受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
Lv.1クイックアプローチでは、自社で発生する可能性が高い、または実際に発生したときの被害が大きいと考えられるセキュリティインシデント事例を参考に、対策基準を策定します。決定した対策基準をもとに、具体的に実施する内容(実施手順)を作成します。
対策基準・実施手順作成の手順
セキュリティインシデント事例をもとにリスクアセスメントを実施します。以下は、情報セキュリティ10大脅威2025にランクインしている「内部不正による情報漏えい等」に関するセキュリティインシデント事例です。
| 事例:内部不正による情報漏えいの疑い(卸売業・小売業、従業員数6~20名以下) |
| 被害内容
元従業員が退職前に大量にファイルをダウンロードしました。また、同従業員が使用していたPCの履歴が消去され、専門家でも復旧できない状態になっていました。 機密情報の持ち出しをした確定的な証拠が得られなかったため、結果的には被害届を提出しませんでした。しかし、この判断をするまでに2年かかりました。その間、弁護士に情報提供するために、多くの作業が必要になりました。例えば、経営者と総務担当は、情報漏えいしたと疑われる膨大なログを確認し、どれが機密情報に該当するかチェックする作業を強いられました。トラブル発生時は、人件費に加えて、心的負担も大きくかかりました。 被害発生の原因 社外からの脅威のセキュリティ対策としてウイルス対策ソフトウェアや電子メールへの対応、アクセス制限などは進めていたが、社内から発生する脅威のセキュリティ対策は不十分であったこと。 |
セキュリティインシデント事例:内部不正による情報漏えい
(出典) IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査 -事例集- 」をもとに作成
セキュリティインシデント事例を参考に、情報資産の洗い出しと、「機密性」「完全性」「可用性」の観点から重要度を算出します。セキュリティインシデント事例では、従業員が使用していたPCが悪用されていたため、以下の資産目録の例では「媒体・保存先」で従業員が使用するPCである情報資産を洗い出しています。そして、情報資産ごとに「機密性」「完全性」「可用性」が損なわれた場合、事業にどれほど影響があるか評価を行い、「重要度」を判断します。リスクアセスメントの詳細はこの後の「第12章.リスクマネジメント」を参照してください。
| 機密性・完全性・可用性の評価値は、1~3で記載
重要度は、機密性・完全性・可用性いずれかの最大値 |
||||||||||
| 業務分類 | 情報資産名称 | 備考 | 利用者範囲 | リスク所有者 | 管理部署 | 媒体・保存先 | 機密性 | 完全性 | 可用性 | 重要度 |
| 人事 | 社員名簿 | 社員基本情報 | 人事部 | 人事部長 | 人事部 | 人事担当者のPC | 3 | 3 | 2 | 3 |
| 経理 | 当社宛請求書 | 過去3年分 | 経理部 | 経理部長 | 経理部 | 経理担当者のPC | 3 | 3 | 2 | 3 |
| 営業 | 顧客リスト | 得意先 | 営業部 | 営業部長 | 営業部 | 営業担当者のPC | 3 | 3 | 3 | 3 |
資産目録の例
(出典)IPA 「リスク分析シート」をもとに作成
リスク分析(例)
リスク特定で算出した重要度と、被害発生可能性からリスクレベルを算出します。被害発生可能性は、セキュリティインシデント事例と同様の被害がどの程度起きやすいかを考慮して算出します。
| リスクレベルの算出方法 | 「リスクレベル」=「重要度」×「被害発生可能性」 |
| 業務分類 | 情報資産名称 | 備考 | 利用者範囲 | リスク所有者 | 機密性 | 完全性 | 可用性 | 重要度 | 被害発生可能性 | リスクレベル |
| 人事 | 社員名簿 | 社員基本情報 | 人事部 | 人事部長 | 3 | 3 | 2 | 3 | 3 | 9 |
