サイバーセキュリティ基本態勢診断 質問

当該診断サービスは客観的に自社のサイバーリスクを診断できるよう、グローバルでトップレベルのセキュリティベンダーであるベライゾン社と共同で開発したものです。

MS&AD × verizon

以下24項目の質問項目は、日々進化するサイバーセキュリティの脅威から社会の資産を守るために必要最低限なセキュリティ対策の取り組み状況に関するものです。

それぞれの質問に対して、「はい」か「いいえ」のいずれかを選択してください。

(質問は全部で24問ありますので、全ての質問に回答してください。)

質問1

情報セキュリティに関わるルールや対策を定めていますか?

日々変化する情報セキュリティの脅威から会社や従業員を守るためには、会社として明確なルールを定め、従業員がそのルールを守ることができるように、文書化し通知することが必要です。

質問2

情報漏えいや不正アクセスなどの情報セキュリティ事故の発生に備えて体制や手順を整備していますか?

残念ながら、情報セキュリティ事故を完全に防ぐことはできません。しかしながら、いざ事故が起こってしまったときに、その被害をいかに最小限に抑えるかが非常に重要です。
万が一の場合でも迅速に対応できるよう連絡体制や対応手順を整備しておくことが必要です。

質問3

業務に関わる情報を、業務に関係のない人や組織に漏らさないようルール化して従業員に守らせていますか?

情報漏えいは悪意ある外部からの攻撃のみが原因ではありません。自社の従業員が引き起こすことも少なくありません。
従業員が、悪意の有無にかかわらず外部や競合先に会社の重要な情報を漏らしてしまわないように、守秘義務を課したり、不用意に外部に話さないようなルールを決めておくことが必要です。

質問4

従業員に対してセキュリティ教育などの啓発活動を実施していますか?

全従業員が会社の情報セキュリティルールを知り、様々なセキュリティの脅威から会社の情報を守るためには、情報セキュリティ教育やトレーニングは欠かせないものです。
入社時の教育や日々変化するセキュリティの脅威に関わる定期的な教育の実施はもちろん、情報セキュリティ関連の社内ポスター掲示など、日ごろの注意喚起を促す対策も非常に有効です。

質問5

インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか?

インターネット上には様々なツールやサービスが存在します。SNSなどこれらの誤った使い方が思いもよらない情報セキュリティ事故につながってしまったケースも少なくありません。
会社の情報を意図しない開示や漏えいなどのリスクから守るために、従業員にインターネットを利用した様々なツールの正しい利用方法を伝え、ルール化することが必要です。

質問6

セキュリティのルールや、セキュリティ対策の実施状況が適切かどうか確認する仕組みはありますか?

情報セキュリティを取り巻く環境は日々変化しています。一度情報セキュリティルールを定めた、対策を実施したからといって、それが1年後も効果的である保証はどこにもありません。
無理なくかつ会社の情報を適切に保護し続けるためにも、定めたルールや実施している対策を1年に一度などの頻度で定期的に見直し、必要に応じて更新していく必要があります。

質問7

社内のパソコンから一時的に離れる際には、第三者がパソコン画面の内容を閲覧できないようにしていますか?

残念ながら従業員の中や清掃業者などの外部業者の中にも、様々な理由で本来自分が知るべきではない会社の情報を狙っているものがいる可能性があります。無人状態になったパソコンは、そうしたものにとって確固たる標的になってしまいます。
こうした場合でも、パソコンの画面上の情報、個人情報、会社の機密情報などが本来知るべきでないものの手に渡らないよう、スクリーンセーバーなどを活用して画面の盗み見ができないよう対策を行う必要があります。

質問8

会社の敷地、建物内において、業務に関係のない第三者が勝手に侵入できないような対策を施していますか?

オフィスは会社の重要な情報の宝庫です。またより機密な情報が保管されている人事室やサーバ室がオフィス内にある場合もあります。こうした情報や場所への外部者のアクセスはもちろん、従業員であっても本来知るべきではない情報にアクセスできてしまわないよう、入館、入室管理は非常に重要な対策です。

質問9

会社で保有する情報機器(PC、サーバー、ネットワーク機器、電子記憶媒体)を特定しセキュリティの観点から管理していますか?

