企業や組織におけるITは、業務効率・品質を高め、生産性を向上させ、コミュニケーションツールとしても必須の役割を果たしています。ですが、インターネットに常時接続された環境は利便性が高い反面、常に外部からの侵入や攻撃にさらされている状況でもあるのです。
当然、情報セキュリティ対策の必要性は高いです。そこでまずは情報セキュリティチェックシートが有効です。
今回は、現状のセキュリティ対策を把握し、より具体的な対策を示してくれる情報セキュリティチェックシートを解説します。
また、LRMでは現役セキュリティコンサル作成のセキュリティチェックシートを公開しています。 無料でダウンロードできるので、ぜひ利用してみてください。
自社で情報セキュリティ対策チェックリストを準備すべき理由
IT化が進み、インターネットに常時接続された環境が当然となりつつありますが、常にサイバー攻撃をされるリスクを抱えています。
また、ノートパソコンやスマートフォン、タブレット端末や記憶媒体は、テレワークを含めたオフィスの外で働くことを可能にしますが、しかしながらこれも、紛失、盗難、のぞき見など情報漏えいのリスクと背中合わせです。
これらのセキュリティリスクに備えることが組織の運営では必須ですが、日増しに対応しなければならないポイントは増えていきます。
情報セキュリティ担当者はポイントを抑えるだけでも手間がかかり、見落としも発生しやすくなりがちです。
このような状況に対して、情報セキュリティ対策のチェックリストを用意するのが一つの対策となります。
インターネットに接続しているほぼ全ての機器は、常にサイバー攻撃のリスクにさらされています。
独立行政法人情報処理推進機構(IPA)が発行している「情報セキュリティ10大脅威 2022」において、組織の脅威とされている内容TOP10は下記の通りとなりました。
| 順位 | 組織のセキュリティ被害 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 3位 |
| 5位 | 内部不正による情報漏えい | 6位 |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 | 10位 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 圏外 |
| 8位 | ビジネスメール詐欺による金銭被害 | 5位 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 | 7位 |
| 10位 | 不注意による情報漏えい等の被害 | 9位 |
1位2位は相変わらず「ランサムウェアによる被害」と「標的型攻撃による機密情報の窃取」でしたが、ゼロデイ攻撃と呼ばれる、ソフトウェアの脆弱性を修正プログラムが提供される前に利用する攻撃が7位にランクインしていました。
サイバー攻撃の技術も日に日に進化しており、脆弱性が見つかったときは、今までよりもスピーディーな対策が求められそうです。
このようなサイバー攻撃のリスクを低減するためには、それぞれの攻撃に有効な情報セキュリティ対策を講じていく他ありません。
その情報セキュリティ対策を網羅的に実施できるよう、情報セキュリティ対策チェックリストの使用は必須です。
情報セキュリティに関連のある団体からいくつかの情報セキュリティ対策チェックリストが提供されています。これらの情報セキュリティ対策チェックリストは大いに参考にすべきものです。
ただし企業の持つ資産や従業員のITリテラシーなどの状況は企業や組織によって異なるため、提供されたリストをもとに自社に合った情報セキュリティ対策チェックリストを準備して活用する必要があります。
情報セキュリティ対策チェックリストの作成に便利なデータ
現在ではIPAをはじめとする情報セキュリティと関係のある団体から、情報セキュリティチェックリストが提供されており、これらのリストをベースに情報セキュリティ対策チェックリストを作成していけます。
ここでは、各団体から提供されている情報セキュリティチェックリストの内容をみていきましょう。
新5分でできる自社診断シート
「新5分でできる自社診断シート」はIPAによって提供される情報セキュリティ対策チェックリストです。
情報セキュリティ対策のレベルを数値化して問題点を見つけるためのツールであり、すぐに適用できるところがメリットです。
情報セキュリティ対策ベンチマーク
「情報セキュリティ対策ベンチマーク」はIPAによって提供される情報セキュリティ対策チェックリストです。
