中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

【ニュースクリップ】INFORMATION 6-3 App.01 セキュリティお役立ちリンク【詳細編】

ガイドブック『中小企業向けサイバーセキュリティ対策の極意』Web版に、セキュリティ対策に関連した網羅的なリンク集として、「セキュリティお役立ちリンク【詳細編】」が追記されました。

https://cybersecurity-tokyo.jp/security/guidebook/341/index.html

 

 

NISC - サイバーセキュリティ普及啓発・人材育成ポータルサイト

このサイトは、サイバーセキュリティの普及啓発や人材育成に関する公的機関等の様々な施策や取組を集約して紹介することで、それぞれの興味・関心に合った取組を見つけていただくことを目的としています。

security-portal.nisc.go.jp

【ニュースクリップ】自社のサイバーセキュリティ実践状況を可視化するWebツール、IPAが無償公開

www.itmedia.co.jp

第1部では、サイバーセキュリティ対策に関する設問に対して実践の度合いを5段階の選択式で回答すると、診断結果が『サイバーセキュリティ経営ガイドライン』が掲げる「サイバーセキュリティ経営の重要10項目」に準拠したレーダーチャートで表示される

DAX96-02_令和3年版科学技術・イノベーション白書【概要】

扉絵

イラスト

f:id:mskn:20210617144718p:plain

扉絵(Society 5.0)について

  • <Society 5.0とは>
    • Society 5.0は、我が国が目指すべき未来社会として、第5期科学技術基本計画(平成28年1月閣議決定)において提唱されたコンセプトです。狩猟社会(1.0)、農耕社会(2.0)、工業社会(3.0)、情報社会(4.0)に続く社会であり「サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する人間中心の社会」と定義しています。
    • 「仮想空間と現実空間の融合」とは、最新の情報通信技術(ICT)を活用して現実空間の多種多様なデータを、スーパーコンピュータ等における仮想空間に集積し、この仮想空間内で、社会の様々な要素について、人工知能(AI)も活用して、シミュレーションなどの高度な解析、予測・判断を行い、その結果を現実空間に反映することです。この仮想空間と現実空間との循環によって、私たちの社会を、より良い「人間中心の社会」に変革していくことを目指します。
  • <Society 5.0として我が国が目指す未来社会像>
    • 新型コロナウイルス感染症東日本大震災といった大規模自然災害、地球温暖化等の脅威に対し、国民の安全と安心を確保することは喫緊の課題です。また、近年、人々の価値観も、富の追求に限定しない多様な幸せ、更に国や世界への貢献を重視するなど変わりつつあります。人生100年時代に、生涯にわたって社会参加し続けられる環境も求められます。
    • では、Society 5.0として我が国が目指す未来社会像をより具体的に「直面する脅威や先の見えない不確実な状況に対し、持続可能性と強靱性を備え、国民の安全と安心を確保するとともに、一人ひとりが多様な幸せ(well-being)を実現できる社会」と表現しました。
    • この未来社会を分かり易くイメージしたのが、前ページの扉絵です。最先端の科学技術を用いた「仮想空間と現実空間の融合」という手段と、「人間中心の社会」という価値観によって、「国民の安全と安心を確保する持続可能で強靭な社会」と「一人ひとりの多様な幸せ(well-being)が実現できる社会」の実現を目指します。
  • <Society 5.0実現に必要となる取組>
    • Society 5.0実現のため、「仮想空間と現実空間の融合」を可能とする基盤技術や社会実装へのチャレンジとともに、地球の持続可能性や社会の強靱性を確保する研究開発が必要です。
    • また、Society 5.0として、新たな社会や価値を創造していくとともに、少子高齢化や過疎化といった複雑な社会課題に対峙していくためには、自然科学の「知」と人文・社会科学の「知」が融合した「総合知」の活用が必要となります。

