中小企業経営者の皆様へ 5分 最新動向への対応、できてますか? 脅威や攻撃の変化 IT環境の変化 ランサムウェア クラウド利用 パスワード リスト攻撃 テレワーク 標的型攻撃 メール パソコンから タブレットへ 取り返しのつかないことになる前に あなたの会社のセキュリティ状況を 「5分でできる自社診断シート」でチェック! 紙でもワークシートでもOK! 5 分 でできる!自社診断 改 訂 版 パンフレット [自社診断編] 自社診断シートの25問に回答してください 自社診断シートが手元に無い場合は 以下のURLからダウンロードしてください。 http://www.ipa.go.jp/security/xxxxxxxxxxxxxxxxxxxxxxxxxxxxx 回答結果をもとに採点します 100点満点だった方 入門レベルのセキュリティ対策はもう完璧です。 さらに上級の対策も検討してみましょう。 70~99点だった方 ほぼできていますが、部分的に対策が 不十分な点があるようです。 点が低かった部分は 50~69点だった方 対策が行き届いていないところが 目立ちます。 [解説編]を読んで なぜ対策が必要かを理解し、 実施に取り組むことで、 100点満点を目指しましょう。 49点以下だった方 いつ情報流出などの事故が起きても 不思議ではありません。 中小企業の経営者ならびに経営者の指示のもとで情報資産や情報システムの管理を実践さ れている方を対象に、情報セキュリティ対策の重要性と考え方について紹介している 「中小企業の情報セキュリティ対策ガイドライン」をぜひご覧ください。 http://www.ipa.go.jp/security/xxxxxxxxxxxxxxxxxxxxxxxxxxxxx この自社診断シートで例示した対策の前提は以下のとおりです。 ■経営者(代表者)が対策方針を直接指示・確認することができる ■社員全員が顔見知りである ■社内に複雑な設定を必要とするサーバやネットワーク機器を自社所有していない ・自社のホームページやはクラウドサービスを利用するなどのように、インターネットに直接接続しているサーバを自社所有していない ・市販のアプリケーションソフトだけを利用しているなどのように、自社発注で開発したアプリケーションソフトはない ・個人所有パソコンは、企業で所有するパソコンと同程度の対策を行った場合のみ業務利用を認めている ・ [解説編] Part 1 最重要事項 No.1~5 は企業の形態を問わず必ず対策して いただきたい、最重要の 5 項目です。 自社診断シート No.1 ソフトウェアは常に最新の状態に更新 パソコンもスマートデバイスも、OS・アプリともに常に更新が必要です。更新を怠った状態の機器は、 脆弱性を悪用するマルウェア等の感染を防げないので、業務に利用してはいけません。 自社診断シート No.2 マルウェア対策が提供されていれば導入 機器に対応したウイルス対策ソフトが提供されている場合は導入します。フィッシングサイトやアプリ の不審な挙動を検知するなどの拡張機能が提供されている製品も有用です。こうした製品がない機器の 場合は、不審なアプリがインストールされていないか利用者が確認します。 自社診断シート No.3 推測されにくいパスワードを使用する 最低限、 「単純なパスワードを使わない」 「パスワードは 8 文字以上」 「同じパスワードの使い回しをしな い」の3項目を守りましょう。2要素認証など、高度な認証機能が提供されているサービスであれば、 そうした機能を使うことで認証を強化できます。 自社診断シート No.4 すべてのサービスの設定を見直す 「利用しない機能は無効」 「セキュリティを強化する機能は有効」にする原則ですべてのサービスの設定 を再確認します。ただし、こうした変更をすることで正しく動かなくなるアプリなどもあるので、業務 に影響がないかどうかのテストを行うようにします。 自社診断シート No.5 脅威や攻撃に関する最新情報を集める 攻撃用の電子メールやウェブサイトを本物そっくりに作り込むなど、攻撃の手口が巧妙化していますが、 最新の脅威や攻撃の動向を把握することで、冷静な対処ができるようになります。あらかじめ信頼でき る情報源を調べておきましょう。 Part 2 ネットの脅威への対処 No.6~10 は社外のサービスを利用したり、情報 をやりとりするときに留意すべき項目です。 自社診断シート No.6 電子メールは疑ってみる 電子メール経由の標的型攻撃が多数発生しています。