| 経理 | 当社宛請求書 | 過去3年分 | 経理部 | 経理部長 | 3 | 3 | 2 | 3 | 2 | 6 |
| 営業 | 顧客リスト | 得意先 | 営業部 | 営業部長 | 3 | 3 | 3 | 3 | 2 | 6 |
リスク評価(例)
リスクレベルをもとに、必要なリスク対応を検討します。今回は、例としてリスク低減や回避を選択します。
| リスク低減 | セキュリティ対策(管理策)を採用することによって、リスクの発生確率を低くしたり、リスクが顕在化したときの影響の大きさを小さくしたりすること |
| リスク移転 | リスクを他者に移して、自分たちの責任範囲外にしたり、リスクが顕在化したときの損失を他者に引き受けさせたりすること |
| リスク回避 | リスクが発生する可能性のある環境を排除するなど、リスクそのものをなくそうとすること |
| リスク受容(保有) | セキュリティ対策を行わずにリスクを受け入れるということ |
対策基準の策定(例)
リスク評価の結果を参考に対策基準を策定します。今回の例では、リスク低減や回避に関する対策基準を決定しています。対策基準の例は以下の通りです。
| 対策基準(例) |
| ⚫︎ 社内の機密情報に関する社内規程の策定
⚫︎ 重要情報の管理、保護 ⚫︎ 物理的管理の実施 ⚫︎ 従業員向け研修の実施 |
実施手順の作成(例)
情報セキュリティ関連規程を参考に、実施手順を作成します。情報セキュリティ関連規程とは、情報セキュリティに関する社内規則の見本です。情報セキュリティ関連規程から、対策基準に合った規則を選択し、赤字の箇所を自社の状況に合わせて編集することにより、実施手順を作成します。
| 実施手順の作成(例) |
| 機密情報に関する社内規程の策定
(例)従業員の責務 従業員は以下を遵守する ⚫︎ 従業員は、当社が営業秘密として管理する情報およびその複製物の一切を許可されていない組織、人に提供してはならない。 ⚫︎ 従業員は、当社の情報セキュリティ方針および関連規程を遵守する。違反時の懲戒については、就業規則に準じる。 ⚫︎ 従業員は、在職中に交付された業務に関連する資料、個人情報、顧客・取引先から当社が交付を受けた資料またはそれらの複製物の一切を退職時に返還する。 ⚫︎ 従業員は、在職中に知り得た当社の営業秘密または業務遂行上知り得た技術的機密を利用して、競合的あるいは競業的行為を行ってはならない。 重要情報の管理、保護 (例)利用者アカウントの管理 利用者の認証に用いるアカウントが不要になる場合、システム管理者は、当該アカウントの削除または無効化を、当該アカウントが不要になった日の翌日までに実施する。 物理的管理の実施 (例)情報資産の社外持ち出し管理 情報資産を社外に持ち出す場合には、以下を実施する。 ⚫︎ 社外秘の場合は所属部門長の許可を得る。 ⚫︎ 極秘の場合は代表取締役の許可を得る。 ⚫︎ ノートパソコンのハードディスクに保存して持ち出す場合は、ハードディスク/フォルダ/データを暗号化する。 ⚫︎ スマホ、タブレットに保存して持ち出す場合は、セキュリティロックを設定する。 ⚫︎ USBメモリなどの小型電子媒体は、大きなタグをつける/ストラップで体やカバンに固定する/落としてもすぐにわかるように鈴をつける。 ⚫︎ 屋外でネットワークへ接続して極秘または社外秘の情報資産を送受信する場合は、暗号化する。 ⚫︎ 携行中は常に監視可能な距離を保つ。 従業員向けの研修 (例)情報セキュリティ教育 教育責任者は、以下の点を考慮し、情報セキュリティに関する教育計画を年度単位で立案する。 対象者:全従業員 テーマ:以下は必須とする。 ⚫︎ 情報セキュリティ関連規程の説明(入社時、就業時) ⚫︎ 最新の脅威に対する注意喚起(随時) ⚫︎ 関連法令の理解(関連法令の公布・施行時) ⚫︎ 個人情報の取扱いに関する留意事項 ⚫︎ コンプライアンス教育 |
| 詳細理解のため参考となる文献(参考文献) | |
| 情報セキュリティ関連規程(サンプル) | https://www.ipa.go.jp/security/sme/ps6vr7000001bu8m-att/000055794.docx |