Part 2従業員としての対策
No.6~18は従業員として注意すべき項目です。重要情報を日々扱っていると慣れによる人為的ミスが発生しやすくなります。また、脅威が日々変化しているので、油断しないように注意する必要があります。
|
診断編 NO.6 | 電子メールのルール | |
---|---|---|
身に覚えのない電子メールは疑ってみる | ||
電子メールに添付されたファイルを開いたり、電子メール本文中に記載されたURLリンクをクリックしたりすることでウイルス感染する事故が続いています。身に覚えのない電子メールの添付ファイルやURLリンクへのアクセスに気をつけましょう。 | ||
対策例 | ●不審な電子メールは安易に添付ファイルを開いたり、URLリンクにアクセスしない。 ●不審な電子メールの情報を社内で共有する。 ●メールソフトに迷惑メール対策機能がある場合は有効にする。 |
|
電子メールのルールのための製品・サービスを探す | ||
製品 | ウイルス対策>> ポリシー管理・設定管理>> EDR>> ファイアウォール>> UTM>> セキュアウェブゲートウェイ>> メール・セキュリティ対策>> |
|
サービス | 訓練(演習)>> |
診断編 NO.7 | 電子メールのルール | |
---|---|---|
宛先の送信ミスを防ぐ | ||
電子メールやFAXの送り先を間違えて、他人に情報が漏えいしてしまう事故が続いています。電子メールやFAXは送り先を十分確認するようにしましょう。また、電子メールアドレスを誤って他人に伝えてしまうことも情報漏えいになります。複数の送り先に送信する際には、送り先の指定方法を十分に確認するようにしましょう。 | ||
対策例 | ●電子メールやFAXを送る前に送信先を再確認する。 ●複数の送信先アドレスを受信者に表示しない場合は、BCCを使う。 ●メールソフトに宛先チェック、送信保留、取り消しなど誤送信防止機能がある場合は有効にする。 |
|
電子メールのルールのための製品・サービスを探す | ||
製品 | メール・セキュリティ対策>> | |
サービス | 訓練(演習)>> |
診断編 NO.8 | 電子メールのルール | |
---|---|---|
重要情報を送信する時は保護する | ||
重要情報を電子メールで送る場合は、電子メールの本文に 書き込まず、文書ファイルなどに記載してパスワードで保護した後、メールに添付します。パスワードはその電子メールには書き込まず、電子メール以外の手段で通知することが必要です。 | ||
対策例 | ●重要情報は文書ファイルに書いて強固なパスワードで保護する、パスワードはあらかじめ決めておくか、携帯電話のショートメッセージサービス(SMS)などの別手段で知らせる。 ●組織間で重要情報の送受信を行う場合は、盗聴やなりす ましを防ぎ、改ざんの検知ができるS/MIME※などの暗号技術を利用する。 ※Secure/Multipurpose Internet Mail Extensions 電子メールの盗聴及び改ざんを防止する技術 |
|
電子メールのルールための製品・サービスを探す | ||
製品 | 暗号化>> DLP(情報漏えい対策)>> メール・セキュリティ対策>> |
|
サービス | 訓練(演習)>> |
診断編 NO.9 | 無線LANのルール | |
---|---|---|
無線LANの盗聴や無断使用を防ぐ | ||
適切なセキュリティ設定がされていない無線LANは、通信 内容を読み取られたり、不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります。無線LANの 盗聴対策や無断使用を防止するようにセキュリティ設定 をしましょう。 | ||
対策例 | ●強固な暗号化方式(WPA2またはWPA3)を選択する。 ●パスワード(ネットワークセキュリティキー、パスフレーズ等)の初期設定が簡単なものである場合は、文字数を増やし、文字、数字、記号含め辞書にある英単語は使わず容易に推測されないようにする。 ●モバイルルーターやスマートフォンのテザリング機能を 使わないときにはオフにする。 ●Wi-Fiルーター設定のための管理用パスワードを強固で 推測されにくいものにする。 アクセスポイント(SSID)が正規のものであることを確認する(偽アクセスポイントに接続しないよう注意する)。パスワードなしで接続可能、またはパスワードが公開 されている場合は秘密情報や個人情報のやりとりはしない。 重要な情報をやりとりする場合は、HTTPS通信(TLS/SSL)※1に対応したWebサイト、またはVPN※2通信を利用する。 ※1 Transport Layer Security/Secure Socket Layer インターネット上で通信を暗号化し、第三者による盗聴 や改ざんを防ぐ技術 ※2 Virtual Private Network 私設仮想回線 インターネットや公衆回線網を使っても、専用線接続と 同じようなセキュリティを保つことができる技術 ※Secure/Multipurpose Internet Mail Extensions 電子メールの盗聴及び改ざんを防止する技術 |
