はじめに
エンジニアの中で「セキュリティアクション」と聞いて何のことかわかる方は少ないのではないでしょうか。
技術的な内容ではないので特にエンジニアが知らなくても困ることはないのですが、昨今の中小企業の経営者には知っておいてもらいたい制度で、情報処理技術者試験などを実施しているIPA(情報処理推進機構)が運用しており「星1」と「星2」のランクがあります。
IPAのセキュリティアクションページ
エンジニアはこの「セキュリティアクション」という制度を会社が申請したいとなったときに何かしらの影響を受けることがあることや、普段のセキュリティ意識を高めるためにも是非知っておいて欲しい内容です。
セキュリティアクションについて
IPAの普及活動
IPAではセキュリティアクション制度を都市圏以外でも普及させるために、「地域へのSECURITY ACTION制度普及業務」を公募しており、その際の講演者の選定としてIPAのセキュリティプレゼンターに登録している人の中から「情報処理安全確保支援士」の資格保有者を選択することが望ましいとしています。
(講演謝金(2時間):15000~30000円(旅費、税込み)
そのため、情報処理安全確保支援士の私としてはセキュリティアクション制度の詳しい内容をこの機会に知っておいてもらいたいと思います。
※「SECURITYACTION」で検索してみてください
※セキュリティプレゼンターの登録は誰でもできます
※「コンテンツのみ利用」にすれば入力情報は一切公開されません
セキュリティアクションとは
「自発的な情報セキュリティ対策を促す」ための核となる取り組みとして、IPAと中小企業関係団体により2017年2月に創設された制度です。
「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。
【注意事項】
「SECURITY ACTION」は情報セキュリティ対策状況等を、IPAが認定するものではありません。
「SECURITY ACTION」の取組みに関してウェブサイト等において次のような不適切な表現を使用されますと、第三者の誤解を生ずる可能性が懸念されますので、ご注意願います。
不適切な例 …「一つ星(二つ星)の認定を受けました」「一つ星(二つ星)を取得しました」
適切な例 …「一つ星(二つ星)を宣言しました」
参考:https://www.ipa.go.jp/security/security-action/sa/index.html
セキュリティアクションは会社が自己宣言をする制度であり、ロゴマークやWeb上で公開することで情報セキュリティ対策に前向きに取り組んでいることを外部へアピールすることができます。
では具体的にどういうものかというと、似たような制度の例として新型コロナの対策として東京都が打ち出した「感染防止徹底宣言」というのを覚えているでしょうか。
この制度では各店舗が東京都が用意したチェック項目をすべて満たすように感染対策を実施し、オンラインの申請フォームから「感染防止徹底宣言ステッカー」をダウンロードして店舗の入り口などに貼り付けます。
チェック項目を満たしたかどうかは自己判断で構いません。
東京都はこのステッカーが貼ってある店舗を利用するよう推奨しており、利用者が安全な店舗を見分けられるようにしました。
この段階が「セキュリティアクション」では「星1」になります。
「星1」では、IPAが設定した「情報セキュリティ5ヶ条」という情報セキュリティ対策の基本的な5項目を実施できるよう取り組んでいくことを宣言します。「感染防止徹底宣言」とは違い、「星1」の登録段階では対策が実施されていなくても構いません。
そして「感染防止徹底宣言」では後に各店舗で「コロナ対策リーダー」を登録し、そのリーダーがe-ラーニング研修を受講して修了すると修了証としてシールが発行されます。そのシールを「感染防止徹底宣言ステッカー」に貼ることで、その店舗では「コロナ対策リーダー」が店舗・利用者双方に感染防止マナーを促進していることを知らせることができます。
「セキュリティアクション」の「星2」では、IPAが作成した「5分でできる!情報セキュリティ自社診断」という25項目のチェックシートがあり、それを使って自社の状況を把握したうえで会社の「情報セキュリティポリシー(基本方針)」を定めWeb上などで外部に公開して宣言とします。
