3.3.6.3.1.ログイン用のパスワードを定期的に変更するなどのように、他人に見破られにくくしていますか?

3.3.7.ウイルス対策は

3.3.7.1.№15 ウイルス対策について

3.3.7.1.1.パソコンにはウイルス対策ソフトを入れるなどのように、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっていますか?

3.3.7.2.№16 ウイルス対策について

3.3.7.2.1.ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように、常に最新のウイルス定義ファイルになるようにしていますか?

3.3.8.メールは

3.3.8.1.№17 メールについて

3.3.8.1.1.電子メールを送る前に、目視にて送信先アドレスの確認をするなどのように、宛先の送信ミスを防ぐ仕組みを徹底しいますか?

3.3.8.2.№18 メールについて

3.3.8.2.1.お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用するなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか?

3.3.8.3.№19 メールについて

3.3.8.3.1.重要情報をメールで送る場合は、重要情報を添付ファイルに書いてパスワード保護するなどのように、重要情報の保護をしていますか?

3.3.9.バックアップは

3.3.9.1.№20 バックアップについて

3.3.9.1.1.重要情報のバックアップを定期的に行うなどのように、故障や誤操作などに備えて重要情報が消失しないような対策をしていますか?

3.3.10.従業員・取引先は

3.3.10.1.№21 従業者について

3.3.10.1.1.採用の際に守秘義務があることを知らせるなどのように、従業者に機密を守らせていますか?

3.3.10.2.№22 従業者について

3.3.10.2.1.情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?

3.3.10.3.№23 取引先について

3.3.10.3.1.契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に機密を守ることを求めていますか?

3.3.11.事故対応・セキュリティルールは

3.3.11.1.№24 事故対応について

3.3.11.1.1.重要情報の流出や紛失、盗難があった場合の対応手順書を作成するなどのように、事故が発生した場合に備えた準備をしていますか?

3.3.11.2.№25 ルールについて

3.3.11.2.1.情報セキュリティ対策(№1№24 など)を会社のルールにするなどのように、情報セキュリティ対策の内容を明確していますか?

3.3.12.いかがでしたか

3.3.12.1.情報セキュリティ(対策)実施の成功ポイント(PDCAサイクル)

3.3.12.2.参考情報

3.3.12.3.5分でできる!!情報セキュリティポイント学習

3.4.組織における内部不正防止ガイドライン(日本語版) 4版ガイドライン【2017131IPA

3.4.1.1.背景

3.4.2.2.概要

3.4.2.1.2-1.内部不正防止の基本原則

3.4.2.2.2-2.本ガイドラインの構成と活用方法

3.4.2.3.2-3.内部不正対策の体制構築の重要性

3.4.2.4.2-4.内部不正対策の体制

3.4.2.4.1.2-4-1.最高責任者

3.4.2.4.2.2-4-2.総括責任者

3.4.2.4.3.2-4-3.総括責任者の任命について

3.4.2.4.4.2-4-4.各部門/担当者の参画及び協力体制

3.4.3.3. 用語の定義と関連する法律

3.4.3.1.3-1.用語

3.4.3.2.3-2.関連する法律

3.4.4.4. 内部不正を防ぐための管理のあり方

3.4.4.1.4-1.基本方針(経営者の責任、ガバナンス)

3.4.4.2.4-2.資産管理(秘密指定、アクセス権指定、アクセス管理等)

3.4.4.2.1.4-2-1.秘密指定

3.4.4.2.2.4-2-2.アクセス権指定

3.4.4.3.4-3.物理的管理

3.4.4.4.4-4.技術・運用管理

3.4.4.5.4-5.証拠確保

3.4.4.6.4-6.人的管理

3.4.4.7.4-7.コンプライアンス

3.4.4.8.4-8.職場環境

3.4.4.9.4-9.事後対策

3.4.4.10.4-10.組織の管理

3.4.5.付録:内部不正事例集

3.4.6.付録:内部不正チェックシート

3.4.7.付録Q&A

3.4.8.付録:他ガイドライン等との関係

3.4.9.付録:基本方針の記述例

3.4.10.付録:内部不正防止の基本5原則と25分類

3.4.11.付録:対策の分類

3.5.スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書【2015 521NISC

3.5.1.1.総則

3.5.1.1.1.1 本書の目的・位置付け

3.5.1.2.1.2 本書が対象とする者

3.5.1.3.1.3 本書の使い方

3.5.1.4.1.4 用語の定義

3.5.2.2.スマートフォン等の特性と業務利用におけるリスク

3.5.2.1.2.1 スマートフォン等の特性

3.5.2.2.2.2 スマートフォン等の特性及び業務利用における脅威

3.5.2.2.1.表2-1 スマートフォン等の業務利用における脅威と対策の例

3.5.3.3.スマートフォン等の業務利用の形態

3.5.3.1.3.1 端末の配備

3.5.3.2.3.2 利用する場所

3.5.3.3.3.3 私物端末の利用

3.5.3.4.3.4 情報システムの利用形態

3.5.4.4.目的及び適用範囲の明確化

3.5.4.1.4.1 目的の明確化

3.5.4.2.4.2 対象とする業務

3.5.4.3.4.3 利用者

3.5.5.5.業務・サービスの利用要件の策定

3.5.5.1.5.1 端末やOSの種類

3.5.5.2.5.2 端末機能・サービスの要件

3.5.5.2.1.表5-1 端末機能・サービスの利用要件及び利用制限の例

3.5.5.3.5.3 業務用アプリの導入

3.5.5.4.5.4 通信ネットワークの要件

3.5.5.5.5.5 情報セキュリティ対策要件

3.5.5.5.1.(1) ソフトウェアの脆弱性対策

3.5.5.5.2.(2) 不正プログラム対策

3.5.5.5.3.(3) のぞき見防止対策

3.5.5.5.4.(4) 盗難・紛失対策

3.5.5.5.5.(5) ログ管理機能

3.5.5.5.6.(6) 端末管理ツール(MDMMobile Device Management)の導入

3.5.5.5.7.表5-2 MDMの主な機能

3.5.5.5.7.1.端末ロックの遠隔制御

3.5.5.5.7.1.1.端末個体ごとに、遠隔制御でロック、アンロックを実施

3.5.5.5.7.2.リモートデータワイプ

3.5.5.5.7.2.1.端末内全データ削除、個別データ/特定フォルダ削除、業務領域のみ削除 等

3.5.5.5.7.3.暗号化

3.5.5.5.7.3.1.外部メモリ出力時のデータ暗号化/復号、個別データの暗号化/復号

3.5.5.5.7.4.端末機能制御

3.5.5.5.7.4.1.カメラ、スクリーンショット、近距離無線通信、外部メモリ出力等の機能制限

3.5.5.5.7.5.端末状態監視

3.5.5.5.7.5.1.端末状態の取得(OS、アプリ、改造の有無、起動中アプリ 等)

3.5.5.5.7.5.2.死活監視、ログ収集、位置情報取得、アラートメールの送信、管理者向け統計処理

3.5.5.5.7.6.ポリシー設定及び実行

3.5.5.5.7.6.1.パスワードポリシー設定、MDMポリシー(リモートデータワイプの条件、機能制限 等)設定

3.5.5.5.7.6.2.メーラーや無線LAN接続、証明書等の端末構成の設定変更 等

3.5.5.5.7.7.資産管理

3.5.5.5.7.7.1.端末所有者の属性管理や端末個体情報(機種、電話番号 等)の管理 等

3.5.5.5.7.8.アプリ配信及び削除

3.5.5.5.7.8.1.業務用アプリの配信と自動インストール、遠隔削除

3.5.5.5.7.9.アプリ利用制限

3.5.5.5.7.9.1.非公認アプリのインストール制限や強制終了、アプリのアクセス許可制御

3.5.5.5.7.9.2.外部媒体経由のアプリインストール制御 等

3.5.5.5.7.10.MDMサーバ接続

3.5.5.5.7.10.1.SSL・VPNによる通信路暗号化、GCM等によるエージェント・MDMサーバ間通信路の維持 等

3.5.5.5.7.11.フィルタリング機能

3.5.5.5.7.11.1.ウェブフィルタ、メールフィルタ等の設定情報管理やアクセスログの収集

3.5.5.5.7.12.不正プログラム対策ソフトウェアの管理

3.5.5.5.7.13.不正プログラム対策ソフトウェアのバージョンやパターンファイルの管理、最新版への更新、スキャンログの収集、スキャン実行の要求

3.5.5.5.7.14.バックアップ

3.5.5.5.7.14.1.端末データのバックアップやリスア

3.5.5.6.5.6 私物端末の業務利用に際して留意すべき事項

3.5.5.6.1.表5-3 私物端末の業務利用する際に留意すべき事項と要件策定例

3.5.5.6.1.1.業務情報と私的な情報の混在の回避

3.5.5.6.1.1.1. 端末内の私的な情報と業務情報を混在させないよう、これらを明確に分けるための仕組みを導入する

3.5.5.6.1.1.2. 業務用アプリ導入又は端末に業務情報を保存させない仕組みを導入する

3.5.5.6.1.2.家族や友人への貸与の禁止

3.5.5.6.1.2.1. 私的な利用においても家族や友人が利用することを禁止することを合意した者のみに私物端末の利用を認める

3.5.5.6.1.2.2.外出先等での端末の盗難・紛失

3.5.5.6.1.2.3. 業務利用する際の利用場所を限定する

3.5.5.6.1.2.4. 私的利用時を含めて端末ロックやデータワイプ機能の設定を必須し、対策の実施について合意した者のみに私物端末の利用を認める

3.5.5.6.1.3.利用するネットワークの制限

3.5.5.6.1.3.1. 私的な利用時であっても安全性の確認できないサイトや通信ネットワークへの接続を禁止するなどの利用手順を策定し、合意した者のみに私物端末の利用を認める

3.5.5.6.1.4.ソフトウェア更新や不正プログラム対策の実施

3.5.5.6.1.4.1. ソフトウェア更新や不正プログラム対策ソフトウェアの実行を義務付け、合意したのみに私物端末の利用を認める(OSの更新により業務用アプリが正常動作しなくなる可能性について留意が必要)

