中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

中小企業向けセキュリティ対策の実践ガイド(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

中小企業向けセキュリティ対策の実践ガイドブック(たたき台)

はじめに

 【適用範囲】本資料の目的、対象、期待する効果

  目的

   システム管理者が、経営者に対して、情報セキュリティ対策の実施に投資することを説得できるように

   経営者が情報セキュリティ対策の必要性を認識し、システ管理者に対して、対策の実施を指示するように

  組織の姿勢3分類 (企業経営のためのサイバーセキュリティの考え方の策定について(2016年8月2日)【NISC】より)

   【レベル1】自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

    小企業・零細企業の多く

    (主に中小企業等でセキュリティの専門組織を保持することが困難な企業)

   【レベル2】IT・セキュリティをビジネスの基盤として捉えている企業

    (IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略に組み込むところまでは位置づけていない企業)

   【レベル3】ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

    (積極的にITによる革新と高いレベルのセキュリティに挑戦するあらゆる企業)

  対象者

   経営者層

    システム管理者がいない組織(経営者が管理)

   システム管理者層

    システム管理者がいる組織

    ITパスポート試験レベル、基礎情報処理技術者試験レベル

  期待する効果

   経営者が、情報セキュリティ対策の必要性を認識して、自組織の問題として、情報セキュリティ対策をシステム管理者に指示し、具体的な対策を実施できるようになること

  内容構成

   「東京防災」と同レベルの難易度

   事例、緊急時対応、恒久的対策、知っておくべき知識

何のために情報セキュリティ対策を行う必要があるのか

 【現状認識】インシデント発生の事例

  最近の主な出来事(情報セキュリティ白書2016より)

   標的型攻撃により日本年金機構から個人情報が流出

   インターネットバンキングの不正送金、被害額は過去最悪を更新

   オンライン詐欺・脅迫被害が拡大

   広く普及しているソフトウェアの脆弱性が今年も問題に

   DDoS攻撃の被害が拡大、IoT端末が狙われる

   重要インフラへの攻撃と重要インフラのセキュリティを強化する国内の取り組み

   法改正による政府機関のセキュリティ強化

   企業のセキュリティ強化に経営層の参画が重要

   セキュリティ人材育成への取り組み

   自動車・IoTのセキュリティ脅威が高まる

  事象シナリオ(数種)【総務省】【主な事象を例示】

   事例1:資料請求の情報が漏洩した

   事例2:ホームページが書き換えられた

   事例3:顧客のメールアドレスが漏洩

    同報メールをCCで送った

   事例4:他人のIDで不正にオンライン株取引

   事例5:中古パソコンによるデータの漏洩

   事例6:情報セキュリティ対策は万全だったはずなのに・・・

   事例7:ファイル共有ソフトが原因で・・・

   事例8:SQLインジェクションでサーバの情報が・・・

   事例9:標的型攻撃で、企業の重要情報が・・・

    メール添付ファイルを開いた

    メールに記載のURLを開いた

   事例10:自分の名前で勝手に書き込みが・・・

   事例11:公式アカウントが乗っ取られた

   事例12:有名サイトからダウンロードしたはずなのに・・・

   事例13:クラウドサービスに預けていた重要データが消えた

  事故・被害の事例(一般利用者の対策|国民のための情報セキュリティサイト【総務省】)

   事例1:資料請求の情報が漏洩した

   事例2:私の名前で誰かがメールを

   事例3:ホームページを見ただけで・・・

   事例4:猛威!デマウイルス

   事例5:メールが他人に読まれている?

   事例6:ネットストーカーに注意

   事例7:ウイルス対策はしていたはずなのに・・・

   事例8:送った覚えがないのに・・・

   事例9:オークションの商品が届かない

   事例10:メールの儲け話に注意

   事例11:中古パソコンによるデータの漏洩

   事例12:クレジットカード番号が盗まれた

   事例13:ファイル共有ソフトが原因で・・・

   事例14:ワンクリック詐欺に注意

   事例15:自分の名前で勝手に書き込みが・・・

   事例16:インターネットバンキングで情報が盗まれた

   事例17:有名サイトからダウンロードしたはずなのに・・・

   事例18:ブロードバンドルータから認証情報が盗まれた・・・(IoT等)

