別記事にまとめている「医療システムのランサムウェア被害に学ぶセキュリティ対策:概要」の事例を読んでみると、
- 病院の医療システムだから起きたわけではないこと
- 攻撃側の高度な専門技術によるものではなく、システムの脆弱性(弱み)をつかれていること
- システムの脆弱性は、管理者権限やIDとパスワードを管理などで被害を防げることが少なくないこと
などがわかります。
さらに、医療システムのランサムウェア被害は、これまでに他の病院でも起きていて報告書にもまとめられているにも関わらず、同じ様にシステムの脆弱性(弱み)をつかれています。
厳しい言い方になりますが、
- 「セキュリティ対策は難しそうで分からない。」、「毎日忙しいし対策することが面倒そう。」、「うちは大丈夫だろう。」等々と思い先送りしてきた結果として、攻撃対象に選ばれ起きるべくして起きてしまった。
- これまで被害を受けていないのは運がよかっただけ。
ともいえます。
ランサムウェア攻撃から自社のシステムやビジネスを守るためには、情報セキュリティ対策は、他人事ではなく自分事と考え、現状を知ることからはじまります。
情報システムを使う情報セキュリティ対策のガイドラインをまとめましたので、以下の順に説明します。
「中小企業の情報セキュリティ対策ガイドライン2025」は、このブログの品質マニュアルと関連規定で想定している、20名規模のモノづくりの会社をイメージしています。
中小企業の情報セキュリティ対策ガイドライン2025
目的から管理体制 ← この記事
全社共通のルール
仕事中のルール
テレワークのルール
ここでは、中小企業を想定した「情報セキュリティ対策ガイドライン2025」の中から、情報セキュリティ対策の「目的から管理体制」について説明します。
「情報セキュリティ対策ガイドライン」は、この記事を含め4つの記事で説明していきます。
「情報セキュリティ規定」や「情報システム管理規定」をイメージしています。
1 目的
本ガイドラインは、当社の保有する又は管理するITインフラ及びシステム、並びに、ITインフラ及びシステムの利用により作成又は発信された情報(以下総称して「情報資産」という。)を適切に管理、保護、運営することを目的とする。
情報資産については、「2-2 情報資産」に示す。
- ITインフラ:社内ネットワーク、クラウドなどのサービス、ファイルサーバー、PC、スマホなど
- システム:基幹システム、業務で使用するシステム
2 適用範囲及び情報資産
2-1 適用範囲
当社の取締役、監査役、従業員、その他会社の業務に従事するすべての者(以下「役職員等」という。)は、情報セキュリティ及び情報資産保護に関する法令、その他社会的規範並びに秘密情報等管理ガイドライン、文書管理ガイドライン、就業規則等社内関連ガイドラインを遵守しなければならない。
なお、当規定の違反等による処分については、別途管理部長が対応する。
情報セキュリティ対策は、個人情報をも含むため、「順守」ではなく「遵守」の方が適切だと考え、使っています。
2-2 情報資産
本ガイドラインの適用範囲は、当社が所有又は管理する情報資産とする。
当社の情報資産を取り扱うあるいは利用する全ての役職員等に適用する。
当社の情報資産を下表に示す。
| 分類 | 情報資産 |
|---|---|
| ITインフラ |
当社の業務において使用されるサーバー、パソコン、周辺機器、ネットワーク回線により構成される情報通信網
|
| ソフトウェア |
当社の業務において使用されるソフトウェアやサービス
|
| 電子情報 |
当社の業務において使用される電子データ
|
| 施設 |
|
情報資産は、厳密に(細かく)洗い出しをしようとすると、それだけでギブアップしがちです。まずは、主要な業務と会社として重要な情報の範囲をしぼって進めることをおすすめします。
3 情報システムの管理体制
管理体制は、責任者と担当者(実務者)を具体的に意識することがポイントです。
3-1 情報システムの管理者
管理部長は、情報資産の適切な管理、保護、運営を行う。