作成する「情報セキュリティポリシー(基本方針)」はIPAがテンプレートを用意してくれており、自社に合わせて書き換えることで簡単に作成することができます。
「星2」では組織体制や従業員への教育・促進などが関わってきますが、あくまで自社の目標を宣言しているだけなのでIPAによる監査があるわけでなく、またIPAが保証するものでもありません。
現時点では中小企業に自ら宣言をしてもらうことで情報セキュリティ対策への意識を高めてもらい、それが広がることで「安心・安全なIT社会を実現する」ことが求められています。
ちなみに、「感染防止徹底宣言」ではさらにもう一段階進んで「コロナ対策リーダー」を登録した店舗に「徹底点検TOKYOサポート」の都の職員が点検を行い、全項目点検済みとなった場合は「感染防止徹底点検済証」を受けることができます。
都の職員の目で感染防止対策が実施されていることを確認して証明書を発行しているので消費者はさらに安心して店舗を利用することができるようになります。
「セキュリティアクション」ではまだこの段階はありませんが、今後こういった形でIPAなどの機関による点検を実施して証明書を発行する日が来るかもしれません。
点検業務に「情報処理安全確保支援士」の資格所持者が必要となれば、支援士の需要も増えてくる可能性があるので期待しています。
セキュリティアクションの利点
実際、「セキュリティアクション」を中小企業が自己宣言する必要があるのでしょうか?
一つは「ロゴマークが使用できる」という点ですが、「星1」だけでは少し及び腰であることを露呈してしまうことになりそうなので「星2」のロゴマークでアピールしたほうが良いかもしれません。
積極的に情報セキュリティ対策を実施していることをアピールすることで、自社内での従業員や経営陣の意識もかわってきて会社が良い方向に進んでいくのが理想的な結果ではないかと思います。
そして、現時点でセキュリティアクションの最大の利点は「助成金や補助金の申請要件に必須」となるケースが増えてきている事ではないでしょうか。
2022年2月27日時点では、セキュリティアクションのTOPページに次の3件が紹介されています。
助成率:経費の1/2~2/3以内、助成額:30万~450万
助成率:経費の1/2以内、助成額:30万~1500万
助成率:経費の1/2~3/4以内、助成額:50万~150万
IT導入補助金では、「IT導入補助金」のサイトではができるページが用意されていました。
そこでいろいろ検索していたら、私の会社で使用している「TeamSpirit」も対象となっていました。
こういった補助金などの申請要件にセキュリティアクションが必須となるケースが増えてくれば、今後のセキュリティアクション制度の普及や知名度の向上につながり中小企業の情報セキュリティ対策が進んでくれるようになると期待しています。
それでは、実際に「星1」「星2」のチェック項目を見ていきたいと思います。
実際に私の会社がチェックを行った場合を想定して実施していく内容を確認してみます。
セキュリティアクション「星1」:情報セキュリティ5ヶ条
1:OSやソフトウェアは常に最新の状態にしよう!
これはWindowsであればWindows11にしなければいけないというわけではなく、サポート期間内のOSを使用して最新のUpdeteを実施することでセキュリティ対策を最新の状態にしておくことを指します。
ソフトウェアに関しては、どうしても開発で使用できるバージョンが限定されている場面があると思いますが、専門的な用途に限定されていて不審なファイルの起動には使われることがない状態であれば問題ないと思います。
(安全に受け渡しされたファイルを開くだけに利用するなど)
Webブラウザのように日常的に業務で使用するものに関しては最新バージョンにアップデートして使用するのが良いでしょう。
あと、例えば普段使用しているブラウザでも開発の都合で推奨されるセキュリティ設定を解除しなければいけない場合は、利用後に速やかに設定を戻すか、普段使わないブラウザで検証したりするなどリスクを最小限にする必要があります。
2:ウイルス対策ソフトを導入しよう!