情報セキュリティ事故が発生した場合でも、そもそも会社が何を保有していたのか、それがどこにどのようにあったのかという情報なしでは、被害の正確な特定や、その後の対応策の検討も効果的に行うことができません。
こうした事態を防ぎ、効果的な情報セキュリティ対策を実施するためにも、会社の資産管理が改めて重要視されています。

質問10

重要な情報が記載されている書類や電子媒体(USBメモリ、外付けハードディスク等)を紛失や盗難から守る対策を行っていますか?

情報セキュリティ事故はニュースを賑わすハッキングのような大規模なものばかりではありません。USBメモリの紛失やノートPCの盗難なども場合によっては重大な情報セキュリティ事故につながります。会社のPCやUSBメモリなどの電子媒体を盗難や紛失から保護し、思わぬ情報漏えい事故から会社を守るためにも、取り扱いや携行する際のセキュリティルールを明確に定めて、従業員に周知しなければなりません。

質問11

業務に関わる情報を含むPCや書類、電子媒体などは、その情報が第三者の手に渡らない方法で廃棄していますか?

重要な情報が記載された書類や情報を保管した電子媒体から会社の情報が漏えいしたケースが非常に多くあります。情報を読み取れない、また復元できない方法によって適切に廃棄するよう、明確にルールを定める必要があります。

質問12

会社のネットワーク構成を文書化していますか?

会社のネットワークやシステムは、事業の形態や事情によって変更されることが少なくありません。こうした変化は、時として思いもよらない情報セキュリティ上の弱点を生み出してしまう可能性もあります。ネットワーク構成システム構成を適切に文書化し、変更を都度反映していくことは、情報漏えいのきっかけをなくすことにもつながります。

質問13

インターネットの脅威(攻撃)から会社のネットワークを守るためのセキュリティ機器を導入していますか?

インターネットには、悪意を持った様々な攻撃者がはびこっています。電子メールを悪用した攻撃や、不正な通信を利用した攻撃などから会社の情報を守るためには、自社の環境に合わせた様々なツールやサービスを利用して様々な攻撃を監視、遮断する必要があります。

質問14

電子メールの取り扱いに関わるセキュリティルールを定めていますか?

電子メールは今や業務にはかかせないツールですが、誤った使い方は重大な情報セキュリティ事故につながりかねません。電子メールを原因とする事故を防ぐために、電子メールを利用して「やっていいこと」と「やってはいけないこと」を明確に定める必要があります。

質問15

社内のWi-Fi(無線LAN)は、盗聴や不正利用から保護する対策を施していますか?

昨今はWi-Fiを業務に利用する会社も多くあります。しかし便利な一方、適切に設定されていないWi-Fiは悪用されて情報セキュリティ事故に原因になりかねません。セキュリティを意識した適切なWi-Fiの設定は、情報セキュリティ事故防止には欠かせません。

質問16

会社の情報を利用する様々なツールに対するアクセス制限を行っていますか?

情報セキュリティは、「知る権利があるもののみが必要な時に知ることができる」という基本的な考え方のもとになりたっています。知る権利のないものが情報を得てしまうことは重大な情報セキュリティ事故につながりかねません。会社の情報へのアクセス権を適切に管理することは、情報セキュリティ事故防止の基本原則として非常に重要な対策の一つです。

質問17

パソコンや情報システムへのアクセスに利用するパスワードの利用ルールを定めていますか?

情報システムやパソコンは会社の重要な情報を保管する、取り扱う大切なツールです。このツールの利用を適切に制限するためには、パスワードでアクセスできる人を限定する必要があります。またこのパスワードが他人に知られて重大な情報セキュリティ事故につながらないよう、推測されにくいパスワードの設定など。明確なルールを定めることが必要です。

MS&AD × verizon

質問18

業務で使用する携帯端末(スマートフォン・タブレット)を会社で管理し、必要なセキュリティ対策を施していますか?

スマートフォンなどの携帯端末は非常に便利である反面、容易に情報セキュリティ事故を引き起こす原因にもなりえます。携帯端末自体にセキュリティ機能を設定することはもちろん、いつだれがどのような端末を使っているかを把握することも情報セキュリティ事故を防ぐために必要です。

質問19

会社で使用するパソコン等の機器の内、ウイルス対策を必要とする機器にアンチウィルスソフトを導入していますか?

コンピュータウィルスやウィルスを利用したさらなる攻撃からの防御は、情報セキュリティ対策をする上では最も重要なものの一つです。アンチウィルスソフトの導入はもちろんのこと、そのソフトが適切に機能するように、常に最新の状態に保つなどの管理も必要です。

質問20

業務で使用するソフトウェアを管理していますか?

