サイバーセキュリティ対策の強化
昨今の世界情勢を踏まえると、サイバー攻撃の被害リスクが高まっていると考えられます。自動車部品メーカーがサイバー攻撃を受けて部品の供給が停止し、大手自動車メーカーグループの国内工場が全面停止となった記事はまだ記憶に新しいのではないでしょうか。神奈川県内の中小企業・小規模事業者等においては、組織幹部のリーダーシップのもと、サイバー攻撃の脅威に対する認識を深めるとともに、適切なセキュリティ対策の強化に努めることが求められています。
サイバー攻撃とは
サイバー攻撃とは、あるコンピュータシステムやネットワーク、電子機器等に対して、正規の利用権限を持たない悪意のある第三者が不正な手段で働きかけ、機能不全や停止に追い込んだり、データの改竄や詐取、遠隔操作等を行うことです。
「情報セキュリティ10大脅威」とは
2022年3月10日(最終更新日)、独立行政法人情報処理推進機構(IPA) セキュリティセンターが作成・公表する「情報セキュリティ10大脅威 2022」によると、「情報セキュリティ10大脅威 2022脅威ランキング『組織』向け脅威」は、次のとおりとなっています。なお、「情報セキュリティ対策の基本」は実施されている前提とし、「情報セキュリティ10大脅威」の記載には含まれていません。
情報セキュリティ10大脅威 2022 脅威ランキング 『組織』向け脅威
| 1 | ランサムウェアによる被害 |
|---|---|
| 2 | 標的型攻撃による機密情報の窃取 |
| 3 | サプライチェーンの弱点を悪用した攻撃 |
| 4 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5 | 内部不正による情報漏えい |
| 6 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8 | ビジネスメール詐欺による金銭被害 |
| 9 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10 | 不注意による情報漏えい等の被害 |
参照元:2022年3月10日(最終更新日)、独立行政法人情報処理推進機構 (IPA) セキュリティセンターが作成・公表する「『情報セキュリティ10大脅威 2022』解説書」
URL:https://www.ipa.go.jp/files/000096258.pdf
情報セキュリティ対策の基本
多数の脅威があるが「攻撃の糸口」は似通っています。基本的な対策の重要性は長年変わらないものとなっています。そのため、次の「情報セキュリティ対策の基本」は常に意識する必要があります。
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
|---|---|---|
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスクを低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されないようにする |
| 誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視するべき対策を理解する |
経営者の役割とは
2019年3月19日(3.0版)、独立行政法人情報処理推進機構 (IPA) セキュリティセンターが作成・公表する「中小企業の情報セキュリティ対策ガイドライン 第3版」によると、経営者は『認識すべき3原則』について認識したうえで、『重要7項目の取組』の実施を指示する必要があります。
認識すべき「3原則」
| 原則1 | 情報セキュリティ対策は経営者リーダーシップで進める |
|---|---|
| 原則2 | 委託先の情報セキュリティ対策まで考慮する |
| 原則3 | 関係者とは常に情報セキュリティに関するコミュニケーションをとる |
実行すべき「重要7項目の取組」
| 取組1 | 情報セキュリティに関する組織全体の対応方針を定める |
|---|---|
| 取組2 | 情報セキュリティ対策のための予算や人材などを確保する |
| 取組3 | 必要と考えられる対策を検討させて実行を指示する |
| 取組4 | 情報セキュリティ対策に関する適宜の見直しを指示する |
| 取組5 | 緊急時の対応や復旧のための体制を整備する |
| 取組6 | 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする |
| 取組7 | 情報セキュリティに関する最新動向を収集する |
参照元:2019年3月19日(3.0版)、独立行政法人情報処理推進機構 (IPA)が作成・公表する「中小企業の情報セキュリティ対策ガイドライン 第3版」
