中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

中小企業に特化した情報セキュリティ対策の相談対応

セキュリティ FIX
 ■対象範囲と役割分担f:id:mskn:20160704113633j:plain

■中小企業の現状

  • 組織の意識と対策
    • 情報セキュリティ対策の必要性の認識が低い
      • 被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の啓発。
    • システムをベンダーの言いなりで開発もしくは導入、運用
      • セキュリティ対策を明確にした調達仕様書のためのスキル教育の方法をレクチャー
    • 情報セキュリティ対策の方法がわからない
  • 実態調査
    • ターゲット分類は?
      • 組織規模
        • 従業員1名から999名
      • 業種別
        • 重要インフラ(社会インフラ)
        • 製造業、サービス業
      • 職種
        • 経営者、管理者、一般職員
      • 意識レベル
        • 意識がない⇒啓発から
        • 意識がある⇒具体的な対策から
      • セキュリティ対策レベル【仮定】
      • システムの内部調達・外部委託別
        • 要件定義はどちらでも
        • 外部委託は、調達仕様書が作成できるスキルの有無
        • 内部調達は、情報セキュリティ
        • スペシャリストレベルのスキルを持った設計開発者
    • 対策は?
      • 人的
      • 物理的
      • システム的
      • 管理的
    • 事例は?
      • 一般的な事例
      • 小企業での事例
      • 中企業での事例
      • 大企業とどう違う?

■中小企業への支援

  • 普及啓発
    • 対策の必要性、対策概要、具体的な対策
      • システムを使った事業の実施、創業のためには、情報セキュリティ対策が必要である
      • セキュリティ対策は、経費でなく、システム構築の一要件であり将来への投資であることを理解してもらう
    • 啓発内容の例
      • セキュリティ侵害の事例
        • 脅威の事例
        • リスクの事例
      • セキュリティ対策の事例
        • 費用対効果の高い対策とは
        • システムを構築する際の対策
        • 情報セキュリティ侵害があった時の対策
  • 対策の概要
    • セキュリティ対策の普及啓発
      • ⇒啓発用Webページ、セミナー等の案内
        • 連携機関でのセミナー開催予定
        • 他機関でのセミナー開催予定
    • セキュリティの予防対策
      • システム化構築のPDCAサイクル
        • 脆弱性を低減するシステム企画・設計構築
        • セキュリティ侵害が発生したときに、速やかに対応できる運用、保守
      • 過剰、過小な対策を防ぐ提案
        • ⇒情報セキュリティ対策を含めたBCPの策定を提案
        • ⇒情報セキュリティに特化した対策はISMSの体系に沿った対策を提案
      • 重大事象を優先的に対策
        • 重要の情報資産は何か
        • 重要な情報資産への頻度の高い脅威の洗い出し
        • 脅威に対する脆弱性の度合い
        • 脆弱性を低減させる対策は?
        •  
    • セキュリティ侵害の事象発生(インシデント)の可能性あり
      • 段階
        • セキュリティ侵害の予兆段階
        • セキュリティ侵害の発生
      • 案内先
        • 犯罪の可能性
        • 一般的な不正アクセス、ウイルス感染
        • 高度な技術的対策が必要な事象