ソフトウェアの利用は業務に欠かせませんが、不正なソフトウェアの利用は重大な情報セキュリティ事故につながりかねません。意図しない情報漏えいを防ぐためには、業務に必要なソフトウェアを特定しそれ以外のソフトウェアのインストールや利用を適切に制限する必要があります。

質問21

ウィルス感染等の情報セキュリティ事故やシステム障害に備えて、パソコンやサーバーに保存されている重要なデータのバックアップを取得してますか?

業務データは会社にとって最も重要な資産です。このデータが使えなくなってしまうと業務自体が止まってしまい莫大な損失につながりかねません。データの盗難や紛失のみではなく、地震などの重大な災害時などでも常にデータを利用・回復できるようデータのバックアップを取得し、安全に管理する必要があります。

質問22

セキュリティ機器のログ又は、発見されたイベントの記録を取得していますか。取る設定を有効にしていますか?

ネットワークや情報システムのログとは、記録や証拠のことです。この記録や証拠がなければ、会社のネットワーク上で何が起きているかを把握したり、万が一の情報セキュリティ事故の場合でも、原因を突き止めたりすることができません。ログを適切に取得し、管理することは情報セキュリティ事故の未然防止や二次被害の拡大防止に非常に有効です。

質問23

パソコンや携帯端末など情報機器のOS(オペレーティングシステム)やソフトウェアのバージョンは常に最新の状態にしていますか?

パソコンやソフトウェアなど業務で使用するツールは日々進化しています。こうした進化には、重大なセキュリティ上の弱点を克服する内容も含まれています。こうした弱点の放置は重大な情報セキュリティ事故につながるため、提供されるパソコンやソフトウェアのアップデートなどは適切に管理し適用する必要があります。

質問24

セキュリティ面を考慮して、会社の情報の取り扱いを委託している外部サービス(開発ベンダークラウドサービスベンダー等)を管理していますか?

情報セキュリティ事故は、外部委託先が原因で起きることも多々あります。会社の情報セキュリティをしっかり管理していても、会社の情報やその取り扱いを委託している外部かがずさんな管理をしていては自社の情報を守れているとは言えません。外部委託先でも自社と同様に情報が守られるよう管理する必要があります。

1~24の全ての質問項目に回答いただいた後、下記の「診断する」ボタンを押してください。

24問の基本質問に対する貴社の診断結果

0 /1,000

  • 0
  • 100
  • 200
  • 300
  • 400
  • 500
  • 600
  • 700
  • 800
  • 900
  • 1,000
  • 対策が不十分
  •  
  • 対策が万全

貴社では、まだサイバーセキュリティに対する取り組みがほとんど行われていないに等しい状態であるといえるでしょう。

今回ご回答頂いたサイバーセキュリティの取り組みに関わる質問は、日々進化するセキュリティの脅威から会社の資産を守るために必要な基本的な対策をまとめたものです。

現状のままでは、標的型メール攻撃など悪意あるものによる外部からの攻撃や、従業員によるミスなど、様々なセキュリティの脅威に対して脆弱であり、いつセキュリティ事故が起こってもおかしくない状態です。

サイバーセキュリティ保険のススメ

貴社では、今後IPAのセキュリティアクションや今回ご回答頂いた24の質問項目を参考に、まずは基本的なセキュリティ対策を進めていく必要があります

しかしながらセキュリティの脅威は常に身近に迫っているものであり、いつ重大なセキュリティ事故が起きてしまうかわかりません。いったん重大なセキュリティ事故が発生してしまうと、損害の賠償や会社の信用の失墜などによって、会社が危機的な状況に追い込まれてしまいます。
最低限の対策を進めるとともに、万が一の事態に備えておくことも重要です。

セキュリティ事故による賠償損害と費用損害に対する充実した補償を提供するサイバーセキュリティ保険をご活用ください。

上記は簡易診断の結果となります。

詳細診断のご案内

詳細な診断をご希望の方は代理店にご相談ください。

詳細診断では貴社の業種に応じた傾向値や、貴社が対策すべき項目推奨されるサービスなど、より具体的なレポートをご提供いたします。

代理店検索

情報セキュリティに関わるルールや対策を定めていますか。

  • 従業員の間で認識しているセキュリティルールはあるが、正式に文書化されていない。
  • 情報セキュリティポリシーやセキュリティに配慮したPCの利用マニュアルなど必要なセキュリティルールを定め文書化している。
  • 文書化されたセキュリティルールや対策は、年度末など定期的に見直し、必要に応じて改定している。

