中小企業の情報セキュリティ対策ガイドライン

ＩＰＡ（情報処理推進機構）「中小企業の情報セキュリティ対策ガイドライン（第３版）」２０１９年
https://www.ipa.go.jp/files/000055520.pdf

目的（「はじめに」より）

本ガイドラインは、中小企業の皆様に情報を安全に管理することの重要性についてご認識いただき、中小企業にとって重要な情報１を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としたものです。

第１部 経営者編

経営者の責任

情報セキュリティ対策を怠ることで企業が被る不利益

金銭の損失、顧客の喪失、業務の停滞、従業員への影響など

経営者が負う責任

経営者などに問われる法的責任
関係者や社会に対する責任

経営者が行うべきこと

認識すべき「３原則」

原則１　情報セキュリティ対策は経営者のリーダーシップで進める
原則２　委託先の情報セキュリティ対策まで考慮する
原則３　関係者とは常に情報セキュリティに関するコミュニケーションをとる

実行すべき「重要７項目の取組」

取組１　情報セキュリティに関する組織全体の対応方針を定める
取組２　情報セキュリティ対策のための予算や人材などを確保する
取組３　必要と考えられる対策を検討させて実行を指示する
取組４　情報セキュリティ対策に関する適宜の見直しを指示する
取組５　緊急時の対応や復旧のための体制を整備する
取組６　委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組７　情報セキュリティに関する最新動向を収集する

第２部 実践編

実践編の進め方

できるところから始める 情報セキュリティ５か条

ソフトウェアは常に最新の状態にしよう！
ウイルス対策ソフトを導入しよう！
パスワードを強化しよう！
共有設定を見直そう！
脅威や攻撃の手口を知ろう！

組織的な取り組みを開始する

情報セキュリティ基本方針の作成と周知
実施状況の把握
対策の決定と周知

本格的に取り組む

管理体制の構築
ＩＴ利活用方針と情報セキュリティの予算化
情報セキュリティ規程の作成
委託時の対策
点検と改善

より強固にするための方策

情報収集と共有
ウェブサイトの情報セキュリティ
クラウドサービスの情報セキュリティ
情報セキュリティサービスの活用
技術的対策例と活用
詳細リスク分析の実施方法

より強固にするための方策

情報セキュリティサービスの活用

情報セキュリティコンサルテーション
情報セキュリティ教育サービス
情報セキュリティ監査サービス
脆弱性診断サービス
デジタルフォレンジックサービス
セキュリティ監視・運用サービス

技術的対策例と活用

• ネットワーク脅威対策
  ファイアウォール、ＩＤＳ（侵入検知システム）、ＩＰＳ（侵入防御システム）、ＷＡＦ、ＶＰＮ
• コンテンツセキュリティ対策
  ウイルス対策、メールフィルタリング、ＵＲＬフィルタリング
• アクセス管理
  アクセス制御、多要素認証、特権ＩＤ管理
• システムセキュリティ管理
  ＩＴ資産管理、脆弱性検査、ログ管理
• 暗号化
  データ暗号化、ＴＬＳまたはＳＳＬ
• データの破棄

詳細リスク分析の実施方法

• 手順１　情報資産の洗い出し
  どのような情報資産があるか洗い出して重要度を判断する。機密性、完全性、可用性
• 手順２　リスク値の算定
  優先的・重点的に対策が必要な情報資産を把握する
  リスク値 ＝ 重要度 × 被害発生可能性
• 手順３　情報セキュリティ対策を決定
  リスクの大きな情報資産に対して必要とされる対策を決める。リスクの低減、保有、回避、移転