組織にとっての情報セキュリティ対策の基本

企業や団体といった組織では、従業者や顧客の情報、製品やサービス等に関する情報など、様々な情報（資産）を保有し、管理しており、こうした様々な情報（資産）を守るために、従業者レベルでの対策に加えて組織全体で適切な対応をとることが必要となります。
ここでは基本的な対策を紹介しています。さらに知識を深めるための情報を、「情報セキュリティに関する知識を深める上で参考となるサイトやガイド等」で紹介していますので、そちらも参考にしてください。

1組織にとっての情報セキュリティ対策の必要性

ウェブサイトでの情報発信やメールでの情報交換、仕事を効率的に進めるための情報システムの活用など、組織は仕事の現場でITを利活用しており、こうした利活用が広まるにつれ、外部からのサイバー攻撃や内部における不正行為等の脅威も増大しています。
万が一、顧客や取引先の個人情報や機密情報といった重要情報が流出してしまえば、その組織は顧客や取引先の信用を失うことになり、組織経営にとって大きなダメージを負うことになります。

2最低限行うべき情報セキュリティ対策

情報セキュリティ対策は、組織の規模や実施している事業の内容などによって、その内容が異なります。ここでは、すべての組織にあてはまる最低限必要な対策について、「経営者」、「システム管理者」、「従業者」に分けて説明します。

経営者の行うべき対策

1. 組織全体の情報セキュリティに関するルールの策定

   情報の取扱いに関するルールや、緊急時の対応体制など、組織に合った情報セキュリティのルールを作りましょう。
   作成したルールはそれが守られるよう、業務のマニュアルに組み込んだり、定期的に説明を行うなど、従業者に意識づけを行うようにしましょう。

2. 従業者の秘密保持の徹底

   一般的には、従業者の採用時に守秘義務があることを確認した旨の誓約書の提出を従業者に求めますが、採用時に限らず、次のような方法で機密が守られるような体制を構築しましょう。
   ・守秘義務の対象の特定
   ・機密を守る方法を業務ルールにより明確化
   ・就業規則などに守秘義務を守らなかった場合の罰則を規程

3. 委託先との秘密保持条項を含む契約の締結

   業務委託契約書に秘密保持（守秘義務）の項目を盛り込むなど、取引先に機密を守ることを求めるとともに、委託内容に関連して何らかの事故が発生した場合の管理責任や業務遂行責任についてもその範囲を明確にしておきましょう。

   委託先には情報の重要性や機密性を明確にし、場合によっては、その情報の管理方法まで指示する必要があります。

4. 事故対応体制の構築・確認

   情報漏えいなど情報セキュリティ事件等(インシデント)の発生に備え、従業者から責任者（代表者）へ報告する場合の連絡体制を確認しておきましょう。詳しくは「3情報セキュリティ事件等（インシデント）が発生した場合の対応」を参考にしてください。

システム管理者の行うべき対策

1. 情報資産持ち出しルールの徹底

   業務用パソコン等の機器やUSBメモリ等の外部記録媒体、ファイルを組織外に持ち出す場合のルールを明確にし、関係者に周知徹底しましょう。機器や媒体を貸し出す際は、機器や媒体内に不必要なファイルが保存されていないか、事前に確認してから貸し出すようにしましょう。
   また、紛失や盗難に遭った場合に備えて、持ち出すファイルや、機器・USBメモリ等の外部記録媒体に、適切な暗号化やパスワードを設定しましょう。これらの手続きが適切に運用されているか、確認してください。

2. 修正プログラムの適用

   管理するサーバやパソコン等のOS（オペレーティングシステム）、ルータやスイッチ等のファームウェア、各種ソフトウェアに修正プログラムを適宜適用し、最新のバージョンに更新・維持するようにしましょう。

3. ウイルス対策ソフトの導入、更新

   管理するサーバやパソコン、スマートフォン等にウイルス対策ソフトを導入するとともに、ウイルス対策ソフトの定義ファイル（パターンファイル）が常に最新の状態になるように設定します。また、実際に最新の状態になっているか、定期的に確認してください。