情報システムグループは、情報資産の管理等について管理部長の指示を受ける。
3-2 ITインフラの管理
情報システムグループのITインフラに関する主な業務を以下に示す。
- 業務上必要とする役職員等にパソコン等を提供する。退職等により不要となった時には回収する。
- ITインフラの適正な運用を行う。
- ITインフラは、IPアドレスや使用者等によりリスト管理する。
- 関連施設等における火災その他の災害の発生などに備え、必要な保安対策をとる。
- 当ガイドラインに定める適用範囲全般において、不適正な利用を発見した時には、すみやかに管理部長に報告し是正する。
- 正常な稼働を確保するために、保守点検等の必要な対策をとる。
- 障害となり得る兆候を監視する。
- 障害が生じた場合、すみやかに対応する。
- ITインフラを変更する場合、管理部長の承認を得る。
- 部署長は、自部署内のITインフラを変更する場合、管理部長の承認を得る。
就業規則に関連する部分もありますので、人事・総務との調整も必要になります。このため、管理本部長自ら主体的にガイドライン作成に関わることが必要になります。
3-3 ソフトウェアの管理
情報システムグループのソフトウェア(サービスを含む)に関する主な業務を以下に示す。
- 業務上必要とする役職員等にソフトウェアを提供する。退職等により不要となった時にはアカウント等を無効にする。
- ソフトウェアの適正な運用を行う。
- ソフトウェアは、アカウントや使用者等によりリスト管理する。
- 火災その他の災害の発生などに備え、必要な保安対策をとる。
- 当ガイドラインに定める適用範囲全般において、不適正な利用を発見した時には、すみやかに管理部長に報告し是正する。
- 正常な稼働を確保するため、保守サービス等の必要な対策をとる。
- 障害となり得る兆候を監視する。
- 障害が生じた場合、すみやかに処置する。
- ソフトウェアの設定(CAD以外)を変更する場合、管理部長の承認を得る。
- 部署長は、自部署内のソフトウェアの設定(CAD以外)を変更する場合は、管理部長の承認を得る。
- 部署長は、自部署内において当ガイドラインの定める適用範囲全般にわたり適正な運用を行う。
- 部署長は、新たなソフトウェア(CADや解析ソフトなど)を導入する場合、管理部長の承認を得る。著作権を含むソフトウェアの管理について責任を負う。
3-4 電子情報の管理
情報システムグループは、以下の電子情報について定期バックアップを行う。
- ファイルサーバー
- 図面管理システム
- 基幹システム
参照:5-5 重要なセキュリティ情報及びデータ等の管理(後述予定)
3-5 施設の管理
施設は管理本部が管理する。
ただし、情報システムグループ執務室、ITインフラ等のエリアは、情報システムグループが管理する。
3-6 アクセス権の管理
情報システムグループは、情報資産(ITインフラ、ソフトウェア、電子情報、施設)の管理に必要な、アクセス権限の付与及び付与状況を管理する。
情報システムグループは、新規入社者及び社内異動者が当該部署における業務遂行上必要な情報資産のアクセス権を、所属部署長の依頼により付与する。
参照:5-4 アクセス制限の設定・変更(後述予定)
管理者と利用者のIDを分ける。パスワードは、利用者ごとに設定するなど、基本的なことを徹底していくことが必要です。
3-7 ソフトウェアの著作権管理
情報システムグループは、業務で使用されるソフトウェアの著作権侵害を防止するため、使用状況を監視する。
ソフトウェアの不正使用を発見した時には、すみやかに管理部長に報告する。管理部長は是正する。
3-8 ソフトウェア資産の棚卸
情報システムグループは、毎年12月にソフトウェア資産の棚卸を行う。
異常等を発見した時には、すみやかに管理部長に報告する。管理部長は是正する。
まとめ
ここでは、情報システムを使う「中小企業の情報セキュリティ対策ガイドライン」のうち、「目的から管理体制」について説明しました。
次は、「全社共通のルール」について説明します。
