前回は、「中小企業の情報セキュリティ対策ガイドライン2025」の「目的から管理体制」について説明しました。
情報システムを使う情報セキュリティ対策のガイドラインをまとめましたので、以下の順に説明します。
「中小企業の情報セキュリティ対策ガイドライン2025」は、このブログの品質マニュアルと関連規定で想定している、20名規模のモノづくりの会社をイメージしています。
中小企業の情報セキュリティ対策ガイドライン2025
全社共通のルール ← この記事
仕事中のルール
テレワークのルール
ここでは、「全社共通のルール」について説明します。
4 全社共通のルール
基本的な考え方は、個人や私物と社員や会社のモノ(貸与品等)を明確に分けて、使い方を決めることです。
4-1 私有情報機器の業務利用禁止
私有の情報機器を業務で利用することを禁止する。
貸与する情報機器を利用する場合の順守事項(ルール)を下表に示す。
| 情報機器 | 順守事項(ルール) |
|---|---|
| パソコン |
|
| 携帯端末(タブレット、スマホ) |
|
| 外付HDDなどの記憶機能を備えた機器・媒体 |
|
ルールなので固い言葉を使っていますが、社内の状況にあわせてわかりやすい言葉を使ってもよいと思います。
4-2 クラウドサービスの利用
クラウドサービスを新たに利用する必要がある場合は以下を入手し、管理部長の許可を得た後で利用する。
- サービス提供者が公表する情報セキュリティ方針、プライバシーポリシーなど
- サービス提供者の情報セキュリティ上の責任範囲を定めたサービス利用規約など
- サービスにあらかじめまたはオプションで付随する情報セキュリティに関する機能やサービスについて明記したもの
- サービス提供者が情報セキュリティに関わる適合性評価制度の認証を取得している場合はその証拠となるもの
- 専門家による監査を実施している場合はその証拠となるもの
4-3 従業員の守秘義務
管理本部は、従業員に対し、当社の就業規則で定められた守秘義務について周知し、規則を順守し、当ガイドラインに定められたルールを守り、情報セキュリティ事故の防止に努める。
守秘義務については、入社や退職時にも関連する人事のルールとの関連性もあります。
4-4 情報セキュリティ事故発生時の対応手順
もしも情報セキュリティ事故が起きてしまったら、以下の手順に従い、二次被害や事故の影響を最小限に止める。
情報セキュリティ事故のうち、想定される代表的なものを例に、具体的にどの様な対応をするかを明確にします。
(1) 情報セキュリティ事故の定義
情報セキュリティ事故とは、情報の「漏えい」「改ざん」の発生または「利用できない」状態になったときに、当社の業務や顧客、取引先、株主、本人(個人情報の場合)に望ましくない影響が及ぶことである。
(2) 情報セキュリティ事故発生時の対応フロー
発見者は、管理部長にすみやかに連絡する。
管理部長の連絡先:携帯電話番号
管理部長は、以下の対応をとる。
- 情報漏えい(情報の流出):
漏えいした情報の確認
影響範囲の全ての組織及び本人(個人情報の場合)に事実を報告
影響範囲の全ての組織及び本人(個人情報の場合)に対策案を通知
- 改ざん、利用できない状態:
原因の調査
影響範囲の全ての組織及び本人(個人情報の場合)に事実を報告
復旧策を実施後、影響範囲の全ての組織及び本人に報告
5 全社基本ルール
情報システムグループがパソコンなどに設定した内容です。個人の判断で変更しないように周知する意味合いもあります。
5-1 OSとソフトウェアのアップデート
パソコンのOSやソフトウェアに関するルールです。
(1) OSのアップデート
パソコンのOSはWindows Updateの自動更新を有効にして最新の更新プログラムをインストールした状態で使用する。
(2) ソフトウェアのアップデート
貸与パソコンのソフトウェアのアップデートは、Windows Update、Microsoft製品(Office)の更新プログラムを利用する。
重大なセキュリティアップグレードなどは、手動で更新するよう管理本部からメールで更新方法を案内する。
業務に利用するスマホのOSやアプリ(安否確認や経費精算システムなどのアプリなど)は、必要に応じ手動で更新するよう管理本部からメールで更新方法を案内する。
5-2 ウイルス対策ソフトの導入
業務で利用する機器(貸与パソコン)には、ウイルス対策ソフトを導入する。
ウィルス対策ソフトの定義ファイルは、自動更新とする。
5-3 アカウントとパスワードの管理
業務で利用する貸与パソコンやソフトウェアなどを利用する場合には、アカウント(ID)とパスワードを適切に管理すると共に、以下について順守する。
- 許可された目的外で使用しない。
- アカウントの情報を他人に教えない。
- ID及びパスワードは適切に管理する。具体的には次の通り。
- ID及びパスワードを他人に使用させない。
- 他人のID及びパスワードを使用しない。
ログインパスワードは、次のようにする。
- 他人が推測困難なログインパスワードを利用する。
- ログインパスワードは、手動で年に1回のペースで変更する。
ログインパスワードを変更する時は、[CTRL]+[ALT]+[DEL]キーを同時に押してパスワードを変更する。
ログインパスワードの設定例を下表に示す。
| 必須 |
|
|---|---|
| 禁止 |
|
パスワードの管理は、繰り返し注意喚起を続ける必要があります。
5-4 アクセス制限の設定・変更
複数名が共有する機器には、下表のようにアクセス制御を行う。
アクセス制限の設定・変更は、情報システムグループが行う。
| 機器名 | アクセス制御の方法 | アクセス許可対象者 |
|---|---|---|
| ファイルサーバー | アクセス権 | 使用部署毎 |
| 図面管理システム | アクセス権 | 技術部長が許可した従業員 |
| 複合機 | 複合機のアクセス権 | 従業員 |
| 社内無線LAN | Wi-Fiのアクセス権 | 従業員 |
5-5 重要なセキュリティ情報及びデータ等の管理
情報システムグループは、当社で利用するIT製品やサービスに関わる重要なセキュリティ情報、緊急情報などが公表された時にはすみやかに管理部長に報告する。
管理部長は、すみやかに対応を検討し、関係者に対応策を通知し実施させる。
情報システムグループは、重要なセキュリティ情報等の管理のため、以下について実施する。
(1) OSのアップデート
WINDOWSの自動更新を有効としたパソコンを貸与する。
ウイルス対策ソフトにより定期的にOSのアップデートタスクを実施する。
(2) ウイルス対策ソフトのアップデート
ウイルス対策ソフトの機能により、定期的にウイルス対策ソフト及び定義ファイルのアップデートタスクを実施する。
(3) 社内管理するサーバー及びシステムのアップデート
定期的に社内ファイルサーバー及びウイルス対策ソフト用サーバーのアップデートを実施する。
(4) 重要なデータの管理及びバックアップ
重要なデータは、部署共有のファイルサーバーに保存する。
下表の重要なデータを保存したサーバーのバックアップは、情報システムグループが行う。
| 機器名 | 対象データ | 方法 | 頻度 |
|---|---|---|---|
| 基幹システム |
|
クラウド保存 |
|
| 図面管理システム |
|
ファイルサーバー保存 | 毎日 |
| ファイルサーバー |
|
|
毎日 |
| ウイルス対策ソフト用サーバー |
|
クラウド保存 | 毎日 |
まとめ
ここでは、情報システムを使う「中小企業の情報セキュリティ対策ガイドライン」のうち、「全社共通のルール」について説明しました。
次は、「仕事中のルール」について説明します。
