一般社団法人日本経営士会は日本の中小企業に「環境CSR経営」の普及支援を行っています。環境経営士が支援を行います。

中小企業に役立つ情報、環境CSR経営、経営改善手法、補助金、日本経営士会の御案内、経営コンサルタント・経営士の活動など

:「中小企業の情報セキュリティ対策」 シリーズ④ 情報セキュリティ診断

2018-11-05 11:34:28 | 経営コンサルタント

  この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。  http://www.compact-eco.com 

今回のテーマ:「中小企業の情報セキュリティ対策」 シリーズ④

         情報セキュリティ診断

 

前回のニュースでは管理実践編でした。今回は自社又はクライアント先が手軽に診断できる様に25項目の項目について点数を付けて頂き、自社又はクライアント先の情報セキュリティレベルを把握し、弱い箇所の手当をするためのチェックシートの学習です。

各項目の実施状況に応じて「実施している:4点」「一部実施している:2点」「実施していない:0点」で採点し、全項目の合計点によって評価し弱点を把握します。

なおネットワーク接続の複合機やハードデスクの共有設定(No.4)、やウエッブサービス(No.5)、無線LAN(No.9)、クラウドサービス(No.19)など、自社で利用してないものに関する項目は便宜的に「4点」で計算します。

情報セキュリティは些細な対策漏れが事故に発展することが多く、対策が不十分な部署や従業員がいた場合には全体の対策レベルが下がってしまいます。そのため従業員一人ひとりが実施すべき対策は情報セキュリティマニュアルを自社のルールに合わせて編集し、全従業員に配布するなどして周知を高め全体のレベルアップを図り100点を目指してください。

 

            情報セキュリティ診断自己採点表    
      点数は「実施している:4点」「一部実施している:2点」「実施していない:0点」で採点  
  No 診断項目     診断内容 点数  
  1 Part1   基本的対策 Windows Update(注1)を行うなど、常にOSやソフトウェア等安全な状態にしていますか?    
  2 パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル (注2)を自動更新するなどどのように、パソコンをウイルスから守る対策を行っていますか?    
  3 パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウエッブサイトで使いまわししないなど、強固なパスワードを設定を強化していますか?    
  4 ネットワーク接続の複合機やハードデスクの共有設定を必要な人だけに限定するなど、重要情報に対する適切なアクセス制限を行っていますか?    
  5 利用中のウエッブサービス(注3)や製品メーカーが発信提供するセキュリティ注意喚起を確認して社内共有するなど新たな脅威や攻撃の手口を知り対策を社内に共有する仕組みが出来ていますか?    
  6 Part2   従業員としての対策 受信した不審な電子メールの添付ファイルを案易に開いたり本文中のリンクを安易に参照したりしないように、電子メールを介したウイルス感染に気をつけていますか?    
  7 電子メールを送る前に目視にて送信アドレスを確認するなり宛先の送信ミスを防ぐ仕組みを徹底していますか?    
  8 重要をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなど重要情報を保護していますか?    
  9 無線ランを利用するとき強固な暗号化を必ず利用するなどの様に無線ランを安全に使うための対策をしていますか?    
  10 業務端末でのウエブサイト閲覧や、SNSへの書き込みに関するルールを決めて置くなど、インターネットを介したトラブルへの対策をしていますか?    
  11 重要情報のバックアップを定期的に行うなど故障や誤操作などに備えて重要情報を消失しないように対策をしていますか?    
  12 重要情報を机の上に放置せず書庫に保管し施錠するなど重要情報の紛失や漏洩を防止するための対策をしていますか?    
  13 重要情報を社外に持ち出す時はパスワード保護や暗号化して肌身離さないなど、盗難や紛失対策をしていますか?    
  14 離席時にコンピュターのロック機能を利用するなど、他人に使われないようにしていますか?    
  15 事務所で見知らぬ人を見かけたら声をかけるなど、無許可の人の立ち入りがないようにしていますか?    
  16 退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなど盗難防止対策をしていますか?    
  17 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなど事務所の施錠管理をしていますか?    
  18 需要情報を廃棄する場合書類を裁断したりデータ消去ツールを使ったり、重要情報が読めなくなるように処分をしていますか?    
  19 Part3    組織としての対策 従業員を採用する時、守秘義務や罰則規定があることを知らせるなど従業員に秘密を守らせていますか?    
  20 情報管理の大切さなどを定期的に説明するなど従業員に意識付けをしていますか?    
  21 クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどサービスの安全・信頼性を把握して選定していますか?    
  22 契約書に秘密保持の項目を盛り込むなど取引先に秘密を守る事を求めていますか?    
  23 社内外での個人所有のパソコンの業務利用を許可制にするなど業務で個人使用の端末の利用可否を明確にしていますか?    
  24 秘密情報の漏洩紛失、盗難があった場合の対応手順書を作成するなど、事故が発生した場合に備えた準備をしていますか?    
  25 情報セキュリティ対策(上記1~24など)を会社のルールにするなど情報セキュリティ対策の内容を明確にしていますか?    
            合  計 0  
    出典:独立行政法人情報処理推進機構 「中小企業の情報セキュリティ対策ガイドライン」  
       自己診断をEXCEL可したチェックシート    

