Test

IPAのセキュリティガイドラインを解説。セキュリティを強化する基本の5か条とは。

admin

IPAの「中小企業の情報セキュリティ対策ガイドライン第3.1版」を基に、セキュリティ強化の方法をわかりやすく解説します。テレワークの普及やデジタルトランスフォーメーション(DX)の推進に伴い、企業のセキュリティ対策に対する不安が高まっています。基本的な対策から実践的なポイントまで、あなたのビジネスを守るための知識を身につけましょう。

IPA(独立行政法人情報処理推進機構)のガイドラインは随時アップデートされています。最新情報は以下のリンクから確認できます。
https://www.ipa.go.jp/security/guide/sme/about.html

情報セキュリティ5か条とは

情報セキュリティ5か条とは、中小企業が情報セキュリティを確保するために取り組むべき基本的な5つのポイントです。これは経済産業省のIT政策実施機関である独立行政法人「情報処理推進機構(IPA)」が策定し、公表しています。

情報セキュリティ5か条は下記の5項目からなっています。
情報処理推進機構(IPA)|情報セキュリティ5か条 https://www.ipa.go.jp/security/guide/sme/about.html

情報セキュリティに関心の低かった企業にも分かりやすくシンプルにまとめられており、まずはこの5つから取り組むことで、必要最低限のセキュリティ対策が可能です。ここからは、各条項の内容と怠ることで生じるリスク、実行のポイントを解説していきます。

企業の情報セキュリティ対策の重要性

情報セキュリティ対策を怠ると、以下のような問題が発生する可能性があります。以下のリスクを回避するために、情報セキュリティ対策は非常に重要です。

  • 金銭的損失:機密情報や個人情報が漏えいし、損害賠償請求を受ける。
    • ある中小企業が取引先から預かった顧客情報を管理していましたが、適切なセキュリティ対策を行っていなかったため、ハッキングにより顧客情報が漏えいしました。この結果、取引先から多額の損害賠償請求を受け、大きな金銭的損失を被りました。
  • 顧客の喪失:情報漏えいによって顧客の信頼を失う。
    • 自社のオンラインショップが不正アクセスを受け、顧客のクレジットカード情報が流出しました。この事件により、多くの顧客の信頼を失い、サイトの利用者が大幅に減少し、売上が急激に落ち込み、ビジネスに深刻な影響が出ています。
  • 事業の停止:システムの停止やデータの消失により、業務が中断。
    • ランサムウェアに感染し、サーバーのデータが全て暗号化されてしまいました。データの復旧作業に多大な時間と費用を費やすことになり、その間、事業が完全に停止しました。会社の信頼性と収益に深刻な影響を及ぼしました。
  • 従業員への影響:内部不正が増え、従業員のモラルが低下。
    • 情報セキュリティの対策が不十分だったため、従業員が機密情報を不正に持ち出し、競合他社に売却する事件が発生しました。この結果、社内の信頼関係が完全に崩れ、従業員のモラルが著しく低下しました。また、会社の評判も大きく損なわれ、業務運営に深刻な影響を及ぼしました。

情報セキュリティ5か条を解説

まずは、情報セキュリティ5か条を実行しましょう。

第1条 OSやソフトウェアは常に最新の状態にしよう!

OSやソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染する危険性があります。最新の修正プログラムやアップデートには、新たに発見された脆弱性に対する対策が含まれており、システムを安全に保つために重要です。ただし、PHPなどソフトウェアのバージョンに依存している場合など、アップデートが難しい場合もあります。このような場合には、セキュリティ対策を強化し、可能な限り最新の状態を維持するよう努めましょう。

主な対応例
  • Windows OSではWindows Update、macOSではソフトウェア・アップデートなどで最新のOSにアップデートする。
  • Adobe Readerやブラウザなど、業務で使用しているソフトウェアを最新版に更新する。
  • テレワークで使用するパソコンやルーターなどのファームウェアを最新版にする。
  • 利用中のソフトウェアに脆弱性がないか、MyJVNバージョンチェッカーで確認する。

MyJVNバージョンチェッカーとは?

MyJVNバージョンチェッカーをご利用いただくことで、PCにインストールされたソフトウェア製品のバージョンが最新であるかを確認することができます。

チェック対象のソフトウェアは以下になります。
  • Adobe Flash Player
  • Adobe Reader
  • Adobe Shockwave Player
  • JRE
  • Lhaplus
  • Mozilla Firefox
  • Mozilla Thunderbird
  • QuickTime
  • iTunes
  • Lunascape
  • Becky! Internet Mail
  • OpenOffice.org
  • VMware Player
  • Google Chrome
  • LibreOffice

すべてのソフトウェアを評価できるわけではないのですが、一部でも確認することで、セキュリティの意識自体を改善することができます。

第2条 ウイルス対策ソフトを導入しよう!

ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトはこれらの脅威からシステムを保護し、ウイルス定義ファイル(パターンファイル)を最新に保つことで、最新のウイルスにも対応できます。例えば、無料のウイルス対策ソフトでは最新のウイルス定義ファイルが更新されない場合も考えられます。対策が行われていないとウイルスの脅威に対する防御が不十分になり、被害を受けるリスクが高まります。

主な対応例
  • ウイルス定義ファイルが自動更新されるように設定する。
  • ウイルス対策に加え、ファイアウォール、侵入検知システム、スパム対策、データ暗号化など多層防御を提供する統合型のセキュリティ対策ソフトの導入を検討する。
  • OSに標準搭載されているセキュリティ機能を有効活用する。
  • テレワークで利用するパソコン等の端末にウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にする。

第3条 パスワードを強化しよう!

パスワードが推測や解析される、あるいはウェブサービスから流出したID・パスワードが悪用されることにより、不正ログインの被害が増加しています。弱いパスワードは簡単に推測される可能性が高いため、複雑かつ使い回さないパスワードを設定することでアカウントの安全性を大幅に向上させることができます。不正アクセスを防ぐためには、強固なパスワードの設定が不可欠です。また、2段階認証(2FA)やパスキーの設定を追加することで、セキュリティをさらに強化することが可能です。これにより、たとえパスワードが漏洩しても、不正ログインを防ぐことができます。

主な対応例
  • パスワードは12文字以上で「できるだけ長く」、大文字、小文字、数字、記号を含めて設定します。名前、電話番号、誕生日、簡単な英単語などは使用せず、推測されにくいものにします。また、シーズでは24文字以上を基準にしています。
  • 同じID・パスワードを複数のサービス間で使い回さないようにします。
  • テレワークでVPNやクラウドサービスを利用する際は、強固なパスワードを設定し、可能な場合は多段階認証や多要素認証を利用します。

第4条 共有設定を見直そう!

データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違えると、無関係な人に情報を覗き見られるトラブルが増えています。これにより、機密情報や個人情報が漏洩するリスクが高まります。無関係な人がアクセスできないように設定を確認し、適切なアクセス制御を行うことで、情報の安全性を確保することができます。

主な対応例
  • ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク(NAS)などの共有範囲を限定する。
  • 従業員の異動や退職時には速やかに設定を変更(削除)する。
  • テレワークで使用するパソコン等は他者と共有しない。共有せざるを得ない場合は、別途ユーザーアカウントを作成する。
  • 外出先でフリーWi-Fiを使うときにはパソコンのファイル共有をオフにする。

第5条 脅威や攻撃の手口を知ろう!

取引先や関係者を装ってウイルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトでID・パスワードを盗もうとする手口が増えています。これらの攻撃は非常に巧妙で、一度被害に遭うと大きな損害を被る可能性があります。脅威や攻撃の手口を知ることで、怪しいメールやサイトを見分ける力を身につけ、被害を未然に防ぐことができます。

主な対応例
  • IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る。
  • 脆弱性情報の管理ツールなどを導入する。
  • 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。
  • テレワークでは、管理者が従業員に適宜注意喚起を行い、従業員はセキュリティの懸念を速やかに報告する。

組織的に情報セキュリティに取り組み

情報セキュリティ対策の基本から始め、次のステップとして「Pマーク」の取得や「ISO27001認証」の取得を目指すこともおすすめです。

Pマーク(プライバシーマーク)は、日本工業規格(JIS Q 15001)に基づき、個人情報の適切な取り扱いを示す認証制度です。この認証を取得することで、企業は個人情報保護の取り組みを明確にし、顧客や取引先からの信頼を得ることができます。

一方、ISO27001は、情報セキュリティマネジメントシステム(ISMS)の国際標準規格であり、企業が組織的かつ継続的に情報セキュリティを管理・運用するための枠組みを提供します。ISO27001認証を取得することで、セキュリティ対策の信頼性を高めるだけでなく、取引先や顧客からの信頼も向上します。

これらのステップを踏むことで、組織全体で情報セキュリティの意識を高め、効果的な対策を講じることができます。特に、PマークやISO27001の取得は、外部からの信頼性を示す強力な証明となり、ビジネスの安全性と信頼性を大幅に向上させることができます。

まとめ

情報セキュリティ対策は、現代のビジネスにおいて不可欠な要素です。IPAの「情報セキュリティ5か条」は、初めてセキュリティ対策に取り組む企業にとって非常に有用なガイドラインです。これらの基本的な対策を確実に実施することで、セキュリティの基盤を築くことができます。

さらに、次のステップとしてPマークやISO27001認証の取得を目指すことで、より高度な情報セキュリティマネジメントシステムを構築し、顧客や取引先からの信頼を一層強固なものにすることができます。

情報セキュリティ対策は一度実施すれば終わりではなく、常に見直しと改善が求められます。定期的なリスクアセスメントや内部監査を通じて、最新の脅威に対応できる体制を維持することが重要です。これにより、企業の情報資産を守り、ビジネスの安全性と信頼性を確保することができます。

記事URLをコピーしました