不審な発信者や内容かどうかにかかわらず、 正しい電子メールを装った攻撃でないかどうかを念のため疑ってみるとよいでしょう。怪しく感じ られる場合は、メール本文中のリンクや、添付ファイルを開かないようにします。 自社診断シート No.7 共有不可の電子メールアドレスは BCC に記入 本人の許可を得ずに第三者に電子メールアドレスを伝えてしまうことも情報漏えいになります。電 子メールを複数の人に送信する際には、送り先アドレスの指定方法を十分に確認するようにしまし ょう。 自社診断シート No.8 インターネットバンキングの偽サイトに注意する 本物のインターネットバンキングそっくりの偽サイトを作って信用させ、入力された認証用情報を 用いて不正送金を行う攻撃が行われています。この偽サイトへの誘導には、発信者を騙った電子メ ール上のリンクや、攻撃用ウェブサイト上のリンクなどが用いられます。従って、インターネット バンキングを利用するときは、つねに自らのブックマークを使うなどの用心が必要です。 自社診断シート No.9 機器のパスワードは初期設定で使わない ルーターなどのネットワーク機器や、複合機など社内ネットワークに接続される事務機器には、管 理用のパスワードが設定できますが、導入直後の初期状態ではパスワードが設定させていなかった り、マニュアルに書かれているパスワードのままであったりします。このままの状態で利用すると 社外から不正利用される恐れがあるため、社外から推定できないようなパスワードを必ず設定して おきます。 自社診断シート No.10 信頼できるクラウドを使う 現在、クラウドサービスとして様々な種類のものが提供されていますが、コスト優先で選んでしま うと、障害でサービスが利用できなくても十分な補償がなされない場合もあります。事業継続可能 性を大きく左右するような用途でクラウドサービスを利用する場合は、性能や信頼性について十分 に吟味してください。 Part 3 情報資産の保護 No.11~15 は情報資産の取り扱いに関して考え ておくべき事項です。 自社診断シート No.11 社外保存データへのアクセス権に注意する 社外との情報共有や、モバイル機器から業務情報を参照するためにグループウェアを利用する場合、 関係のない第三者からアクセスできないように設定するとともに、実際にアクセスできないことを 確認します。無料のサービスを従業員や取引先が勝手に使い始めることもあるため、予め危険性を 関係者に周知しておくことが需要です。 自社診断シート No.12 バックアップを励行する 故障や誤操作などにより、パソコンやサーバーの中に保存したデータが消えてしまうことがありま す。また、データを勝手に暗号化してしまい、復号に代金を要求する「ランサムウェア」とよばれ る攻撃も行われています。バックアップを取得しておくことで、このような不測の事態に備えるこ とができます。 自社診断シート No.13 秘密情報は安全な方法で持ち出す 重要情報を社外へ持ち出す場合、思わぬ盗難にあったり、うっかり紛失したりすることがあります。 スマートデバイスやパソコンの利用にあたってパスワードの入力を求めるようにしたり、暗号化機 能付きの USB メモリを用いることで、盗難や紛失の際に情報を簡単にみることができないようにし ます。 自社診断シート No.14 秘密情報は復元できないように消去する 重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまい、重大な 漏えい事故を引き起こすことがあります。また、記録媒体の場合は削除操作をしても復元される恐 れがあります。重要情報を処分するときは、シュレッダーや完全消去用ソフトウェアを用いること で、情報が復元できないように加工した上で廃棄する必要があります。 自社診断シート No.15 従業員の私物機器の業務での利用可否を決める 現在、 「シンクライアント」と呼ばれるアプリケーションを使うことで、従業員の私物機器上に秘密 情報を保存させることなく、その機器で作業を行うことが可能になっています。一方で、社外での 作業が必要な従業員には企業として機器を調達して、私物とは別に持たせる方が管理しやすいとい う考え方もあります。なしくずしに私物利用を容認するのでなく、リスクや従業員にとっての働き やすさなどを踏まえて、私物機器の利用可否に関する方針を定め、それに従って管理することが必 要です。 Part 4 職場のセキュリティ No.16~20 は職場に潜む情報漏えいのリスクへ の物理的対策に関するものです。 