4. 定期的なバックアップの実施

   システムの不具合やウイルスによるデータ破壊等に備えて、定期的に外部記録媒体等へバックアップを行ってください。特に重要なデータは必ずバックアップを行うようにしましょう。

5. アクセス権限の設定

   各種システムにアクセスできる従業者を決め、アクセスできる権限がその者に適切に割り当てられているか、定期的に確認してください。また、外部から接続できるサーバで不要なサービスが動作していないか確認してください。

従業者の行うべき情報セキュリティ対策

1. 情報資産の保管

   書類や電子ファイルなどの情報資産を適切に管理する必要があります。次の点に気を付けるようにしましょう。
   ・重要な情報（機密情報や個人情報）が印刷された書類は鍵付の書庫に保管し、施錠された状態で管理する。
   ・重要な情報の電子ファイルには暗号化やパスワードを設定する。
   ・重要な情報が含まれるデータは外部への情報漏えいを防ぐため、インターネットに接続されていないパソコンで管理する。
   ・外部から持ち込んだ記録媒体（CD・DVD・FD・SD・USBメモリ等）をパソコンで使用するときは、システム管理者の許可を得る。
   ・重要な情報が印刷された書類を廃棄するときは、シュレッダーで裁断するなど、重要情報が読みとられないようにする。
   ・パソコンや記録媒体（CD・DVD・FD・SD・USBメモリ・磁気テープ等）を廃棄するときは、物理的に破壊するか、消去ソフトウェアを用いて確実に情報を抹消する。

2. 情報資産の持ち出し

   USBメモリ等で情報資産を事務所の外へ持ち運ぶときは、重要情報の保存されているファイルに暗号化やパスワードを設定するなど、万が一、紛失・盗難にあった場合に、情報が流出しないようにしましょう。

3. 事務所の管理

   事務所の管理について次の点に気を付けましょう。
   ・事務所で知らない人を見かけたら声をかけるなど、無許可の人が立ち入らないようする。
   ・事務所から人がいなくなる時（退出時や日中の短時間退出）は、事務所に施錠したり、重要な書類やパソコンを鍵付の引出しに片づけるなど、盗難防止対策をする。
   ・最終退出者は退出記録を残し、事務所の施錠を管理する。

4. パソコンのウイルス対策ソフトの更新

   利用するパソコン、スマートフォン等にウイルス対策ソフトを導入するとともに、ウイルス対策ソフトの定義ファイル（パターンファイル）を常に最新な状態になるように設定し、実際に最新の状態になっているか、定期的に確認してください。

5. パソコンの故障、ウイルス感染などの事故に備えた定期的なバックアップの作成

   パソコンの不具合やウイルスによるデータ破壊等に備えて、定期的に外部記憶媒体等へバックアップを行ってください。特に重要なデータは、必ずバックアップを行うようにしましょう。

6. 不審なメールの取り扱いの徹底

   日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスに感染させるためのURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等によりウイルスに感染してしまう場合があります。
   少しでも不審を抱いたメールの添付ファイルや、URLは不用意にクリックせず、システム管理者に連絡するようにしましょう。

7. パソコンのログインパスワードの設定

   他人に画面を見られたり、勝手に操作されたりすることを防ぐために画面ロックをかけ、ログインパスワードを設定するようにしましょう。また、退社時にはパソコンの電源を切るようにしましょう。

3情報セキュリティ事件等（インシデント）が発生した場合の対応

情報漏えいや、サイバー攻撃による被害などの情報セキュリティ事件等(インシデント)に備えた緊急時の対応を準備しておくことが必要です。

次のような対策を実施するようにしましょう。

• 従業者から責任ある立場の者への報告連絡体制を確認する。
• 緊急連絡網を整備する。その際は、システム運用、ウェブサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。
• 初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各担当者が速やかに協力できるよう、あらかじめ取り決めをしておく。
• 対応マニュアルを作成し、訓練を行う。