自社ではシス管が作業PCを用意する際にウイルス対策ソフトをインストールしてくれていて、常に最新のパターンファイルに自動更新されているので問題ないと思います。
新しいウイルスによるゼロデイ攻撃を受けた場合は検知することができませんが、既知のウイルスの検出や不審なファイルに対して警告をだしてくれるので予防策としてインストールしておくことが望ましいです。
その代わり、ウイルス対策ソフトからの通知が頻繁にきたりスキャンや更新に時間がかかったりすることがあります。それを煩わしいと感じてウイルス対策ソフトの設定を変更したりアンインストールするようなことは避けた方がよいでしょう。
ウイルスと思われるファイルを検知した場合は速やかにシス管に報告して全社内に注意喚起を行ってもらうようにします。
3:パスワードを強化しよう!
自社では業務で使用するアカウントのパスワードに対する強度について特に規定はありません。プロジェクトの環境設定を行っているときに(手元はみませんが)明らかに短いパスワードを使用している人を見かけます。
ショルダーハッキングで簡単に覚えられてしまったり、対面の人がディスプレイの隙間から動画撮影してたりするとパスワードが簡単に漏えいしてしまう可能性があります。
社内では回りから見られやすい状況でパスワードを入力する機会が多いため、個人の金融機関で使用しているのと同じパスワードはやめた方が良いと思います。
さすがに誕生日や電話番号を使う人は少ないと思いますが、キーボードの端から順に押していくといった入力操作をみられたら一瞬で分かってしまうようなものも避けたほうがよいでしょう。
4:共有設定を見直そう!
IPAの資料ではネットワーク機器として複合機が挙げられていますが、10年ほど前に東京大学や複数の大学において複合機で読み取った情報がインターネット上で誰でも閲覧できる状態になっていたという問題があったようです。
現在でもネットワーク機器を設置する際にパスワードをデフォルトのままで使用していたり、無自覚で外部ネットワークに接続させていたりするケースが多いので気を付ける必要があります。
特に中小企業ではネットワーク関連の知識を持つ人材がいないことも多いため、「星1」の宣言にいれることで意識を高めてもらうことができます。
自社でも複数のプロジェクトでコンフルやチャットワークを利用して情報のやり取りを行っていますが、プロジェクトの異動や退職した場合などは速やかに権限を更新する必要があります。
5:脅威や攻撃の手口を知ろう!
これに関しては自社では個人の裁量に任せている所があります。
人によってはIPAのサイトやクラウドサービスが提供している注意喚起などをチェックしているかもしれませんが、会社として教育の場などは用意されていません。
しばしばシス管から注意喚起のメールが届いたりしますが、個人でも防御力を高めていくことは重要です。
自分が標的にされるとは思っていないときに攻撃者に狙われると、ちょっとしたことでIDやパスワードは盗まれてしまいます。
攻撃者が使用するソーシャルエンジニアリングの手口などは一度でも目を通しておけば被害を未然に防ぐことができる可能性があるので会社での勉強会などを積極的に行うことが意外と役に立っていることがあります。
「星1」が宣言する内容を見てきましたが、1~3はすぐにでも対応できそうです。
OSの自動アップデートやウイルス対策ソフトの自動スキャンの設定をONにしたり、パスワードの設定に一定のルールをもうけるだけでも対策となると思います。
4に関してはデフォルトのパスワードは変更するにしても、共有設定の細かい調整はある程度ネットワークの知識を必要とする上に、状況が変わったときに柔軟に設定変更に対応できることが求められたりするので意外と手間がかかりそうです。
5については情報収集サイトや手口についての資料を従業員に配布しただけでは人によって認識にばらつきがでてしまうので、社内向けの講習会やe-ラーニングの実施などを行う方が効果が出ると思います。
コンプライアンスの一環としてセクハラやパワハラの講習を年一回受けることが義務づけられていると思いますが、それと同じぐらいの頻度で従業員に実施してもらってもよいと個人的には思ってます。
セキュリティアクション「星2」:5分でできる!情報セキュリティ自社診断
1~5は「情報セキュリティ5ヶ条」とかぶっているので割愛します。
No6:電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気を付けていますか?