  その他最近の傾向

   IoT機器を踏み台にした攻撃

   サポート詐欺

  セキュリティ対策の現状(統計値等)【傾向値を例示】

   脅威の現状(マイクロソフト)

    1/3

     3 社に 1 社は、ライセンスが付与されていないソフトウェアの入手およびインストール時にマルウェアが見つかっています。(The Software Alliance (BSA | ザ・ソフトウェア・アライアンス) 調査)

    200 日以上

     侵入されてから、マルウェアを発見するまで 242 日かかっています(中央値)。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    4.2 億円

     データ侵害に対する平均的なコストは 4.2 億円にのぼり、生産性低下など試算すると 360 兆円に達します。(McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014 年 1 月)

    90%

     企業の 7 割はセキュリティ事故を経験、また 9 割は未知の脅威が侵入済みです。(トレンドマイクロ IT Japan 2015 2015 年 7 月)

   対策状況

    アンケート調査より

   被害

    アンケート調査より

   原因

    【例(統計1)】「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)⇒漏えいの多くは、人為的ミス

     管理ミス32.3%、誤操作34.9%、不正アクセス4.7、盗難5.5%、紛失・置忘れ14.3%

    【統計2】個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)

     紙媒体58.7%、USB等記憶媒体25.9%、電子メール5.5%、インターネット5.0%

    【統計X】

【レベル1】【今やろう】全ての従業員、個人が知っておくべきこと

 自らセキュリティ対策を行う上で、事業上のリソースの制約が大きい企業

  IT人材、資金がない。。。

 【即効性のある対策】最低限の対策(本格的な対策前でも今すぐに)

  情報セキュリティ初心者のための三原則【総務省】

   原則1 ソフトウェアの更新

   原則2 ウイルス対策ソフト(ウイルス対策サービス)の導入

   原則3 IDとパスワードの適切な管理

  情報セキュリティ対策9か条【NISC/IPA】

   OS やソフトウェアは常に最新の状態にしておこう

   パスワードは貴重品のように管理しよう

   ログインID・パスワード絶対教えない用心深さ

   身に覚えのない添付ファイルは開かない

   ウイルス対策ソフトを導入しよう

   ネットショッピングでは信頼できるお店を選ぼう

   大切な情報は失う前に複製しよう

   外出先では紛失・盗難に注意しよう

   困ったときはひとりで悩まず まず相談

【レベル2】【組織を維持するために】経営者、管理者に認識していただきたいこと

 管理者が知っておくべきこと(管理者を設置していない場合は経営者が自ら知っておくべきこと)

 どんな情報資産があるか

  ビジネスに影響を与える情報資産の洗い出し

 リスクの認識

  どんな脅威があるか

   サイバー攻撃,情報漏えい,故意,過失,誤謬びゅう,不正行為,妨害行為,サービス妨害,

   風評,炎上,SPAM(迷惑メール),ファイル共有ソフト

   物理的脅威

    (事故,災害,故障,破壊,盗難,不正侵入 ほか)

   技術的脅威

    (不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか)

   人的脅威

    (誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか)

  どんな情報資産にどんな脆弱性があるか

   どんな情報資産があるか

   情報資産ごとにどんな脆弱性があるか

   バグ,セキュリティホール,人為的脆弱性

  情報資産ごとのリスクの大きさは?

  どんな予防的対策を取るか?

  予防的対策を取っても残るリスクは?(情報資産ごとの残留リスク)

  リスクは許容範囲か

   セキュリティ侵害をどこまで許せるか

  予防できなかったセキュリティ侵害が起きた場合

   どこまで対策をしてもリスクはゼロにならない。残留リスクによりセキュリティ侵害があった場合、対応策を明確にしておく

 組織の社会的責任の認識

  情報セキュリティ対策を怠ることで企業が被る不利益【中小企業の情報セキュリティ対策ガイドライン案】

   資金の喪失

   顧客の喪失

   業務の喪失

   従業員への影響

  経営者が負う責任【中小企業の情報セキュリティ対策ガイドライン案】

   経営者などに問われる法的責任

    個人情報

    他社から預かった秘密情報

    自社の秘密情報

   関係者や社会に対する責任

    営業停止、売上高の減少、企業イメージの低下などで、自社に損害をもたらずだけでなく、取引先に対する信頼関係の喪失、業界やサービス全体のイメージダウン

  経営者が認識する必要な「3原則」【中小企業の情報セキュリティ対策ガイドライン案】

   原則1 情報セキュリティ対策は経営者のリーダシップのもとで進める

   原則2 委託先における情報セキュリティ対策まで考慮する

   原則3 情報セキュリティに関する関係者とのコミュニケーションは、どんなときにも怠らない

【レベル2】【抜本的な対策】恒久的対策(予防・予兆・事象発生時のための備え)

