2-10 BYODを認める。

※(25項目 No.*)は、「5分でできる!情報セキュリティ自社診断」の診断編の番号とリンクしています。各番号のリンクから「5分でできる!情報セキュリティ自社診断」の対策とそのソリューションもご覧いただけます。
必要なセキュリティ対策1

パソコンやスマホなど情報機器のOS やソフトウェアは常に最新の状態にする。 (25項目 No.1 有効) 

想定されるリスク

OSやソフトウェアの脆弱性を利用した悪意のあるソフトウェア(マルウェア)の感染や外部からの不正アクセスによる侵入により、情報漏洩や業務停止などの影響があります。

ベストプラクティスと対応ソリューション

・事務所のパソコンのOSやソフトウェアをリストアップし、OSやソフトウェアのバージョン管理を行う。(資産管理ソフト等を利用する方法もある)

・OSやソフトウェアのバージョンが常に最新のものであるかチェックし、適宜、更新を行う。自社に作業を行う人員がいない場合には、システム導入ベンダーに委託する方法もある。

・可能な限り、OS、アプリケーション・ソフトウェア共に、自動更新機能があるもを使い、機能を有効にする。

・ネットワーク機器(ルーター、WiーFi、ファイヤウォール、UTM)およびネットワークに接続されている機器(プリンタ、NAS、Webカメラ等々)などのファームウェアや管理ソフトのバージョンは最新のものに管理する必要がある。自社で管理が難しい場合には、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。

・不要なソフトウエアやサポートが切れているソフトウェアをアンインストールする。

対応製品

ポリシー管理・設定管理 >>
IT資産管理 >>
脆弱性検査 >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策2

パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にする。 (25項目 No.2 有効) 

想定されるリスク

ウイルス定義ファイルを更新しないと、最新のマルウェアへの対応ができず感染リスクが高まります。

ベストプラクティスと対応ソリューション

・有償、無償に拘わらずJNSAソリューションガイドの掲載されているウイルス対策ソフトを初め、有名なウイルス対策ソフトを使う。または、システム導入ベンダーが推奨するウイルス対策ソフトを使う。

・ウイルス定義ファイルが自動更新されているかを定期的に確認をする。

・ネットワークに接続されていない工場の制御系システムのパソコンは、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。

・統合型の対策ソフトの導入を推奨する。(ウイルス検知・駆除だけでなく、Web脅威対策、迷惑メール対策、情報漏えい対策などの機能も備わっているもの。)

・業務に使う場合は、スマートフォンやタブレットにもセキュリティ対策ソフトを導入する。

対応製品

ウイルス対策 >> 
EDR >>
UTM >>
セキュアウェブゲートウェイ >>

対応サービス

サイバーセキュリティお助け隊サービス >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策3

パスワードは破られにくい「長く」「複雑な」パスワードを設定する。 (25項目 No.3 有効) 

想定されるリスク

簡単なパスワードが使われると、推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされてしまいます。
また、同じID・パスワードを複数のウェブサービスやシステムで使い回していると、一つのウェブサービスの中からパスワードが流出した場合に、別のウェブサービスやシステムが不正にログインされるリスクが高まります。

ベストプラクティスと対応ソリューション

・パスワードは、10文字以上でできるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。

・他のサービスとの使い回しをしない。

・パスワードの作り方、管理の方法は以下の動画(IPA)を参考にする。
https://www.youtube.com/watch?v=lXh0b4KS9gE

・パスワード認証だけに限らず、利用可能な場合は多要素認証(生体認証、ワンタイムパスワードなど)も利用する。

・ネットワークにつながる機器の管理画面(設定ページなど)の初期パスワードは変更しておく。
【参考】インターネットの安全・安心ハンドブック 第1章 :NISC
https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-01.pdf

対応製品

個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
アイデンティティ(ID)管理 >>
特権ID管理 >>
アクセス許可・シングルサインオン(SSO) >>
PKIシステム及びそのコンポーネント >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策9

無線LAN を安全に使うために適切な暗号化方式を設定する。 (25項目 No.9 有効) 

想定されるリスク

適切なセキュリティ設定がされていない無線LANは、通信内容を読み取られたり、不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります。

ベストプラクティスと対応ソリューション

・Wi-Fi機器の設定画面(管理画面)に入るパスワードは、初期設定(工場出荷時)のものから変更して使う。

・強固な暗号化方式(WPA2またはWPA3)を選択する。また、古い暗号化方式(WEP、WPA)は使わない。

・Wi-Fiに接続するためにパスワードは、できるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。また、社員以外には知られないように管理する。

・SSIDは無線LAN 機器の機種 、使用者 、部署 、企業名などを推測されにくい値にする。

対応サービス

ネットワーク脆弱性診断 >> その他の脆弱性診断(IoT診断、スマートフォンアプリケーション診断等) >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策14

離席時にパソコン画面の覗き見や勝手な操作ができないようにする。 (25項目 No.14 有効) 

想定されるリスク

機器を操作可能な状態のまま放置すると、第三者が機器に不正にアクセスし重要情報にアクセスしたり、端末が不正に操作され、マルウェアなどの不正なソフトウェアがインストールされるなど、攻撃を受ける可能性があります。