最近ではメールで外部の人とデータをやり取りするケースは少なくなってきました。
自社ではチャットワークやLINE、Slackなどでメンバーを限定した閉じられたチャット部屋を使ってやりとりしていて、ファイルもそこで受け渡しをしています。
しかし、社内メールなどでたまに添付ファイルやURLリンクが記載されているものがあり、攻撃者は内部メールを装って送ってくることがあります。
自社では不審なメールが社内に流れた場合は速やかにシス管に報告し、シス管から全体に注意喚起が通知されます。
会社として特にルール化されているわけでないので個人で気を付けるしかないのですが、時々、社内でも感染報告があるので従業員のセキュリティ対策への意識の向上が課題となっています。
No7:電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか?
これも気を付けるしかないのですが、たまに間違った全体メールが届いたり、誰かの夏休み取得期間延長の承認メールが届いたりするので改善の余地はあるところです。
前に同じ苗字の人宛てのメールがグループ会社の人から届いたことがありました。
新人であれば重要な情報を取引先などに送信する際は、BCCで上司にも送られるようにしたり、送信前に同僚にダブルチェックを行ってもらうなどが考えられますが、仕事を任せられるようになってくるとそういったこともできなくなってくるので、自分自身で送信前にチェックするルーチンを習慣づけるのが良いかもしれません。
送信ミスをしても重要書類のファイルはパスワードをかけておくようにしましょう。
No8:重要情報は電子メール本文にかくのではなく、添付するファイルに書いてパスワードなどで保護していますか?
これもあまり重要情報をメールでやり取りする機会が減ってきましたが、チャットワークやLINEなどで限られたメンバ内で閉じられた情報のやり取りができていると思います。
初めてプロジェクトの開発環境を構築するときや、サーバへのアクセス設定をするときでもアカウントとパスワードや証明書などが同時に送られてくることは今までなかったです。
ただ、会社の全体会などで発表された月次売上などが記載された資料を共有するために資料ファイルをそのままメールで全社員に一括送信することがあります。
宛先のメーリングリストには社員のメールアドレスしか登録されていない前提ですが、そのメーリングリストに攻撃者のメールアドレスを混入された場合は情報が筒抜けになってしまいます。
メーリングリストの内容を定期的に見直したり、社内LANからしかアクセスできないサーバ上にファイルをアップロードするなど対策が必要になってきます。
No9:無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
社内で使われている開発用の無線LANは暗号化方式はわかりませんがパスワードは毎月変更されており安全な状態を保てていると思います。
ゲスト用の無線LANのパスワード管理については少し不安ですが、ゲスト用の無線LANはアクセスログを残しておりある程度監視されているようなのできっと大丈夫です。
(機器や通信ログはシス管任せなのでしっかり運用されていると思ってます^^;)
No10:インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか?
インターネットやSNSの利用ルールについては会社から細かく規定されているわけではないのですが個人の常識の範囲内で利用されていると思います。
ファイアウォールによって社内からアクセス制限されているサイトがありシス管によって一定の制限は設けられています。
プロジェクトの案件によっては情報公開を制限しているものがあり、そのことを全体会やメールなどで伝えてもらえています。
基本的には拡散してほしいという要望以外は自重したほうがよいでしょう。
公開された情報にあんまり早く反応してしまうのも関係者と疑われてしまう可能性がありますが、そのあたりはあいまいです。
No11:パソコンやサーバーのウイルス感染、故障や誤作動による重要情報の消失に備えてバックアップを取得していますか?
