2-8 機密情報を保持する、業務に利用する(1/2)
パソコンやスマホなど情報機器のOS やソフトウェアは常に最新の状態にする。 (25項目 No.1 有効)
OSやソフトウェアの脆弱性を利用した悪意のあるソフトウェア(マルウェア)の感染や外部からの不正アクセスによる侵入により、情報漏洩や業務停止などの影響があります。
・事務所のパソコンのOSやソフトウェアをリストアップし、OSやソフトウェアのバージョン管理を行う。(資産管理ソフト等を利用する方法もある)
・OSやソフトウェアのバージョンが常に最新のものであるかチェックし、適宜、更新を行う。自社に作業を行う人員がいない場合には、システム導入ベンダーに委託する方法もある。
・可能な限り、OS、アプリケーション・ソフトウェア共に、自動更新機能があるもを使い、機能を有効にする。
・ネットワーク機器(ルーター、WiーFi、ファイヤウォール、UTM)およびネットワークに接続されている機器(プリンタ、NAS、Webカメラ等々)などのファームウェアや管理ソフトのバージョンは最新のものに管理する必要がある。自社で管理が難しい場合には、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。
・不要なソフトウエアやサポートが切れているソフトウェアをアンインストールする。
対応製品
ポリシー管理・設定管理 >>
IT資産管理 >>
脆弱性検査 >>
対応サービス
パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にする。 (25項目 No.2 有効)
ウイルス定義ファイルを更新しないと、最新のマルウェアへの対応ができず感染リスクが高まります。
・有償、無償に拘わらずJNSAソリューションガイドの掲載されているウイルス対策ソフトを初め、有名なウイルス対策ソフトを使う。または、システム導入ベンダーが推奨するウイルス対策ソフトを使う。
・ウイルス定義ファイルが自動更新されているかを定期的に確認をする。
・ネットワークに接続されていない工場の制御系システムのパソコンは、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。
・統合型の対策ソフトの導入を推奨する。(ウイルス検知・駆除だけでなく、Web脅威対策、迷惑メール対策、情報漏えい対策などの機能も備わっているもの。)
・業務に使う場合は、スマートフォンやタブレットにもセキュリティ対策ソフトを導入する。
対応製品
ウイルス対策 >>
EDR >>
UTM >>
セキュアウェブゲートウェイ >>
対応サービス
パスワードは破られにくい「長く」「複雑な」パスワードを設定する。 (25項目 No.3 優先)
簡単なパスワードが使われると、推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされてしまいます。
また、同じID・パスワードを複数のウェブサービスやシステムで使い回していると、一つのウェブサービスの中からパスワードが流出した場合に、別のウェブサービスやシステムが不正にログインされるリスクが高まります。
・パスワードは、10文字以上でできるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。
・他のサービスとの使い回しをしない。
・パスワードの作り方、管理の方法は以下の動画(IPA)を参考にする。
https://www.youtube.com/watch?v=lXh0b4KS9gE
・パスワード認証だけに限らず、利用可能な場合は多要素認証(生体認証、ワンタイムパスワードなど)も利用する。
・ネットワークにつながる機器の管理画面(設定ページなど)の初期パスワードは変更しておく。
【参考】インターネットの安全・安心ハンドブック 第1章 :NISC
https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-01.pdf
対応製品
個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
アイデンティティ(ID)管理 >>
特権ID管理 >>
アクセス許可・シングルサインオン(SSO) >>
PKIシステム及びそのコンポーネント >>
対応サービス
重要情報に対する適切なアクセス制限を行う。 (25項目 No.4 優先)
不必要な共有設定により社内ネットワークを介して機密データなどを取得される可能性があります。
アクセス権限の設定が不十分であると従業員が必要以上の情報にアクセスでき、また、適切な確認や見直しが行われない場合、情報漏洩が発生する可能性があります。
・ファイル共有サーバーやウェブサービス(オンラインストレージ)などに保存されているデータが適切な共有範囲にあるか確認し、必要に応じて適切なアクセス制を設定します。 特に個人情報や機密情報のファイルやフォルダには厳密に管理します。
・アクセス権限の設定は、定期的に確認し見直しします。また、従業員の異動や退職時にも見直しします。システム導入ベンダーにそのような保守サポートがある場合には、保守サポート契約を結ぶ。
対応製品
ポリシー管理・設定管理 >>
アクセス制御/可視化 >>
ポリシー管理・設定管理・監視 >>
対応サービス
新たな脅威や攻撃の手口を知り対策を社内共有する。 (25項目 No.5 優先)
新たな脅威や攻撃手口についての情報が共有されないと、従業員はそれに対する正しい対応方法を知ることができません。未知の脅威に対処できず、攻撃の手口を理解できないままでいることが、セキュリティの脆弱性を増大させる可能性があります。
