2-8 機密情報を保持する、業務に利用する(2/2)

※(25項目 No.*)は、「5分でできる!情報セキュリティ自社診断」の診断編の番号とリンクしています。各番号のリンクから「5分でできる!情報セキュリティ自社診断」の対策とそのソリューションもご覧いただけます。
必要なセキュリティ対策21

個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確する。 (25項目 No.21 有効) 

想定されるリスク

個人所有のPCは、会社のPCほどセキュリティ対策を行っていないため、ウイルス感染のリスクが高くなります。また、プライベートでさまざまなWebにアクセスしたりすることで、PCがランサムウェアに感染するリスクが高くなり、社内ネットワークに接続していた場合には、個人所有のPCから社内ネットワークに拡散してしまう恐れがあります。

ベストプラクティスと対応ソリューション

・私物機器の利用は適切なセキュリティ対策が施せない場合があるため基本的には禁止とする。

・私物機器を利用する場合は、会社貸与機器と同程度のソフトウェア更新、ウイルス対策ソフトの導入、ログイン手順の厳格化(パスワード管理、二要素認証、生体認証等)等、情報セキュリティリスクの低減が図れる場合のみに、個別の許可制で利用させるようにする。(必要に応じて、かかる費用は会社が負担する。)

・私物機器を業務で利用する際の注意事項(事務所外での取扱、アクセスが許可される社内外システム、データの保存の可否、紛失時の対応など)についてルールを定め、周知、遵守させる。 (順守事項等の承諾書をとっておくことを推奨)

・許可されていない私物機器は社内ネットワークに接続させない。

対応製品

個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
端末接続制御(ネットワーク検疫) >>

対応サービス

一般従業員向け教育・リテラシー教育 >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策22

重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定する。 (25項目 No.22 有効) 

想定されるリスク

機密情報の取扱いに関するが定めがない場合、機密情報が漏えいした場合、不正競争防止法に基づく差し止め請求や損害賠償請求ができなくなる恐れがあります。また、委託先で個人情報が漏えいした場合、責任を負うのは発注元であり、個人情報保護委員会等への報告義務も発注元にあります。

ベストプラクティスと対応ソリューション

・取引先との契約には、適切にセキュリティに係る要求事項(秘密保持、証跡の提示、監査協力等、情報セキュリティ事故が発生した場合の対応など)を含める。

・ISMS認証やプライバシーマーク認証の取得状況、または、IPA SECURITY ACTION (二つ星)の自己宣言の有無などを考慮し取引先を選定する。

・継続的に取引する場合には、ISMS認証やプライバシーマーク認証の取得状況を確認する。あるいは、業界ごとのセキュリティガイドラインやIPAの「5分でできる!情報セキュリティ自社診断」などを用いて対策の実施状況を確認する。

対応サービス

一般従業員向け教育・リテラシー教育 >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策23

クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定する。 (25項目 No.23 優先) 

想定されるリスク

サービス提供事業者が十分なセキュリティ対策を講じていない場合、悪意のある攻撃者による不正アクセスやデータ漏えいが発生する可能性があります。また、サービスの停止や障害によりサービスが利用できなくなった場合、事業継続に影響する可能性があります。場合によってはサービス提供事業者の責任範囲や賠償範囲に関して論争が生じる可能性があります。

ベストプラクティスと対応ソリューション

・外部サービスを利用する際は、サービス内容や契約内容、セキュリティ対策が十分かなどを確認する。

・具体的には、IPAが提供する「中小企業の情報セキュリティ対策ガイドライン 付録6:中小企業のためのクラウドサービス安全利用の手引き」を参考にしながら、外部サービスの選定時、運用時、管理面でのポイントを確認する。
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf

対応製品

アクセス制御/可視化 >>
ポリシー管理・設定管理・監視 >>

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策24

セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備する。 (25項目 No.24 有効) 

想定されるリスク

適切な対応手順や緊急時の体制が整備されていないと、セキュリティ事故が発生した際に対応が迅速かつ効果的に行えず、混乱が生じる可能性があります。

ベストプラクティスと対応ソリューション

・組織内外(IT製品のメーカー、保守ベンダー等も含む)の緊急連絡先・伝達ルートを整備する。

・「中小企業のためのセキュリティインシデント対応の手引き」を確認しておく。また、システム導入ベンダーにそのようなサポートがあるか事前に確認しておく。
【参考】「中小企業のためのセキュリティインシデント対応の手引き」
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/security-incident.pdf

対応製品

ポリシー管理・設定管理 >>
バックアップ製品 >>

対応サービス

訓練(演習) >>
事業継続(BCP・BCM) >>
コンサルティング(現状分析、ポリシー策定等) >>

必要なセキュリティ対策25

情報セキュリティ対策(上記1 ~ 24 など)をルール化し、従業員に明示する。 (25項目 No.25 有効) 

想定されるリスク

セキュリティ対策がルール化されていないと、不正アクセスや情報漏えいなどのリスクが高まります。そのほか、脆弱性の見落としや法令違反の危険性、個人に依存した対応によるリスクなど様々なセキュリティリスクが増加します。

ベストプラクティスと対応ソリューション

・IPA「中小企業の情報セキュリティ対策ガイドライン」「4 (3)情報セキュリティ規程の作成」を参照し、「付録5 情報セキュリティ関連規程(サンプル)」自社向けに編集して規程(ルール)を作成する。
付録4:情報セキュリティハンドブック(ひな形)(全17ページ)(442 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx
付録5:情報セキュリティ関連規程(サンプル)(全45ページ)(Word:166 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx

・セキュリティポリシー(基本方針)を公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。

・規程(ルール)を作成、運用に当たっては、事前に以下のIPAの動画を見る。
https://www.youtube.com/watch?v=fot-PEzBZO4

対応サービス

コンサルティング(現状分析、ポリシー策定等) >>