3.5.5.6.1.5.業務用アプリのインストール

3.5.5.6.1.5.1. 業務用アプリのインストール可能な端末を所有していて、かつインストールに合意した者のみに私物端末の利用を認める

3.5.5.6.1.6.点検内容の明確化

3.5.5.6.1.6.1. 業務用アプリ、MDMやMAMにより点検を自動化する

3.5.5.6.1.6.2. あらかじめ点検内容を明確化し、合意した者のみに私物端末の利用を認める

3.5.6.6.実施手順の整備

3.5.6.1.6.1 責任者の設置と運用管理体制の整備

3.5.6.2.6.2 利用手順の整備

3.5.6.2.1.表6-1 利用者が遵守すべき端末の利用手順に関する注意事項の例

3.5.6.2.1.1.利用の原則

3.5.6.2.1.1.1.行政事務の遂行以外の目的で端末を利用しないこと

3.5.6.2.1.1.2.不要不急な業務においては極力利用しないこと

3.5.6.2.1.1.3.不要な情報は端末に残留させず、速やかに消去すること

3.5.6.2.1.1.4.他の手段が無い場合に限り利用すること

3.5.6.2.1.2.利用手順の遵守

3.5.6.2.1.2.1.利用手順を遵守すること

3.5.6.2.1.2.2.定められた手順以外の方法で業務を行わないこと

3.5.6.2.1.2.3.手順外の処理を行う必要が生じた場合は、事前に責任者の許可又は承認を得ること

3.5.6.2.1.2.4.利用を終了した場合は、速やかに手続すること

3.5.6.2.1.2.5.利用中にインシデント等が発生した場合は、手順に従って管理者等へ速やかに連絡し、必要な措置を講ずること

3.5.6.2.1.3.端末管理の徹底

3.5.6.2.1.3.1.盗難・紛失が起こらないように、日常的に端末の管理を厳重に行うこと

3.5.6.2.1.3.2.家族や知人、第三者が端末操作や画面をのぞき見する行為に注意すること

3.5.6.2.1.4.禁止事項

3.5.6.2.1.4.1.管理責任者の許可なく、端末の設定を変更しないこと

3.5.6.2.1.4.2.安全性が確認できないアプリケーションや利用が禁止されているソフトウェアをインストールしないこと

3.5.6.2.1.4.3.許可された通信回線以外に接続しないこと

3.5.6.2.1.4.4.PCに接続しないこと(充電等の場合であってもNG)

3.5.6.2.1.4.5.端末は家族や知人、第三者に端末を貸与しないこと

3.5.6.3.6.3 運用管理手順の整備

3.6.情報セキュリティ読本 四訂版- IT時代の危機管理入門 -2014114IPA

3.6.1.4章 組織の一員としての情報セキュリティ対策

3.6.2.1.1. 組織のセキュリティ対策

3.6.2.1.計画(Plan - 体制の整備とポリシーの策定

3.6.2.2.実行(Do - 導入と運用

3.6.2.3.点検(Check - 監視と評価

3.6.2.4.処置(Act - 見直しと改善

3.6.2.5.1.1.1 計画(Plan- 体制の整備とポリシーの策定

3.6.2.5.1.組織内の体制を確立する

3.6.2.5.2.セキュリティポリシーを策定する

3.6.2.5.3.対策事項の立案と手順書の整備

3.6.2.5.4.1.1.1.組織内の体制を確立する

3.6.2.5.4.1.情報セキュリティを推進するための体制を組織内に作ることが出発点

3.6.2.5.4.2.実施担当者と、その役割、権限、責任を定める

3.6.2.5.4.3.望ましい体制

3.6.2.5.4.3.1.経営陣が中心となって取り組む

3.6.2.5.4.3.2.全社横断的な体制

3.6.2.5.4.3.3.トップダウンの管理体制

3.6.2.5.5.1.1.2.セキュリティポリシーの策定

3.6.2.5.5.1.セキュリティポリシーとは

3.6.2.5.5.1.1.組織として一貫したセキュリティ対策を行うために、組織のセキュリティ方針と対策の基準を示したもの

3.6.2.5.5.2.セキュリティポリシーの階層

3.6.2.5.5.2.1.基本方針

3.6.2.5.5.2.2.対策基準

3.6.2.5.5.2.3.対策実施手順

3.6.2.5.5.3.策定前の準備

3.6.2.5.5.3.1.情報資産の「何を守るのか」を決定する

3.6.2.5.5.3.2.「どのようなリスクがあるのか」を分析する

3.6.2.5.5.4.責任者と担当者を明確にする

3.6.2.5.5.4.1.組織体の長=情報セキュリティの最高責任者

3.6.2.5.6.1.1.3.対策事項の立案と手順書の整備

3.6.2.5.6.1.対策基準とは

3.6.2.5.6.1.1.情報資産を脅威から守る方法を具体的に定めたもの

3.6.2.5.6.2.実施手順とは

3.6.2.5.6.2.1.対策基準を実際の行動に移す際の手順書(マニュアルのようなもの)

3.6.2.5.6.2.2.最初に設定する内容とその手順

3.6.2.5.6.2.3.定期的に実施する対策の手順

3.6.2.5.6.2.4.インシデント発生時の対策と手順

3.6.2.6.1.2.2 実行(Do- 導入と運用

3.6.2.6.1.導入フェーズ

3.6.2.6.2.運用フェーズ

3.6.2.6.3.1.2.1.導入フェーズ

3.6.2.6.3.1.構築と設定

3.6.2.6.3.1.1.ウイルス対策ソフトやファイアウォールなどのセキュリティ装置の導入、暗号機能の導入

3.6.2.6.3.1.2.OS、アプリケーションのセキュリティ設定

3.6.2.6.3.2.設定における注意点

3.6.2.6.3.2.1.デフォルト設定は使用しない

3.6.2.6.3.2.2.不要なサービスの停止

3.6.2.6.3.3.脆弱性の解消

3.6.2.6.3.3.1.最新の修正プログラムを適用

3.6.2.6.3.4.レベルに応じたアクセス制御

3.6.2.6.3.4.1.組織のメンバーごとにアクセスレベルを設定

3.6.2.6.3.4.2.アクセスできる範囲と操作権限を制限する

3.6.2.6.4.1.2.2.運用フェーズ

3.6.2.6.4.1.セキュリティポリシーの周知徹底とセキュリティ教育

3.6.2.6.4.1.1.役割と責任、セキュリティ対策上のルールを周知

3.6.2.6.4.1.2.被害に遭わないために脅威と対策を教える

3.6.2.6.4.2.脆弱性対策

3.6.2.6.4.2.1.定期的な情報収集とパッチの適用

3.6.2.6.4.3.異動/退職社員のフォロー

3.6.2.6.4.3.1.退職者のアカウントは確実に削除(セキュリティホールになりうる)

3.6.2.7.1.3.3 点検(Check - 監視と評価 -

3.6.2.7.1.監視と評価

3.6.2.7.2.セキュリティ事故への対処

3.6.2.7.3.1.3.1.監視と評価

3.6.2.7.3.1.ネットワークを監視し、異常や不正アクセスを検出する

3.6.2.7.3.1.1.通信、不正アクセスの監視

3.6.2.7.3.1.2.異常検知、不正アクセス検知、脆弱性検査

3.6.2.7.3.2.ポリシーが守られているか自己または第三者による評価を行う

3.6.2.7.3.2.1.自己点検(チェックリストなどにより実施)

3.6.2.7.3.2.2.情報セキュリティ対策ベンチマークでの自己診断

3.6.2.7.3.2.3.情報セキュリティ監査

3.6.2.7.4.1.3.2.セキュリティ事故への対処

3.6.2.7.4.1.セキュリティポリシーに則ったインシデント対応

3.6.2.7.4.2.特に注意すべき点

3.6.2.7.4.2.1.被害状況を調査し、二次災害を防ぐ

3.6.2.7.4.2.2.原因を特定し、再発防止策を徹底する

3.6.2.7.4.2.3.実施した対応の記録、各種届出(必要な場合)

3.6.2.7.4.2.4.対応窓口を設置し、正確な情報を提供する

3.6.2.7.4.2.5.

3.6.2.8.1.4.4 処置(Act - 見直しと改善

3.6.2.8.1.セキュリティポリシーを見直し、改善点を検討する

3.6.2.8.2.セキュリティマネジメントサイクルの実施にともない、情報セキュリティ対策を高めることが重要

3.6.3.2.2. 従業員としての心得

3.6.3.1.規則を知り、遵守する

3.6.3.2.情報セキュリティ上の脅威と対策を知る

3.6.3.3.「自分だけは」、「これぐらいなら」は通用しない

3.6.3.3.1.必ず上司に報告・相談する

3.6.3.4.特に、情報漏えいに気を付ける

3.6.4.3.3. 気を付けたい情報漏えい

3.6.4.1.情報漏えいの経路と原因

3.6.4.2.情報漏えいを防止するための管理対策のポイント

3.6.4.3.企業や組織の一員としての情報セキュリティ心得

3.6.4.4.3.1.情報漏えいの経路と原因

3.6.4.4.1.情報漏えいの経路

3.6.4.4.1.1.PC本体、スマートフォン、タブレット端末、

3.6.4.4.1.2.外部記憶媒体(USBメモリなど)、

3.6.4.4.1.3.紙媒体、P2Pファイル交換ソフト

3.6.4.4.2.情報漏えいの原因

3.6.4.4.2.1.管理ミス、誤操作、紛失・置忘れが約8

3.6.4.4.3.人為的なミスを防ぐことが重要

3.6.4.5.3.2.情報漏えいを防止するための管理対策のポイント

3.6.4.5.1.P2Pファイル交換ソフトは使用しない

3.6.4.5.2.私物パソコン等を業務で使用しない(持ち込ませない)

3.6.4.5.3.個人情報や機密情報を外部に持ち出さない(記憶媒体にコピーしない)

3.6.4.5.4.社用のノートパソコンを持ち出す場合は、ルールを決めて厳密に管理する

3.6.4.6.3.3.企業や組織の一員としての情報セキュリティ心得

3.6.4.6.1.企業や組織の情報や機器を、許可なく持ち出さない

3.6.4.6.2.私物のノートパソコンやプログラムなどを、許可なく、企業や組織に持ち込まない

3.6.4.6.3.企業や組織の情報や機器を未対策のまま放置しない

3.6.4.6.4.企業や組織の情報や機器を未対策のまま廃棄しない

3.6.4.6.5.個人に割り当てられた権限を他の人に貸与または譲渡しない

3.6.4.6.6.業務上知り得た情報を公言しない

3.6.4.6.7.情報漏えいを起こした場合は速やかに報告する

3.6.5.4.4. 終わりのないプロセス

3.6.5.1.一度、導入・設定すればそれで終わり、というものではない。

3.6.5.2.運用、見直し、フィードバックを繰り返すプロセスが必要。

3.6.5.3.技術面だけでなく、管理面も強化する

3.6.5.4.技術的対策と管理的対策はクルマの両輪の関係

3.6.6.5.情報セキュリティにおけるさまざまな対策

3.6.6.1.参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」

3.6.6.2.http://www.ipa.go.jp/security/manager/protect/management.html 

3.6.6.3.参考)読者層別:情報セキュリティ対策実践情報:

3.6.6.4.http://www.ipa.go.jp/security/awareness/awareness.html

3.7.情報セキュリティ 10 大脅威【IPA

3.7.1.情報セキュリティ 10 大脅威(組織)【20173IPA

3.7.1.1.標的型攻撃による情報流出

3.7.1.1.1.ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール

3.7.1.1.2.チェックリスト

3.7.1.1.2.1.□送信者の名前やアドレスが見慣れないものである。

3.7.1.1.2.2.□組織内の話題なのに、外部のメールアドレスから届いている。

3.7.1.1.2.3.□フリーのメールアドレスから届いている。

3.7.1.1.2.4.□添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。

3.7.1.1.2.5.□「緊急」などと急がせて、メールの内容を吟味させまいとしている。

3.7.1.1.2.6.□送信者の署名が無いか曖昧である。

3.7.1.1.2.7.□送信者の名前や組織名として、架空のものを名乗っている。

3.7.1.1.2.8.□受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。

3.7.1.1.2.9.□上記以外で不審な箇所がある。

3.7.1.1.3.経営者層

3.7.1.1.3.1.•問題に迅速に対応できる体制の構築

3.7.1.1.3.2.•対策予算の確保と継続的な対策実施

3.7.1.1.4.システム管理者

3.7.1.1.4.1.•情報の取扱い・保管状態の確認

3.7.1.1.4.2.•システム設計対策・アクセス制限

3.7.1.1.4.3.•ネットワーク監視・分離

3.7.1.1.5.セキュリティ担当部署

3.7.1.1.5.1.•セキュリティ教育の実施

3.7.1.1.5.2.•情報の保管方法ルール策定

3.7.1.1.5.3.•サイバー攻撃に関する情報共有

3.7.1.1.6.従業員・職員

3.7.1.1.6.1.•セキュリティ教育の受講

3.7.1.1.6.2.•OS・ソフトウェアの更新

3.7.1.1.6.3.•ウイルス対策ソフトの導入・更新

3.7.1.2.ランサムウェアを使った詐欺・恐喝

3.7.1.2.1.悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害

3.7.1.2.2.PC利用者

3.7.1.2.2.1.•定期的なバックアップ(PCだけではなく、共有サーバーも)

3.7.1.2.2.2.また、復元できるかの事前の確認

3.7.1.2.2.3.•OS・ソフトウェアの更新

3.7.1.2.2.4.•ウイルス対策ソフトの導入・更新

3.7.1.2.2.5.•メールの添付ファイル・リンクのURLを不用意に開かない

3.7.1.2.3.スマートフォン利用者

3.7.1.2.3.1.•ウイルス対策ソフトの導入・更新

3.7.1.3.ウェブサービスからの個人情報の搾取

3.7.1.3.1.ウェブサービス運営者

3.7.1.3.1.1.•セキュアなウェブサービスの構築

3.7.1.3.1.2.(登録する個人情報も必要最低限に)

3.7.1.3.1.3.•OS・ソフトウェアの更新

3.7.1.3.1.4.•WAFIPSの導入

3.7.1.3.2.ウェブサービス利用者

3.7.1.3.2.1.•不要な情報は極力サイトに登録しない

3.7.1.4.サービス妨害攻撃によるサービスの停止

3.7.1.4.1.個人・組織

3.7.1.4.1.1.•OS・ソフトウェアの更新

3.7.1.5.内部不正による情報漏えいとそれに伴う業務停止

3.7.1.5.1.組織

3.7.1.5.1.1.•情報取扱ポリシー作成および周知徹底・機密保護に関する誓約

3.7.1.5.1.2.•資産の把握・体制の整備

3.7.1.5.1.3.•情報の取扱教育の実施

3.7.1.5.1.4.•重要情報の管理・保護

3.7.1.5.1.5.•アカウント、権限の管理・定期監査

3.7.1.5.1.6.•システム操作の記録・監視

3.7.1.5.2.サービス利用者

3.7.1.5.2.1.•情報の管理が適切かを確認

3.7.1.6.ウェブサイトの改ざん

3.7.1.6.1.ウェブサイト運営者

3.7.1.6.1.1.•OS・サーバーソフトウェアの更新

3.7.1.6.1.2.•サーバーソフトウェアの設定の見直し

3.7.1.6.1.3.•ウェブアプリケーションの脆弱性対策

3.7.1.6.1.4.•アカウント・パスワードの適切な管理

3.7.1.6.1.5.•信頼できないサーバーソフトウェアを利用しない

3.7.1.6.1.6.•改ざん検知ソフトウェアの利用

3.7.1.6.2.ウェブサイト利用者

3.7.1.6.2.1.•OS・ソフトウェアの更新

3.7.1.6.2.2.•ウイルス対策ソフトの導入

3.7.1.7.ウェブサービスへの不正ログイン

3.7.1.7.1.攻撃者が不正に入手したIDやパスワードでログインを試みる

3.7.1.8.IoT 機器の脆弱性の顕在化

3.7.1.8.1.IoT 機器のボットネットを悪用した大規模なDDoS 攻撃を観測

3.7.1.8.2.攻撃手口

3.7.1.8.2.1.IoT 機器の脆弱性を悪用してウイルスに感染させる

3.7.1.8.2.2.ウイルス感染したIoT 機器をボットとして悪用して、インターネット上にウイルス感染した機器を増殖させる

3.7.1.8.2.3.ボットに感染したIoT 機器群を攻撃者が遠隔から操作し、ウェブサイトの公開サービス等をDDoS 攻撃で麻痺させる

3.7.1.8.2.4.IoT 機器からの機密情報を窃取する

3.7.1.8.3.組織(IoT機器の開発者)

3.7.1.8.3.1.初期パスワード変更の強制化

3.7.1.8.3.2.セキュアプログラミング技術の適用

3.7.1.8.3.3.脆弱性の解消(脆弱性検査、ソースコード検査、ファジング等)

3.7.1.8.3.4.ソフトウェア更新手段の自動化

3.7.1.8.3.5.分り易い取扱説明書の作成

3.7.1.8.3.6.迅速なセキュリティパッチの提供

3.7.1.8.3.7.不要な機能の無効化(telnet 等)

3.7.1.8.3.8.安全なデフォルト設定

3.7.1.8.3.9.設計の見直し:

3.7.1.8.3.10.機器の中で複数のパスワードを管理する場合、パスワードの変更漏れがないよう

3.7.1.8.3.11.に設計を見直す。

3.7.1.8.3.12.利用者への適切な管理の呼びかけ:IoT 機器の利用者は必ずしも情報リテラシーが高いとは限らない。マニュアルやウェブページ等で適切な管理を呼びかけることも重要である。

3.7.1.8.4.組織(システム管理者・利用者)、個人

3.7.1.8.4.1.情報リテラシーの向上

3.7.1.8.4.1.1.機器使用前に取扱説明書を確認

3.7.1.8.4.1.2.初期設定済のパスワードを変更

3.7.1.8.4.2.被害の予防

3.7.1.8.4.2.1.不要な機能の無効化(telnet 等):利用上の注意や初期設定から変更が必要な設定等を把握し、適切に運用する。

3.7.1.8.4.2.2.外部からの不要アクセスを制限

3.7.1.8.4.2.3.ソフトウェアの更新(自動化設定を含む)

3.7.1.9.攻撃のビジネス化(アンダーグラウンドサービス)

3.7.1.9.1.~サイバー犯罪を目的としたサービスやツールの売買~

3.7.1.9.2.攻撃手口

3.7.1.9.2.1.ツールやサービスを購入し攻撃

3.7.1.9.3.組織(PC 利用者)

3.7.1.9.3.1.情報リテラシーの向上

3.7.1.9.3.1.1.セキュリティ教育の受講

3.7.1.9.3.1.2.受信メール、ウェブサイトの十分な確認

3.7.1.9.3.1.3.添付ファイルやリンクを安易にクリックしない

3.7.1.9.3.1.4.事例・手口の情報収集

3.7.1.9.3.2.被害の予防

3.7.1.9.3.2.1.OS・ソフトウェアの更新

3.7.1.9.3.2.2.セキュリティソフトの導入

3.7.1.9.3.2.3.多要素認証等の強い認証方式の利用

3.7.1.9.3.3.被害の早期検知

3.7.1.9.3.3.1.不審なログイン履歴の確認

3.7.1.9.3.4.被害を受けた後の対策

3.7.1.9.3.4.1.バックアップからの復旧

3.7.1.9.4.組織(システム管理者)

3.7.1.9.4.1.被害の予防

3.7.1.9.4.1.1.DDoS 攻撃の影響を緩和するISP 等によるサービスの利用

3.7.1.9.4.1.2.システムの冗長化等の軽減策

3.7.1.9.4.2.被害を受けた後の対策

3.7.1.9.4.2.1.通信制御(DDoS 攻撃元をブロック等)

3.7.1.9.4.2.2.ウェブサイト停止時の代替サーバーの用意(告知手段)

3.7.1.10.インターネットバンキングやクレジットカード情報の不正利用

3.7.1.10.1.•OS・ソフトウェアの更新

3.7.1.10.2.•ウイルス対策ソフトの導入

3.7.1.10.3.•事例や手口を知る

3.7.1.10.4.•二要素認証等の強い認証方式の利用

3.7.1.11.踏み台にならないため、利用している機器も含めて管理

3.7.1.11.1.組織

3.7.1.11.1.1.•DDoS攻撃の影響を緩和するISP等によるサービスの利用

3.7.1.11.1.2.•通信制御(DDoS攻撃元をブロック等)

3.7.1.11.1.3.•システムの冗長化等の軽減策

3.7.1.11.1.4.•サイト停止時の代替サーバーの用意

3.7.1.12.脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加

3.7.1.12.1.システム管理者

3.7.1.12.1.1.•担当するシステムの把握・管理の徹底

3.7.1.12.1.2.•継続的な脆弱性対策情報の収集

3.7.1.12.1.3.•脆弱性発見時の対応手順の作成

3.7.1.12.1.4.•ソフトウェアの更新または緩和策

3.7.1.12.1.5.•ネットワークの適切なアクセス制限

3.7.1.12.2.ソフトウェア利用者

3.7.1.12.2.1.•利用しているソフトウェアの把握

3.7.1.12.2.2.•定期的な脆弱性情報の収集

3.7.1.12.2.3.•ソフトウェアの更新または緩和策

3.7.1.12.3.ソフトウェア開発ベンダー

3.7.1.12.3.1.•製品に組み込まれているソフトウェアの把握・管理の徹底

3.7.1.12.3.2.•継続的な脆弱性対策情報の収集

3.7.1.12.3.3.•脆弱性発見時の対応手順の作成

3.7.1.12.3.4.•情報を迅速に展開できる仕組みの整備

3.7.1.13.過失による情報漏えい

3.7.1.13.1.ルールの明文化と遵守

3.7.1.13.2.フールプルーフ

3.7.1.13.2.1.ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計

3.8.企業・組織の対策|国民のための情報セキュリティサイト【総務省】

3.8.1.組織幹部のための情報セキュリティ対策

3.8.1.1.【技術的対策】

3.8.1.2.情報セキュリティ対策の必要性

3.8.1.3.情報セキュリティの概念

3.8.1.4.必要な情報セキュリティ対策

3.8.1.5.情報セキュリティマネジメントとは

3.8.1.5.1.情報セキュリティマネジメントの実施サイクル

3.8.1.5.2.情報セキュリティポリシーの概要と目的

3.8.1.5.3.情報セキュリティポリシーの内容

3.8.1.5.4.情報セキュリティポリシーの策定

3.8.1.5.5.情報セキュリティ教育の実施

3.8.1.5.6.情報セキュリティポリシーの評価と見直し

3.8.1.5.7.事故やトラブル発生時の対応

3.8.1.6.個人情報取扱事業者の責務

3.8.2.社員・職員全般の情報セキュリティ対策

3.8.2.1.安全なパスワード管理

3.8.2.2.ソフトウェアの情報セキュリティ対策

3.8.2.3.ウイルス対策

3.8.2.4.電子メールの誤送信

3.8.2.5.標的型攻撃への対策

3.8.2.6.悪意のあるホームページ

3.8.2.7.バックアップ

3.8.2.8.安全な無線LANの利用

3.8.2.9.廃棄するパソコンやメディアからの情報漏洩(ろうえい)