 

注1 Windows Update:マイクロソフト社が提供しているウインドウズパソコンの不具合を修正するプログラム

注2ウイルス定義ファイル:コンピュウターウイルスを検出するためのデータベースファイル「パーソナルファイル」とも呼ばれる。

注3ウェッブサービス:インターネットバンキング、ソシアルネットワークサービス(SNS)ウエッブメール、などインターネット経由で利用するサービス。

 次回は「情報セキュリティ構築とまとめ、最終回」です。

 

●出典元は独立行政法人情報処理推進機構(略称IPA)

今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(2017年1月改定A5版54p CD付)を基にしています。

ご関心のある方は 03-5978-7508に電話して申し込んでください。1冊200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

コメント

「中小企業の情報セキュリティ対策」 シリーズ③ 管理実践・管理職の役割

2018-10-20 17:33:59 | 経営コンサルタント

 この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。  http://www.compact-eco.com 

今回のテーマ:「中小企業の情報セキュリティ対策」 シリーズ③

         管理実践・管理職の役割

 

前回のニュースで3原則、重要7項目を理解した上で今回は管理実践編です。

おさらいをします。

原則1:情報セキュリティ対策は経営者のリーダーシップで進める。

原則2:取引先の情報セキュリティ対策まで考慮する。

原則3:関係者との情報セキュリティに関するコミュニケーションはどんな時でも怠らない。

 

経営者が取り組まねばならない7項目

取組1

 情報セキュリティに関する、組織全体の対応方針を定める。

取組2

 情報セキュリティ対策のための予算、人材などを確保する。

取組3

 担当者に必要と考えられる対策を検討させて実行を指示する。

取組4

 情報セキュリティ対策に関する定期・随時の見直しを行う。

取組5

 業務委託や外部サービスを利用する場合は情報セキュリティに関する責任範囲を明確にし、

 自社と同程度の対策が行われる様に契約書で取り決める。

取組6

 情報セキュリティに関する最新動向を収集する。

取組7

 緊急時の社内外の連絡先や被害発生時の対処について準備しておく。

 

今回は管理実践編です。

該当企業(自社)にどのような情報資産があるかを漏れなく把握し、想定される脅威を特定した上で対策を検討し、情報セキュリティポリシーとして取りまとめる必要があります。

規模の小さい企業や、これまで十分な対策を実施してこなかった企業などを対象にすぐできることから開始して、段階的にステップアップすることで、企業のそれぞれの事情に適した対策が実施できるようにしましょう。

 

自社の情報セキュリティの診断とレベルアップ

スタート

1.情報セキュリティ5か条が出来ているか?

