セキュリティ対策の課題解決を支援する JNSAソリューションガイド

新たな脅威や攻撃手口についての情報が共有されないと、従業員はそれに対する正しい対応方法を知ることができません。未知の脅威に対処できず、攻撃の手口を理解できないままでいることが、セキュリティの脆弱性を増大させる可能性があります。

・毎年公開されるIPA10大脅威は、組織編、個人編とも読み込む。
https://www.ipa.go.jp/security/10threats/index.html

・JPCERT/CCのメーリングリストに登録して、メールが届いたら読む。自社に関係があるもの（脆弱性情報など）であれば適切な対処を行うか、他の社員にも知らせる（注意喚起）。
https://www.jpcert.or.jp/announce.html

・JNSAセキュリティ十大ニュースを閲覧する。
https://www.jnsa.org/active/news10/

対応サービス

コンサルティング(現状分析、ポリシー策定等)　＞＞

電子メールに仕込まれた悪意のある添付ファイルを開いたり、電子メール本文中に記載されたURLリンクをクリックしたりすることでウイルスに感染する可能性があります。

・社員全員が、IPAの動画「そのメール本当に信用してもいいんですか？　-標的型サイバー攻撃メールの手口と対策-」を見る。
https://www.youtube.com/watch?v=5K9U0-ASQM8

・ウイルス対策ソフトは、電子メールの安全性を検査する機能（マルウェア検出、リンク先の評価、スパムメール検出など）の有るものを使う。若しくは、通信業者やクラウドサービス事業者が提供する電子メールサービスを使用する際には、電子メール対策のオプションを利用する。

対応製品

ウィルス対策　＞＞
UTM　＞＞
メール・セキュリティ対策　＞＞

対応サービス

コンサルティング(現状分析、ポリシー策定等)　＞＞

従業員がセキュリティ事故や攻撃に対する知識をもっていなかった場合、悪意のあるサイトへのアクセスや機密情報の入力が行われる可能性あります。また、十分な対策が施されないままだと、不正アクセスや重要情報、個人情報の漏えいの危険性が高くなります。

・情報セキュリティ教育を実施する（被害事例、服務規程、ITリテラシーなど）。

・全ての従業員にセキュリティ研修の機会を設ける。

・自業種に関わる法改訂や業務別ガイドラインがある場合は都度勉強会を実施する。

対応サービス

一般従業員向け教育・リテラシー教育　＞＞
コンサルティング(現状分析、ポリシー策定等)　＞＞

個人所有のPCは、会社のPCほどセキュリティ対策を行っていないため、ウイルス感染のリスクが高くなります。また、プライベートでさまざまなWebにアクセスしたりすることで、PCがランサムウェアに感染するリスクが高くなり、社内ネットワークに接続していた場合には、個人所有のPCから社内ネットワークに拡散してしまう恐れがあります。

・私物機器の利用は適切なセキュリティ対策が施せない場合があるため基本的には禁止とする。

・私物機器を利用する場合は、会社貸与機器と同程度のソフトウェア更新、ウイルス対策ソフトの導入、ログイン手順の厳格化（パスワード管理、二要素認証、生体認証等）等、情報セキュリティリスクの低減が図れる場合のみに、個別の許可制で利用させるようにする。（必要に応じて、かかる費用は会社が負担する。）

・私物機器を業務で利用する際の注意事項（事務所外での取扱、アクセスが許可される社内外システム、データの保存の可否、紛失時の対応など）についてルールを定め、周知、遵守させる。 （順守事項等の承諾書をとっておくことを推奨）

・許可されていない私物機器は社内ネットワークに接続させない。

対応製品

個人認証用デバイス及びその認証システム　＞＞
個人認証用生体認証デバイス及びその認証システム　＞＞
端末接続制御（ネットワーク検疫）　＞＞

対応サービス

一般従業員向け教育・リテラシー教育　＞＞
コンサルティング(現状分析、ポリシー策定等)　＞＞

適切な対応手順や緊急時の体制が整備されていないと、セキュリティ事故が発生した際に対応が迅速かつ効果的に行えず、混乱が生じる可能性があります。

・組織内外（IT製品のメーカー、保守ベンダー等も含む）の緊急連絡先・伝達ルートを整備する。

・「中小企業のためのセキュリティインシデント対応の手引き」を確認しておく。また、システム導入ベンダーにそのようなサポートがあるか事前に確認しておく。
【参考】「中小企業のためのセキュリティインシデント対応の手引き」
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/security-incident.pdf

対応製品

ポリシー管理・設定管理　＞＞
バックアップ製品　＞＞

対応サービス

訓練（演習）　＞＞
事業継続（BCP・BCM）　＞＞
コンサルティング(現状分析、ポリシー策定等)　＞＞

セキュリティ対策がルール化されていないと、不正アクセスや情報漏えいなどのリスクが高まります。そのほか、脆弱性の見落としや法令違反の危険性、個人に依存した対応によるリスクなど様々なセキュリティリスクが増加します。

・IPA「中小企業の情報セキュリティ対策ガイドライン」「4 （3）情報セキュリティ規程の作成」を参照し、「付録５ 情報セキュリティ関連規程（サンプル）」自社向けに編集して規程（ルール）を作成する。
付録4：情報セキュリティハンドブック（ひな形）（全17ページ）(442 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx
付録5：情報セキュリティ関連規程（サンプル）（全45ページ）(Word:166 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx

・セキュリティポリシー（基本方針）を公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。

・規程（ルール）を作成、運用に当たっては、事前に以下のIPAの動画を見る。
https://www.youtube.com/watch?v=fot-PEzBZO4

対応サービス

コンサルティング(現状分析、ポリシー策定等)　＞＞