3.8.2.10.外出先で業務用端末を利用する場合の対策

3.8.2.11.持ち運び可能なメディアや機器を利用する上での危険性と対策

3.8.2.12.ソーシャルエンジニアリングの対策

3.8.2.13.クラウドサービス利用時の注意点

3.8.2.14.SNS利用上の注意点

3.8.3.情報管理担当者の情報セキュリティ対策

3.8.3.1.【技術的対策】

3.8.3.1.1.ソフトウェアの更新

3.8.3.1.2.ウイルス対策

3.8.3.1.3.ネットワークの防御

3.8.3.1.4.不正アクセスによる被害と対策

3.8.3.1.5.外出先で業務用端末を利用する場合の対策

3.8.3.1.6.SQLインジェクションへの対策

3.8.3.1.7.標的型攻撃への対策

3.8.3.1.8.安全な無線LAN利用の管理

3.8.3.1.9.ユーザ権限とユーザ認証の管理

3.8.3.1.10.バックアップの推奨

3.8.3.1.11.セキュリティ診断

3.8.3.1.12.ログの適切な取得と保管

3.8.3.1.13.サポート期間が終了するソフトウェアに注意

3.8.3.2.【情報セキュリティポリシー】

3.8.3.2.1.情報セキュリティポリシーの導入と運用

3.8.3.2.2.ソーシャルエンジニアリングの対策

3.8.3.2.3.クラウドサービスを利用する際の情報セキュリティ対策

3.8.3.2.4.SNSを利用する際の情報セキュリティ対策

3.8.3.2.5.社員の不正による被害と対策

3.8.3.2.6.廃棄するパソコンやメディアからの情報漏洩

3.8.3.2.7.持ち運び可能な記憶媒体や機器を利用する上での危険性と対策

3.8.3.3.【物理セキュリティ】

3.8.3.3.1.サーバの設置と管理

3.8.3.3.2.機器障害への対策

3.8.4.事故・被害の事例

3.8.4.1.事故・被害の事例

3.8.4.1.1.事例1:資料請求の情報が漏洩した

3.8.4.1.2.事例2:ホームページが書き換えられた

3.8.4.1.3.事例3:顧客のメールアドレスが漏洩

3.8.4.1.4.事例4:他人のIDで不正にオンライン株取引

3.8.4.1.5.事例5:中古パソコンによるデータの漏洩

3.8.4.1.6.事例6:情報セキュリティ対策は万全だったはずなのに・・・

3.8.4.1.7.事例7:ファイル共有ソフトが原因で・・・

3.8.4.1.8.事例8SQLインジェクションでサーバの情報が・・・

3.8.4.1.9.事例9:標的型攻撃で、企業の重要情報が・・・

3.8.4.1.10.事例10:自分の名前で勝手に書き込みが・・・

3.8.4.1.11.事例11:公式アカウントが乗っ取られた

3.8.4.1.12.事例12:有名サイトからダウンロードしたはずなのに・・・

3.8.4.1.13.事例13:クラウドサービスに預けていた重要データが消えた

3.8.5.脆弱性の注意喚起

3.8.5.1.Internet Explorerの脆弱性について

3.8.5.2.Apache Strutsの脆弱性について

3.8.5.3.OpenSSLの脆弱性について

3.9.@police-被害事例と対処法【警察庁】

3.9.1.PCユーザ 被害事例と対処法

3.9.1.1.ID・パスワードを盗まれて「なりすまし」に遭った

3.9.1.2.身に覚えのない料金請求をされた

3.9.1.3.パソコンのハードディスクの中身がインターネット上に公開された

3.9.1.4.携帯電話の情報が勝手に登録された

3.9.1.5.Keylogger(キーロガー)によって個人情報を盗まれた

3.9.1.6.フィッシング詐欺に遭った

3.9.1.7.会社の顧客情報が流出した

3.9.1.8.身に覚えの無い国際電話利用料金の請求が来た

3.9.1.9.有料サイトの利用料金を請求するメールが来た

3.9.1.10.インターネットを利用中に、ブラウザクラッシャーに遭った

3.9.1.11.ネットストーカーに困っている

3.9.1.12.悪徳商法やネット詐欺にあった

3.9.1.13.掲示板に個人情報を書き込まれた

3.9.1.14.パソコンがウイルスに感染してしまった

3.9.1.15.迷惑メールが来たがどうすれば良いか

3.9.2.システム/ネットワーク管理者 被害事例と対処法

3.9.2.1.自組織内の機密情報が、ファイル共有ソフトにより流出した

3.9.2.2.組織内で管理する個人情報がスタッフによって外部へ流出した

3.9.2.3.Webサイトの掲示板に、悪意のある書き込みを大量にされた

3.9.2.4.自組織のドメイン名に詐称された迷惑メールをばらまかれた

3.9.2.5.自分が管理する掲示板上の書き込みに対して削除を求められた

3.9.2.6.他組織のホストへウイルスを感染させてしまった

3.9.2.7.サーバがウイルスに感染してしまった

3.9.2.8.サーバがクラックされ、ページが書き換えられた

3.9.2.9.スパムメールの踏み台にされた

3.9.2.10.DoS攻撃を受けて、サーバが利用不能になった

3.9.2.11.サーバに侵入され個人情報が流出した

3.10.情報セキュリティポリシーサンプル改版(1.0版)【2016329JNSA

3.11.すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~【トレンドマイクロ】

3.11.1.1 はじめに インシデント対応の実情

3.11.2.2 「インシデント発生」を把握し対応開始を判断する

3.11.2.1.2.1 インシデントの発生に気づくために

3.11.2.2.2.2 インシデント対応を判断するために

3.11.2.3.2.3 まとめ インシデントの把握と対応判断のポイント

3.11.3.3 「不審な通信」、その時に行うべきインシデント対応

3.11.3.1.3.1 インシデント対応の考え方

3.11.3.2.3.2 「影響範囲の確認」のために必要な対応

3.11.3.3.3.3 「脅威の封じ込め/根絶」のために必要な対応

3.11.3.4.3.4 被疑端末への対応

3.11.3.5.3.5 まとめ 具体的なインシデント対応のポイント

3.11.4.4 「適切な対応」を迅速に行うために

3.11.4.1.4.1 インシデント発生を把握し対応開始を判断するための事前準備

3.11.4.2.4.2 インシデント対応を適切かつ迅速に行うための事前準備

3.11.5.5 まとめ

3.12.【てびき】情報管理も企業力~秘密情報の保護と活用~【2016125METI

3.12.1.秘密情報の保護ハンドブックの手引き

3.12.2.1.こんなこと、あるある!? 秘密情報にまつわるトラブル

3.12.2.1.大口の取引先から図面を見せてほしいと言われて提示したら・・・

3.12.2.2.プロジェクトの開発リーダーだった従業員が退職を申し出てきたが、転職先は競合他社で・・・

3.12.2.3.自社開発の技術にもかかわらず、他社から「盗まれた!」と言われた。

3.12.2.4.コラム:トラブルに巻き込まれないよう、社内の秘密情報をうまく把握し、活用させて企業力を高めていきましょう!

3.12.3.2.対策は身近なところから!企業を守るための漏えい対策3ステップ

3.12.3.1.保有する情報を洗い出します

3.12.3.2.秘密とする情報を決めましょう

3.12.3.3.情報に合わせた対策の選択と決定をしましょう

3.12.3.3.1.物理的・技術的な防御

3.12.3.3.1.1.1.秘密情報に近寄りにくくするための対策

3.12.3.3.1.1.1.接近の制御

3.12.3.3.1.2.2.秘密情報の持ち出しを困難に「するための対策

3.12.3.3.1.2.1.持出し困難化

3.12.3.3.2.心理的な抑止

3.12.3.3.2.1.3.漏えいが見つかりやすい環境づくりのための対策

3.12.3.3.2.1.1.視認性の確保

3.12.3.3.2.2.4.秘密情報だと思わなかった!という事態を招かないための対策

3.12.3.3.2.2.1.秘密情報に対する認識向上

3.12.3.3.3.働きやすい環境の整備

3.12.3.3.3.1.5.社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策

3.12.3.3.3.1.1.信頼関係の維持・向上等

3.12.4.3.実際にあった!?事例と対策とそのポイント

3.12.4.1.従業員向けの対策

3.12.4.2.従業員・退職者向けの対策

3.12.4.3.取引先向けの対策

3.12.4.4.外部者向けの対策

3.12.4.5.自社技術で商品をつくったのに、他社の技術を使ったと言われた

3.12.4.6.コラム:備えあれば憂いなし!自社の立場を守るためにできること

3.12.4.7.コラム:他社の秘密情報を意図せず侵害しないために

3.12.4.8.転職者を受け入れて新製品を開発したら、秘密情報の侵害だと訴えられた

3.12.5.4.万が一秘密情報が漏えいしてしまったら・・・

3.12.5.1.情報漏えいには兆候があります!

3.12.5.2.漏えいの疑いがあったらできるだけ早く適切な対応を取りましょう

3.12.5.3.被害回復のためにも日頃からの備えが大切です

3.12.5.4.情報漏えいしたら早めの相談を!