自社診断シート No.16 重要情報の放置を禁止する 机上に放置された情報は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。 関係者以外が見たり、移送させたりすることができないように、重要情報は放置せず、管理及び保 護する必要があります。保管場所を定め、作業に必要な場合のみ持ち出し、終了後に戻すことを励 行するようにします。 自社診断シート No.17 機器の盗難防止対策を講じる ノートパソコンやタブレット端末は気軽に持ち運べる便利さがある一方で、盗難の危険性も高くな っています。退社の際は、こうした機器が設置された部屋を施錠してしまうか、施錠可能な引き出 し等に保管するなどの対策を講じましょう。 自社診断シート No.18 機器を勝手に操作させない 誰でも操作できるパソコンは、不正に使用される可能性もあります。離席の際には操作画面をロッ クし、パスワードを知らない人にはロックを解除できないようにします。一定期間操作がない場合 に自動的にロック画面が起動されるようにスクリーンセーバーを設定しておくことも有効です。 自社診断シート No.19 見知らぬ人には声をかける 関係者以外の社内への立ち入りを制限しなければ、社内の情報を盗み取られる危険性があります。 特にサーバーや書庫・金庫など、重要な情報の保管場所の近くには無許可の人が近づけないように しましょう。日頃から見知らぬ人に声がけをすることを習慣づけておくことで、悪意の部外者は近 づきにくくなります。 自社診断シート No.20 オフィスの戸締まりに気を配る 情報資産の盗難防止には、紙媒体と電子媒体に関わらず、施錠の管理が欠かせません。最終退出者 と退出時間の記録を残すことは、最終退出者による施錠の責任意識を向上させることにも役立ちま す。 Part 5 組織的対策事項 No.21~25 は組織としての方針を定めた上で、 実施すべき対策です。 自社診断シート No.21 従業員に守秘義務について理解してもらう 従業員が業務上の秘密を守ることは、就業規則などからも当然のことと言えますが、従業員がそれ を自覚しているとは限りません。秘密を守ることの重要性についてきちんと説明し、理解してもら うことが重要です。 自社診断シート No.22 従業員への定期的な教育・啓発を行う 日頃から情報資産を扱う中で、何も事故が起こらずに過ぎていると、つい「少しくらいならいいだ ろう」などという気持ちが起こりがちになります。社外での情報漏えい被害事例を紹介するなど、 定期的な教育・啓発を行うことが、人を対象とする対策では重要です。 自社診断シート No.23 取引先にも秘密保持を要請する 取引先に秘密情報を提供する場合には、それを秘密として取り扱ってもらうことを明確にする必要 があります。提供する情報の内容から判断して、当然秘密にしてくれるだろうという暗黙の期待は 禁物です。 自社診断シート No.24 事故発生に備えて事前に準備する 事故が起きてはじめて平常時と異なる対応をしようとしてもうまくいきません。対応が後手に回る ことでさらに深刻な事態に陥ることもあります。報道される情報漏えい事故などを参考に、同じよ うな事態が自社に生じた場合に、誰が何を担当するかを予め決めておくとよいでしょう。 自社診断シート No.25 情報セキュリティ対策をルール化する 経営者が情報セキュリティ対策に関する方針を決めていたとしても、それを自社のルールとして明 文化していなければ、従業員は都度経営者に指示を仰がなければなりません。管理すべき情報が多 い上に、サイバー攻撃等の脅威も高まる現在において、従業員が自らルールに従って対応できるよ うに、「企業としてのルール」をまとめておく必要があります。 5分でできる自社診断シート 入門レベルとして最初に取り組むべき情報セキュリティ対策の自社診断シート あなたの会社の対策状況について再点検してみましょう (経営者または管理者の方がご記入ください) No. 項 目 チェック欄は設問に対する回答をひとつ 選んで“○”を記入してください。 チェック 内 容 ●の項目については、すべての社員が実施しているかをお答えください。一部の社員が実施している場合には 「一部実施している」を選択してください。 ◇の項目については、あなたの会社で実施しているかをお答えください。 1 ●アップデートを自動的に行うなどにより、常にソフトウェアを安全な状態にしています か? 2 ●機器に応じたマルウェア対策(ウイルス対策ソフトウェアの導入と更新など)をしてい ますか? 3 最重要事項 実施して 一部実施 実施して わからな いる している いない い ●パスワードは他人に推測されにくいものを選んだ上で、使い回しを避けていますか? 