情報セキュリティハンドブック:5つの基本的対策と進め方のポイント

情報セキュリティの基本的対策を始めるに当たり、現状分析(自社診断)と「情報セキュリティ5か条」などについて、以下のページで説明しました。

「情報セキュリティ5か条」から現状確認と基本的な対策を始める
今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。IPAの中小企業の情報セキュリティガイドラインを利用し、会社にとって重要な情報のセキュリティ対策を進めます。ここでは情報セキュリティ5か条を説明します。
情報セキュリティについての自社診断と情報セキュリティ基本方針
情報セキュリティ対策に取り組み始めたばかりでは、IPAの情報セキュリティ基本方針のサンプルを読んでも中身が分かりません。まずは自社の情報セキュリティの現状を確認するため、「5分でできる自社診断」と情報セキュリティ基本方針について説明します。

ここからは、具体的な情報セキュリティ対策のルール作りを始めます。

まずは、5つの基本的な対策と進め方のポイントについて説明します。

はかせ
はかせ

情報セキュリティ対策に正解はありませんし、急にレベルが上がるものでもありません。

品質マネジメント同様、自社の状況に合わせて一歩ずつ確実に進めていくのがよいと考えています。

スポンサーリンク

情報セキュリティ対策を進める際の前提

情報セキュリティに対する考え方や現時点での対策などは、まさに各社各様です。

ここでは、20名規模のモノづくりメーカーを想定し、次のことを前提として情報セキュリティ対策を進めます。

  • 経営者(社長)が対策方針を直接指示・確認する。
    • 情報セキュリティ対策は、例えば対策費用と予算のバランスなど経営判断が必須です。
  • 従業員全員が顔見知りである。
    • ここでは、モノづくりメーカーとして20名程度の規模を想定しています。
  • 複雑な設定を必要とするサーバーやネットワーク機器を自社で所有していない。
    • 電子メールやのホームページは外部サービスを利用するなどのように、インターネットに直接接続しているサーバーを自社で所有していない。
    • 市販のアプリケーションソフトだけを利用しているなどのように、自社で独自に開発したアプリケーションソフトを使っていない。

また、情報セキュリティ対策は、つぎの3つに分けています。

  • 基本的対策:全社共通の対策です。
  • 従業員としての対策:従業員が行う対策です。
  • 組織としての対策:会社として実施する対策です。
はかせ
はかせ

会社規模が大きいのであれば、最初からISMS(ISO27000シリーズ)を検討した方がよいとも思いますが、全体イメージをつかむためにはこれから説明していく、20名規模のモノづくりメーカーの例が参考になるかもしれません。

スポンサーリンク

情報セキュリティ対策(その1):基本的対策

基本的対策(5項目)は、「情報セキュリティ5か条」について、具体的に何をするか決めていきます。

基本的対策を進めるためのポイント

基本的対策は、継続して実施することが必要です。

このため、運用ルール(当たり前のルール)となるまで繰り返し定着させると共に、マンネリ化や形骸化しないように定期的(1年に2回、長期休暇前とか)に注意喚起をすることがポイントです。

1.脆弱性対策:OSやソフトウェアは常に最新の状態にする

パソコンやサーバーのOSやソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染してしまう危険性があります。

はかせ
はかせ

OSやソフトウェアのバージョンアップするための、業務上必要なソフトウェアの動作確認が面倒ではありますが、ライセンス管理と合わせて取り組む方法もあります。

業務で使用しているパソコンやサーバーのOS やソフトウェアには、修正プログラムを適用する、もしくは最新版を利用するようにします。

はかせ
はかせ

業務で使用しているソフトウェアの中には、データの互換性維持のため古いバージョンが必要な場合もありますが、このような場合にもライセンス管理を含めて会社としてどうしていくのか決めて管理します。