3.12.5.4.1.独立行政法人工業所有権情報・研修館(INPIT

3.12.5.4.1.1.営業秘密・知財戦略ポータルサイト

3.12.5.4.1.2.相談窓口:03-3581-1101 ex.3844

3.12.5.4.1.3.全国47都道府県の知財総合支援窓口

3.12.5.4.1.3.1.ナビダイヤル:0570-082100

3.12.5.4.2.情報処理推進機構(IPA)

3.12.5.4.3.全国都道府県警察 営業秘密侵害事犯窓口

3.12.5.4.3.1.警視庁生活経済課

3.13.「企業における営業秘密管理に関する実態調査」報告書について【2017317IPA

3.13.1.調査報告書(PDF1.7MB

3.13.2.概要説明資料(PDF1.42MB

3.13.3.調査報告書-資料編(アンケート調査結果)(PDF1.75MB

3.13.4.調査報告書-資料編(判例調査結果)(PDF867KB

3.14.改正個人情報保護法(20175月改正施行)対応

3.14.1.背景

3.14.1.1.攻撃を検知するためだけのIT投資とは、いわば守りの投資であり、企業に利益を生み出すものではありません

3.14.1.2.そのため、経営者に投資の目的を納得させるのが難しい場合もあるでしょう

3.14.1.3.事実としてサイバー攻撃への対処は経営課題であり、そのための投資は企業にとって不可欠

3.14.1.4.なぜなら、それによって企業のイノベーションに弊害が及ぶからです

3.14.2.「全体最適」の視点でバランスの取れたセキュリティ対策を

3.14.2.1.サイバー攻撃の脅威を無視することは、新しい事業を生み出す先進的なアイデアとエネルギーを奪ってしまうことを意味する

3.14.2.2.マルウェアの侵入には入口対策とエンドポイント対策で対処し、外部との通信路の確立やサーバとの不正通信は出口対策や内部対策で防ぐといった具合

3.14.2.3.さらに、もしこれらが突破されてしまった場合にはログを取得/保全して説明責任を果たせるように するなど、システム全体でバランスの取れた設計を考えることが何よりも重要

3.14.3.統合的にデザインすることがセキュリティの強化につながる

3.14.3.1.セキュリティの強化を意識しすぎるあまり、業務運用にまで悪影響を及ぼしては本末転倒だ。業務上、必要な経路は開きつつ、適切に監視を行うことが肝要

3.14.3.2.システムを設計する際やイノベーションを起こすためのプラットフォームを構築する際、セキュリティは全体最適の視点で設計する

3.14.3.3.業務全体のデザインとセキュリティのデザインを合わせて統合的にデザイン

3.14.3.4.こうすることでセキュリティ施策の価値が一層高まり、セキュリティのための投資ではなくイノベーションのための投資として説明し、経営者から必要な投資を得やすくなるのです

3.14.4.改正個人情報保護法のポイント

3.14.4.1.個人情報の定義が変更され、従来の個人情報に加えて個人識別符号の定義(免許証番号、マイナンバー、生体情報など)が追加

3.14.4.2.人種や病歴、犯罪歴といった要配慮個人情報が新設

3.14.4.3.改正個人情報保護法にどう対応すべきかを解説したガイドラインは20161130日に公開

3.14.4.3.1.ポイントは「組織的安全管理措置」に記載された「取扱状況の把握及び安全管理措置の見直し」

3.14.4.3.2.これは監査できちんとチェックし、経営者に報告して改善を図っているかを問うもの

3.14.4.3.3.もし現状の安全管理措置が十分でない場合でも、きちんと監査が行われていれば対応レベルは向上していくはず

3.14.4.3.4.今後は、個人情報に関して何かインシデントが起きた際には、報告命令や業務改善命令、緊急命令などの大きな権限を持つ個人情報保護委員会から何らかの指導を受けるといった事態も起こり得るため

3.14.5.匿名加工情報でデータの利活用が容易に

3.14.5.1.匿名加工を施して本人を再識別できないようにした情報ならば、本人の同意なしで他社に提供できるようになる

3.14.6.クレジットカード番号など民間付与の番号も個人情報に海外移転にも規制

3.14.6.1.個人情報の定義が明確化され、氏名、住所、電話番号などの一般的な個人情報に加えて、マスターと突合して個人が特定できる情報も個人情報として取り扱われることとなった。

3.14.6.2.例えば、民間企業が扱うクレジットカード番号、口座番号、企業固有の顧客番号、社員番号、会社のメールアドレスなども対象となる。

3.14.6.3.また、個人識別符号が新たに定義され、パスポート番号、運転免許証番号、健康保険者番号、マイナンバーなどの公文書に振られた番号、さらにはDNA配列、指紋、静脈、虹彩といった身体の一部および歩行時の姿勢や動作など人の動きを表したものも対象となり、これらに対して格別の安全管理措置が求められる

3.14.6.4.技術的安全管理対策の観点では、暗号化について新たな指針が提示された。

3.14.6.5.2017216日に個人情報保護委員会が告示「個人データの漏えい等の事案が発生した場合等の対応について」を公表。この中では、個人情報を高度に暗号化した場合は秘匿性が高まるため、万一漏えいした際にも、国(および本人)への報告義務は許容されるなどの指針が示されている。

3.14.7.2018年には「EUデータ保護規則」が施行

3.14.7.1.「忘れられる権利」や、自分の個人情報を持つ企業に対して他社への移転を要求する「データポータビリティ」が追加されるなど、いくつかの規制強化が図られている。

3.14.7.2.EUデータ保護規則では、これに対応した仕組みを初めから設計(バイデザイン)して業務に組み込む(バイデフォルト)ことを求めており、自社で監査して何か問題があれば報告すべしとされている。これは企業の情報セキュリティ施策にも大きくかかわる方針であり、今後、各社のIT部門が特に留意すべき点だと言えよう。

3.14.8.データを中心に据えた「多層防御」で機密情報を守る

3.14.8.1.システム側で対応すべき事項として「暗号化」と「ログの収集と監査/検知」、そして「アクセス制御」

3.14.8.2.バイデザイン/バイデフォルトでシステムおよびデータベースにセキュリティを組み込んでいくアプローチ

3.14.9.「暗号化、アクセス制御が不十分」アセスメントで見えた日本企業の課題

3.14.9.1.1つ目の視点はデータの暗号化と伏字化、

3.14.9.2.2つ目は職務分掌、

3.14.9.3.3つ目はデータの漏えい検知と証跡管理

3.14.10.「個人情報の保護に関する法律」(20054月施行,20175月改正施行)

3.15.コンピュータセキュリティインシデント対応ガイド(NIST SP 800-61)【20083NIST

3.15.1.NIST(米国立標準技術研究所)が体系化した英文で80ページほどの文書。セキュリティ対策を次の4つのフェーズに分けて考えている。

3.15.2.1)準備:やられないよう備える

3.15.3.2)検知・分析:やられてもすぐに察知できる

3.15.4.3)根絶・復旧・封じ込め:やられた場合の被害を小さくし、すぐビジネスを復旧させる

3.15.5.4)事件発生後の対応:再発防止と最後の水際の対策を考える

4.企業向け(零細企業を除く)

 

4.1.サイバーセキュリティ経営ガイドライン Ver 1.1【2016128METI

4.1.1.2.サイバーセキュリティ経営の3原則

4.1.1.1.経営者は、以下の3原則を認識し、対策を進めることが重要である。

4.1.1.2.(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

4.1.1.2.1.ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

4.1.1.2.2.また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。

4.1.1.2.3.このため、サイバーセキュリティリスクを多様な経営リスクの中での一つとし適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。

4.1.1.3.(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

4.1.1.3.1.サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。

4.1.1.3.2.自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。

4.1.1.4.(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

4.1.1.4.1.事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。

4.1.1.4.2.万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。

4.1.1.4.3.事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。

4.1.2.3.サイバーセキュリティ経営の重要10項目

4.1.2.1.経営者は、CISO等に対して、以下の10項目を指示し、着実に実施させることが必要である。

4.1.2.2.3.1.リーダーシップの表明と体制の構築

4.1.2.2.1.(1)サイバーセキュリティリスクの認識、組織全体での対応の策定

4.1.2.2.1.1.サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?

4.1.2.2.1.2.対策を怠った場合のシナリオ

4.1.2.2.1.2.1.・経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。

4.1.2.2.1.2.2.・トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。

4.1.2.2.1.3.対策例

4.1.2.2.1.3.1.・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定する。

4.1.2.2.2.(2)サイバーセキュリティリスク管理体制の構築

4.1.2.2.2.1.サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか? 各関係者の責任は明確になっていますか? また、防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?

4.1.2.2.2.2.対策を怠った場合のシナリオ

4.1.2.2.2.2.1.・サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。

4.1.2.2.2.2.2.・CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。

4.1.2.2.2.2.3.・組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である

4.1.2.2.2.2.4.・万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。

4.1.2.2.2.3.対策例

4.1.2.2.2.3.1.・組織内に経営リスクに関する委員会を設置し、サイバーセキュリティリスクに責任を持った者が参加する体制とする。

4.1.2.2.2.3.2.・組織の対応方針(セキュリティポリシー)に基づき、CISO等の任命及び、組織内サイバーセキュリティリスク管理体制を構築する。

4.1.2.2.2.3.3.・CISO等には、組織の事業戦略を把握するため取締役会への参加及び緊急時のシステム停止等の経営者レベルの権限を付与することを検討する。

4.1.2.2.2.3.4.・取締役、監査役はそのサイバーセキュリティリスク管理体制が構築、運用されているかを監査する。

4.1.2.3.3.2 サイバーセキュリティリスク管理の枠組み決定

4.1.2.3.1.(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

4.1.2.3.1.1.サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか? その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか? また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?

4.1.2.3.1.2.対策を怠った場合のシナリオ

4.1.2.3.1.2.1.・ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。

4.1.2.3.1.2.2.・企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。

4.1.2.3.1.2.3.・受容できないリスクが残る場合、想定外の損失を被る恐れがある。

4.1.2.3.1.3.対策例

4.1.2.3.1.3.1.・経営戦略に基づくさまざまな事業リスクの一つとして、サイバー攻撃に伴うリスク(例えば、戦略上重要な営業秘密の流出による損害)を識別する。

4.1.2.3.1.3.2.・識別したリスクに対し、実現するセキュリティレベルを踏まえた対策の検討を指示する。その際、ITへの依存度を把握した上で、セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析する。その結果、リスク低減、回避、移転(サイバー保険の活用や守るべき資産について専門企業への委託等)が可能なものについてはリスク対応策を実施する。例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、ITシステム又はITサービス(クラウドサービスを含む)には、暗号化や情報資産別のネットワークの分離等の多層防御の実施を検討する。

4.1.2.3.2.(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

4.1.2.3.2.1.計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか? その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか? また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?

4.1.2.3.2.2.対策を怠った場合のシナリオ

4.1.2.3.2.2.1.・PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のサイバーセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。

4.1.2.3.2.2.2.・適切な開示が行われなかった場合、社会的責任の観点から、事業のリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、サイバーセキュリティリスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。

4.1.2.3.2.3.対策例

4.1.2.3.2.3.1.・サイバーセキュリティリスクに継続して対応可能な体制(プロセス)を整備する(PDCAの実施体制の整備)。なお、その他の内部統制に係るPDCAのフレームワークが存在する場合には、当該フレームワークとの連動も含め、効率的に実施することも可能である。

4.1.2.3.2.3.2.・重点項目(2)で設置した経営リスクに関する委員会において、PDCAの実施状況について報告すべき時期や内容を定め、経営者への報告の機会を設けるとともに、新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認する。

4.1.2.3.2.3.3.・必要に応じて監査を受け、現状のサイバーセキュリティ対策の問題点を検出し、改善を行う。

4.1.2.3.2.3.4.・新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を指示する。

4.1.2.3.3.(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

4.1.2.3.3.1.自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?

