企業や組織の業務効率化にインターネットが欠かせない現代。
インターネットの存在が身近になってきたからこそ、情報セキュリティ対策の重要性が増しています。
セキュリティ対策が十分に行われていないことにより、情報漏洩のようなインシデントが発生すると、会社の信用問題につながりかねません。
そんな事態に陥らないために、情報セキュリティ対策に必要な項目を理解し、それに照らし合わせて適切なセキュリティ対策を実施しましょう。
今回は、情報セキュリティ対策に必要な項目や策定資料と合わせて解説します。
また、手っ取り早く自社のセキュリティ状況や課題感を知りたいという方に向けて、LRMでは「セキュリティチェックシート」を無料で配布しています。14分野30項目のチェックシートで簡単に詳細な分析が可能です。
こちらから無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティについておさらい
そもそも情報セキュリティとは何でしょうか。
情報セキュリティとは「重要な情報が外部に漏れたり、ウイルスに感染しないように、対策をすること」で、一般的には、情報の機密性、完全性、可用性を確保することと定義されています(情報の機密性、完全性、可用性の詳細については、後述します) 。
情報セキュリティ対策の項目とは
情報セキュリティについて、簡単におさらいをしました。
情報セキュリティ対策の項目を策定し運用するには、責任者を明確にして、企業や組織の実情や現在の社会状況に見合った項目にする必要があります。
では、具体的に、情報セキュリティ対策の項目にはどんなものがあるか紹介します。
日本ネットワークセキュリティ協会より公開されている「情報セキュリティ対策チェックリスト」では、
- メール編
- オフィス編
- パソコン編
- 組織編
という4つの分類に分けられ「メールの設定」「メールの宛先の確認」「迷惑メールの対応」といった、メールにおけるセキュリティ対策やウイルス対策、さらにインターネットの利用方法、社内規定についてチェック項目が策定されています。
そのチェックリストを確認し、当てはまらない項目が多ければ多いほど、セキュリティ対策ができているということになります。
また、情報処理推進機構からは「情報セキュリティ自社診断」が配信されており、25個の診断項目に分けられたチェックポイントを確認して、セキュリティ対策ができているどうかチェックできます。
従業員としての対策として「関係者以外の出入りを禁じているか」や「従業員にセキュリティに関する教育や注意喚起を行う」などの、チェック項目が策定されています。
情報セキュリティ対策の項目策定に役立つ資料
情報セキュリティ対策の項目について紹介しました。
先述したとおり、情報セキュリティ対策の項目は、各企業に合わせて適切なものを策定する必要があります。
ですが、情報セキュリティ対策の項目はどんなものがあるか、ベースとなる資料がないと、中々作成できませんよね。
そこで、IPA(情報処理推進機構)が公開している、情報セキュリティ対策の項目策定に役立つ資料を紹介します。
組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク
情報セキュリティ対策ベンチマークでは、27項目の基本診断項目が掲載されています。
業界別等の基準に当てはめ、診断項目セキュリティレベルの高い基準による診断項目に変更ができ、さまざまな基準でセキュリティ対策レベルを診断することが可能です。
5分でできる!情報セキュリティ自社診断
情報セキュリティ対策のレベルを100点満点で数値化して、現在のセキュリティ状況を診断できます。
また、各チェック項目で設定されている設問についての解説があります。
この解説を参照して、診断編にある設問の内容がより深く理解でき、今後どのような対策を設けるべきかを把握することができます。
ここからセキュリティ
IPAが運営している情報セキュリティ・ポータルサイトです。
様々なサイトのリンク集で、小学生から中高生、社会人向けなど、世代ごとに情報セキュリティを理解できるサイトで、安全性の診断やセキュリティに関する資格について紹介されています。
とりあえず、セキュリティ対策について情報収集したい場合にわかりやすいです。
中小企業の情報セキュリティ対策ガイドライン
IPAが公開している「中小企業の情報セキュリティ対策」について具体的な対策を示すガイドラインです。