・毎年公開されるIPA10大脅威は、組織編、個人編とも読み込む。
https://www.ipa.go.jp/security/10threats/index.html
・JPCERT/CCのメーリングリストに登録して、メールが届いたら読む。自社に関係があるもの(脆弱性情報など)であれば適切な対処を行うか、他の社員にも知らせる(注意喚起)。
https://www.jpcert.or.jp/announce.html
・JNSAセキュリティ十大ニュースを閲覧する。
https://www.jnsa.org/active/news10/
対応サービス
電子メールやFAX の宛先の送信ミスを防ぐ取り組みを実施する。 (25項目 No.7 有効)
電子メールは、複数の宛先に同時に送信できるため非常に便利な連絡手段ですが、誤って関係のない宛先にメールを送信する可能性があります。これにより、個人情報や機密情報が漏えいする可能性があります。
また、FAXも同様ですが、FAXの場合、宛先のFAXに印刷されて残るため、メールよりも多くの人が目にする可能性があります。
・メールソフトに宛先チェック、送信保留、取り消しなど誤送信防止機能がある場合は有効にする。(有償のメール誤送信防止ツールを導入を推奨する。
・電子メールを送信する際に、社内の関係者にccを入れ、誤送信を早期に発見できるようにする。
対応製品
対応サービス
重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護する。 (25項目 No.8 優先)
電子メールは、送受信の記録が残るため大変便利な連絡方法ですが、一方で複製や転送が簡単であり、メール本文に記述した重要情報がたちまち漏えいしてしまう危険性があります。
・個人情報や機密情報などの重要な情報は、電子メールの本文に書くことはせず、別ファイルに書いて強固なパスワードで保護し、それをファイル交換クラウドサービスを用いて、または、メールに添付して送る。
・ファイルをパスワードで保護するには、マイクロソフト WordやExcelのパスワード機能や、ファイルアーカイブツール(ZIPツールなど)のパスワード機能を使う。
・パスワードは両者であらかじめ決めておくか、SMSなどの安全な方法で相手に伝える。(ファイル交換サービスを案内するメールや、ファイルを添付するメールの中にパスワードを書かない。)
対応製品
暗号化 >>
DLP(情報漏えい対策) >>
メール・セキュリティ対策 >>
IRM(Information Rights Management) >>
対応サービス
インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルを防ぐための対策を講じる。 (25項目 No.10 有効)
悪意のあるウェブサイトやセキュリティ上の問題があるウェブサイトを閲覧することでウイルス感染する可能性があります。また、SNSや掲示板へ悪ふざけした画像を投稿したり秘密情報を勝手に掲載して会社に被害を及ぼすことがあります。
・ウイルス対策ソフトは、Webのリンク先の安全性を検査する機能の有るものを使う。
・セキュリティアップデートが定期的に提供され安全性が担保されているブラウザを使用する。(Google Chrome、Microsoft Edge、Safariなど)
・「中小企業の情報セキュリティ対策ガイドライン 付録4:情報セキュリティハンドブック(ひな形)」等を参考にインターネット利用時の社内ルールを策定し周知する。
https://www.ipa.go.jp/security/guide/sme/about.html
対応製品
対応サービス
パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得する。 (25項目 No.11 有効)
故障や誤操作、ウイルス感染などにより、パソコンやサーバの中に保存したデータが消えてしまうことがあります。また、ランサムウェアにより情報が暗号化された場合に、システムを復旧時に情報の復旧ができなくなります。
・情報セキュリティポリシーにバックアップの方法や頻度を組織内のルールとして、記載し周知する。バックアップの方法や保管場所等については、トラブル発生時に復旧できることが重視してポリシーを策定する。
・バックアップには、ファイルサーバやインターネット上のオンラインストレージ、外付けのハードディスクにコピーする方法、CD-RやDVDメディアなどの外部の記憶媒体を利用する方法などがある。媒体・保存方法・物理的な場所などサイバー攻撃、災害等何がおきても、どれかひとつは残るように取得方法を決定する。
・バックアップは、定期的に復元できることを確認する。バックアップがきちんと取れているかの確認にもなる。
対応製品
バックアップ製品 >>
データ管理(復旧・削除・検索) >>
対応サービス
紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管する。 (25項目 No.12 有効)
机の上に放置された情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。
・重要書類や電子媒体(秘密情報や個人情報を含む書類、USBメモリ、CD/DVDなど)の保管場所を定め、利用時以外は施錠管理する。
対応サービス