URL:https://www.ipa.go.jp/files/000055520.pdf
実践的な進め方とは
2019年3月19日(3.0版)、独立行政法人情報処理推進機構 (IPA)が作成・公表する「中小企業の情報セキュリティ対策ガイドライン 第3版」の第2部 実践編には、情報セキュリティ対策を実践する責任者・担当者を対象に、実務的な進め方について説明しています。今回は、実務的な進め方のポイントについて説明します。実務的な進め方のポイントとして、経営者は『認識すべき3原則』を認識したうえで、『重要7項目の取組』の実施を指示する必要があります。
参照元:2019年3月19日(3.0版)、独立行政法人情報処理推進機構 (IPA)が作成・公表する「中小企業の情報セキュリティ対策ガイドライン 第3版」
URL:https://www.ipa.go.jp/files/000055520.pdf
できるところから始める
情報セキュリティ5か条
情報セキュリティ5か条は、共通的な基本的な対策をまとめたものとなりますので、必ず実行しましょう。
| 1か条 | OSやソフトウェアは常に最新の状態にしよう! |
|---|---|
| 2か条 | ウイルス対策ソフトを導入しよう! |
| 3か条 | パスワードを強化しよう! |
| 4か条 | 共有設定を見直そう! |
| 5か条 | 脅威や攻撃の手口を知ろう! |
参照元:「情報セキュリティ5か条」
URL:https://www.ipa.go.jp/files/000055516.pdf
組織的な取り組みを開始する
情報セキュリティ基本方針の作成と周知
基本方針には、決まった書き方はありません。事業の特徴や顧客の期待等を考慮したうえで経営者と連携しつつ、自社に適した基本方針を作成してください。作成した情報セキュリティ基本方針は、従業員や顧客等の関係者に周知しましょう。
実施状況の把握
「5分でできる!情報セキュリティ自社診断」を利用して、情報セキュリティ対策がどれくらい実施できているかを把握しましょう。
参照元:「5分でできる!情報セキュリティ自社診断」
(ペーパー版)URL:https://www.ipa.go.jp/files/000055848.pdf
(オンライン版)URL:https://security-shien.ipa.go.jp/learning/
対策の決定と周知
「5分でできる!情報セキュリティ自社診断」の診断結果及び解説編を参考に、実行すべき情報セキュリティ対策を検討しましょう。対策が決まったら、「情報セキュリティハンドブック(ひな形)」を利用して、従業員が実行するべき事項を周知します。
参照元:「情報セキュリティハンドブック(ひな形)」
URL:https://www.ipa.go.jp/files/000055529.pptx
本格的に取り組む
自社に適した対策を実行して効果をあげるためには、まず、自社にどのような情報セキュリティリスクがあるかを調べます。経営者が懸念する情報セキュリティ上の重大な事故やその関連業務等を踏まえ、事業へ大きな損害を与える事故を防ぐための対策を具体的に決めます。
管理体制の構築
情報セキュリティ管理のための役割と責任分担を明確にします。また、迅速な連絡体制を整備します。個人情報保護管理体制等といった既存の管理体制がある場合、その管理体制との整合性を図ります。それぞれの役割を果たすためには、情報セキュリティに関する知識や経験が必要となりますので、中長期的な視点で人材育成計画を立てましょう。また、事業や顧客等に大きな影響がある情報セキュリティ事故が発生した場合に備え、緊急時対応体制の役割と責任分担を明確にしましょう。
IT利活用方針と情報セキュリティの予算化
レンタルサーバやクラウドサービス等といった外部サービスによる多様なリスクに対応するため、自社の情報システムを明示化するとともに、リスクに対応するための予算を確保します。
情報セキュリティ規程の作成
情報セキュリティリスクに応じた情報セキュリティ規程の作成のポイント、「対応すべきリスクの特定」、「対策の決定」、「規程の作成」、「委託時の対策」、「点検と改善」を解説します。
対応すべきリスクの特定では、関連する業務や情報に関する外部状況、内部状況を考慮しつつ、対応すべきリスクを把握します。
対策の決定では、リスクに直面した際に被る金銭的な被害を具体的に把握し、投資対効果を見据えたうえで、有効な対策を講じます。
規程の作成では、情報セキュリティリスクに応じた対策を文書化した規程を作成します。規程作成が難しいと感じる方は、中小企業の情報セキュリティ対策ガイドラインにおける「情報セキュリティ関連規程(サンプル)」が示されていますので、これを参考として自社に適した規程に修正し、完成することができます。