自社では開発データがgitやsvnでリポジトリ管理されているのでPCが変わっても開発環境を復帰させるのはそれほど手間がかからないようになってます。
社員情報などが保存されているサーバやPCについてはどうなっているのかわからないのでシス管がバックアップ体制を整えている事を信じます。
社内HR関連のシステム変更でバックアップする体制が整っているような感じだったのでおそらく大丈夫です。^^
No12:紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
社員の個人情報など扱いについてですが、例えば面接資料などを机上に置きっぱなしにしておくなどするのは問題があります。
以前は年末調整書類を総務の机の上のボックスに入れておく形式で問題がありましたが、現在はオンライン申請で行っているので解消されていると思います。
人によって認識が様々ですが、何が重要情報にあたるのかという定義が共有されていないことも問題だと思います。
No13:重要情報が記載された書類や電子媒体を持ち出すときは、盗難や紛失の対策をしていますか?
自社では社内機器の持ち出しには上長やディレクターなどの許可が必要で、資材管理表で持ち主を割り当てられて管理しているためルール化はされています。
ただ、スマホやUSBなどが紛失した際に追跡したりロックを掛けたりする仕組みはないので、万が一紛失した際に備えてパスワードロックを掛けるようにしましょう。
No14:離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
これは見た限り皆さん実施されているようで問題ないと思います。
WindowsやMacでも画面ロックのショートカットが用意されており、新入社員には離席時にロック操作をするように指導されています。
No15:関係者以外の事務所への立ち入りを制限していますか?
自社ではIDカードを使って入室するので対策ができています。
ピギーバックなどで入ってこられることもあるので、もし身近に見知らぬ人がいた場合は声をかけるようにした方がよいでしょう。
外部の方がよく出入りする会議室エリアと執務室の間もIDカードがないと行き来できないのでしっかり対策できていると思います。
No16:退社時にノートパソコンや備品を施錠補間するなど盗難防止対策をしていますか?
これは自社では実施できていません。
以前、別の会社に出向していたときは、業務終了後は施錠可能な引き出しにしまうルールがありました。
執務室自体がIDカードを所持していない人は入室できない仕組みですが、逆に言えばIDカードを何らかの手段で入手してしまえばいつでも執務室に入ることができ、そのなかで各自のパソコンが出しぱなっしになっている状況は、容易に持ち出し可能な状態だと言えます。
全ての従業員に施錠付きの引き出しのある袖机を用意するのも大変なので実現は難しそうです。昔はデスクトップのパソコンばかりだったのですがノートパソコンの性能が上がって業務がどこのデスクでも行えるぐらい便利になった一方、容易に持ち出されるリスクについても考えていかないといけないと思いました。
No17:事務所が無人になるときの施錠忘れ対策をしていますか?
自社では入室にIDカートが必要でオートロックなので問題ありません。
総会などで社員が一斉に抜けるときも協力会社の方だけにならないような一定のルールがあったかと思います。
No18:重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
フロア内に重要書類を破棄する用のボックスが設置されており捨てる書類はそこへ入れるようにしています。
使われなくなったPCはシス管に持ち込まれ一定の保存期間が経過した後、データを完全に消去していると思います。
No19:従業員に守秘義務を理解してもらい、業務上知りえた情報を外部に漏らさないなどのルールを守らせていますか?
クライアントと仕事をする際はNDAが結ばれていますが、守秘義務について説明する場というのは無いかもしれません。
とくにプロジェクトに属していない人は認識が低くなるのでうっかり友人などに漏らしてしまう可能性があります。
KPIなどは全社員に公開されていますが、プロジェクト内でとどめておいたほうがよい情報もあると思うので、発表するときなどは慎重に検討する必要があります。
上場している会社がクライアントの場合は、情報漏えいによって株価に影響がでたり、被害状況によっては会社に損害賠償を請求されるケースもあるため気を付けてください。
No20:従業員にセキュリティに関する教育や注意喚起を行っていますか?