概要

科学技術・イノベーション白書について

  • 概要イメージ図

f:id:mskn:20210617144753p:plain

  • 本年4月施行の科学技術・イノベーション基本法に基づき、政府が科学技術・イノベーション創出の振興に関して講じた施策を報告するもの
  • 年ごとの話題を特集する第1部、年次報告である第2部(例年どおりの構成)の二部構成
  • l特集部分である第1部は、第6期科学技術・イノベーション基本計画が目指す社会(Society 5.0)を、イラストも活用しつつ、国民向けに分かり易く紹介
  • イラスト・写真やQRコードを活用し、大人から子どもまで、親しみやすい白書に

第1部の構成Society 5.0の実現に向けて

  • Society 5.0の実現に必要となる取組
  • Society 5.0:「仮想空間と現実空間を高度に融合させたシステムにより、経済発展と社会的課題解決を両立する人間中心の社会」
  • 我が国が目指す未来社会像:「直面する脅威や先の見えない不確実な状況に対し、持続可能性と強靱性を備え、国民の安全と安心を確保するとともに、一人ひとりの多様な幸せ(well-being)を実現できる社会」
  • 「仮想空間と現実空間の融合」を可能にする研究開発(スパコン、AI等)
  • 「国民の安全と安心を確保」のため、脱炭素化、防災・減災、新型コロナ対応に向けた研究開発
  • 「一人ひとりの多様な幸せ(well-being)」のため、上記とともに、自然科学の「知」と人文・社会科学の「知」が融合した総合的な「知」(「総合知」)の活用
  • 「知」を生み出す基礎研究力の強化
  • スパコン「富岳」理研

第1章 社会のデジタル化、脱炭素化等に向けた最先端の取組

  • (1)仮想空間を構築するための基盤技術
    • ①スーパーコンピュータ
    • 人工知能(AI)
      • 仮想空間に集積するデータを利用して高度な解析・シミュレーションを実施
    • ③量子技術
      • 超高速計算を可能とする「量子コンピュータ」、安全・安心なデータ利活用に貢献する「量子暗号・通信」
  • (2)仮想空間と現実空間を結ぶ技術
    • ①身体機能を機械が代替
      • 脳の信号を読み取り、人の動作や意思疎通を代替・支援
    • ②移動手段の確保自動運転
    • ③危険な環境でのロボット作業
      • 遠隔操作、高度なロボット技術を活用した「はやぶさ2」
  • (3)脱炭素化などの安全・安心の確保に向けた取組
    • ①持続可能な脱炭素社会の実現
      • グリーン成長戦略、グリーンイノベーション基金、みどりの食料システム戦略
      • 脱炭素化を実現する革新技術(スパコンを用いた気候変動高精度予測、核融合、次世代蓄電池、パワエレ、エネルギー利用高効率化、CCUS)
    • ②大規模災害への強靱性を目指す防災・減災
      • AI、シミュレーション等による、地震・気象災害の予測精度の向上、古文書等を活用した災害研究

第2章 社会課題解決に向けた総合的な「知」の創出と活用

  • (1)人文・社会科学の「知」と自然科学の「知」の融合
    • 総合的な「知」(総合知)が求められる理由
    • 感染症拡大、インクルーシブ社会の実現などの社会課題に対し、人間や社会の多様な側面を理解した上で、最先端の自然科学上の研究開発のみならず総合的な「知」を活用することが必要
    • 人文・社会科学においても、自然科学的な研究手法の活用が進展例:脳機能イメージング手法を活用した社会の正義についての研究
    • 科学技術・イノベーション政策は、人間や社会の望ましい社会像を描いた上で、そのビジョンの下で進めていくことが必要。また、AI、ゲノム編集技術など先端技術を社会で活用するにあたっては、倫理的・法的・社会的課題への対応が必要
  • (2)知の融合による社会課題解決の取組事例
    • 総合知の活用により、一人ひとりの多様な幸せ(well-being)の実現を目指す取組を紹介
    • ①共創的アート活動を通じた認知症当事者が暮らしやすい社会に向けた取組
    • ②医療・教育・社会現場をまたぐ発達障害者支援のための取組
    • ③日本社会の価値観に根差した自動運転システムの開発と社会実装に向けた取組
    • ④芸術と科学技術の融合による心の豊かさがあふれる社会に向けた取組