|
無線LANのルールの製品・サービスを探す | ||
製品 | 端末接続制御(ネットワーク検疫)>> 個人認証用デバイス及びその認証システム>> |
|
サービス | ネットワーク脆弱性診断>> |
診断編 NO.10 | インターネット利用のルール | |
---|---|---|
インターネットを介したトラブルを防ぐ | ||
悪意のあるウェブサイトやセキュリティ上の問題がある ウェブサイトを閲覧することでウイルス感染する可能性があります。また、SNSや掲示板へ悪ふざけした画像を投稿したり秘密情報を勝手に掲載して会社に被害を及ぼすことがあります。業務でのインターネット利用を制限する仕組みやルールにより、被害を防止することが必要です。 | ||
対策例 | ●インターネットを利用する際の注意・制限をルール化する。ウェブサイトを閲覧するときには運営者の身分証明書であるサーバー証明書を確認する。 SNSに秘密情報や個人情報を記載しない。 ●Webフィルタリングやプロキシ・サーバーなど技術的対策を利用して、アクセスできるサイトを制限する。 |
|
インターネット利用のルールの製品・サービスを探す | ||
製品 | 端末接続制御(ネットワーク検疫)>> 個人認証用デバイス及びその認証システム>> |
|
サービス | ネットワーク脆弱性診断>> |
診断編 NO.11 | バックアップのルール | |
---|---|---|
バックアップを励行するぐ | ||
故障や誤操作、ウイルス感染などにより、パソコンやサーバーの中に保存したデータが消えてしまうことがあります。このような不測の事態に備えて、バックアップを取得しておきましょう。 | ||
対策例 | ●重要情報のバックアップを定期的に行う。 ●バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する。 ●バックアップに使用する装置・媒体は複数用意し、そのうち1つは遠隔地に保存する。 ●問題なくリストアができるか、バックアップ方式の妥当性を定期的に確認する。 |
|
インターネット利用のルールの製品・サービスを探す | ||
製品 | バックアップ製品>> |
診断編 NO.12 | 保管のルール | |
---|---|---|
重要情報の放置を禁止する | ||
机の上に放置された情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。関係者以外が見たり、触れたりすることができないように、重要情報は放置せず、管理する必要があります。保管場所を定め、作業に必要な場合のみ持ち出し、終了後に戻すことを励行するようにしましょう。 | ||
対策例 | ●机の上をきれいにして、重要書類は鍵付き書庫に保管する。 ●自宅に秘密情報または個人情報を含む書類やUSBメモリ、CD/DVDなどの電子媒体を保管する場合は、鍵付き引き出しやケースに保管し、利用時以外は施錠する。 |
|
保管のルールの製品・サービスを探す | ||
製品 | 暗号化>> | |
サービス | 一般従業員向け教育・リテラシー教育>> |
診断編 NO.13 | 持ち出しのルール | |
---|---|---|
重要情報は安全な方法で持ち出す | ||
重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、うっかり紛失したりすることがあります。ノートパソコンやスマートフォンの利用にあたってパスワードの入力を求めるように設定したり、データファイルを暗号化するなどの対策を事前に行うことで、盗難や紛失の際に情報を簡単に読み取られることができないようにしましょう。 | ||
対策例 | ●重要情報の持ち出しは許可制にして記録する。 ●ノートパソコン・スマートフォン・USBメモリなどはパスワードロックをかける。 ●カフェやホテル、駅など公共の場所でテレワークを行うとき にはパソコンや書類を放置しない |
