中小企業に特化した情報セキュリティ対策の相談対応
■対象範囲と役割分担
■中小企業の現状
- 組織の意識と対策
- 情報セキュリティ対策の必要性の認識が低い
- 被害にあった場合、影響が如何に大きいかを認識させる⇒事例に基づいた被害と対策の必要性の啓発。
- システムをベンダーの言いなりで開発もしくは導入、運用
- セキュリティ対策を明確にした調達仕様書のためのスキル教育の方法をレクチャー
- 情報セキュリティ対策の方法がわからない
- 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステム(ISMS)に準拠した情報セキュリティ対策の考え方
- 情報セキュリティ対策の必要性の認識が低い
- 実態調査
- ターゲット分類は?
- 組織規模
- 従業員1名から999名
- 業種別
- 重要インフラ(社会インフラ)
- 製造業、サービス業
- 職種
- 経営者、管理者、一般職員
- 意識レベル
- 意識がない⇒啓発から
- 意識がある⇒具体的な対策から
- セキュリティ対策レベル【仮定】
- システムの内部調達・外部委託別
- 要件定義はどちらでも
- 外部委託は、調達仕様書が作成できるスキルの有無
- 内部調達は、情報セキュリティ
- スペシャリストレベルのスキルを持った設計開発者
- 組織規模
- 対策は?
- 人的
- 物理的
- システム的
- 管理的
- 事例は?
- 一般的な事例
- 小企業での事例
- 中企業での事例
- 大企業とどう違う?
- ターゲット分類は?
■中小企業への支援
- 普及啓発
- 対策の必要性、対策概要、具体的な対策
- システムを使った事業の実施、創業のためには、情報セキュリティ対策が必要である
- セキュリティ対策は、経費でなく、システム構築の一要件であり将来への投資であることを理解してもらう
- 啓発内容の例
- セキュリティ侵害の事例
- 脅威の事例
- リスクの事例
- セキュリティ対策の事例
- 費用対効果の高い対策とは
- システムを構築する際の対策
- 情報セキュリティ侵害があった時の対策
- セキュリティ侵害の事例
- 対策の必要性、対策概要、具体的な対策
- 対策の概要
- セキュリティ対策の普及啓発
- ⇒啓発用Webページ、セミナー等の案内
- 連携機関でのセミナー開催予定
- 他機関でのセミナー開催予定
- ⇒啓発用Webページ、セミナー等の案内
- セキュリティの予防対策
- セキュリティ侵害の事象発生(インシデント)の可能性あり
- 段階
- セキュリティ侵害の予兆段階
- セキュリティ侵害の発生
- 案内先
- 犯罪の可能性
- 一般的な不正アクセス、ウイルス感染
- 高度な技術的対策が必要な事象
- 段階
- セキュリティ対策の普及啓発