4.1.2.3.3.2.対策を怠った場合のシナリオ

4.1.2.3.3.2.1.・系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。

4.1.2.3.3.3.対策例

4.1.2.3.3.3.1.・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意する。

4.1.2.3.3.3.2.・系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している。

4.1.2.4.3.3.サイバー攻撃を防ぐための事前対策

4.1.2.4.1.(6)サイバーセキュリティ対策のための資源(予算、人材等)確保

4.1.2.4.1.1.サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか? また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?

4.1.2.4.1.2.対策を怠った場合のシナリオ

4.1.2.4.1.2.1.・適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。

4.1.2.4.1.2.2.・適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

4.1.2.4.1.3.対策例

4.1.2.4.1.3.1.・必要なサイバーセキュリティの事前対策を明確にし、それに要する費用を明らかにするよう、指示を行う。

4.1.2.4.1.3.2.・セキュリティ担当者以外も含めた従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施する。

4.1.2.4.1.3.3.・経営会議などで対策の内容に見合った適切な費用かどうかを評価した上で、予算として承認を得る。

4.1.2.4.1.3.4.・サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。

4.1.2.4.1.3.5.・組織内人事部門に対して、組織内のIT人材育成の戦略の中で、セキュリティ人材育成、キャリアパス構築を指示し、内容を確認する。

4.1.2.4.1.3.6.サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?

4.1.2.4.1.3.7.また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?

4.1.2.4.2.(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

4.1.2.4.2.1.サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?

4.1.2.4.2.2.対策を怠った場合のシナリオ

4.1.2.4.2.2.1.・ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。

4.1.2.4.2.2.2.・委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。

4.1.2.4.2.3.対策例

4.1.2.4.2.3.1.・自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。

4.1.2.4.2.3.2.・委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。

4.1.2.4.2.3.3.・個人情報や技術情報などの重要な資産を委託先に預ける場合は、委託先の経営状況などを踏まえて、資産の安全性の確保が可能であるかどうかを定期的に確認する。

4.1.2.4.3.(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4.1.2.4.3.1.社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?

4.1.2.4.3.2.対策を怠った場合のシナリオ

4.1.2.4.3.2.1.・情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない

4.1.2.4.3.3.対策例

4.1.2.4.3.3.1.・情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要。情報共有を通じたサイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的な情報提供が望ましい。

4.1.2.4.3.3.2.・IPAや一般社団法人JPCERTコーディネーションセンター等による注意喚起情報を、自社のサイバーセキュリティ対策に活かす。

4.1.2.4.3.3.3.・CSIRT間における情報共有や、日本シーサート協議会等のコミュニティ活動への参加による情報収集等を通じて、自社のサイバーセキュリティ対策に活かす。

4.1.2.4.3.3.4.・IPAに対し、告示(コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準)に基づいてマルウェア情報や不正アクセス情報の届出をする。

4.1.2.4.3.3.5.・一般社団法人JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する。

4.1.2.4.3.3.6.・重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する。

4.1.2.5.3.4.サイバー攻撃を受けた場合に備えた準備

4.1.2.5.1.(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

4.1.2.5.1.1.適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?また、定期的かつ実践的な演習を実施させていますか?

4.1.2.5.1.2.対策を怠った場合のシナリオ

4.1.2.5.1.2.1.・緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。

4.1.2.5.1.2.2.・緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急に適切に行動することが出来ない。

4.1.2.5.1.3.対策例

4.1.2.5.1.3.1.・企業の組織に合わせた緊急時における対応体制を構築する。

4.1.2.5.1.3.2.・サイバー攻撃による被害を受けた場合、被害原因の特定および解析を速やかに実施するため、関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示する。また、対応担当者にはサイバー攻撃に対応する演習を実施する。なお、インシデント収束後の再発防止策の策定も含めて訓練を行うことが望ましい。

4.1.2.5.1.3.3.・緊急連絡網を整備する。その際には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。

4.1.2.5.1.3.4.・初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各部署(総務、企画、営業等)が速やかに協力できるよう予め取り決めをしておく。

4.1.2.5.1.3.5.・訓練においては技術的な対応のみならず、プレスリリースの発出や、所管官庁等への報告手順も含めて想定する。

4.1.2.5.2.(10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

4.1.2.5.2.1.外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?

4.1.2.5.2.2.対策を怠った場合のシナリオ

4.1.2.5.2.2.1.・速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。

4.1.2.5.2.2.2.・法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。

4.1.2.5.2.2.3.・組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。

4.1.2.5.2.3.対策例

4.1.2.5.2.3.1.・サイバー攻撃の被害が発覚後、速やかに通知や注意喚起が行えるよう、通知先の一覧や通知用のフォーマットを作成し、対応に従事するメンバーに共有しておく。また、情報開示の手段について確認をしておく。

4.1.2.5.2.3.2.・関係法令を確認し、法的義務が履行されるよう手続きを確認しておく。

4.1.2.5.2.3.3.・経営者が組織の内外への発表を求められた場合に備えて、インシデントに関する被害状況、他社への影響などについて経営者に報告を行う。

4.1.2.5.2.3.4.・インシデントに対するステークホルダーへの影響を考慮し、速やかにこれを公表する。

4.1.2.5.2.3.5.・社外への公表は、インシデントや被害の状況に応じて、初期発生時、被害状況把握時、インシデント収束時など、それぞれ適切なタイミングで行う。

4.1.3.付録A サイバーセキュリティ経営チェックシート

4.1.3.1.(1)サイバーセキュリティリスクの認識、組織全体での対応の策定

4.1.3.1.1.□経営者がサイバーセキュリティリスクを経営リスクの1つとして認識している

4.1.3.1.2.□経営者が、組織全体としてのサイバーセキュリティリスクを考慮した対応方針(セキュリティポリシー)を策定し、宣言している

4.1.3.2.(2)サイバーセキュリティリスク管理体制の構築

4.1.3.2.1.□組織の対応方針(セキュリティポリシー)に基づき、CISO等からなるサイバーセキュリティリスク管理体制を構築している

4.1.3.2.2.□サイバーセキュリティリスク管理体制において、各関係者の責任を明確にしている

4.1.3.2.3.□組織内のリスク管理体制とサイバーセキュリティリスク管理体制の関係を明確に規定している

4.1.3.3.(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

4.1.3.3.1.□守るべき資産を特定している

4.1.3.3.2.□特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたサイバーセキュリティリスクとして把握している

4.1.3.3.3.□サイバーセキュリティリスクが事業にいかなる影響があるかを推定している

4.1.3.3.4.□サイバーセキュリティリスクの影響の度合いに従って、低減、回避のための目標や計画を策定している

4.1.3.3.5.□低減策、回避策を取らないと判断したサイバーセキュリティリスクの移転策(サイバー保険の活用や守るべき資産について専門企業への委託等)を実施している

4.1.3.3.6.□サイバーセキュリティリスクの影響の度合いに従って対策を取らないと判断したものを残留リスクとして識別している

4.1.3.4.(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

4.1.3.4.1.□経営者が定期的に、サイバーセキュリティ対策状況の報告を受け、把握している

4.1.3.4.2.□サイバーセキュリティにかかる外部監査を実施している

4.1.3.4.3.□サイバーセキュリティリスクや脅威を適時見直し、環境変化に応じた取組体制(PDCA)を整備・維持している

4.1.3.4.4.□サイバーセキュリティリスクや取組状況を外部に公開している

4.1.3.5.(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

4.1.3.5.1.□系列企業や、サプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している

4.1.3.6.(6)サイバーセキュリティ対策のための資源(予算、人材等)確保

4.1.3.6.1.□必要なサイバーセキュリティ対策を明確にし、経営会議などで対策の内容に見合った適切な費用かどうかを評価し、必要な予算を確保している

4.1.3.6.2.□サイバーセキュリティ対策を実施できる人材を確保している(組織の内外問わず)

4.1.3.6.3.□組織内でサイバーセキュリティ人材を育成している

4.1.3.6.4.□組織内のサイバーセキュリティ人材のキャリアパスを構築し、適正な処遇をしている

4.1.3.6.5.□セキュリティ担当者以外も含めた従業員向けセキュリティ研修等を継続的に実施している

4.1.3.7.(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

4.1.3.7.1.□ITシステムの管理等について、自組織で対応できる部分と外部に委託する部分で適切な切り分けをしている

4.1.3.7.2.□委託先へのサイバー攻撃を想定し、委託先のサイバーセキュリティを確保している

4.1.3.8.(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4.1.3.8.1.□各種団体が提供するサイバーセキュリティに関する注意喚起情報やコミュニティへの参加等を通じて情報共有を行い、自社の対策に活かしている

4.1.3.8.2.□マルウェア情報、不正アクセス情報、インシデントがあった場合に、IPAへの届出や一般社団法人JPCERTコーディネーションセンターへの情報提供、その他民間企業等が推進している情報共有の仕組みへの情報提供を実施している

4.1.3.9.(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

4.1.3.9.1.□組織の内外における緊急連絡先・伝達ルートを整備している(緊急連絡先には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダの連絡先含む)

4.1.3.9.2.□他の災害と同様に、サイバー攻撃の初動対応マニュアルを整備している

4.1.3.9.3.□インシデント対応の専門チーム(CSIRT等)を設置している

4.1.3.9.4.□インシデント収束後の再発防止策の策定も含めて、定期的に対応訓練や演習を行っている

4.1.3.10.(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

4.1.3.10.1.□組織外の報告先(ステークホルダーや所管官庁等を含む)をリスト化している

4.1.3.10.2.□開示・報告すべき情報を把握・整備している

4.1.3.10.3.□経営者が、責任を持って組織の内外へ説明ができるように、経営者への報告ルート、公表すべき内容やタイミング等について事前に検討している

4.1.4.付録B 望ましい技術対策と参考文献

4.1.4.1.付録B-2 技術対策の例

4.1.5.付録C 国際規格ISO/IEC27001及び27002との関係

4.1.6.付録D 用語の定義

4.1.7.旧版(Ver.1.0付録)

