セキュリティ対策の課題解決を支援する JNSAソリューションガイド

OSやソフトウェアの脆弱性を利用した悪意のあるソフトウェア（マルウェア）の感染や外部からの不正アクセスによる侵入により、情報漏洩や業務停止などの影響があります。

・事務所のパソコンのOSやソフトウェアをリストアップし、OSやソフトウェアのバージョン管理を行う。（資産管理ソフト等を利用する方法もある）

・OSやソフトウェアのバージョンが常に最新のものであるかチェックし、適宜、更新を行う。自社に作業を行う人員がいない場合には、システム導入ベンダーに委託する方法もある。

・可能な限り、OS、アプリケーション･ソフトウェア共に、自動更新機能があるもを使い、機能を有効にする。

・ネットワーク機器（ルーター、WiｰFi、ファイヤウォール、UTM）およびネットワークに接続されている機器（プリンタ、NAS、Webカメラ等々）などのファームウェアや管理ソフトのバージョンは最新のものに管理する必要がある。自社で管理が難しい場合には、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。

・不要なソフトウエアやサポートが切れているソフトウェアをアンインストールする。

対応製品

ポリシー管理・設定管理　＞＞
IT資産管理　＞＞
脆弱性検査　＞＞

対応サービス

コンサルティング(現状分析、ポリシー策定等)　＞＞

適切なセキュリティ設定がされていない無線LANは、通信内容を読み取られたり、不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります。

・Wi-Fi機器の設定画面（管理画面）に入るパスワードは、初期設定（工場出荷時）のものから変更して使う。

・強固な暗号化方式（WPA2またはWPA3）を選択する。また、古い暗号化方式（WEP、WPA）は使わない。

・Wi-Fiに接続するためにパスワードは、できるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。また、社員以外には知られないように管理する。

・SSIDは無線LAN 機器の機種 ､使用者 ､部署 ､企業名などを推測されにくい値にする。

対応サービス

ネットワーク脆弱性診断　＞＞ その他の脆弱性診断（IoT診断、スマートフォンアプリケーション診断等）　＞＞
コンサルティング(現状分析、ポリシー策定等)　＞＞

従業員がセキュリティ事故や攻撃に対する知識をもっていなかった場合、悪意のあるサイトへのアクセスや機密情報の入力が行われる可能性あります。また、十分な対策が施されないままだと、不正アクセスや重要情報、個人情報の漏えいの危険性が高くなります。

・情報セキュリティ教育を実施する（被害事例、服務規程、ITリテラシーなど）。

・全ての従業員にセキュリティ研修の機会を設ける。

・自業種に関わる法改訂や業務別ガイドラインがある場合は都度勉強会を実施する。

対応サービス

一般従業員向け教育・リテラシー教育　＞＞
コンサルティング(現状分析、ポリシー策定等)　＞＞

セキュリティ対策がルール化されていないと、不正アクセスや情報漏えいなどのリスクが高まります。そのほか、脆弱性の見落としや法令違反の危険性、個人に依存した対応によるリスクなど様々なセキュリティリスクが増加します。

・IPA「中小企業の情報セキュリティ対策ガイドライン」「4 （3）情報セキュリティ規程の作成」を参照し、「付録５ 情報セキュリティ関連規程（サンプル）」自社向けに編集して規程（ルール）を作成する。
付録4：情報セキュリティハンドブック（ひな形）（全17ページ）(442 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx
付録5：情報セキュリティ関連規程（サンプル）（全45ページ）(Word:166 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx

・セキュリティポリシー（基本方針）を公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。

・規程（ルール）を作成、運用に当たっては、事前に以下のIPAの動画を見る。
https://www.youtube.com/watch?v=fot-PEzBZO4

対応サービス

コンサルティング(現状分析、ポリシー策定等)　＞＞