読者のみなさまは、IPA(情報処理推進機構)が公表している「SECURITY ACTION」をご存じでしょうか?
「SECURITY ACTION」とは
これは、会社が「SECURITY ACTION」で求められていることを自己点検し、自社で宣言する制度です。情報セキュリティの基本的な要件が含まれていますので、情報セキュリティの認証(ISO27001など)を取得していない中小の企業において、情報セキュリティに積極的に取り組んでいるということをアピースするのに良い制度だと思っています。これにより獲得したマークを、ホームページや名刺、会社案内等に掲載できるようになります。ただ、これは自己宣言する制度であり、IPAが認定するものではありませんので注意してください。
「SECURITY ACTION」の宣言
「SECURITY ACTION」には、「★一つ」と「★★二つ」の宣言があります。
「★一つ」の宣言には中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ5か条」に取り組む必要があります。
「★★二つ」の宣言には中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティポリシー(基本方針)を定め、外部に公開する必要があります。
なお、日本で「★一つ」を宣言している企業数は30万社を超えており、「★★二つ」を宣言している企業数は3万社強あるようです。
今回は、この「SECURITY ACTION」の「★★二つ」を宣言するための「5分でできる!情報セキュリティ自社診断」に書かれている25項目について詳しく解説します。
まず、第一回目の今回は、Part1の「基本的対策」について説明します。
※このPart1の5項目は「★一つ」の「情報セキュリティ5か条」の内容になります
Part1 基本的対策(情報セキュリティ5か条の内容)
1.パソコンやスマホなど情報機器のOSは常に最新の状態 にしていますか
| ① | WindowsUpdate、(WindowsOSの場合)、ソフトウェア・アップデート(macOSの場合)などベンダの提供するサービスを実行する | Windowsや利用しているソフトウェアのアップデートは必須です。サイバー攻撃対策における最重要対策の一つと考えてください |
| ② | Adobe Reader、ブラウザなど利用中のソフトウェアを最新版にする | 同上 |
| ③ | テレワークで利用するパソコン等のソフトウェアやルーター等のファームウェアを最新版にする | テレワークで利用しているPCのWindowsがアップデートされているか確認してください。特に個人用のPCを業務で利用しているような場合は注意が必要です |
| ④ | 利用中のソフトウェアに脆弱性が存在しないか、MyJVN バージョンチェッカで確認する | IPAは勧めていますが、必要に応じて実施してください 別の方法でソフトウェア等のバージョンを管理していれば、それで構いません |
2.パソコンやスマホなどにはウィルス対策ソフトを導入し、ウィルス定義ファイルは最新の状態にしていますか
| ① | ウィルス定義ファイルが自動更新されるように設定する | ウィルス定義ファイル自動更新は必須です。サイバー攻撃対策の最重要対策の一つと考えてください |
| ② | 統合型のセキュリティ対策ソフトの導入を検討する | 統合型のセキュリティ対策ソフトとはファイアウォール、不正侵入検知、フィルタリングなど組合せたソフトで必要に応じて導入してください |
| ③ | OSに標準搭載されているセキュリティ機能を有効活用する | Windows11であれば、アンチウィルスソフトのDefenderやHDD暗号化のBitLocker、Webファイアウォール等の機能が備わっているので有効にしてください |
| ④ | テレワークで利用するパソコン等の端末にウィルス対策ソフトを導入し、ウィルス定義ファイルを最新の状態にする | テレワークで利用しているPCのウィルス定義ファイルがアップデートされているか確認してください。特に個人用のPCを業務で利用しているような場合は注意が必要です |
3.パスワード破られにくい「長く」「複雑な」パスワードを設定していますか
| ① | パスワードは10文字以上で「できるだけ長く」、大文字、小文字、数字、記号含めて「複雑に」、名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないようにする | 以前はパスワードを定期的に変更するよう指示されていたと思います。しかし、近年、パスワードを変更しても覚えていることが難しく、以前のパスワードによく似たものや使い回しが横行するようになり、意味が無いと判断されています。そのため複雑な「長い」パスワードを設定して、ずっと使い続けるというように変わってきています |
| ② | 同じID・パスワードを複数サービス間で使い回さない | 特にプライベートで使っているパスワードを業務で使うことはあり得ません。上で書いたように、業務で使うパスワードは「長く、複雑なもの」を設定してください |
| ③ | テレワークでVPNやクラウドサービスを利用する際は、強固なパスワードを設定し、可能な場合は多段階認証や多要素認証を利用する | 最近、特にVPNから侵入されるケースが多くなっています。VPNの脆弱性もありますが、VPNにログインするときのパスワードも強固にしておく必要があります。多段階認証とは複数回の認証を行うことで、多要素認証は、パスワードの入力以外にスマホにワンタイムパスワードが送られてきて、それを入力するような仕組みです |
4.重要情報に対する適切なアクセス制限を行っていますか
| ① | ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク(NAS)などの共有範囲を限定する | 共有範囲を限定するには、アクセス権の範囲を変更する必要があります。変更方法がわからない場合は、機器を設置した業者に相談してください |
| ② | 従業員の異動や退職時には速やかに設定を変更(削除)する | 従業員の異動や退職後にパスワードを変更しないと、本来なら情報にアクセスする権利のない人も情報に接することができ、情報漏えいにつながるリスクがあります |
| ③ | テレワークで使用するパソコン等は他者と共有しない。共有せざるを得ない場合は、別途ユーザーアカウントを作成する | 本来ならPC等は個人ごとに貸与することが基本です。ただ、会社の事情により複数人で1台のPCを共有せざるを得ない場合は、各自に割り当てたアカウントでログインするようにしてください |
| ④ | 外出先でフリーWi-Fiを使うときにはパソコンのファイル共有をオフにする | 社外でフリーWi-Fiに接続して、PCの設定でファイル共有をONにしておくと、他のフリーWi-Fiに接続している人にPC内のファイルを覗かれるリスクがあります |
5.新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか
| ① | IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る | これは脅威インテリジェンスと言いますが、最新の脅威や攻撃の手口を知り、分析をし自社に取って対策を取る必要があるか判断し、必要があれば対策を取る事が重要です |
| ② | 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する | 情報収集の対象は、セキュリティ専門機関や、機器を導入してもらった業者(ベンダー)、他に利用しているサービス提供会社からのものがあるので、上で書いたように有効に活用する必要があります |
| ③ | テレワークでは管理者が従業員に適宜注意喚起し、従業員はセキュリティの懸念は速やかに報告する | テレワークでは、会社で仕事をする場合以上に注意すべきことがたくさんあるので、管理者はそれらを指示する必要があります。また、テレワーク者は、情報セキュリティ事故の懸念がある時はすぐに管理者へ報告するような仕組みを構築し周知しておくことが必要です |