ベストプラクティスと対応ソリューション

・離席時の手動スクリーンロックおよび退社時のパソコンシャットダウンを社内ルール化する。

・社内のパソコンは一定時間操作をしない場合、自動的にスクリーンロックがかかるように設定する。

・パソコンにのぞき見防止フィルタを取り付ける。

 

対応製品

入退室管理システム >>
DLP(情報漏えい対策) >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策18

重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにする。 (25項目 No.18 有効) 

想定されるリスク

重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまい、重大な漏えい事故を引き起こすことがあります。また、電子機器・電子媒体に保存された情報は、ファイル削除の操作をしても復元される恐れがあります。

ベストプラクティスと対応ソリューション

・情報機器や記録媒体を処分する際は、情報を復元できないように完全消去する。または、記録媒体は破砕機等を用いて物理的に破壊する。
【参考】総務省 国民のためのサイバーセキュリティサイト > 企業・組織の対策> 情報管理担当者の情報セキュリティ対策 > 廃棄するパソコンやメディアからの情報漏洩
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_18.html

対応製品

記憶媒体の廃棄装置 >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策20

従業員にセキュリティに関する教育や注意喚起を行う。 (25項目 No.20 有効) 

想定されるリスク

従業員がセキュリティ事故や攻撃に対する知識をもっていなかった場合、悪意のあるサイトへのアクセスや機密情報の入力が行われる可能性あります。また、十分な対策が施されないままだと、不正アクセスや重要情報、個人情報の漏えいの危険性が高くなります。

ベストプラクティスと対応ソリューション

・情報セキュリティ教育を実施する(被害事例、服務規程、ITリテラシーなど)。

・全ての従業員にセキュリティ研修の機会を設ける。

・自業種に関わる法改訂や業務別ガイドラインがある場合は都度勉強会を実施する。

対応サービス

一般従業員向け教育・リテラシー教育 >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策21

個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確する。 (25項目 No.21 優先) 

想定されるリスク

個人所有のPCは、会社のPCほどセキュリティ対策を行っていないため、ウイルス感染のリスクが高くなります。また、プライベートでさまざまなWebにアクセスしたりすることで、PCがランサムウェアに感染するリスクが高くなり、社内ネットワークに接続していた場合には、個人所有のPCから社内ネットワークに拡散してしまう恐れがあります。

ベストプラクティスと対応ソリューション

・私物機器の利用は適切なセキュリティ対策が施せない場合があるため基本的には禁止とする。

・私物機器を利用する場合は、会社貸与機器と同程度のソフトウェア更新、ウイルス対策ソフトの導入、ログイン手順の厳格化(パスワード管理、二要素認証、生体認証等)等、情報セキュリティリスクの低減が図れる場合のみに、個別の許可制で利用させるようにする。(必要に応じて、かかる費用は会社が負担する。)

・私物機器を業務で利用する際の注意事項(事務所外での取扱、アクセスが許可される社内外システム、データの保存の可否、紛失時の対応など)についてルールを定め、周知、遵守させる。 (順守事項等の承諾書をとっておくことを推奨)

・許可されていない私物機器は社内ネットワークに接続させない。

対応製品

個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
端末接続制御(ネットワーク検疫) >>

対応サービス

一般従業員向け教育・リテラシー教育 >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策24

セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備する。 (25項目 No.24 有効) 

想定されるリスク

適切な対応手順や緊急時の体制が整備されていないと、セキュリティ事故が発生した際に対応が迅速かつ効果的に行えず、混乱が生じる可能性があります。

ベストプラクティスと対応ソリューション

・組織内外(IT製品のメーカー、保守ベンダー等も含む)の緊急連絡先・伝達ルートを整備する。

・「中小企業のためのセキュリティインシデント対応の手引き」を確認しておく。また、システム導入ベンダーにそのようなサポートがあるか事前に確認しておく。
【参考】「中小企業のためのセキュリティインシデント対応の手引き」
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/security-incident.pdf

対応製品

ポリシー管理・設定管理 >>
バックアップ製品 >>

対応サービス

訓練(演習) >>
事業継続(BCP・BCM) >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策25

情報セキュリティ対策(上記1 ~ 24 など)をルール化し、従業員に明示する。 (25項目 No.25 有効) 

想定されるリスク

セキュリティ対策がルール化されていないと、不正アクセスや情報漏えいなどのリスクが高まります。そのほか、脆弱性の見落としや法令違反の危険性、個人に依存した対応によるリスクなど様々なセキュリティリスクが増加します。

ベストプラクティスと対応ソリューション

・IPA「中小企業の情報セキュリティ対策ガイドライン」「4 (3)情報セキュリティ規程の作成」を参照し、「付録5 情報セキュリティ関連規程(サンプル)」自社向けに編集して規程(ルール)を作成する。
付録4:情報セキュリティハンドブック(ひな形)(全17ページ)(442 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx
 付録5:情報セキュリティ関連規程(サンプル)(全45ページ)(Word:166 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx

・セキュリティポリシー(基本方針)を公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。

・規程(ルール)を作成、運用に当たっては、事前に以下のIPAの動画を見る。
https://www.youtube.com/watch?v=fot-PEzBZO4

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

戻る