■対象範囲と役割分担

■中小企業の現状

• 組織の意識と対策
  • 情報セキュリティ対策の必要性の認識が低い
    • 被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の啓発。
  • システムをベンダーの言いなりで開発もしくは導入、運用
    • セキュリティ対策を明確にした調達仕様書のためのスキル教育の方法をレクチャー
  • 情報セキュリティ対策の方法がわからない
    • 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステム（ISMS）に準拠した情報セキュリティ対策の考え方
• 実態調査
  • ターゲット分類は？
    • 組織規模
      • 従業員１名から９９９名
    • 業種別
      • 重要インフラ（社会インフラ）
      • 製造業、サービス業
    • 職種
      • 経営者、管理者、一般職員
    • 意識レベル
      • 意識がない⇒啓発から
      • 意識がある⇒具体的な対策から
    • セキュリティ対策レベル【仮定】
      • LEVEL0
        • ITパスポート試験レベルの担当者もいない
      • LEVEL1
        • ITパスポート試験レベルの担当者がいる
      • LEVEL2
        • 情報セキュリティマネジメント試験レベルの担当者がいる
      • LEVEL3
        • 応用情報処理技術者試験レベルの担当者がいる
    • システムの内部調達・外部委託別
      • 要件定義はどちらでも
      • 外部委託は、調達仕様書が作成できるスキルの有無
      • 内部調達は、情報セキュリティ
      • スペシャリストレベルのスキルを持った設計開発者
  • 対策は？
    • 人的
    • 物理的
    • システム的
    • 管理的
  • 事例は？
    • 一般的な事例
    • 小企業での事例
    • 中企業での事例
    • 大企業とどう違う？

■中小企業への支援

• 普及啓発
  • 対策の必要性、対策概要、具体的な対策
    • システムを使った事業の実施、創業のためには、情報セキュリティ対策が必要である
    • セキュリティ対策は、経費でなく、システム構築の一要件であり将来への投資であることを理解してもらう
  • 啓発内容の例
    • セキュリティ侵害の事例
      • 脅威の事例
      • リスクの事例
    • セキュリティ対策の事例
      • 費用対効果の高い対策とは
      • システムを構築する際の対策
      • 情報セキュリティ侵害があった時の対策
• 対策の概要
  • セキュリティ対策の普及啓発
    • ⇒啓発用Webページ、セミナー等の案内
      • 連携機関でのセミナー開催予定
      • 他機関でのセミナー開催予定
  • セキュリティの予防対策
    • システム化構築のPDCAサイクル
      • 脆弱性を低減するシステム企画・設計構築
      • セキュリティ侵害が発生したときに、速やかに対応できる運用、保守
    • 過剰、過小な対策を防ぐ提案
      • ⇒情報セキュリティ対策を含めたBCPの策定を提案
      • ⇒情報セキュリティに特化した対策はISMSの体系に沿った対策を提案
    • 重大事象を優先的に対策
      • 重要の情報資産は何か
      • 重要な情報資産への頻度の高い脅威の洗い出し
      • 脅威に対する脆弱性の度合い
      • 脆弱性を低減させる対策は？
      •  
  • セキュリティ侵害の事象発生（インシデント）の可能性あり
    • 段階
      • セキュリティ侵害の予兆段階
      • セキュリティ侵害の発生
    • 案内先
      • 犯罪の可能性
      • 一般的な不正アクセス、ウイルス感染
      • 高度な技術的対策が必要な事象