5分でできる自社診断シートが入門編にあたるのに対し、情報セキュリティ対策ベンチマークは一歩進んだ基本編にあたるチェックリストです。
情報セキュリティ対策セルフチェック
「情報セキュリティ対策セルフチェックリスト」は特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)によって提供されているチェックリストです。
「自社の情報の取り扱い状況を確認しながら、情報セキュリティ上の弱点を知ること」を目的としています。
情報セキュリティ自己診断チェックリスト
「情報セキュリティ自己診断チェックリスト」はNISC(内閣官房情報セキュリティセンター )によって提供される情報セキュリティの自己診断のためのチェックリストです。
セキュリティチェックシートには、数多くのチェック項目が挙げられています。
- パソコンがある部屋では入退室が管理されているか
- サーバーラックは施錠されているか
といった物理的な要件。
- 不審なデータがないか
- セキュリティパッチ最新版をダウンロードしてあるか
といったシステム面まで確認する必要があります。
こうしたチェック項目の1つ1つについて、関連する情報をクラウド事業者のドキュメント・各種ホワイトペーパー・FAQなどから調査し、埋めていく必要があります。
企業に限らず個人レベルでも情報セキュリティに関する自己診断に利用できます。
https://www.nisc.go.jp/security-site/files/checklist_20120417_02.pdf
中小企業における組織的な情報セキュリティ対策ガイドライン
「中小企業における組織的な情報セキュリティ対策ガイドライン」はIPAが中小企業に向けて提供している情報セキュリティ対策のためのガイドラインです。
全ての企業が実施すべき対策と、企業ごとに考慮が必要な対策を分けて記載しているため、自社向けのチェックリスト作成に活用できます。
また、付録としてガイドラインに沿った情報セキュリティ対策チェックリストも付属しています。
情報セキュリティ対策チェックリストに盛り込むべきポイント
情報セキュリティ対策チェックリスト作成において、記載すべき内容について具体的に紹介します。
- 情報セキュリティのための方針群
- 方針の策定がなされているか
- 情報セキュリティのための組織
- 情報セキュリティのための組織が構成され、機器の取り扱いルールが定められているか
- 人的資源のセキュリティ
- 従業員に対する秘密保持契約と情報セキュリティ教育がおこなわれているか
- 資産の管理
- 情報資産を定め、管理がおこなわれているか
- アクセス制御
- 従業員や顧客に向けた情報について適切なアクセス制御が行われているか
- パスワードのルールの策定と徹底ができているか
- 暗号
- Wi-Fiなどの利用における暗号化方式は定められているか
- 物理的及び環境的セキュリティ
- 業務スペースの人員の出入りの管理および機器の安全性を考慮した配置がなされているか
- 運用のセキュリティ
- システムや機器の利用に対してルールが策定され、マニュアル化されているか
- 通信のセキュリティ
- 外部との通信方法について定め、管理が行われているか
- システムの取得、開発及び保守
- 外部への委託も含め、情報セキュリティに関する項目が含まれているか
- 供給者関係
- 委託先と秘密保持契約を結び、セキュリティ状況を管理できているか
- 情報セキュリティインシデント管理
- セキュリティインシデント発生時の対応が定められ、エスカレーションルールは定められているか
- 事業継続マネジメントにおける情報セキュリティの側面
- 災害や停電などの不測の事態での事業継続の備えに情報セキュリティが考慮されているか
- 遵守
- 定められたルールを遵守するための取り組みが行われているか
- 従業員や顧客に向けた情報について適切なアクセス制御が行われているか
これらのチェックに向けてLRMではセキュリティコンサルタントの作成したセキュリティチェックシートを無料で提供しています。ダウンロードしてご活用ください。
まとめ
セキュリティチェックリストについて紹介しました。
情報セキュリティリスクへの対策は必須ですが、なによりもそれを実行する従業員の教育を重点的に行うのが、情報セキュリティ対策において、一番の対策です。
そこで情報セキュリティ対策のチェックリストを作成し、定期的なチェックを実施することにより、対策を網羅し安全を保ちましょう。
各種の情報セキュリティに関する団体よりチェックリストが提供されているため、自社にあわせたリスト作成に役立ててください。