常に最新のものにするOSやソフトウェアと対策例を以下に列挙します。

ハードウェアで分けると以下の種類があります。

  • パソコン(Windows PC)
  • デスクトップPC
  • モバイルPC(Windowsタブレットを含む)
  • タブレット(Android端末やiPhone)
  • スマホ(Android端末やiPhone)
  • サーバー(社内のファイル共有用など)

なお、個人所有のスマホを会社の業務に使うケースもあるようですが、セキュリティ管理側からは許可したくありませんし、個人所有のスマホの利用を業務で使うことを禁止されているから逆に使いたいケースもあるようです。

上記のOSを最新版で維持するための方法は、以下のようになります。

  • Windowsであれば、Windows Updateを定期的に実行する。
  • Android端末やiPhoneは、端末メーカーから提供される最新版を利用する。

最新版を利用するのに手間がかかるのが、パソコンやスマホなどで利用しているソフトウェア(アプリ)です。

大きく分けると業務で使うソフトウェアとして、次の様なものがあります。

  • 業務で使うオフィス系のソフトウェア
  • 業務で使う基幹システムを使うためのソフトウェア
  • 業務で使うタブレットやスマホで使うアプリ
  • 個人で使うフリーウェア

フリーウェアについては、情報システム管理側でソフトウェアの管理ツールを利用していても事実上管理することは難しいのが現実です。

ファイル共有ソフなどの使用禁止ソフトを導入及び使用しないことと合わせ、フリーソフトウェアの利用についてもそのリスクを含めて周知及び注意喚起を続けることが必要です。

2.ウィルス対策:ウイルス対策ソフトを導入し適切に利用する

ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルス(コンピュータ・ウィルス)が増えています。

ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は、自動で最新の状態になるようにします。

はかせ
はかせ

ウィルス対策ソフトによる対策は必須です。

情報が流出だけでなく、ウィルスメールをお客様に送ってしまうことさえあり得ます。

さて、ウィルス対策は、ウィルス対策ソフトを導入することだけではありません。ウィルスは、メールやメールの添付ファイルやリンク(フィッシング用のリンク)だけではないことにも注意が必要です。

会社のパソコンやスマホなどを使い、インターネットで検索して欲しい情報を得たりすることは、今や特別なことではなく、便利だというよりも当たり前のことになっています。

インターネットの便利さのすぐ近くには、例えば次のような落とし穴があります。

  • リンクや画像をクリックしたらウィルスに感染してしまった。
  • フィッシング・サイトにより個人情報(カード情報)を悪用された。

便利な反面、危険も潜んでいること(リスク)を従業員に周知し、注意喚起を継続していくことがポイントです。

3.パスワード管理:強固なパスワードを使用する

ウェブサービスから流出したI D(アカウント)・パスワードが悪用されたり、パスワードの推測や解析をされて、不正にログインされる被害が増えています。

パソコンやスマホなどの端末や基幹システムなどのサービスを使う場合には、ID(アカウント)とパスワードの組み合わせで不正利用を防ぎます。

パスワード管理における重要なポイントを以下に列挙します。

  • パスワードは、長く、複雑なものにする。
    • 英数字記号を組み合わせて10文字以上にする。
    • 名前、電話番号、誕生日、簡単な英単語を使わない。
  • 同じパスワードを「使い回さない」
    • 複数のサービスなどで同じパスワードを使わない。

また、基幹システムなどのアカウント管理についての注意事項を以下に列挙します。

管理者側としては、

  • 業務上の役割(業務内容)に必要な権限設定をする。
  • 誰にどのアカウントが割り当てられているかリスト管理する。
  • アカウントに割り当てた権限が適切か定期的に見直す。

使用者側としては、

  • 役職に割り当てられているアカウントを部下に使わせない。
  • 他人のアカウントを使わない。

ID(アカウント)とパスワードは重要なものですが、これらを管理する方法には難しいことはありません。

例えば、会社にとって重要な情報が含まれている基幹システムであれば、

  • ID(アカウント)は、実際に業務を行う担当者が使う機能だけを割当てる。
  • 自分に割り当てられたIDを別の人に使わせない。

パスワードの設定であれば、

  • IDが分かったとしても、簡単に類推できないパスワードを設定する。
  • 設定したパスワードは、誰にも教えない。
はかせ
はかせ

パスワードを忘れた時のためにメモを残すのではなく、自分にしか分からないパスワードを設定するという考え方を周知し、注意喚起を続けることが必要です。

情報セキュリティは、「Need to Knowの原則」、つまり、「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」ことを守ることからです。