|
持ち出しのルールのための製品・サービスを探す | ||
製品 | 外部接続デバイス制御>> DLP(情報漏えい対策)>> 暗号化>> 記憶媒体の廃棄装置>> |
|
サービス | 一般従業員向け教育・リテラシー教育>> |
診断編 NO.14 | 事務所の安全管理 | |
---|---|---|
機器を勝手に操作させない | ||
机の上に放置された情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。関係者以外が見たり、触れたりすることができないように、重要情報は放置せず、管理する必要があります。保管場所を定め、作業に必要な場合のみ持ち出し、終了後に戻すことを励行するようにしましょう。 | ||
対策例 | ●離席時にパソコンにスクリーンロックをかける。 ●退社時にパソコンをシャットダウンする。 ●不特定多数の人がいる場所ではパソコンにのぞき見防止 フィルタを取り付ける。 |
|
事務所の安全管理のための製品・サービスを探す | ||
製品 | ポリシー管理・設定管理>> 個人認証用デバイス及びその認証システム>> 個人認証用生体認証デバイス及びその認証システム>> アイデンティティ(ID)管理>> アクセス許可・シングルサインオン(SSO)>> 入退室管理システム>> |
診断編 NO.15 | 事務所の安全管理 | |
---|---|---|
見知らぬ人には声をかける | ||
関係者以外の事務所への立ち入りを制限しなければ侵入されてしまい、情報を盗み取られる危険性があります。特にサーバーや書庫・金庫など、重要な情報の保管場所の近くには無断で立ち入りができないようにしましょう。 | ||
対策例 | ●見知らぬ人は事務所に入れない。 ●受付カウンターを設置する。 ●出入口や重要な情報の保管場所に監視カメラを設置する。 |
|
事務所の安全管理のための製品・サービスを探す | ||
製品 | 入退室管理システム>> |
診断編 NO.16 | 事務所の安全管理 | |
---|---|---|
機器・備品の盗難防止対策を行う | ||
ノートパソコンやタブレット端末、USBメモリなどは手軽に持ち運べる便利さがある反面、盗難や紛失の危険性も高くなっています。利用しない場合は、施錠可能な引き出し等に保管するなどの対策を講じましょう。 | ||
対策例 | ●退社時に机の上のノートパソコンやタブレット端末、備品(CD、USBメモリ、外付けハードディスクなど)を引き出しにしまう。 ●パソコンやタブレットをシンクライアント※端末化する。。 ※端末にデータを保存しない仕組み |
|
事務所の安全管理のための製品・サービスを探す | ||
製品 | ポリシー管理・設定管理>> 個人認証用デバイス及びその認証システム>> 個人認証用生体認証デバイス及びその認証システム>> アイデンティティ(ID)管理>> アクセス許可・シングルサインオン(SSO)>> 入退室管理システム>> |
診断編 NO.17 | 事務所の安全管理 | |
---|---|---|
オフィスの戸締まりに気を配る | ||
最終退出者と退出時間の記録を残すことは、最終退出者による施錠の責任意識を向上させることにも役立ちます。施錠と退出記録の管理をしましょう。 | ||
対策例 | ●鍵の管理を徹底する。 ●最終退出者は事務所を施錠し退出の記録(日時、退出者)を残す。 ●スマートロック※を取り付ける。 ※遠隔施錠やウェブ上で入退室記録を確認できる設備 |
|
事務所の安全管理のための製品・サービスを探す | ||
製品 | 入退室管理システム>> |
診断編 NO.18 | 情報の安全な処分 | |
---|---|---|
重要情報は復元できないように消去する | ||
重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまい、重大な漏えい事故を引き起こすことがあります。また、電子機器・電子媒体に保存された情報は、ファイル削除の操作をしても復元される恐れがあります。重要情報を廃棄する場合は、シュレッダーや消去用ソフトウェアを利用するなど、媒体ごとに適切な処分をしましょう。 | ||
対策例 | ●書類は細断する、電子データは消去ソフトを利用する。 ●電子媒体を物理的に壊してから処分する ●専門サービスに書類の溶解、電子データの消去処分を委託して証明書を取得する。 |
|
事務所の安全管理のための製品・サービスを探す | ||
製品 | 入退室管理システム>> |