4 ●業務で利用するIT機器の設定について、不要な機能は無効にする、セキュリティを高め る機能を有効にするなどの見直しをしていますか? 5 ◇最新の脅威についての情報収集を行い、必要に応じて社内で共有していますか? 6 ●受信した電子メールに不審な内容がないか確認するとともに、本文中のリンクを安易に 参照したり、添付ファイルを開いたりしないようにしていますか? 7 ●お互いのメールアドレスを知らない複数人にメールを送る場合は、Bcc 機能を活用す るなどのように、メールアドレスを誤って他人に伝えてしまわないようにしていますか? ●インターネットバンキングやオンラインショップを利用する場合は、偽サイトを訪問す ることのないよう、電子メールのリンクでなく、予め登録したブックマーク*2や、専用ア プリから利用していますか? 9 ◇業務で使っている複合機*3や無線LANルータのパスワードは初期設定から変更すると ともに、社外からアクセスされないような保護を行っていますか? 10 ◇クラウドサービスを利用する場合は、費用だけでなく、情報セキュリティや信頼性に関 する仕様を考慮して選定していますか? 11 ●情報を社外のサーバ等に保存したり、グループウェアやファイル受渡サービスなどを用 いたりする場合は、アクセスを許可された人以外が閲覧できることのないよう、適切なア クセス制限を行っていますか? 12 ●データのバックアップを定期的に行うなど、故障や誤操作などに備えて情報が消失しな いような対策をしていますか? ●秘密情報を社外へ持ち出す時は暗号化したUSBメモリに保存したり、パスワード保護を かけるなどで、盗難・紛失対策をしていますか? 14 ●秘密情報の入ったパソコンや紙を含む記録媒体を廃棄する場合は、ゴミとして処分する 前に、データの完全消去用のツールを用いたり、物理的に破壊することで、データの復元 ができないようにしていますか? 15 ◇業務での個人所有機器の利用について、禁止しているか、利用する場合のルールを定め ていますか? 16 ●秘密情報を机の上に放置せず鍵付き書庫に保管し施錠するなどにより、情報がみだりに 扱われないようにしていますか? 17 ●業務で利用する機器の盗難防止のため、ノートPCやタブレット端末等は退社時に引き 出しに格納して施錠するなどの対策を行っていますか? ●業務で利用する機器が誰かに勝手に使われることがないよう、離席時にパスワード付き のスクリーンセーバーが動作するように設定するなどの保護をしていますか? 19 ●事務所で見知らぬ人を見かけたら声をかけるなどのように、無許可の人の立ち入りがな いようにしていますか? 20 ●最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなどのように、事務所 の施錠を管理していますか? 21 ◇採用の際に守秘義務があることを知らせるなどのように、従業員に秘密を守らせていま すか? 22 ◇情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行ってい ますか? ◇契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守るこ とを求めていますか? 24 ◇秘密情報の漏えいや紛失、盗難があった場合の対応手順書を作成するなどのように、事 故が発生した場合に備えた準備をしていますか? 25 ◇情報セキュリティ対策(上記1~24など)を会社のルールにするなどのように、情報セ キュリティ対策の内容を明確にしていますか? *1 8 13 18 23 ネットの脅威への対処 情報資産の保護 職場のセキュリティ 組織的対策事項 *1 Blind Carbon Copyの略で、他の受信者にメールアドレスを伏せて送信する機能 *2 頻繁にアクセスするウェブサイトのアドレスを登録しておくためにウェブブラウザが提供している機能 *3 社内ネットワークに接続することで、プリンタやスキャナとしても利用可能なコピー機 A←実施して いる○の数 A←実施して いる○の数 合計点←C+D A B 合計点 0 0 個 C←A×4点 C D←B×2点 D 0 0 0 個 この自社診断シートで例示している対策方法については、これらだけで十分ということを保証するものではありません。 個 個 点
© Copyright 2024 ExpyDoc