第3章 Society 5.0実現の基盤となる基礎研究力の強化

  • (1)我が国の研究力
    • 今世紀に入り、自然科学系のノーベル賞受賞者は第2位
    • 一方、注目度の高い論文数について、国際的な地位の低下:
    • 第4位(20年前) ⇒ 第9位(現在)
  • (2)研究力強化に向けた新たな取組
    • 経済的な不安等から優秀な若者が博士後期課程への進学を断念する現状を早急に改善する必要
    • 若手研究者が自らの知的好奇心に基づき、腰を据えて野心的な研究に取り組むことができる環境の整備も必要
    • ①10兆円規模の大学ファンドの創設
    • ②博士後期課程学生の処遇向上(約15,000人の支援)
    • ③若手研究者の挑戦を支援する取組(創発的研究支援事業)

第4章 新型コロナウイルス感染症への対応

  • 感染症と人類の歴史とそこから学ぶ教訓
  • ②政府の新型コロナウイルス感染症への対応
    • 治療法、ワクチン、医療機器開発といった研究開発の推進
  • ③研究現場への影響と新たな研究スタイルの構築に向けた取組
    • 研究活動のリモート化、ロボット導入による実験の自動化等
  • 新型コロナウイルス感染症の正しい理解を広める取組
    • 科学的、客観的な情報を受け取る立場に立った表現で
  • 新型コロナウイルス感染症の影響を踏まえた科学技術の発展の展望
    • 追加の予測調査では、自由度の高い就業形態を可能とする技術等の実現が前倒しに

備考

  • この他、各章のコラムで「GIGAスクール構想の実現」(第1章)、「古典籍の分析がもたらす宇宙物理学の新発見」(第2章)、「ナイスステップな研究者2020」(第3章)等のトピックスを紹介

情報資産台帳の作成と詳細リスク分析

INFORMATION 6-4 Appendix-02 情報資産台帳の作成と詳細リスク分析

概要

「中小企業の情報セキュリティ対策ガイドライン」では、「本格的に取り組む」アクションとして、①管理体制の構築、②IT活用方針と情報セキュリティの予算化、③情報セキュリティ規程の作成、④委託時の対策、⑤点検と改善が、挙げられています。
③情報セキュリティ規程の作成に当たっては、まず、どんな情報資産を保有し、それぞれの情報資産に対してどんなリスクがあるか、それを見極めた上で、どのようなリスク対策をするかを決定することがことが重要です。次のステップで、リスク対策を実施できるようにルール化した「情報セキュリティ規程」を作成します。

策定の流れ

①情報資産の洗い出し

まずは、情報資産台帳として、自社で管理している情報資産を悉皆的にリストアップする。

〇情報資産管理台帳の作成
  • 特に、セキュリティ侵害を受けると事業の継続を脅かされると思われる情報資産に関しては、保存場所はどこか、個人情報を含むか、なども調査しておく。
〇情報資産ごとの機密性・完全性・可用性の評価
  • 情報資産毎に、機密性、完全性、可用性が損なわれた場合の事業への影響や、法律で安全管理義務があるなどを勘案して、評価値を算定する。
〇機密性・完全性・可用性の評価値から重要度を算定
  • 情報資産ごとの機密性、完全性、可用性の評価値をもとに、重要度を算定する。

