パソコンやスマホなど情報機器のOS やソフトウェアは常に最新の状態にする。 (25項目 No.1 優先)
OSやソフトウェアの脆弱性を利用した悪意のあるソフトウェア(マルウェア)の感染や外部からの不正アクセスによる侵入により、情報漏洩や業務停止などの影響があります。
・事務所のパソコンのOSやソフトウェアをリストアップし、OSやソフトウェアのバージョン管理を行う。(資産管理ソフト等を利用する方法もある)
・OSやソフトウェアのバージョンが常に最新のものであるかチェックし、適宜、更新を行う。自社に作業を行う人員がいない場合には、システム導入ベンダーに委託する方法もある。
・可能な限り、OS、アプリケーション・ソフトウェア共に、自動更新機能があるもを使い、機能を有効にする。
・ネットワーク機器(ルーター、WiーFi、ファイヤウォール、UTM)およびネットワークに接続されている機器(プリンタ、NAS、Webカメラ等々)などのファームウェアや管理ソフトのバージョンは最新のものに管理する必要がある。自社で管理が難しい場合には、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。
・不要なソフトウエアやサポートが切れているソフトウェアをアンインストールする。
対応製品
ポリシー管理・設定管理 >>
IT資産管理 >>
脆弱性検査 >>
対応サービス
パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得する。 (25項目 No.11 優先)
故障や誤操作、ウイルス感染などにより、パソコンやサーバの中に保存したデータが消えてしまうことがあります。また、ランサムウェアにより情報が暗号化された場合に、システムを復旧時に情報の復旧ができなくなります。
・情報セキュリティポリシーにバックアップの方法や頻度を組織内のルールとして、記載し周知する。バックアップの方法や保管場所等については、トラブル発生時に復旧できることが重視してポリシーを策定する。
・バックアップには、ファイルサーバやインターネット上のオンラインストレージ、外付けのハードディスクにコピーする方法、CD-RやDVDメディアなどの外部の記憶媒体を利用する方法などがある。媒体・保存方法・物理的な場所などサイバー攻撃、災害等何がおきても、どれかひとつは残るように取得方法を決定する。
・バックアップは、定期的に復元できることを確認する。バックアップがきちんと取れているかの確認にもなる。
対応製品
バックアップ製品 >>
データ管理(復旧・削除・検索) >>
対応サービス
クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定する。 (25項目 No.23 優先)
サービス提供事業者が十分なセキュリティ対策を講じていない場合、悪意のある攻撃者による不正アクセスやデータ漏えいが発生する可能性があります。また、サービスの停止や障害によりサービスが利用できなくなった場合、事業継続に影響する可能性があります。場合によってはサービス提供事業者の責任範囲や賠償範囲に関して論争が生じる可能性があります。
・外部サービスを利用する際は、サービス内容や契約内容、セキュリティ対策が十分かなどを確認する。
・具体的には、IPAが提供する「中小企業の情報セキュリティ対策ガイドライン 付録6:中小企業のためのクラウドサービス安全利用の手引き」を参考にしながら、外部サービスの選定時、運用時、管理面でのポイントを確認する。
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf
対応製品
アクセス制御/可視化 >>
ポリシー管理・設定管理・監視 >>
対応サービス
セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備する。 (25項目 No.24 優先)
適切な対応手順や緊急時の体制が整備されていないと、セキュリティ事故が発生した際に対応が迅速かつ効果的に行えず、混乱が生じる可能性があります。
・組織内外(IT製品のメーカー、保守ベンダー等も含む)の緊急連絡先・伝達ルートを整備する。
・「中小企業のためのセキュリティインシデント対応の手引き」を確認しておく。また、システム導入ベンダーにそのようなサポートがあるか事前に確認しておく。
【参考】「中小企業のためのセキュリティインシデント対応の手引き」
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/security-incident.pdf
対応製品
対応サービス