自社では会社としての仕組みは残念ながらありません。
個人の裁量によって学習が求められます。
エンジニアの中では勉強会や技術的な発表会を開催しており、その場で最近の業界の動向や開発で必要なセキュリティ対策などが話されることがある程度です。
エンジニアは基本的にセキュリティに対して意識が高い人がおおいので、デザイナや企画、管理職の人向けに行える場があるのがよいのかもしれません。
No21:個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
自社では個人のPCを業務に使用する場合は申請などのある程度のチェックが入るのですが、個人のスマホでチャットワークなどを利用してやり取りを行ったりすると、データをダウンロードして個人のスマホにデータが残された場合に漏えいの可能性が出てきます。
自社では個人のスマホ利用に対するルールはあいまいです。
人によっては緊急対応のため家から本番環境へ接続できるように申請をしてセッティングを行っている人もいますが、できれば業務用のパソコンを別で自宅に用意しておくことができるのが一番良いと思います。(予算的に難しいのですが、、、)
No22:重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
自社では法務担当の方がいて全ての契約については目を通しているという話をされていたので、こちらについては万全な対策ができていると思います。
No23:クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか?
基本的に大手の実績のあるものが選定されているように思います。
採用する前にインフラ担当の方が対処サービスが自社のプロジェクトに適用できるかどうかを様々な角度から検討して報告書にまとめていました。
運用中の負荷に耐えられる構成にできるかや、自動化などで業務の効率化が行えるかなどを見ていたと思います。
No24:セキュリティ自己が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
いわゆるCSIRTといわれる企業内の組織を指しますが、もし自社内でセキュリティインシデントが発生した場合にシス管が全ての部署を横断的に指揮するといった役割を担うのかははっきりしません。
もしもの時のために、従業員がおこなうべき手順などの作成や周知を行っておく必要があります。
サービスが終了したプロジェクトでgitサーバとして使っていたサーバでクリプトジャッキングが行われていたという問題がありましたが、そのときは被害も最小限でインフラ担当の作業で迅速に解決ができてしまったため組織的な体制構築が必要と判断されるまでには至っていません。
一番恐ろしいのは、自社のネットワークを踏み台にしてクライアント側のネットワークへ侵入したり重要情報を流出させたりする事態になることです。
クライアント側に損害を与えるばかりでなく、自社の信頼もなくして事業継続が困難な事態に陥ることも考えられるので早めの体制整備が必要となってきます。
No25:情報セキュリティ対策(上記1~24など)をルール化し、重合インに明示していますか?
自社では一部ルール化されているところもありますが、情報セキュリティ対策の視点ではまだまだ改善すべき点があります。
またルール化するだけでなく従業員に周知させることも重要になります。
採点結果
私が自社を勝手に診断してみた結果だと、「5分でできる!情報セキュリティ自社診断」の結果は、60点でした。
少しがんばれば70点はすぐに超えてくると思います。
100点満点にするにはまだまだ時間がかかりそうですが、実施する目標を公開することで自社のセキュリティ対策に何が不足しているのかを認識して従業員のセキュリティ対策に対する意識を向上させることができ、情報漏えいやランサムウェアなどの被害を未然に防ぐことができるのではないかと思います。
5分でできる!情報セキュリティポイント学習
IPAの「情報セキュリティ支援サイト」には無料で情報セキュリティについてのe-ラーニングができるページがあります。
5分でできる!情報セキュリティポイント学習
私もまだ利用できていませんが、地道に一つ一つこなしていって日頃のセキュリティ意識を高めていきたいと思います。
この記事を最後まで読んで頂きありがとうございました。
情報処理技術者試験の勉強まとめ記事一覧はこちら↓
【情報処理技術者試験に役立つ!】用語と解説をまとめたリンク集(PDFデータ付き)
私が情報処理安全確保支援士試験の勉強をしていたときにまとめた資料集です。 印刷して机の横の壁やトイレのドアとかに貼っていました。 試験は無事合格でした。
https://pandadannikki.blogspot.com/p/pdf.html
投稿
0 件のコメント:
コメントを投稿