②リスク値の算定

情報資産毎に、対策の優先度を決めるため、リスク値(リスクの大きさ)を算定する。

③情報に対するリスク対策を決定

リスクの大きな情報資産を優先して、リスク対策(リスクの低減、回避、移転、保有)の分類で、情報セキュリティ対策を決定する。

④次のステップで情報セキュリティ規程を作成

情報に対するリスク対策で分類された内容を具体的に講じられるように、情報セキュリティ規程を作成する。

手順1 情報資産の洗い出し

業種、事業内容、IT環境によって保有する情報資産は異なるため、自社の情報資産を一通り洗い出し、情報資産ごとの機密性・完全性・可用性を評価し、それぞれの評価値から重要度を算定する

情報資産管理台帳の作成

情報資産管理台帳は洗い出した情報資産を「見える化」するための方法の一つ

f:id:mskn:20210514171345p:plain

①業務分類
  • 情報資産に関連する業務や部署名を記入します。情報資産は業務に関連して発生しますので、まず関連業務や部署を特定し、その業務や部署で利用している情報を洗い出すと記入漏れが少なくなります。
②情報資産名称
  • 情報資産の内容を簡潔に記入します。正式名称がないものは社内の通称で構いません。管理方法や重要度が同じものは1行にまとめます。
③備考
  • 必要に応じて説明等を記入します。
④利用者範囲
  • 情報資産を利用してよい部署等を記入します。
⑤管理部署
  • 情報資産の管理責任がある部署等を記入します。小規模事業者であれば担当者名を記入しても構いません。
⑥媒体・保存先
  • 情報資産の媒体や保存場所を記入します。書類と電子データの両方で保存している場合は、それぞれ完全性・可用性(機密性は同一)や脅威・脆弱性が異なるので2行に分けて記入します。 例)見積書「電子データを事務所PC に保存」「印刷して書類を保管」
⑦個人情報の種類
⑧重要度
  • 重要度定義シートまたは中小企業の情報セキュリティ対策ガイドライン45表10を参照して、情報資産の機密性、完全性、可用性それぞれの評価値を記入します。3種類の評価値から中小企業の情報セキュリティ対策ガイドラインP.46表11に基づき重要度が表示されます。なお、⑦でいずれかの個人情報が「有」の場合、重要度は自動的に「2」となります。
⑨保存期限
  • 法定文書は法律で定められた保存期限を、それ以外は利用が完了して廃棄、消去が必要となる期限を記入します。
⑩登録日
  • 登録した日付を記入します。内容を更新した場合は更新日に修正します。

情報資産ごとの機密性・完全性・可用性の評価

機密性、完全性、可用性が損なわれた場合の事業への影響や、法律で安全管理義務があるなど、評価基準を参考に評価値2~0を記入します。

機密性

アクセスを許可された者だけが情報にアクセスできる

  • 機密性レベル2
    • 法律で安全管理(漏えい、滅失又はき損防止)が義務付けられている
    • 守秘義務の対象や限定提供データ12 として指定されている
    • 漏えいすると取引先や顧客に大きな影響がある
    • 自社の営業秘密として管理すべき(不正競争防止法による保護を受けるため)漏えいすると自社に深刻な影響がある
  • 機密性レベル1
    • 漏えいすると業務に大きな影響がある
  • 機密性レベル0
    • 漏えいしても業務にほとんど影響はない
完全性

情報や情報の処理方法が正確で完全である

  • 完全性レベル2
    • 法律で安全管理(漏えい、滅失又はき損防止)が義務付けられている
    • 改ざんされると自社に深刻な影響または取引先や顧客に大きな影響がある
  • 完全性レベル1
    • 改ざんされると業務に大きな影響がある
  • 完全性レベル0
    • 改ざんされても事業にほとんど影響はない
可用性

許可された者が必要な時に情報資産にアクセスできる

  • 可用性レベル2
    • 利用できなくなると自社に深刻な影響または取引先や顧客に大きな影響がある
  • 可用性レベル1
    • 利用できなくなると事業に大きな影響がある
  • 可用性レベル0
    • 利用できなくなっても事業にほとんど影響はない

