2-4 自社でWebサイトを持つ、運用する

※(25項目 No.*)は、「5分でできる!情報セキュリティ自社診断」の診断編の番号とリンクしています。各番号のリンクから「5分でできる!情報セキュリティ自社診断」の対策とそのソリューションもご覧いただけます。
必要なセキュリティ対策3

パスワードは破られにくい「長く」「複雑な」パスワードを設定する。 (25項目 No.3 有効) 

想定されるリスク

簡単なパスワードが使われると、推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされてしまいます。
また、同じID・パスワードを複数のウェブサービスやシステムで使い回していると、一つのウェブサービスの中からパスワードが流出した場合に、別のウェブサービスやシステムが不正にログインされるリスクが高まります。

ベストプラクティスと対応ソリューション

・パスワードは、10文字以上でできるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。

・他のサービスとの使い回しをしない。

・パスワードの作り方、管理の方法は以下の動画(IPA)を参考にする。
https://www.youtube.com/watch?v=lXh0b4KS9gE

・パスワード認証だけに限らず、利用可能な場合は多要素認証(生体認証、ワンタイムパスワードなど)も利用する。

・ネットワークにつながる機器の管理画面(設定ページなど)の初期パスワードは変更しておく。
【参考】インターネットの安全・安心ハンドブック 第1章 :NISC
https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-01.pdf

対応製品

個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
アイデンティティ(ID)管理 >>
特権ID管理 >>
アクセス許可・シングルサインオン(SSO) >>
PKIシステム及びそのコンポーネント >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策23

クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定する。 (25項目 No.23 優先) 

想定されるリスク

サービス提供事業者が十分なセキュリティ対策を講じていない場合、悪意のある攻撃者による不正アクセスやデータ漏えいが発生する可能性があります。また、サービスの停止や障害によりサービスが利用できなくなった場合、事業継続に影響する可能性があります。場合によってはサービス提供事業者の責任範囲や賠償範囲に関して論争が生じる可能性があります。

ベストプラクティスと対応ソリューション

・外部サービスを利用する際は、サービス内容や契約内容、セキュリティ対策が十分かなどを確認する。

・具体的には、IPAが提供する「中小企業の情報セキュリティ対策ガイドライン 付録6:中小企業のためのクラウドサービス安全利用の手引き」を参考にしながら、外部サービスの選定時、運用時、管理面でのポイントを確認する。
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf

対応製品

アクセス制御/可視化 >>
ポリシー管理・設定管理・監視 >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>