4.1.7.1.付録A サイバーセキュリティ経営チェックシート

4.1.7.1.1.(1)サイバーセキュリティリスクの認識、組織全体での対応の策定

4.1.7.1.1.1.●5.1 リーダーシップ及びコミットメント

4.1.7.1.1.2.●5.2 方針

4.1.7.1.2.(2)サイバーセキュリティリスク管理体制の構築

4.1.7.1.2.1.●5.3 組織の役割、責任及び権限

4.1.7.1.2.2.6.1.1 情報セキュリティの役割及び責任

4.1.7.1.3.(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

4.1.7.1.3.1.●6.1 リスク及び機会に対処する活動

4.1.7.1.3.2.●6.2 情報セキュリティ目的及びそれを達成するための計画策定

4.1.7.1.3.3.5.1.1 情報セキュリティのための方針群

4.1.7.1.3.4.5.1.2 情報セキュリティのための方針群のレビュー

4.1.7.1.4.(4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

4.1.7.1.4.1.●7.4 コミュニケーション

4.1.7.1.4.2.●8.1 運用の計画及び管理

4.1.7.1.4.3.●8.2 情報セキュリティリスクアセスメント

4.1.7.1.4.4.●8.3 情報セキュリティリスク対応

4.1.7.1.4.5.●9.1 監視、測定、分析及び評価

4.1.7.1.4.6.●9.2 内部監査

4.1.7.1.4.7.●9.3 マネジメントレビュー

4.1.7.1.4.8.●10.1 不適合及び是正処置

4.1.7.1.4.9.●10.2 継続的改善

4.1.7.1.4.10.17.1.1 情報セキュリティ継続の計画

4.1.7.1.4.11.17.1.2 情報セキュリティ継続の実施

4.1.7.1.4.12.17.1.3 情報セキュリティ継続の検証、レビュー及び評価

4.1.7.1.4.13.18.1.1 適用法令及び契約上の要求事項の特定

4.1.7.1.4.14.18.2.1 情報セキュリティの独立したレビュー

4.1.7.1.4.15.18.2.2 情報セキュリティのための方針群及び標準の順守

4.1.7.1.4.16.18.2.3 技術的順守のレビュー

4.1.7.1.5.(5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

4.1.7.1.5.1.●8.1 運用の計画及び管理

4.1.7.1.6.(6)サイバーセキュリティ対策のための資源(予算、人材等)確保

4.1.7.1.6.1.●7.1 資源

4.1.7.1.6.2.●7.2 力量

4.1.7.1.7.(7)ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

4.1.7.1.7.1.●8.1 運用の計画及び管理

4.1.7.1.7.2.15.1.1 供給者関係のための情報セキュリティの方針

4.1.7.1.7.3.15.1.2 供給者との合意におけるセキュリティの取扱い

4.1.7.1.7.4.15.1.3 ICTサプライチェーン

4.1.7.1.7.5.15.2.1 供給者のサービス提供の管理及びレビュー

4.1.7.1.7.6.15.2.2 供給者のサービス提供の変更に対する管理

4.1.7.1.8.(8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4.1.7.1.8.1.6.1.3 関係当局との連絡

4.1.7.1.8.2.6.1.4 専門組織との連絡

4.1.7.1.9.(9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

4.1.7.1.9.1.16.1.1 責任及び手順

4.1.7.1.9.2.16.1.2 情報セキュリティ事象の報告

4.1.7.1.9.3.16.1.3 情報セキュリティ弱点の報告

4.1.7.1.9.4.16.1.4 情報セキュリティ事象の評価及び決定

4.1.7.1.9.5.16.1.5 情報セキュリティインシデントの対応

4.1.7.1.10.(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

4.1.7.1.10.1.6.1.3 関係当局との連絡

4.1.7.1.10.2.6.1.4 専門組織との連絡

4.2.サイバーセキュリティ経営ガイドライン解説書Ver.1.0201612IPA

4.2.1.0. はじめに

4.2.1.1.本解説書の想定読者

4.2.1.2.本解説書の構成

4.2.1.3.サイバーセキュリティ経営の原則

4.2.1.4.経営者が決定すべき事項

4.2.1.5.経営者が責務を果たしているかどうかの問い

4.2.1.6.解説の記述方法

4.2.2.1.サイバーセキュリティ対応方針の策定

4.2.2.1.セキュリティポリシーの策定

4.2.2.1.1.セキュリティポリシーの主な検討項目

4.2.2.2.セキュリティポリシーの周知

4.2.2.2.1.組織内への周知の重要性

4.2.2.2.2.組織外への公開の重要性

4.2.2.2.3.セキュリティポリシー群の種類

4.2.2.2.4.セキュリティポリシーの公開

4.2.2.2.5.企業例示について

4.2.2.2.6.企業例示「セキュリティポリシーの策定」

4.2.3.2.リスク管理体制の構築

4.2.3.1.サイバーセキュリティリスク管理体制

4.2.3.1.1.サイバーセキュリティリスク管理体制の構築方法

4.2.3.1.2.サイバーセキュリティリスク管理体制の構築の必要性と経営者の責任

4.2.3.2.CISO 等に求められること

4.2.3.2.1.CISO 等の役割

4.2.3.3.既存のリスク管理体制との関係

4.2.3.3.1.既存の管理体制との整合

4.2.3.3.2.既存のリスク管理体制との関係性の明確化

4.2.3.3.3.企業例示「管理体制の構築検討」

4.2.4.3.リスクの把握、目標と対応計画策定

4.2.4.1.資産の特定

4.2.4.1.1.守るべき資産の特定

4.2.4.1.2.法令等による要求事項の明確化

4.2.4.1.3.情報のライフサイクルに着目した資産のリスト化

4.2.4.1.4.ネットワーク上の守るべき資産の特定

4.2.4.2.サイバー攻撃の脅威を識別

4.2.4.3.リスクの把握

4.2.4.3.1.適切なリスク分析の重要性

4.2.4.3.2.リスク分析手法の種類について

4.2.4.3.3.事業継続を踏まえたビジネスインパクト分析

4.2.4.4.リスク対応計画の策定

4.2.4.4.1.リスク対応方法の検討

4.2.4.4.2.リスクに応じた対策の目標と対応計画の策定

4.2.4.4.3.企業例示「リスク対応の検討」

4.2.5.4PDCAサイクルの実施と対策の開示

4.2.5.1.環境変化に応じたフレームワーク(PDCA)の構築

4.2.5.1.1.フレームワーク(PDCA)の構築

4.2.5.1.2.フレームワーク(PDCA)のサイクル

4.2.5.1.3.計画見直し方法の検討

4.2.5.2.対策状況の把握

4.2.5.2.1.対策状況の把握方法

4.2.5.2.2.経営者への報告内容

4.2.5.2.3.KPI の設定・モニタリング

4.2.5.2.4.経営層による評価

4.2.5.2.5.内部監査と外部監査

4.2.5.3.対策状況の開示

4.2.5.3.1.企業例示「PDCA の検討」

4.2.6.5.系列企業・ビジネスパートナーの対策実施及び状況把握

4.2.6.1.系列企業・ビジネスパートナーを含めた対策の実施

4.2.6.1.1.ビジネスパートナー等との対策実施・連携の検討

4.2.6.2.ビジネスパートナーの対策状況の把握

4.2.6.2.1.ビジネスパートナーの対策状況を把握する方法

4.2.6.2.2.より効果的に対策状況を確認する方法

4.2.6.2.3.企業例示「関係者の対応状況把握

4.2.7.6.予算確保・人材配置及び育成

4.2.7.1.必要な対策費用の確保

4.2.7.1.1.対策費用の承認を得るためのポイント

4.2.7.1.2.経営者が判断できる材料とは

4.2.7.2.必要な人材の確保・育成

4.2.7.2.1.必要な人材と育成

4.2.7.2.2.セキュリティ担当者の育成

4.2.7.2.3.一般従業員の研修

4.2.7.2.4.積極的な外部リソースの活用

4.2.7.2.5.企業例示「資源の確保」

4.2.8.7ITシステム管理の外部委託

4.2.8.1.自組織による対応と外部委託による対応

4.2.8.1.1.外部委託する範囲を選択するポイント

4.2.8.2.委託先のサイバーセキュリティの確保

4.2.8.2.1.委託先への依頼方法

4.2.8.2.2.連携体制の整備・構築

4.2.8.2.3.外部委託先としてクラウドサービス事業者を選定する際のポイント

4.2.8.2.4.企業例示「IT システム管理の外部委託先への対応」

4.2.9.8.情報収集と情報共有

4.2.9.1.情報収集と自社での有効活用

4.2.9.1.1.情報収集の重要性

4.2.9.1.2.情報を常に最新の状態に保つ

4.2.9.1.3.収集した情報を活用するための環境整備

4.2.9.2.情報共有・情報提供

4.2.9.2.1.情報共有・提供の重要性

4.2.9.2.2.社会全体での対策向上

4.2.9.2.3.企業例示「情報収集及び情報共有の検討」

4.2.10.9.緊急時対応体制の整備と演習の実施

4.2.10.1.CSIRT の構築

4.2.10.1.1.CSIRT の構築方法

4.2.10.1.2.CSIRT の設計で検討すべき事項

4.2.10.1.3.危機管理に求められる機能

4.2.10.2.緊急連絡先・初動対応マニュアルの整備

4.2.10.2.1.緊急時の初動対応フローの整備(マニュアルの策定)

4.2.10.2.2.報告体制・エスカレーション基準

4.2.10.2.3.社外を含めた緊急連絡先

4.2.10.2.4.初動対応事項・復旧事項

4.2.10.2.5.事後対応事項

4.2.10.3.定期的・実践的な演習の実施

4.2.10.3.1.初動対応マニュアルの有効性の検証

4.2.10.3.2.社内組織(部門)間のコミュニケーション、共同作業の有効性の検証

4.2.10.3.3.CSIRT 要員のスキル・量の十分性の確認

4.2.10.3.4.セキュリティ技術対策の効率性・十分性の確認

4.2.10.3.5.訓練・演習の考え方

4.2.10.3.6.定期的な訓練実施

4.2.10.3.7.企業例示「緊急時の対策検討」

4.2.11.10.被害発覚後の必要な情報の把握、開示体制の整備

4.2.11.1.被害発覚後の情報収集体制および開示すべき項目の整備

4.2.11.1.1.開示・報告すべき情報の把握

4.2.11.1.2.通知先のリスト化と通知用のフォーマット作成

4.2.11.1.3.通知に必要な情報の整理と周知

4.2.11.1.4.組織の内外への開示・報告内容、タイミング

4.2.11.1.5.開示・報告先について留意すべき点

4.2.11.2.組織内外へ経営者が説明できる体制の整備

4.2.11.2.1.経営者への報告ルートや報告ルールの整備

4.2.11.2.2.企業例示「被害発覚時の準備」

4.2.12.付録1:ガイドラインの3原則と重要10項目の概要図

4.2.13.付録2:参照情報

4.2.14.付録3:サイバーセキュリティ経営チェックシートの実施の目安と確認事項

4.2.15.別添 :サイバーセキュリティ対策に関連する被害事例

4.2.16.<付録1ガイドラインの3原則と重要10項目の概要図>

4.2.16.1.