情報漏えいや不正アクセスなどの情報セキュリティ事故の発生に備えて体制や手順を整備していますか。

  • 情報セキュリティ事故の対応をする担当者(組織・チーム・グループ)は決まっている。
  • 情報セキュリティ事故の対応手順書を作成している。
  • 従業員が情報セキュリティ事故に遭遇した場合の連絡先を定めて全従業員に通知している。
  • 自社で対応が困難な情報セキュリティ事故が発生した場合に、その対応をお願いするベンダーやセキュリティ専門家を特定又は契約している。
  • 情報セキュリティ事故の対応手順や方法に基づき、定期的な訓練をしている。

業務に関わる情報を、業務に関係のない人や組織に漏らさないようルール化して従業員に守らせていますか。

  • 従業員の入社時には、守秘義務契約宣誓書などへの署名を求めている。
  • 従業員の退職時にも、退職後も継続する守秘義務契約や宣誓書などへの署名を求めている(又は入社時の守秘義務契約や宣誓書が退職後も有効である)。
  • 電車での移動中やエレベーター内、友人の集まりなど、不用意に業務に関わる情報を話さないようルールを定めている。

従業員に対してセキュリティ教育などの啓発活動を実施していますか。

  • 従業員の入社時オリエンテーションの際に、会社のセキュリティルールについて教育を行っている。
  • 1年に一度など定期的に、セキュリティルールや最新のセキュリティ動向などについて教育を行っている。
  • フィッシングメールや新たに蔓延しているコンピューターウィルスの特徴や注意する点などについて、電子メールなどで情報の共有を行っている。
  • 会社内に、セキュリティルールに関わるポスターを掲示するなど、啓発活動を行っている。

インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか。

  • 業務に関係のないWebサイトの閲覧や、情報のダウンロードなどを禁止している。
  • Webストレージへ許可なく会社情報をアップロードしたり、会社の情報をインターネット掲示板に記載したりすることを禁止している。
  • 許可なくSNSに会社の情報を掲載しないなど、SNSの利用に関わるルールを定めて従業員に通知している。

セキュリティのルールや、セキュリティ対策の実施状況が適切かどうか確認する仕組みはありますか。

  • 会社のセキュリティ対策の実施状況、セキュリティルールの妥当性などを内部監査で定期的に確認している。
  • セキュリティルールなどを確認した結果を、必要に応じてルールの改定や新たな対策の検討などに活用している。
  • セキュリティに関わる監査や確認を外部業者や専門家に委託して行っている。

社内のパソコンから一時的に離れる際には、第三者がパソコン画面の内容を閲覧できないようにしていますか。

  • パソコンから離れる際には、従業員が手動で画面をロックする操作をしている。
  • パソコン上で一定時間操作が無い場合、自動でパソコンのロック又は、スクリーンセーバーが起動する様に設定をしている。

会社の敷地、建物内において、業務に関係のない第三者が勝手に侵入できないような対策を施していますか。

  • 来客者用の会議室などを用意し、オフィスエリアの中でも第三者が入室できる範囲を制限している。
  • 許可を得た第三者がオフィスエリアに入室する際には、日時や組織名などを記録し、後日確認できるようにしている。
  • 機微な個人情報を扱う部屋やサーバー室など特別な部屋は、社員でも許可されたもののみが入室できるようにしている。

会社で保有する情報機器(PC、サーバー、ネットワーク機器、電子記憶媒体)を特定しセキュリティの観点から管理していますか。

  • 会社で利用する情報機器は、すべて会社で購入し、部門や個人が勝手に購入したものを利用していない。
  • 会社が保有するパソコンはすべて特定し、台帳などで管理している。
  • 会社が保有するサーバーネットワーク機器等はすべて特定し、台帳などで管理している。
  • 会社が保有する電子記憶媒体(USBメモリ、外付けハードディスク等)はすべて特定し、台帳などで管理している。
  • 会社で保有する情報機器の棚卸を半年や年に一度、棚卸している。
  • 会社のネットワークに接続されているPCやサーバー等の情報機器を自動で識別し、検出できるような資産管理ツールを利用している。