 OSやソフトウエアは最新の状態になっているか。

 注:OSとはOperating System オペレーティング システムの略。コンピューター全体を

       管理、制御し、パソコンに関していうと、マイクロソフト社のWindowsが最も有名です。

      ソフトウエアとはAdobe Flash Player、Adobe Reader、Java(プログラミング言語の       ひとつ)実行環境等の利用中のソフトを最新版にする。

 

2.ウイルス対策ソフトの導入

 ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトの導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態(自動更新)にします。

統合型のセキュリティ対策ソフト(ファイヤーウォールや脆弱性対策など統合的に対策したソフト)の導入。

  注1:ファイアウォールとは「防火壁」を意味しますが、簡単に言うとネットワークとネット 

       ワークに間に立ち不正アクセスをブロックするためのシステムです。

注2:ウイルス対策ソフトの値段ですが「セキュリティソフト 通販 価格比較」を見ると

       数千円~1万円前後です。大規模になると値段は高くなるでしょうが筆者では?

 

3.パスワードの強化

 パスワードが推測や解析されたり、ウエッブサービスから摂取したID・パスワードが流用されることで、不正にログインされる被害が増えています。パスワードは長く、複座に使いまわさない様にして強化しよう。パスワードは英数字ふくめて10文字以上。

 

4.共有設定を見直す

 データ保管などのクラウドサービスやネットワーク接続の複合機を間違って無関係の人に情報を覗き見られるトラブルが増えています。

 クラウドサービスや機器が無関係な人に共有されていないか設定を確認しよう。

 注:クラウドサービスは、従来は利用者が手元のコンピュータで利用していたデータやソフ 

      トウェアを、ネットワーク経由で、サービスとして利用者に提供するものです。 クラウド 

      サービスを利用することで、これまで機材の購入やシステムの構築、管理などにかかるとさ

      れていたさまざまな手間や時間の削減をはじめとして、業務の効率化やコストダウンを図れ

      るというメリットがあります。

 

5.脅威や攻撃の手口を知る

 取引先や関係者と偽ってウイルス付のメールを送って来たり、正規のウエッブサイトに         

   似せた  偽サイトを立ち上げてID・パスワードを盗もうとする巧妙な手口が増えています。

 これら手口を知って対策を取ろう。

 例えば最近の脅威についてはIPAのホームページをご参照下さい。

 https://www.ipa.go.jp/security/vuln/10threats2018.html

 

 

次回は「情報セキュリティ自社診断」です。

●出典元は独立行政法人情報処理推進機構(略称IPA

今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(20171月改定A554p CD付)を基にしています。

ご関心のある方は 03-5978-7508に電話して申し込んでください。1200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

 

コメント

「中小企業の情報セキュリティ対策」 シリーズ② 経営者の役割

2018-10-08 15:39:56 | 経営コンサルタント

この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。  http://www.compact-eco.com 

「中小企業の情報セキュリティ対策」 シリーズ②

         経営者の役割

 

経営者は情報セキュリティ全般について知っておくべきですが、その中でも企業が被る主な不利益は次の4点です。

※ 金銭の損出

 取引先から預かった機密情報を万一漏洩した場合は取引先や更にその先の顧客などから損害賠償責任を受けたり漏洩情報を記録したデータベース等の利用を差し止められ自社業務に深刻な停滞を招くなど大きな経済的損出を受けることになります。

※ 顧客の喪失

 情報セキュリティ上の事故を発生させるとその原因が何であれ、事故を起こした企業の管理責任が問われ社会的評価が低下し、顧客の喪失にもつながります。この社会的評価の回復には時間が掛かり回復もままならず事業の存続が困難になる場合もあります。

※ 業務の喪失

 情報漏洩など情報セキュリティ上の事故が発生すると被害の拡大を防止するため、自社で運営しているサーバーの停止や、インターネットへの接続の遮断などを行います。

インターネットを通じた取引先から見ると、営業を停止していると同じ状態になるため、措置を講じている間は営業機会の喪失となります。さらに販売管理、会計などの基幹システムや電子メールが使えなくなり社内業務が停滞してしまいます。