4.3.サイバーセキュリティ経営ガイドライン解説書Ver.1.0別添:被害事例集【20175IPA

4.4.企業経営のためのサイバーセキュリティの考え方の策定について【201682NISC

4.5.米国の「20の重要なセキュリティ対策」及びオーストラリアの「35の標的型サイバー侵入に対する軽減戦略」

4.5.1.サブトピック 1

5.重要インフラ・政府機関向け(独法を含む)

 

5.1.サイバーセキュリティ20162016831NISC

5.2.政府機関の情報セキュリティ対策のための統一規範

5.3.政府機関等の情報セキュリティ対策の運用等に関する指針

5.4.政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

5.4.1.1 総則

5.4.1.1.1.1 本統一基準の目的・適用範囲

5.4.1.1.1.(1) 本統一基準の目的

5.4.1.1.1.1.本統一基準は、「政府機関の情報セキュリティ対策のための統一規範」(サイバーセキュリティ戦略本部決定)に基づく政府機関における統一的な枠組みの中で、それぞれの府省庁が情報セキュリティの確保のために採るべき対策、及びその水準を更に高めるための対策の基準を定めたもの

5.4.1.1.2.(2) 本統一基準の適用範囲

5.4.1.1.2.1.(a) 本統一基準において適用範囲とする者は、全ての行政事務従事者とする。

5.4.1.1.3.(3) 本統一基準の改定

5.4.1.1.4.(4) 法令等の遵守

5.4.1.1.5.(5) 対策項目の記載事項

5.4.1.1.5.1.各項に対して目的、趣旨及び遵守事項を示している。

5.4.1.1.5.2.遵守事項は、府省庁対策基準において必ず実施すべき対策事項である。

5.4.1.1.5.3.府省庁は、内閣官房内閣サイバーセキュリティセンターが別途整備する府省庁対策基準策定のためのガイドライン及び政府機関統一基準適用個別マニュアル群において規定する統一基準の遵守事項に対応した個別具体的な対策実施要件、対策の実施例や解説等も参照し、府省庁対策基準を策定する必要がある。

5.4.1.2.1.2 情報の格付の区分・取扱制限

5.4.1.3.1.3 用語定義

5.4.2.2 情報セキュリティ対策の基本的枠組み

5.4.2.1.2.1 導入・計画

5.4.2.1.1.2.1.1 組織・体制の整備

5.4.2.1.2.2.1.2 府省庁対策基準・対策推進計画の策定

5.4.2.2.2.2 運用

5.4.2.2.1.2.2.1 情報セキュリティ関係規程の運用

5.4.2.2.2.2.2.2 例外措置

5.4.2.2.3.2.2.3 教育

5.4.2.2.4.2.2.4 情報セキュリティインシデントへの対処

5.4.2.3.2.3 点検

5.4.2.3.1.2.3.1 情報セキュリティ対策の自己点検

5.4.2.3.2.2.3.2 情報セキュリティ監査

5.4.2.4.2.4 見直し

5.4.2.4.1.2.4.1 情報セキュリティ対策の見直し

5.4.3.3 情報の取扱い

5.4.3.1.3.1 情報の取扱い

5.4.3.2.3.2 情報を取り扱う区域の管理

5.4.4.4 外部委託

5.4.4.1.4.1 外部委託

5.4.4.1.1.4.1.1 外部委託

5.4.4.1.2.4.1.2 約款による外部サービスの利用

5.4.4.1.3.4.1.3 ソーシャルメディアサービスによる情報発信

5.4.4.1.4.4.1.4 クラウドサービスの利用

5.4.4.1.4.1.取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断する

5.4.4.1.4.2.クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定

5.4.4.1.4.3.クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とする

5.4.4.1.4.4.クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定める

5.4.4.1.4.5.クラウドサービスに対する情報セキュリティ監査による報告書の内容 、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断する

5.4.5.5 情報システムのライフサイクル

5.4.5.1.5.1 情報システムに係る文書等の整備

5.4.5.1.1.5.1.1 情報システムに係る台帳等の整備

5.4.5.1.2.5.1.2 機器等の調達に係る規定の整備

5.4.5.2.5.2 情報システムのライフサイクルの各段階における対策

5.4.5.2.1.5.2.1 情報システムの企画・要件定義

5.4.5.2.2.5.2.2 情報システムの調達・構築

5.4.5.2.3.5.2.3 情報システムの運用・保守

5.4.5.2.4.5.2.4 情報システムの更改・廃棄

5.4.5.2.5.5.2.5 情報システムについての対策の見直し

5.4.5.3.5.3 情報システムの運用継続計画

5.4.5.3.1.5.3.1 情報システムの運用継続計画の整備・整合的運用の確保

5.4.6.6 情報システムのセキュリティ要件

5.4.6.1.6.1 情報システムのセキュリティ機能

5.4.6.1.1.6.1.1 主体認証機能

5.4.6.1.2.6.1.2 アクセス制御機能

5.4.6.1.3.6.1.3 権限の管理

5.4.6.1.4.6.1.4 ログの取得・管理

5.4.6.1.5.6.1.5 暗号・電子署名

5.4.6.2.6.2 情報セキュリティの脅威への対策 .

5.4.6.2.1.6.2.1 ソフトウェアに関する脆弱性対策

5.4.6.2.2.6.2.2 不正プログラム対策

5.4.6.2.3.6.2.3 サービス不能攻撃対策

5.4.6.2.4.6.2.4 標的型攻撃対策

5.4.6.3.6.3 アプリケーション・コンテンツの作成・提供

5.4.6.3.1.6.3.1 アプリケーション・コンテンツの作成時の対策

5.4.6.3.2.6.3.2 アプリケーション・コンテンツ提供時の対策

5.4.7.7 情報システムの構成要素

5.4.7.1.7.1 端末・サーバ装置等

5.4.7.1.1.7.1.1 端末

5.4.7.1.2.7.1.2 サーバ装置

5.4.7.1.3.7.1.3 複合機・特定用途機器

5.4.7.2.7.2 電子メール・ウェブ等

5.4.7.2.1.7.2.1 電子メール

5.4.7.2.2.7.2.2 ウェブ

5.4.7.2.3.7.2.3 ドメインネームシステム(DNS

5.4.7.2.4.7.2.4 データベース

5.4.7.3.7.3 通信回線

5.4.7.3.1.7.3.1 通信回線

5.4.7.3.2.7.3.2 IPv6 通信回線

5.4.8.8 情報システムの利用

5.4.8.1.8.1 情報システムの利用

5.4.8.1.1.8.1.1 情報システムの利用

5.4.8.2.8.2 府省庁支給以外の端末の利用

5.4.8.2.1.8.2.1 府省庁支給以外の端末の利用

5.5.政府機関向け「アマゾン ウェブ サービス」対応セキュリティリファレンス

5.5.1.NISC「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」の最新基準に対応したAWS利用のためのリファレンス

5.5.2.【参考】政府機関の情報セキュリティ対策のための統一基準(平成28年度版)

5.5.3.【参考】府省庁対策基準策定のためのガイドライン(平成28年度版)

5.6.企業経営のためのサイバーセキュリティの考え方の策定について【201682NISC

5.6.1.サイバーセキュリティ戦略本部

5.6.2.経営層に期待される認識や経営戦略を企画する人材層に向けた実装のためのツールを示す

5.6.3.基本方針

5.6.3.1.ーサイバーセキュリティは、より積極的な経営への「投資」へー

5.6.3.2.サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

5.6.4.I.基本的考え方

5.6.4.1.二つの基本的認識

5.6.4.1.1.挑戦>

5.6.4.1.1.1.新しい製品やサービスを創造するための戦略の一環として考えていく

5.6.4.1.1.2.

5.6.4.1.2.責任>

5.6.4.1.2.1.サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

5.6.4.2.三つの留意事項

5.6.4.2.1.情報発信による社会的評価の向上>

5.6.4.2.1.1.• 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

5.6.4.2.1.2.• そのような取組に係る姿勢や方針を情報発信することが重要。

5.6.4.2.2.リスクの一項目としてのサイバーセキュリティ>

5.6.4.2.2.1.• 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

5.6.4.2.2.2.• 経営層のリーダーシップが必要。

5.6.4.2.3.サプライチェーン全体でのサイバーセキュリティの確保>

5.6.4.2.3.1.• サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

5.6.4.2.3.2.• 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

5.6.5.II.企業の視点別の取組

5.6.5.1.ITの利活用やサイバーセキュリティへの取組において、各企業の事業規模のみならず、その認識の違いなどを踏まえて取り組んでいく必要がある

5.6.5.2.ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

5.6.5.2.1.(積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

5.6.5.2.2.【経営者に期待される認識】

5.6.5.2.2.1.• 積極的なITの利活用を推進する中で、製品やサービスの「セキュリティ品質」を一層高め、自社のブランド価値の向上につなげるべく、システムの基盤におけるセキュリティの向上、情報・データの保護、製品等の安全品質向上に取り組む。

5.6.5.2.2.2.• 様々な関係者との協働が重要であるため、情報提供に主体的に取り組む。

5.6.5.2.2.3.• 決して現存する標準や取り組みなどに満足することなく、実空間とサイバー空間の融合が高度に深化した明日の世界をリードし、変革していく存在となることが期待される。

5.6.5.2.3.【実装に向けたツール】

5.6.5.2.3.1.• IoTセキュリティに関するガイドライン(「IoTセキュリティのための一般的枠組」等)

5.6.5.2.3.2.• 自社のブランド価値としてのサイバーセキュリティに係る積極的な情報発信

5.6.5.3.IT・セキュリティをビジネスの基盤として捉えている企業

5.6.5.3.1.IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

5.6.5.3.2.【経営者に期待される認識】

5.6.5.3.2.1.• 経営者のリーダーシップによって、社会的責任としてのサイバーセキュリティ対策に取り組む。

5.6.5.3.2.2.• サプライチェーンやビジネスパートナー、委託先を含めた対策を行う。

5.6.5.3.2.3.• 平時・緊急時のいずれにおいても、情報開示などの適切なコミュニケーションを行う。

5.6.5.3.3.【実装に向けたツール】

5.6.5.3.3.1.• サイバーセキュリティ経営ガイドライン

5.6.5.3.3.2.• 企業等がセキュリティ対策に取り組む上での保険等のリスク管理手法の活用

5.6.5.3.3.3.• サイバーセキュリティを経営上の重要課題として取り組んでいることの情報発信

5.6.5.4.自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

5.6.5.4.1.(主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

5.6.5.4.2.【経営者に期待される認識】

5.6.5.4.2.1.• サプライチェーンを通じて中小企業等の役割はますます重要となる中、消費者や取引先との信頼関係醸成の観点から経営者自らサイバーセキュリティ対策に関心を持ち、取り組む。

5.6.5.4.2.2.• 外部の能力や知見を活用しつつ、効率的に進める方策を検討する。

5.6.5.4.3.【実装に向けたツール】

5.6.5.4.3.1.• 効率的なセキュリティ対策のためのサービスの利用(中小企業向けクラウドサービス等)

5.6.5.4.3.2.• サイバーセキュリティに関する相談窓口やセミナー、地域の相談員等の活用

5.7.「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について【20155NISC

5.7.1.情報システムに係る政府調達におけるセキュリティ要件策定マニュアル「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」

5.7.2.「同 マニュアル 付録A.対策要件集」

5.7.3.「同 マニュアル 付録B.政府機関統一基準群対応表」

5.7.4.「同 マニュアル 付録D.用語解説」

5.7.4.1.「同 マニュアル活用ワークシート」(MS-Excel形式)

5.7.4.2.「同 マニュアル活用ワークシート」(活用例)

5.7.5.「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」概要

5.7.6.情報セキュリティを企画・設計段階から確保するための方策に係る検討会 報告書