中小企業の情報セキュリティガイドライン 3.0 について
2019 年 3 月 19 日に中小企業情報セキュリティガイドライン 3.0 発行されました。情報セキュリティマネジメント試験に出題されるので、ポイントをまとめました。
ガイドライン対象
- 中小企業
- 小規模事業者(法人・個人事業主・各種団体)
経営者がやらなければならないこと
- 情報セキュリティ対策は経営者のリーダーシップで進める
- 委託先の情報セキュリティ対策まで考慮する
- 関係者とは常に情報セキュリティに関するコミュニケーションをとる
情報セキュリティガバナンス関連 (opens new window) ※経済産業省 HP より
- 情報セキュリティに関する組織全体の対応方針を定める
- 情報セキュリティ対策のための予算や人材などを確保する
- 必要と考えられる対策を検討させて実行を指示する
- 情報セキュリティ対策に関する適宜の見直しを指示する
- 緊急時の対応や復旧のための体制を整備する
- 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
- 情報セキュリティに関する最新動向を収集する
情報セキュリティ 5 か条
情報セキュリティ 5 か条に取組宣言することで Security Action 一つ星獲得可能。
5 か条
- OS やソフトウエアは常に最新の状態にする
- ウイルス対策ソフトを導入
- パスワードを強化
- 共有設定を見直す
- 脅威や攻撃の手口を知る
上記 5 か条を取組宣言することで SECURITY ACTION ロゴマークの仕様申し込みが可能です。
SECURITY ACTION 公式サイト (opens new window)
現状把握ための自社診断のための 25 項目
| 対策 | 診断内容 |
|---|
| 基本的対策 | 1 パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?
2 パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイル※ 1 は最新の状態にしていますか?
3 パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか?
4 重要情報※ 2 に対する適切なアクセス制限を行っていますか?
5 新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか? |
| 従業員としての対策 | 6 電子メールの添付ファイルや本文中の URL リンクを介したウイルス感染に気をつけていますか?
7 電子メールや FAX の宛先の送信ミスを防ぐ取り組みを実施していますか?
8 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
9 無線 LAN を安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
10 インターネットを介したウイルス感染や SNS への書き込みなどのトラブルへの対策をしていますか?
11 パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?
12 紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
13 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
14 離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
15 関係者以外の事務所への立ち入りを制限していますか?
16 退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
17 事務所が無人になる時の施錠忘れ対策を実施していますか?
18 重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか? |
| 組織としての対策 | 19 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?
20 従業員にセキュリティに関する教育や注意喚起を行っていますか?
21 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
22 重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
23 クラウドサービスやウェブサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか?
24 セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
25 情報セキュリティ対策(上記 1 ~ 24 など)をルール化し、従業員に明示していますか? |
情報セキュリティ自社診断で現状把握して、情報セキュリティ基本方針を定め、外部に公開したらセキュリティアクション二つ星取得可能
クラウドサービスの情報セキュリティ
セキュリティ対策の 3 段階
クラウドサービスの選定
- SaaS(Software as a Service サース型) GoogleDrive など
- PaaS(Platform as a Service パース型) AWS や GCP など
- IaaS(Infrastructure as a Service イアース型) さくら VPN など
クラウドサービスの運用
クラウドサービスのセキュリティ対策
クラウドサービス安全利用のための 15 項目
| No | 項目 | 内容 |
|---|
| 1 | どの業務で利用するか明確にする | どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか? |
| 2 | クラウドサービスの種類を選ぶ | 業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか? |
| 3 | 取り扱う情報の重要度を確認する | クラウドサービスで取り扱う情報が漏えい、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか? |
| 4 | セキュリティのルールと矛盾しないようにする | 自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか? |
| 5 | クラウド事業者の信頼性を確認する | クラウドサービスを提供する事業者は信頼できる事業者ですか? |
| 6 | クラウドサービスの安全・信頼性を確認する | サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか? |
| 7 | 管理担当者を決める | クラウドサービスの特性を理解した管理担当者を社内に確保していますか? |
| 8 | 利用者の範囲を決める | クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか? |
| 9 | 利用者の認証を厳格に行う | パスワードなどの認証機能について適切に設定・管理は実施できていますか?(共有しない、複雑にするなど) |
| 10 | バックアップに責任を持つ | サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に確保して必要なときに使えるようにしていますか? |
| 11 | 付帯するセキュリティ対策を確認する | サービスに付帯するセキュリティ対策が具体的に公開されていますか? |
| 12 | 利用者サポートの体制を確認する | サービスの使い方がわからないときの支援(ヘルプデスクや FAQ)は提供されていますか? |
| 13 | 利用終了時のデータを確保する | サービスの利用が終了したときの、データの取り扱い条件について確認しましたか? |
| 14 | 適用法令や契約条件を確認する | 個人情報保護などを想定し、一般的契約条件の各項目について確認しましたか? |
| 15 | データ保存先の地理的所在地を確認する | データがどの国や地域に設置されたサーバーに保存されているか確認しましたか? |
4 つのリスク分析手法
ベースラインアップローチ
非形式的アプローチ
- 組織や担当者の経験や判断によってリスク分析を行い、大差うを検討する手法
詳細リスク分析
- 情報資産ごとに「資産価値」「脅威」「脆弱性」を識別し、対策を検討する手法
組み合わせアプローチ