機密性・完全性・可用性の評価値から重要度を算定

重要度は、機密性、完全性、可用性いずれかの最大値で判断します。 「情報資産管理台帳」に記入した機密性・完全性・可用性の評価値をもとに、判断基準に従い、重要度を算定します。

※下記の場合は、算定結果に関わらず、重要度は2とします。

  • 企業の存続を左右しかねない場合
    • 事故が起きると法的責任を問われる
    • 取引先、顧客、個人に大きな影響がある
    • 事業に深刻な影響を及ぼす
  • 個人情報を含む場合
情報資産の重要度の判断基準
  • 重要度レベル2
    • 機密性・完全性・可用性評価値のいずれかまたはすべてが「2」の情報資産
  • 重要度レベル1
    • 機密性・完全性・可用性評価値のうち最大値が「1」の情報資産
  • 重要度レベル0
    • 機密性・完全性・可用性評価値すべてが「0」の情報資産

手順2 リスク値の算定

優先的・重点的に対策が必要な情報資産を把握する

洗い出した情報資産について、対策の優先度を決めるため、リスク値(リスクの大きさ)を算定

リスク値=重要度×被害発生可能性

f:id:mskn:20210514171441p:plain

「被害発生可能性」

「被害発生可能性」は「脅威の起こりやすさ」と「脆弱性のつけ込みやすさ」の2つの数値から算出

脅威の起こりやすさ
  • 脅威レベル3
    • 通常の状況で脅威が発生する(いつ発生してもおかしくない)
  • 脅威レベル2
    • 特定の状況で脅威が発生する(年に数回程度)
  • 脅威レベル1
    • 通常の状況で脅威が発生することはない
脆弱性のつけ込みやすさ
  • 脆弱性レベル3
    • 対策を実施していない(ほぼ無防備)
  • 脆弱性レベル2
    • 部分的に対策を実施している
  • 脆弱性レベル1
    • 必要な対策をすべて実施している
被害発生可能性
    • 被害発生可能性=脅威レベル÷(4-脆弱性レベル)

f:id:mskn:20210514172019p:plain

  • 被害発生可能性レベル3
    • 通常の状況で被害が発生する(いつ発生してもおかしくない)
  • 被害発生可能性レベル2
    • 特定の状況で被害が発生する(年に数回程度)
  • 被害発生可能性レベル1
    • 通常の状況で被害が発生することはない

手順3 情報セキュリティ対策を決定

  • リスクの大きな情報資産に対して必要とされる対策を決める

リスク対策の分類

  • ①リスクを低減(リスクの発生確率を下げる対策)
    • 情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げる
    • 例:重要な情報へのアクセス制御、ソフトウェアの更新の徹底
  • ②リスクを回避(リスクが発生する可能性を除去する対策)
    • 仕事のやりかたを変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくす
    • 例:端末の持ち出し禁止 (外部での盗難のリスクを回避)
  • ③リスクを移転(リスクを他者等の移す対策)
    • 自社よりも有効な対策を行っている、あるいは補償能力がある他社のサービスを利用することで自社の負担を下げる
    • 例:クラウドサービスの利用、サイバー保険の加入
  • ④リスクを保有(残留リスクとして識別)
    • 事故が発生しても許容する
    • あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、現状を維持する

参考資料

中小企業の情報セキュリティ対策ガイドライン第3版【IPA

  • 第2部実践編
    • 「より強固にするための方策」の「詳細リスク分析の実施方法」

サイバーセキュリティ経営ガイドライン [Ver.2.0]【METI/IPA

  • サイバーセキュリティ経営の重要10項目
    • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

【ニュースクリップ】「ライブ配信を騙るフィッシング詐欺」に注意!

「LIVE と表示された画面になるものの、視聴することができず、会員登録を促すメッセージと無料ライブ配信サイトのリンクが貼り付けられている」

www.keishicho.metro.tokyo.jp