情報セキュリティ対策や、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたものです。
番外編 LRM セキュリティチェックシート
LRMでは「会社としてセキュリティ対策ができているかわからない」「何を実施すれば良いのかわからない」という方向けに、企業が対応すべき、セキュリティ対策を14分野30項目のチェックリストにまとめています。
自社のセキュリティ状況の把握にお役立てください。
情報セキュリティ対策の項目を万全にするならISMSへの準拠が必要
「自社のセキュリティ対策をより強いものにしたい」セキュリティ対策担当者の方なら考えるでしょう。
情報セキュリティ対策の項目を万全にしたいのであれば、ISMS(Information Security Management System)への準拠が必要です。
総務省による情報セキュリティの定義では、以下の3点を確保することと定義されています。
- 情報の機密性
- 情報の完全性
- 情報の可用性
それぞれ解説します。
情報の機密性
情報の機密性とは、特定の情報を、アクセスを認められた人だけが見ることができる状態にすることです。
例えば、不特定多数の存在がアクセスできないように、IDとパスワードが必要なサイト上で運用したり、従業員でも特定の役職以上だけが見れるように設定することで、機密性を保たれます。
情報の完全性
情報の完全性とは、特定の情報が第三者に改ざんされたり、消去されていない状態を確保することです。
情報が改ざんされているかどうかを確認できるように、不正なアクセスがないか履歴を残して監視したり、デジタル署名を使って整合性を高める方法があります。
情報の可用性
情報の可用性とは、情報が必要な時に、何かしらの要因で、情報が見れなくなったり、アクセスが中断することなく、スムーズに情報が閲覧できる状態を確保することです。
例えば、24時間365日、特定のサイトにアクセスすれば欲しい情報が確実に手に入る状態であれば、可用性は高く、頻繁にシステムのメンテナンスが入っていてアクセスできない日が多ければ可用性は低いと言えます。
また、ISMSにはマネジメントシステム規格があり、その規格が、第三者機関による認証を受ければ、マネジメントシステム認証というものが利用できるようになります。
ISMSのマネジメントシステム規格として一般的に知られているのが「ISO27001」です。
「ISO27001」は国際標準化機構であるISOが策定したISMS規格で、世界中で評価されている規格であり、この認証を受けられられるレベルであれば、情報セキュリティ対策が適切に行われている第三者への証明となります。
セキュリティ対策の項目を万全にするのであれば、ISMSの規格に準拠するのが理想です。
情報セキュリティ対策の項目策定ならLRMのセキュリティコンサルティング
情報セキュリティ対策の項目について解説しました。情報セキュリティ対策の項目を万全にするのであれば、ISMS規格(ISO 27001)へ準拠が必要です。
ですが、情報セキュリティ対策の項目策定には、専門的な知識が必要です。
「情報セキュリティについてよくわからない」
「通常業務のせいで中々そこまでリソースを割けない」
そんな方は、LRMのセキュリティコンサルティングにお任せください!LRMのセキュリティコンサルティングは以下の3つの安心ポイントがあります。
- 訪問回数は無制限
- 主要文書はLRMが作成
- 認証取得100%
訪問回数、電話/メールでの相談が無制限。規定や様式の文章はLRMで作成するので、負担がかかりません。また、ISO 27001の認証を取得できるまでサポートするため、取得率は100%です。
現役審査員のコンサルタントが在籍しており、お客様にあわせた最適な提案ができ、ISMSを取得する背景や目的に合わせてカスタマイズします。
相談は無料ですので、ぜひお気軽にお問い合わせください。
訪問回数無制限! 認証取得100%!
まとめ
情報セキュリティ対策に必要な項目について解説しました。
情報セキュリティ対策の項目を万全にするのであれば、必要な項目を理解して、自社に必要なセキュリティ対策を洗い出し、適切なセキュリティ対策を実施しましょう。
セキュリティ対策について、万全を期すのであれば、ISMSに準拠し「ISO 27001」の取得を目指しましょう。
