IPA(情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン(第3版)」2019年
https://www.ipa.go.jp/files/000055520.pdf
目的(「はじめに」より)
本ガイドラインは、中小企業の皆様に情報を安全に管理することの重要性についてご認識いただき、中小企業にとって重要な情報1を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としたものです。
第1部 経営者編
経営者の責任
- 情報セキュリティ対策を怠ることで企業が被る不利益
- 金銭の損失、顧客の喪失、業務の停滞、従業員への影響など
- 経営者が負う責任/dt>
- 経営者などに問われる法的責任
関係者や社会に対する責任
経営者が行うべきこと
- 認識すべき「3原則」
- 原則1 情報セキュリティ対策は経営者のリーダーシップで進める
原則2 委託先の情報セキュリティ対策まで考慮する
原則3 関係者とは常に情報セキュリティに関するコミュニケーションをとる
- 実行すべき「重要7項目の取組」
- 取組1 情報セキュリティに関する組織全体の対応方針を定める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
第2部 実践編
実践編の進め方
- できるところから始める 情報セキュリティ5か条
- ソフトウェアは常に最新の状態にしよう!
ウイルス対策ソフトを導入しよう!
パスワードを強化しよう!
共有設定を見直そう!
脅威や攻撃の手口を知ろう!
- 組織的な取り組みを開始する
- 情報セキュリティ基本方針の作成と周知
実施状況の把握
対策の決定と周知
- 本格的に取り組む
- 管理体制の構築
IT利活用方針と情報セキュリティの予算化
情報セキュリティ規程の作成
委託時の対策
点検と改善
- より強固にするための方策
- 情報収集と共有
ウェブサイトの情報セキュリティ
クラウドサービスの情報セキュリティ
情報セキュリティサービスの活用
技術的対策例と活用
詳細リスク分析の実施方法
より強固にするための方策
- 情報セキュリティサービスの活用
- 情報セキュリティコンサルテーション
情報セキュリティ教育サービス
情報セキュリティ監査サービス
脆弱性診断サービス
デジタルフォレンジックサービス
セキュリティ監視・運用サービス
技術的対策例と活用
- ネットワーク脅威対策
ファイアウォール、IDS(侵入検知システム)、IPS(侵入防御システム)、WAF、VPN
- コンテンツセキュリティ対策
ウイルス対策、メールフィルタリング、URLフィルタリング
- アクセス管理
アクセス制御、多要素認証、特権ID管理
- システムセキュリティ管理
IT資産管理、脆弱性検査、ログ管理
- 暗号化
データ暗号化、TLSまたはSSL
- データの破棄
詳細リスク分析の実施方法
- 手順1 情報資産の洗い出し
どのような情報資産があるか洗い出して重要度を判断する。機密性、完全性、可用性
- 手順2 リスク値の算定
優先的・重点的に対策が必要な情報資産を把握する
リスク値 = 重要度 × 被害発生可能性
- 手順3 情報セキュリティ対策を決定
リスクの大きな情報資産に対して必要とされる対策を決める。リスクの低減、保有、回避、移転