 IT・セキュリティをビジネスの基盤として捉えている企業

 体系的な対策

  セキュリティホールを作らない、何かあっても被害を最小限に食い止める

  ISMSに準拠した対策

   情報資産毎のリスクのレベルにあった対策を必要なだけ行う

   (人的・管理的・物理的・技術的対策)

  ISMSPDCAサイクル

  「重要 として実施する「重要 7項目の取組」

   取組1 情報 セキュリティ に関するリスクを認識し組織全体での対応方針を定める

   取組2 情報セキュリティ対策を行うための資源(予約、人材など)を確保する

   取組3 情報セキュリティのリスクを把握し、どこまで情報セキュリティ対策を行うのかを定めたうえで担当者に実行させる

   取組4 情報セキュリティ対策に関する定期的な見直しを行う

   取組5 業務委託する場合や外部ITシステムやサービスを利用する場合は、自社で必要と考える対策が担保されるようにする

   取組6 情報セキュリティに関する最新動向を収集する

   取組7 緊急時の社内外の連絡先や被害発生時に行うべき内容について準備しておく

 チェックリスト

  自己点検表

【レベル3】【将来を見据えて】組織の発展を目指した戦略的なIT活用とセキュリティ対策

 ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活用しようとしている企業

 企業経営のためのサイバーセキュリティの考え方の策定について

  基本方針ーサイバーセキュリティは、より積極的な経営への「投資」へー

   グローバルな競争環境の変化

   ITの発展によるビジネスの変革が、消費者向けのビジネスから企業間取引へと拡大

   サイバー空間と実空間の融合がさらに進み、チャンスもリスクも一層増大

   ⇒サイバーセキュリティをやむを得ない「費用」でなく、積極的な経営への「投資」と位置づけ、企業としての「挑戦」と、それに付随する「責任」として取り組むことが期待される

  基本的な考え方

   二つの基本的認識

    <①挑戦>サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく

    <②責任>全てがつながる社会において、サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与する

   三つの留意事項

    <①情報発信による社会的評価の向上>

     • 「セキュリティ品質」を高め、品質向上に有効な経営基盤の一つとしてセキュリティ対策を位置付けることで企業価値を高めることが必要。

     • そのような取組に係る姿勢や方針を情報発信することが重要。

    <②リスクの一項目としてのサイバーセキュリティ>

     • 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。

     • 経営層のリーダーシップが必要。

    <③サプライチェーン全体でのサイバーセキュリティの確保>

     • サプライチェーンの一部の対策が不十分な場合でも、自社の重要情報が流出するおそれあり。

     • 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加等が必要。

 IT活用の必然性

  IT活用するためにセキュリティ対策を実施する

   セキュリティ対策は目的ではない。

   業務の効率化のためにITを活用する。

    必要以上のサイバーセキュリティ対策は、業務の効率化を阻害する

  単なる効率化だけではビジネスの競争に勝ち残れない

   これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。

  組織の発展のためにはITの活用が重要

   これからはデジタルトランスフォーメーションの時代の時代と言われている。社会の進展に対応したサービスを展開するためにITを活用する

   IT化、デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業は、大きなビジネスチャンスを得ることが期待できる。

  デジタルトランスフォーメーションに対応することが重要

   10分で分かる! 近未来予想図202X | nikkei BPnet 〈日経BPネット〉:日経BPオールジャンルまとめ読みサイト

   デジタルトランスフォーメーション時代には、創造力、技術力を持ったベンチャー企業など、ビジネスチャンスあり

   柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。

    人海戦術、定型化した作業、精密作業は、匠の技レベルでなければはシステム、機械に置き換わっていく。

    「つながる工場」「インダストリー4.0」「自動運転」「スマートアグリ」

    人工知能(AI), ディープラーニング, ビッグデータ, IoT, M2M. 仮想現実(AR), 3Dプリンタ等のデジタルを、ITを駆使した新サービスを、一般化する前に先駆的に取り入れることが重要