参照元:「情報セキュリティ関連規程(サンプル)」
URL:https://www.ipa.go.jp/files/000055794.docx
委託時の対策では、重要な情報を渡したり、処理を依頼する場合、委託先にも情報セキュリティ対策を実施してもらいます。具体的な対策を契約書や覚書等に取引条件として明記します。契約書や覚書が交わすことができない場合、委託先のサービス規約や情報セキュリティに関する対応方針を確認したうえで選定します。
点検と改善では、計画した情報セキュリティ対策において悪い箇所や異常はないか、一つ一つ検査する、情報セキュリティの点検を行います。情報セキュリティの点検が難しいと感じる方は、「情報セキュリティ5か条」NO.1の対策例、「5分でできる!情報セキュリティ自社診断」NO.20の対策例、策定した情報セキュリティ対策に関するルール・規程等を参考にすることができます。経営者への点検の結果報告、経営者の意図するセキュリティ対策の実効性の確認と評価をすることが重要です。経営者の評価を得たり、必要に応じた対策の見直しを図ったりすることで、取り組みの精度を高めます。なお、営業秘密や個人情報等といった、特に十分な対策が必要な場合、第三者による情報セキュリティ監査を行うことを検討します。
より強固にするための方策
6つの区分
より強固な情報セキュリティ対策に取り組むために必要とされる技術的対策や対策の導き出し方等といった6つの区分を説明します。
| 情報収集と共有 | 定期的に必要な情報を収集できるように仕組みを構築します。社内のみならず、取引先や同業者等といった社外と守秘義務契約等を取り交わして、情報を共有します。 |
|---|---|
| ウェブサイトの情報セキュリティ | ウェブサイトを活用する際は、「ウェブサイト運営形態の検討」、「ウェブサイトの構築」、「ウェブサイトの運営」といった3つの段階に分けて検討します。「ウェブサイト運営形態の検討」では、運営形態ごとの特徴、具体的には費用、作業内容、技術レベル、機能性、可変性、情報セキュリティ対策、情報の取扱方針等を踏まえ、選定します。「ウェブサイトの構築」では、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性の頻度や影響度を考慮し、適切なセキュリティを考慮したウェブサイトを作成します。「ウェブサイトの運営」では、ウェブアプリケーション、ウェブサーバ、ネットワーク、その他のセキュリティに適切な対策を実施することが必要です。
「ウェブサイト開設等における運営形態の選定方法に関する手引き」 URL:https://www.ipa.go.jp/files/000066952.pdf 「安全なウェブサイトの作り方」 |
| クラウドサービスの情報セキュリティ | クラウドサービスでは、オーダーメイドのサービスを受けることが難しいこともあるため、セキュリティ対策を予め検討し、それに備えたクラウドサービスを選定します。クラウドサービスでは、クラウド事業者が情報処理を実行するため、セキュリティ対策の役割と責任を把握し、インターネット特有の脅威やリスクを考慮しつつ、運用上のセキュリティ対策を講じます。
「中小企業のためのクラウドサービス安全利用の手引き」 |
| セキュリティサービス例と活用 | 外部の情報セキュリティサービス、具体的にはコンサルテーション、教育サービス、監視サービス、脆弱性診断サービス、デジタルフォレンジングサービス、監視・運用サービス等を利用することで、より強固で有効な対策を実施することができます。 |
| 技術的対策例と活用 | 技術的な対策として、ネットワーク脅威対策、コンテンツセキュリティ対策、アクセス管理、システムセキュリティ管理、暗号化、データの破棄等を実施します。 |
| 詳細リスク分析の実施方法 | 事業規模が大きい場合や情報システムが複雑な場合、想定外のリスクを特定し対策を検討する手法として、詳細リスク分析を行います。その手順は、「情報資産の洗い出し」、「リスク値の算定」、「情報セキュリティ対策の決定」となります。「情報資産の洗い出し」では、どのような情報資産があるか洗い出して重要度を判断します。具体的には、情報資産管理台帳を作成し、情報資産ごとの機密性・完全性・可用性の評価及び重要度の算定を行います。「リスク値の算定」では、優先的・重点的に対策が必要な情報資産を把握します。「情報セキュリティ対策の決定」では、リスクの大きな情報資産に対して必要とされる対策を決めます。その対策は、「低減する」、「保有する」、「回避する」、「移転する」といった4つの分類を活用して検討します。
「リスク分析シート」 |