クラウド時代のNeed to Know~情報セキュリティ初めの一歩
情報システムの経験から情報セキュリティの考えをまとめました。Need to Knowが存在しない世界、さてどうやって情報セキュリティルールを作ろうか、ルール作り後日談、Need to Know番外編について説明しています。

4.ネットワーク機器やサービスの設定:共有設定を見直す

データ保管などのウェブサービス(クラウドサービス)やネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を見られるトラブルが増えています。

無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認します。

はかせ
はかせ

工場出荷時の初期状態のIDとパスワードをそのまま利用していたため、ネットワークカメラに外部からアクセスできるようになっていた等、意図せずに情報(画像やデータ)を公開していることがニュースになることもあります。

何かをネットワークに接続する、サービスを始めて利用する場合には、せめてIDとパスワードは再設定することを周知・徹底することが重要です。

共有設定は、ウェブサービスとハードウェアの両方に対策します。

  • ハードウェアの例
    • ファイルサーバー
    • ネットワーク接続の複合機
    • ネットワーク接続のカメラ(監視用とだけでなくWeb会議用なども含む)

ウェブサービスを使う場合、特に初めて使う場合には、

  • ID(アカウント)については使いまわしをしない。
  • ログイン用のパスワードは、ログイン後再設定する。

情報システムの管理側では、

  • ウェブサービスの共有範囲を限定する。
  • IDやパスワードの設定だけでなく、利用方法について周知、注意喚起を継続する。

また、総務・人事などの管理部門では、次のような配慮が必要です。

  • 従業員の異動時に伴う設定変更
    • 基幹システムなどの権限を再設定する。
    • 共通アカウントの定期的なパスワードを変更する。
  • 退職時の設定変更
    • 退職者が使用していたアカウントを使えなくする。
    • 共通アカウントを使用してる場合は、パスワードを変更する。

5.情報収集:脅威や攻撃の手口を知り、対策に活かす

IDやパスワードを盗もうとする手口は減るどころか増えており、そのやり方やフィッシング・サイトなどもますます巧妙になっています。

例えば、

  • 取引先や関係者と偽ってウイルス付のメールを送る。
  • 正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗む。

IDやパスワードが盗まれる脅威や攻撃の手口を知ることが対策の第1歩となり、繰り返し注意喚起を続けることも必要です。

周知し、注意喚起を続ける情報の入手先には次のようなものがあります。

  • 情報セキュリティ専門機関(IPAなど)のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る(情報収集)。
  • 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。

また、管理職に対しても、わからないことや何か変だと感じた時には、自分たちだけで何とかしようとせずに、情報システムの担当者に一報を入れるようにするよう周知します。

情報セキュリティ事故は、いつ、どこで起こっても不思議ではなく、自分が被害者になる場合だけでなく、被害を広める側になってしまうことを理解させることが重要です。

まとめ

具体的な情報セキュリティ対策のルール作りを始めました。

まずは5つの基本的な対策について、以下の項目で説明しました。

  • 情報セキュリティ対策を進める際の前提
  • 情報セキュリティ対策(その1):基本的対策
    • 基本的対策を進めるためのポイント
    • 1.脆弱性対策:OSやソフトウェアは常に最新の状態にする
    • 2.ウィルス対策:ウイルス対策ソフトを導入し適切に利用する
    • 3.パスワード管理:強固なパスワードを使用する
    • 4.ネットワーク機器やサービスの設定:共有設定を見直す
    • 5.情報収集:脅威や攻撃の手口を知り、対策に活かす
タイトルとURLをコピーしました