 ITを活用したサービスを継続するためには、情報セキュリティ対策は必須

  セキュリティ侵害は組織の存続が脅かす

   ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。

  事業を継続できるように

   どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要

  サービスの向上を図るために

   情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる

  セキュリティ対策は先行投資

   ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない

 情報公開とセキュリティ対策

  特に個人情報保護法等と情報公開法等との趣旨を理解した対策を

  的確なリスク分析に応じて必要な対策を

  個人情報の管理はその程度でいいのか

  公開を制限しているその情報はほんとに機密性があるのか

  公開してもいい情報は、その完全性、可用性の確保が重要

【付録】役立つ情報のインデックス

 用語解説

  情報セキュリティとサイバーセキュリティ

   •サイバーとは

     ◦インターネットが形成する仮想空間(サイバースペース

   •サイバー攻撃とは

    、 ◦コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うこと。

    ◦特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がある。

   •サイバーセキュリティとは

     ◦サイバー攻撃に対する防御行為。コンピューターへの不正侵入、データの改竄や破壊、情報漏洩、コンピューターウイルスの感染などがなされないよう、コンピューターやコンピューターネットワークの安全を確保すること。

   •サイバーセキュリティ基本法において、

     ◦電子的方式、磁気的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること。

  IT関連用語

  セキュリティ関連用語

 セキュリティ侵害以外のインシデントと対策

  セキュリティ対策は事業継続計画の一環で考える

  【レベル2】事業継続計画(BCP

   緊急事態(自然災害、大火災、感染症、テロ、、、)に遭遇した場合において、

   事業資産(人・もの(情報及び設備)・金)の損害を最小限にとどめつつ、

   中核となる事業の継続あるいは早期普及を可能とするため

 インシデント発生時に役立つ対策の解説

  解説1

  解説2

 【レベル2】PDCAサイクルのそれぞれのセキュリティ対策の知識

  体系的な対策で、網羅性の確保(リスクの高い情報資産にセキュリティホールを作らない)

  ISMSに準拠した情報セキュリティポリシーの策定

   情報セキュリティポリシー(基本方針)

    ◦組織は、情報セキュリティを重視し、その保障に努める。

    ◦組織は、組織のサービスの改善を図るために必要な情報セキュリティのための措置を講ずる。

    ◦組織は、利用者情報、利用情報及び組織が公開する権利を有しない情報の機密性を確保する。

    ◦組織は、職員が組織内外の情報資産に係る情報セキュリティを損なうことのないよう措置する。

    ◦組織は、職員以外の者による組織内外の情報資産に係る情報セキュリティの侵害に加担する結果となることのないよう措置する。

   情報セキュリティポリシー(対策基準)

    ◦人的セキュリティ対策

     情報セキュリティに関する権限及び責任を定め、情報セキュリティポリシーの内容を周知徹底するなど、職員の教育及び啓発を行う。

    ◦物理的セキュリティ対策

     情報システム関係機器が設置された施設への不正な立入りを防止するなど、情報資産を危害、妨害等から物理的に保護する。

    ◦技術的セキュリティ対策

     情報資産を外部からの不正なアクセスから保護する等のため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウィルス対策等の技術的な対策を行う。

    ◦運用に関するセキュリティ対策

     情報システムの監視、情報セキュリティポリシーの実施状況の確認等運用面における対策及び情報セキュリティ緊急事態に対応する危機管理対策を行う。

   情報セキュリティ実施手順

    •情報セキュリティ対策指針

      ◦「情報セキュリティ対策基準」の小項目毎に対応し、更に詳細な管理策(サブコントロールレベル)を示す

    •情報資産リスクマネジメント実施手順

      ◦情報資産のリスクアセスメント、リスク対応に関する分析手法、リスク対応策を定めたもの。

     ◦機密性・完全性・可用性の視点からリスクアセスメントを行い、必要なリスク対応手順を示す。

    •情報セキュリティ実施手順(一般職員向け)