※ 従業員への影響

 情報セキュリティ対策の不備を悪用した内部不正が容易に行える職場環境は従業員のモラルの低下を招く原因になります。

更に事故を起こしたにも関わらず従業員のみを罰して経営者が責任を取らない対応をすることで従業員が働く意欲を失う恐れがあります。情報漏洩など企業イメージダウンのを嫌って転職する従業員も現れたり、従業員から訴訟を起こされたりすることも考えられます。

 

経営者が負う責任

※ 経営者等に問われる法的責任

 個人情報やマイナンバーに関する違反の場合は刑事罰が科されます。また、この場合は個人情報保護委員会による立ち入り検査を受ける責任があります。

民法上の不法行為とみなされた場合は、経営者が個人として損害賠償責任を負う場合があります。 

筆者注:刑事罰とありますが私の様に素人にはよくわかりませんが、ごく簡単に説明しますと以下の様です。「刑事」の場合は、刑法だけではなく、著作権法、労働基準法、自治体の条例など、およそ罰を定める法令を指します。

一方、「民亊」の場合は「罰」ではなく「賠償」の問題になります。刑事犯罪を犯して他人を害した場合には、刑罰とは別に損害賠償や慰謝料などの支払い義務が生じます。
前科というのは「罰金刑以上の刑罰を科せられた過去の犯罪歴」ですから、民亊には当てはまりません。

 ※関係者や社会に対する責任

 情報セキュリティ対策は顧客・取引先・従業員・株主等に対する経営者としての責任から逃れられません。 

それでは経営者は何をすればよいのか?

原則1:情報セキュリティ対策は経営者のリーダーシップで進める。

原則2:取引先の情報セキュリティ対策まで考慮する。

原則3:関係者との情報セキュリティに関するコミュニケーションはどんな時でも怠らない。 

経営者が取り組まねばならない7項目

取組1

 情報セキュリティに関する、組織全体の対応方針を定める。

取組2

 情報セキュリティ対策のための予算、人材などを確保する。

取組3

 担当者に必要と考えられる対策を検討させて実行を指示する。

取組4

 情報セキュリティ対策に関する定期・随時の見直しを行う。

取組5

 業務委託や外部サービスを利用する場合は情報セキュリティに関する責任範囲を明確にする。

 業務委託先には少なくとも自社と同程度の対策が行われる様にしなければなりません。

 契約書に情報セキュリティに関する相手先の責任、実施すべき対策を明確にしなければなりませ

 ん。

取組6

 情報セキュリティに関する最新動向を収集する。

 情報技術の進化の速さからその対策はめまぐるしく変化します。

取組7

 緊急時の社内外の連絡先や被害発生時の対処について準備しておく。

 

次回は「管理実践編」です。

 

●出典元は独立行政法人情報処理推進機構(略称IPA

今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(20171月改定A554p CD付)を基にしています。

ご関心のある方は 03-5978-7508に電話して申し込んでください。1200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

コメント

「中小企業の情報セキュリティ対策」 シリーズ① 情報セキュリティ対策が必要な理由

2018-10-08 15:38:01 | 経営コンサルタント

この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。  http://www.compact-eco.com 


「中小企業の情報セキュリティ対策」 シリーズ①

         情報セキュリティ対策が必要な理由

情報セキュリティ対策はコンサルタントとして知っておきたい重要項目です。

情報セキュリティ対策をおろそかにすると企業は多額の損害、顧客流出、信用の失墜等を起こします。

 シリーズとして

① 情報セキュリティ対策が必要な理由

② 経営者としての役割

③ 管理者としての役割

④ 情報セキュリティ5か条

⑤ 情報セキュリティ自社診断

このような概要で学習をします。今回は①です。下記の文章で経営者となっている箇所は

経営者と同じ視点で、経営コンサルタントと読み替えて下さい。

 

●経営を揺りがしかねない高額な賠償金発生も

情報セキュリティ対策を実施して対外的にアピールすることで企業として評価を高めて売り上げを伸ばしている企業がある一方、情報セキュリティ対策を疎かにしたために秘密情報や個人情報の漏洩を発生させ、経営を揺るがしかねない高額の賠償金を支払った例もあります。企業の継続的な発展のために、適切な情報セキュリティ対策が必要です。

