パソコンやスマホなど情報機器のOS やソフトウェアは常に最新の状態にする。 (25項目 No.1 優先)
OSやソフトウェアの脆弱性を利用した悪意のあるソフトウェア(マルウェア)の感染や外部からの不正アクセスによる侵入により、情報漏洩や業務停止などの影響があります。
・事務所のパソコンのOSやソフトウェアをリストアップし、OSやソフトウェアのバージョン管理を行う。(資産管理ソフト等を利用する方法もある)
・OSやソフトウェアのバージョンが常に最新のものであるかチェックし、適宜、更新を行う。自社に作業を行う人員がいない場合には、システム導入ベンダーに委託する方法もある。
・可能な限り、OS、アプリケーション・ソフトウェア共に、自動更新機能があるもを使い、機能を有効にする。
・ネットワーク機器(ルーター、WiーFi、ファイヤウォール、UTM)およびネットワークに接続されている機器(プリンタ、NAS、Webカメラ等々)などのファームウェアや管理ソフトのバージョンは最新のものに管理する必要がある。自社で管理が難しい場合には、システム導入ベンダーに対応を相談する。また、システム導入ベンダーにそのような保守サポートがある場合には、保守契約を結ぶ。
・不要なソフトウエアやサポートが切れているソフトウェアをアンインストールする。
対応製品
ポリシー管理・設定管理 >>
IT資産管理 >>
脆弱性検査 >>
対応サービス
パスワードは破られにくい「長く」「複雑な」パスワードを設定する。 (25項目 No.3 優先)
簡単なパスワードが使われると、推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされてしまいます。
また、同じID・パスワードを複数のウェブサービスやシステムで使い回していると、一つのウェブサービスの中からパスワードが流出した場合に、別のウェブサービスやシステムが不正にログインされるリスクが高まります。
・パスワードは、10文字以上でできるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。
・他のサービスとの使い回しをしない。
・パスワードの作り方、管理の方法は以下の動画(IPA)を参考にする。
https://www.youtube.com/watch?v=lXh0b4KS9gE
・パスワード認証だけに限らず、利用可能な場合は多要素認証(生体認証、ワンタイムパスワードなど)も利用する。
・ネットワークにつながる機器の管理画面(設定ページなど)の初期パスワードは変更しておく。
【参考】インターネットの安全・安心ハンドブック 第1章 :NISC
https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-01.pdf
対応製品
個人認証用デバイス及びその認証システム >>
個人認証用生体認証デバイス及びその認証システム >>
アイデンティティ(ID)管理 >>
特権ID管理 >>
アクセス許可・シングルサインオン(SSO) >>
PKIシステム及びそのコンポーネント >>
対応サービス
無線LAN を安全に使うために適切な暗号化方式を設定する。 (25項目 No.9 優先)
適切なセキュリティ設定がされていない無線LANは、通信内容を読み取られたり、不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります。
・Wi-Fi機器の設定画面(管理画面)に入るパスワードは、初期設定(工場出荷時)のものから変更して使う。
・強固な暗号化方式(WPA2またはWPA3)を選択する。また、古い暗号化方式(WEP、WPA)は使わない。
・Wi-Fiに接続するためにパスワードは、できるだけ長くし、大文字、小文字、数字、記号含めて推測されにくい複雑なパスワードを設定する。また、社員以外には知られないように管理する。
・SSIDは無線LAN 機器の機種 、使用者 、部署 、企業名などを推測されにくい値にする。
対応サービス
ネットワーク脆弱性診断 >>
その他の脆弱性診断(IoT診断、スマートフォンアプリケーション診断等) >>
コンサルティング(現状分析、ポリシー策定等) >>
離席時にパソコン画面の覗き見や勝手な操作ができないようにする。 (25項目 No.14 有効)
機器を操作可能な状態のまま放置すると、第三者が機器に不正にアクセスし重要情報にアクセスしたり、端末が不正に操作され、マルウェアなどの不正なソフトウェアがインストールされるなど、攻撃を受ける可能性があります。
・離席時の手動スクリーンロックおよび退社時のパソコンシャットダウンを社内ルール化する。
・社内のパソコンは一定時間操作をしない場合、自動的にスクリーンロックがかかるように設定する。
・パソコンにのぞき見防止フィルタを取り付ける。
対応製品
対応サービス
関係者以外の事務所への立ち入りを制限する。 (25項目 No.15 有効)
部外者の立ち入りが可能な状態だと、不審な端末の設置やマルウェア感染を目的としたUSBメモリの挿入などにより、内部から攻撃を受ける可能性があります。
・許可されていない人が事務所に入ることを防ぐために、社員証や来訪者バッジなどを着用させる。
・外部の人が重要な情報が保管されている場所に入る際は、社員が帯同する。
対応製品
対応サービス
退社時にノートパソコンや備品を施錠保管するなど盗難防止対策を講じる。 (25項目 No.16 有効)
ノートパソコンやタブレット端末、USBメモリなどは手軽に持ち運べる便利さがある反面、盗難や紛失の危険性も高くなります。
・情報機器の紛失等を発見できるようにするために、台帳等で設置場所や使用者を管理し、定期的に棚卸(資産の有無の確認)を実施する。
・盗難や不正持ち出しがないように、ノートパソコンやタブレット端末、備品(CD、USBメモリ、外付けハードディスクなど)を棚や机等で施錠管理する。または、セキュリティワイヤー等で机等に固定する。
対応製品
対応サービス
事務所が無人になる時の施錠忘れ対策を講じる。 (25項目 No.17 有効)
不正な侵入者が事務所に侵入し、機器の盗難や不正利用が発生する可能性があります。また、施錠が行われていない状態で機密書類が保管されている場合、悪意を持った者が容易にアクセスでき、機密情報の漏えいの危険性があります。
・最終退室者は、全ての出入口の施錠を確認し、退室時刻と退室者氏名を所定様式に記録する。
対応製品
対応サービス