    •情報セキュリティ実施手順(システム管理者向け)

    •各部課の情報セキュリティ実施手順

  ISMS構築手順

   •ISMSの適用範囲を決定する

   •基本方針文書を策定する

   •リスクアセスメントの体系的な取り組み方法を策定する

   •リスクを識別する

   •リスクアセスメントを行う

   •リスク対策を行う

   •管理目的と管理策を選択する

   •各部課の実施手順に選択した管理策を反映させる

   •残留リスクを承認し、ISMSの実施を許可する

  ISMSPDCAサイクル

   •情報セキュリティポリシーの策定

   •リスクアセスメント

   •リスクへの対応 管理策の導入と運用

   •情報セキュリティの評価

   •情報セキュリティマネジメントの規格や標準

  わが社の情報セキュリティポリシー『中小企業の情報セキュリティ対策ガイドライン(改定案)付録 3 【IPA】』

   情報セキュリティポリシーは、外部のひな型をもってくるだけではうまく機能しません。企業の特徴に応じて中身を調整する必要があります。

   ここでは、企業にどのような情報があるか、どのような脅威への対策が必要かをもとに情報セキュリティ診断に回答いただくと、情報セキュリティポリシーにどのような項目を盛り込む必要があるかがわかるようになっています。

   手順1:情報資産管理台帳を作成して重要情報を確認

    この付録で紹介している情報セキュリティポリシーは、情報資産管理台帳の作成を前提としています。企業で管理している情報を、<ツール3-1>のワークシートに書き出し、それぞれの重要度を判定してください。

    また、それぞれの情報を管理している担当者を対象に、情報資産管理に関する役割を割り当てることになりますので、管理状況の実態についても正確に書き出すことが重要です。

   手順2:警戒すべき脅威について確認

    <ツール3-2>では、企業でIT機器やインターネット上のサービスなどを利用するときに警戒すべき脅威について紹介しています。

    これをご一読いただいた上で、自社でも気になるものを選び、<ツール3-3>の「脅威」シートの該当欄に○印を記入してください。

    なお、<ツール3-2>では機器の盗難など、以前から存在する脅威については紹介していませんが、脅威として想定する必要がないことを意味するわけではありませんのでご留意ください。

    サブトピック 4

   手順3:情報セキュリティ診断を実施

    <ツール3-3>の「診断」シートを開き、現時点における自社の状況をもとに、項目ごとに以下から適切なものを1つ選択してください。

    1: 実施している・・・対策を実施済みの場合, 2: 一部実施している・・・対策を実施しているが、十分でない場合, 3: 実施してない/わからない・・・対策を実施していないか、関連情報がない場合, 4: 自社には該当しない

   手順4;必要なひな形を選んで編集すれば完成!

    手順2と手順3が済むと、<ツール3-3>の「判定」シートに診断結果と自社で選択すべきひな型の一覧が表示されます。

    <ツール3-4>からひな型をコピーし、自社の状況に反映するように編集(カスタマイズ)すれば、自社専用の情報セキュリティポリシーが完成します。

    なお必要に応じて、さらに項目を追加していただいてもかまいません。

 セキュリティ関連法規【IPAガイドライン案】

  1-1 個人情報保護法

  1-2 マイナンバー法

  1-3 不正競争防止法

  1-4 不正アクセス禁止法

  1-5 不正指令電磁的記録に関する罪

  1-6 労働契約法

 各種ガイドライン

  2-1 特定個人情報の適正な取扱いに関するガイドラン (事業者編)(個人情報保護委員会)

  2-2 個人情報の 保護に関する法律ついての分野別 ガイドライン(各府省庁)

  2-3 サイバーセキュリティ経営ガイドライン経済産業省)2-4 営業秘密管理指針(経済産業省

  2-5 秘密情報の保護ハンドブック(経済産業省

  2-6 組織における内部不正防止ガイドラン(IPA

 セキュリティ関係機関

  TCYSS

   TCYSSとは

   国全体のセキュリティ対策の中での位置づけ

   参加機関の役割

  政府関係機関

   サイバーセキュリティ戦略本部

   内閣サイバーセキュリティセンター(NISC)

   

  民間機関

 参考文献・参考サイト

  調査報告書

 普及・啓発・教育教材

  調査報告書