 

●情報セキュリティ対策を軽く考えると

現代社会では金銭や物品だけでなく情報にも価値や権利が認められます。これに応じて、情報に

係る法律の整備も進んでいます。例えば個人情報保護法では事業者に対して個人の権利利益の保護、安全管理措置及び委託先の管理監督が義務付けられており、これらへの違反が認められると行政指導が行われ、それに従わなかった場合には行為者や会社に罰金刑が課せられます。

また民法上の不法行為(故意または不注意によって他人の権利を侵害し損害を発生させる行為。とみなされた場合は行為者本人が損害賠償責任を負う他、直接に関与していない経営者も原則として損害賠償責任(使用者責任)を問われることになります。

さらに場合によっては取締役や監査役は別途会社法上の忠実義務違反(職務などを忠実に行う義務のこと。会社法第355条では、取締役が株式会社のために、職務を忠実に行う義務があることを定めている。)の責任を問われることもあります。

こうした責任を果たすためには、担当者へのまる投げでなく、経営者が自社の情報セキュリティについて明確な方針を示すとともに自ら実行していくことが必要です。

情報セキュリティ対策は経営者が主導し必要な範囲を網羅し、関係者と連携して組織的に実施しなければ機能しません。経営者はこれらを認識したうえで必要となる取り組みを担当者に支持する必要があります。

一方、重要な情報とは事業にとって必要で組織にとって価値があり、漏えい、改ざん又は消失した時に大きな影響がある情報です。

例えば自社でウエッブサイトを運用したり、顧客情報や取引先の秘密をサーバー(さまざまなデータを保管するものです)で管理するなどIT業務を活用している管理責任がある立場の方は必ず最新の情報セキュリティ対策を行う必要があります。

具体的な担当者はパソコンやネットワークなどを管理する総務、情報システム担当者や、財務情報や従業員の個人情報をなどを扱う経理、人事労務などの担当者、設計図や顧客情報などを委託先に提供する際に情報セキュリティ対策を相手に求める製造や営業担当などが該当します。

 

●出典元は独立行政法人情報処理推進機構(略称IPA

今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(20171月改定A554p CD付)を基にしています。

ご関心のある方は 03-5978-7508に電話して申し込んでください。1200円だそうです。

IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。

 

コメント

東京商工会議所 のホームページに「環境CSR事業部の活動」が エコピープルのアクションレポートとして掲載

2018-10-08 15:28:03 | 環境・CSR経営

 この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。  http://www.compact-eco.com 

東京商工会議所 のホームページに「環境CSR事業部の活動」が

エコピープルのアクションレポートとして掲載(エコユニット部門)

 

 (一社)日本経営士会 環境CSR事業部の活動が9月半ばに東京商工会議所のエコピープル支援事業のアクションレポートとして掲載されました。

 東京商工会議所に掲載依頼した目的は(一社)日本経営士会の環境CSR事業部の活動を広く知ってもらい環境経営士の普及とコンパクトエコシステム(CES)、コンパクトCSRシステム(C.CSR)の中小企業への普及のためです。 

 アクションレポートは次のような内容です。

 1.題名「中小企業にやさしい環境CSR経営の支援には環境経営士」になろう。

 2.(一社)日本経営士会と環境CSR事業部の紹介

 3.eco検定とエコピープルになったきっかけ

 4.エコピープル/エコユニットとしての活動

 5.エコピープル/エコユニットとしての今後の活動計画

 6.社会へのメッセージ

 7.eco検定受験者、学生へのメッセジ

 

 詳細は東京商工会議所のトップページ左下 → 検定試験情報→ eco検定 → 右側の下方 →  

 エコピープル支援事業 → アクションレポート → エコユニットの左下

 に日本経営士会のアクションレポートが掲載

 又は下記よりアクセスをお願いします。

 https://www.kentei.org/eco/people/report/index.html

コメント