IPAから中小企業の情報セキュリティ対策ガイドラインが発表されました。
4/26にIPAから中小企業の情報セキュリティ対策ガイドラインが発表されました。
72ページありますね。。。
経営者はセキュリティで何をやらないといけないのか?
原則
- 情報セキュリティ対策は経営者のリーダーシップで進める
- 委託先の情報セキュリティ対策まで考慮する
- 関係者とは常に情報セキュリティに関するコミュニケーションをとる
取り組み
- 情報セキュリティに関する組織全体の対応方針を定める
- 情報セキュリティ対策のための予算や人材などを確保する
- 必要と考えられる対策を検討させて実行を指示する
- 情報セキュリティ対策に関する適宜の見直しを指示する
- 緊急時の対応や復旧のための体制を整備する
- 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
- 情報セキュリティに関する最新動向を収集する
それで、結局何をやればいいの?
現状に応じて、STEPが提示されています。それぞれのSTEPを見ていきましょう。
STEP1 まず始めましょう 〜情報セキュリティ5か条
多くの中小企業にとっては、いきなり精巧なセキュリティ対策を実施するのは大変ですので、最低限、「情報セキュリティ5か条」を実践しましょうということになります。
- ① OSやソフトウェアは常に最新の状態にしよう!
- ② ウイルス対策ソフトを導入しよう!
- ③ パスワードを強化しよう!
- ④ 共有設定を見直そう!
- ⑤ 脅威や攻撃の手口を知ろう!
もう言われ古されていることかと思いますが、これらが徹底できていれば最低限OKということになるでしょう。
① OSやソフトウェアは常に最新の状態にしよう!
OSのアップデートをやっているでしょうか?私自身は、アップデートが出るたびにアップデートしています。ただ、アップデートすると不具合が出て心配という方もスケジュールを決めて最低限アップデートしていきましょう。
さらにソフトウェアはOSだけではありません。 例えば、Web会議システムのZoomをアップデートしているでしょうか?オフィスソフトをアップデートしているでしょうか?ホームページをWordpressで作っている場合はWordpressをアップデートしているでしょうか。
このあたりも個人であれば気づいたときにアップデートをかければよいのでしょうが、組織内で複数の端末があるのであれば、スケジュールを組んで対応していくことが必要になるでしょう。
② ウイルス対策ソフトを導入しよう!
ウィルス対策ソフトについては、以前に比べて状況が変わってきました。多くのOSでOS標準のセキュリティ対策ソフトで十分になってきています。もちろん特定の項目で専門のウィルス対策ソフトが勝っているケースもありますが、最低限OSのセキュリティ機能をONにしているか確認しておきましょう。
WindowsであればWindowsDefenderの機能をOFFにしていないか確認してみましょう。
③ パスワードを強化しよう!
パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」「複雑に」「使い回さない」ようにして強化しましょう。
1番危険なのは、すでに流出してしまっているパスワードを使い続けることです。GoogleChromeのパスワードマネージャーを確認すると、すでに自分のパスワードがインターネット上で漏洩している場合は警告を表示してくれます。
④ 共有設定を見直そう!
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認しましょう。
⑤ 脅威や攻撃の手口を知ろう!
毎年発表されるセキュリティ10大脅威に目を通しておきましょう。
STEP2 現状を知り改善しましょう
情報セキュリティ基本方針の作成と周知
経営者が定めた情報セキュリティに関する基本方針を、従業員や関係者に伝えるために、簡潔な文書を作ります。基本方針には、決まった書き方はありませんので、「情報セキュリティ基本方針(サンプル)」(付録2)を参考にして、事業の特徴や顧客の期待などを考慮したうえで経営者と連携しつつ、自社に適した基本方針を作成してください。
「5分でできる!情報セキュリティ自社診断」
25問の診断がありますので、自社の状況を確認してみましょう。
対策の決定と周知
診断結果をもとに、「5分でできる!情報セキュリティ自社診断」の解説編を参考に、実行すべき情報セキュリティ対策を検討します。自社診断には、あまり費用をかけず、効果があると考えられる対策例が示されているので、診断結果に基づき、実施すべき対策を検討します。
STEP3 本格的に取り組みましょう]
ここは実施内容の目次案のみ記載しておきます。
(1)管理体制の構築
①責任分担と連絡体制の整備 ②緊急時対応体制の整備
(2)デジタルトランスフォーメーション(DX)の推進と情報セキュリティの予算化
(3)情報セキュリティ規程の作成
①対応すべきリスクの特定 ②対策の決定 ③規程の作成
(4)委託時の対策
(5)点検と改善
STEP4 改善を続けましょう
ここは実施内容の目次案のみ記載しておきます。
(1)情報収集と共有
情報セキュリティに関する情報収集の方法と情報共有の枠組みについて説明します。
(2)ウェブサイトの情報セキュリティ
ウェブサイトを安全に構築し、運用するためのポイントを説明します。
(3)クラウドサービスの情報セキュリティ
クラウドサービスを安全に利用するためのポイントを説明します。
(4)テレワークの情報セキュリティ
テレワークを安全に実施するためのポイントを説明します。
(5)セキュリティインシデント対応
セキュリティインシデント発生時の対応に関するポイントを説明します。
(6)セキュリティサービス例と活用
情報セキュリティに関する外部サービスを説明します。
(7)技術的対策例と活用
ITを活用する際の技術的対策について説明します。
(8)詳細リスク分析の実施方法
「リスク分析シート」(付録7)を活用した詳細リスク分析の実施方法を説明します。
そんなところで。
