中小企業の情報セキュリティ対策ガイドライン第2版が公開

独立行政法人情報処理推進機構(IPA)が「中小企業の情報セキュリティ対策ガイドライン 第2版」を公開しました。

参考リンク:
プレス発表 「中小企業の情報セキュリティ対策ガイドライン」を刷新、公開(IPA)→ 外部リンク
中小企業の情報セキュリティ対策ガイドライン(IPA)→ 外部リンク

このガイドラインは、2015年末に経済産業省が策定している「サイバーセキュリティ経営ガイドライン」と同様に、経営者の視点と実務者の視点で記載されています。
経済産業省が策定した「サイバーセキュリティ経営ガイドライン」は事業規模が大きい会社向けでしたが、これを受けて『中小企業』が行うべきセキュリティ対策のガイドラインが示されています。

情報セキュリティが経営課題であることを再確認するためのさまざまな要件が記載されており、経営者が内容を確認するだけでなく、担当者が情報セキュリティについて経営者に説明するための良い資料であると考えます。

【内容一例】
・「標的型攻撃メールによる被害」
・「情報セキュリティ監査(パスワード管理)」
・「委託時の情報セキュリティ対策」

今回の「中小企業の情報セキュリティ対策ガイドライン」はイラストや事例がふんだんに使用されており、読みやすくなってはいるものの、普段からセキュリティを意識していない人にとってはやはり敷居が高いことに変わりはありません。

ガイドラインには【付録】として、
情報セキュリティ5か条」という2ページの簡単な読み物、
5分でできる!情報セキュリティ自社診断シート」という全25問の質問形式の自社診断が付属しています。
自社のセキュリティ意識を高めるため、社内の有志メンバーに、まずはこちらから読んでもらうのも啓蒙・啓発を促す手段かと思います。

三位一体の対策を – IPAが標的型攻撃に注意喚起

IPAによる注意喚起

標的型攻撃メールを起因とした個人情報流出の事案が後を絶ちません。
この状況に対し情報処理推進機構(IPA)は、大規模な情報漏えいに繋がりかねない企業を狙う標的型攻撃に対応するために、リテラシの向上適切な運用管理セキュアなシステムの構築 の三位一体で対策をする必要があると企業・組織に対して注意喚起を行いました。

参考リンク:
【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を → 外部リンク


リテラシの向上・適切な運用管理 という側面から

メールに対する警戒意識の向上と維持

      非常に巧妙化している標的型攻撃メールの文面・タイトル等の内容に対し、従業員に定期的な教育を行い、攻撃メールに対する警戒心の向上・維持を図ることを勧めています。
      また、誤ってメールを開いてしまった場合も含めた、従業員から所定の担当部門への報告訓練などにも言及されています。

受信メールの真正性を保証する仕組みの導入

      なりすましメールへの対応策として「送信ドメイン認証」(SPF・DKIM)などメールの真正性を保証する仕組みの導入も検討に値する…としています。

セキュアなシステムの構築・適切な運用管理 という側面から

個人情報を保有するデータベースをインターネットにアクセスするネットワークから切り分ける

      ことが必要…としています。
      また、不審な添付ファイルを開かなければならない場合については、仮想環境で開くなど添付ファイル確認用の環境のシステム面での整備も検討を要する…としています。