#中小企業の情報セキュリティガイドライン 3.0 について

2019 年 3 月 19 日に中小企業情報セキュリティガイドライン 3.0 発行されました。情報セキュリティマネジメント試験に出題されるので、ポイントをまとめました。

#ガイドライン対象

  • 中小企業
  • 小規模事業者(法人・個人事業主・各種団体)

#経営者がやらなければならないこと

3 原則の認識

  1. 情報セキュリティ対策は経営者のリーダーシップで進める
  2. 委託先の情報セキュリティ対策まで考慮する
  3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる

情報セキュリティガバナンス関連(opens new window)※経済産業省 HP より

7 項目の取組

  1. 情報セキュリティに関する組織全体の対応方針を定める
  2. 情報セキュリティ対策のための予算や人材などを確保する
  3. 必要と考えられる対策を検討させて実行を指示する
  4. 情報セキュリティ対策に関する適宜の見直しを指示する
  5. 緊急時の対応や復旧のための体制を整備する
  6. 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  7. 情報セキュリティに関する最新動向を収集する

#情報セキュリティ 5 か条

情報セキュリティ 5 か条に取組宣言することで Security Action 一つ星獲得可能。

5 か条

  1. OS やソフトウエアは常に最新の状態にする
  2. ウイルス対策ソフトを導入
  3. パスワードを強化
  4. 共有設定を見直す
  5. 脅威や攻撃の手口を知る

上記 5 か条を取組宣言することで SECURITY ACTION ロゴマークの仕様申し込みが可能です。
SECURITY ACTION 公式サイト(opens new window)

#現状把握ための自社診断のための 25 項目

対策診断内容
基本的対策1 パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?
2 パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイル※ 1 は最新の状態にしていますか?
3 パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか?
4 重要情報※ 2 に対する適切なアクセス制限を行っていますか?
5 新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
従業員としての対策6 電子メールの添付ファイルや本文中の URL リンクを介したウイルス感染に気をつけていますか?
7 電子メールや FAX の宛先の送信ミスを防ぐ取り組みを実施していますか?
8 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
9 無線 LAN を安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
10 インターネットを介したウイルス感染や SNS への書き込みなどのトラブルへの対策をしていますか?
11 パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?
12 紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
13 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
14 離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
15 関係者以外の事務所への立ち入りを制限していますか?
16 退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
17 事務所が無人になる時の施錠忘れ対策を実施していますか?
18 重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
組織としての対策19 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?
20 従業員にセキュリティに関する教育や注意喚起を行っていますか?
21 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
22 重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
23 クラウドサービスやウェブサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか?
24 セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
25 情報セキュリティ対策(上記 1 ~ 24 など)をルール化し、従業員に明示していますか?

情報セキュリティ自社診断で現状把握して、情報セキュリティ基本方針を定め、外部に公開したらセキュリティアクション二つ星取得可能

#クラウドサービスの情報セキュリティ

#セキュリティ対策の 3 段階

  1. クラウドサービスの選定

    • SaaS(Software as a Service サース型) GoogleDrive など
    • PaaS(Platform as a Service パース型) AWS や GCP など
    • IaaS(Infrastructure as a Service イアース型) さくら VPN など
  2. クラウドサービスの運用

  3. クラウドサービスのセキュリティ対策

#クラウドサービス安全利用のための 15 項目

No項目内容
1どの業務で利用するか明確にするどの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか?
2クラウドサービスの種類を選ぶ業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか?
3取り扱う情報の重要度を確認するクラウドサービスで取り扱う情報が漏えい、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか?
4セキュリティのルールと矛盾しないようにする自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか?
5クラウド事業者の信頼性を確認するクラウドサービスを提供する事業者は信頼できる事業者ですか?
6クラウドサービスの安全・信頼性を確認するサービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか?
7管理担当者を決めるクラウドサービスの特性を理解した管理担当者を社内に確保していますか?
8利用者の範囲を決めるクラウドサービスを適切な利用者のみが利用可能となるように管理できていますか?
9利用者の認証を厳格に行うパスワードなどの認証機能について適切に設定・管理は実施できていますか?(共有しない、複雑にするなど)
10バックアップに責任を持つサービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に確保して必要なときに使えるようにしていますか?
11付帯するセキュリティ対策を確認するサービスに付帯するセキュリティ対策が具体的に公開されていますか?
12利用者サポートの体制を確認するサービスの使い方がわからないときの支援(ヘルプデスクや FAQ)は提供されていますか?
13利用終了時のデータを確保するサービスの利用が終了したときの、データの取り扱い条件について確認しましたか?
14適用法令や契約条件を確認する個人情報保護などを想定し、一般的契約条件の各項目について確認しましたか?
15データ保存先の地理的所在地を確認するデータがどの国や地域に設置されたサーバーに保存されているか確認しましたか?

#4 つのリスク分析手法

  1. ベースラインアップローチ

    • 既存の標準や基準を参照して最作を検討する方法
  2. 非形式的アプローチ

    • 組織や担当者の経験や判断によってリスク分析を行い、大差うを検討する手法
  3. 詳細リスク分析

    • 情報資産ごとに「資産価値」「脅威」「脆弱性」を識別し、対策を検討する手法
  4. 組み合わせアプローチ

    • 複数の方法を併用し対策検討する方法
2019-09-04
  • 試験

関連記事

リユース検定試験勉強 第1章 リユース業の意義
リユース検定試験勉強 第2章 ショップ運営の基本
リユース検定試験勉強 第4章 コンプライアンス営業
リユース検定試験勉強 第5章 特定商品の取引注意
内部不正防止ガイドラインについてのメモ
IT パスポート試験勉強
リユース検定試験 勉強&概要
リユース検定試験勉強 第3章 ショップ運営の実務
情報セキュリティマネジメント試験についての勉強