重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策を講じる。 (25項目 No.13 優先)
重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、紛失したりするリスクがあります。
・ 持ち出し可能な機器や媒体(ノートPC、ポータブルディスクドライブ、USBメモリ、SDメモリーカード、CD-ROMなど)の持ち出しルールを定め、周知する。
・持ち出し可能な機器や媒体を持ち出す際は、部門管理者等の承認を得てから持ち出す。
・ 持ち出し可能な機器や媒体を持ち出す際に、持ち出した情報資産及び、日時、担当者名、受渡しや返却等を記録して管理する。
・持ち出し可能な機器や媒体を持ち出す際には、保存されている情報資産は暗号化、パスワード等による保護を行う。または、情報資産の保存先として管理者が許可した安全なクラウドサービスを利用し持ち出し機器には保存しない。
・USBメモリには、長くて目立つストラップを付ける。
・カフェやホテルのロビー、駅、列車内など、不特定他者が出入りする場所ではパソコンや書類を放置しない。
対応製品
外部接続デバイス制御 >>
DLP(情報漏えい対策) >>
IRM(Information Rights Management) >>
暗号化) >>
対応サービス
離席時にパソコン画面の覗き見や勝手な操作ができないようにする。 (25項目 No.14 有効)
機器を操作可能な状態のまま放置すると、第三者が機器に不正にアクセスし重要情報にアクセスしたり、端末が不正に操作され、マルウェアなどの不正なソフトウェアがインストールされるなど、攻撃を受ける可能性があります。
・離席時の手動スクリーンロックおよび退社時のパソコンシャットダウンを社内ルール化する。
・社内のパソコンは一定時間操作をしない場合、自動的にスクリーンロックがかかるように設定する。
・パソコンにのぞき見防止フィルタを取り付ける。
対応製品
対応サービス
退社時にノートパソコンや備品を施錠保管するなど盗難防止対策を講じる。 (25項目 No.16 有効)
ノートパソコンやタブレット端末、USBメモリなどは手軽に持ち運べる便利さがある反面、盗難や紛失の危険性も高くなります。
・情報機器の紛失等を発見できるようにするために、台帳等で設置場所や使用者を管理し、定期的に棚卸(資産の有無の確認)を実施する。
・盗難や不正持ち出しがないように、ノートパソコンやタブレット端末、備品(CD、USBメモリ、外付けハードディスクなど)を棚や机等で施錠管理する。または、セキュリティワイヤー等で机等に固定する。
対応製品
対応サービス
重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにする。 (25項目 No.18 優先)
重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまい、重大な漏えい事故を引き起こすことがあります。また、電子機器・電子媒体に保存された情報は、ファイル削除の操作をしても復元される恐れがあります。
・情報機器や記録媒体を処分する際は、情報を復元できないように完全消去する。または、記録媒体は破砕機等を用いて物理的に破壊する。
【参考】総務省 国民のためのサイバーセキュリティサイト > 企業・組織の対策 > 情報管理担当者の情報セキュリティ対策 > 廃棄するパソコンやメディアからの情報漏洩
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_18.html
対応製品
対応サービス
従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせる。 (25項目 No.19 有効)
従業員が守秘義務を理解していない場合、機密情報を外部に漏らしてしまう可能性があります。その結果、取引先の信用を失い、最悪の場合は取引停止となる可能性があります。同様に、気軽な動機で犯罪に走る可能性も考えられます。
・内部不正によって組織にどれだけの影響があるのか、自組織及び他組織で発生した不正行為等をまとめ説明する。
・内部規定(就業規則等)の整備及び懲戒処分について理解させる。
・個人情報保護法、不正競争防止法などの法人、個人の罰則を説明をする。
・機密保持に関する契約を全従業員(派遣・アルバイト含む)と交わす。
【参考】IPA「組織における内部不正防止ガイドライン 第5版」
4-6.人的管理 (20)教育による内部不正対策の周知徹底 、(22)派遣労働者による守秘義務の遵守、(23)雇用終了の際の人事手続き
4-7.コンプライアンス (26)誓約書の要請
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
対応製品
IRM(Information Rights Management) >>
アクセス制御/可視化 >>
対応サービス
従業員にセキュリティに関する教育や注意喚起を行う。 (25項目 No.20 有効)
従業員がセキュリティ事故や攻撃に対する知識をもっていなかった場合、悪意のあるサイトへのアクセスや機密情報の入力が行われる可能性あります。また、十分な対策が施されないままだと、不正アクセスや重要情報、個人情報の漏えいの危険性が高くなります。
・情報セキュリティ教育を実施する(被害事例、服務規程、ITリテラシーなど)。
・全ての従業員にセキュリティ研修の機会を設ける。
・自業種に関わる法改訂や業務別ガイドラインがある場合は都度勉強会を実施する。
対応サービス