重要な情報が記載されている書類や電子媒体(USBメモリ、外付けハードディスク等)を紛失や盗難から守る対策を行っていますか。

  • 重要情報が記載された書類や電子媒体を机上に放置しないルールを徹底している。
  • 重要情報が記載された書類や電子媒体の保管場所を定めて、必要時以外は施錠保管することを徹底している。
  • 重要情報が記載された書類や電子媒体を社外に持ち出す際には、電車の網棚に置いたり、車中に放置したりすることのないよう、常に携行するルールを徹底させている。
  • 重要情報が記載された書類や電子媒体を社外に持ち出す際に、上長の承認を得たり、持ち出し記録をつけるなど、いつ、だれが、何を持ち出したかを把握できるルールを定めている。

業務に関わる情報を含むPCや書類、電子媒体などは、その情報が第三者の手に渡らない方法で廃棄していますか。

  • 重要情報が記載された書類を廃棄する際は、シュレッダー溶解処理等を行う廃棄業者を利用している。
  • 重要情報が記載されたパソコンや電子媒体を廃棄する際は、物理的破壊や適切な廃棄業者の利用など、保管されたデータが復元できない方法を採用している。
  • 重要情報を保管したパソコン、電子媒体を廃棄する際に、その記録(日時、廃棄数、固有番号、業者名、廃棄方法等)を取得している。

会社のネットワーク構成を文書化していますか

  • ネットワーク構成図を作成しているが、変更や追加があった後の更新が適宜行われてるとはいえない。
  • ネットワーク構成図を作成しており、随時変更や追加があった点を反映している。

インターネットから社内のネットワークを守るためのセキュリティ機器を導入しているが、外部業者に管理を任せているため、詳細は把握していない。

  • インターネットから社内のネットワークを守るためのセキュリティ機器を導入しているが、外部に導入、運用、管理を依頼しているため、詳細は把握していない。
  • インターネットとの境界にファイアウォールを導入している。
  • 外部との通信を監視したり、必要に応じて通信を停止・遮断したりすることが可能なツールを導入している(IDS/IPS
  • 従業員が悪意のあるWebサイトを不用意に閲覧したり、従業員が意図しない外部との通信が勝手に行われないよう、Webフィルタリングのツールを導入している。
  • 外部から送信されてくるEメールの内容を検査し、必要に応じて従業員のもとに届かないようにするツールを導入している。
  • 情報システムに対する不正な通信を遮断するツールを導入している。
  • インターネットからの様々な脅威に対して一つの機器・ツールで、ファイアウォールIDS/IPS機能他各種を備え多様的に対応できるセキュリティ機器を導入している。

電子メールの取り扱いに関わるセキュリティルールを定めていますか。

  • フリーメールなど、会社が指定した電子メール以外のサービスを利用してはいけないルールを定めている。
  • 個人情報は送信してはいけない、など電子メールで外部に送信してもよい情報の種類を定めている。
  • 重要な情報を電子メールで外部に送信する場合は、暗号化した又はパスワードをかけた添付ファイル形式でのみ送信することを許可している。
  • 会社の電子メールから個人の電子メールアカウントへ許可なく転送することを禁止している。
  • 不審な送信元からの電子メールや、内容の正当性が疑わしいメールは、文中のリンクをクリックしたり、添付ファイルを開封する前に、IT担当者や上長に報告して判断を仰ぐよう従業員に通知していますか。

社内のWi-Fi(無線LAN)は、盗聴や不正利用から保護する対策を施していますか。

  • 社内で利用しているWiFiはすべて会社が設置したもので、会社が把握していないWi-Fiは存在しない。
  • Wi-Fiの通信には、一般的に推奨されている十分な強度の暗号化方式を適用している。
  • Wi-Fiの設定では、業務に関係のない第三者が接続できないような設定を施している(接続にパスワードを要求する、会社の特定の端末からのみ接続できる、等)。

会社の情報を利用する様々なツールに対するアクセス制限を行っていますか。

  • パソコンは個人ごとに割り当て、IDとパスワードによるログインを必須としている。
  • 会社で利用する情報システムは、個人ごとにIDとパスワードによるログインを必須としている。
  • 情報システムの利用においては、従業員が関わる業務に必要な機能のみ利用できるよう、職位や職務内容に応じて制限している。
  • ファイルサーバーなど業務情報を保管している場所へのアクセスは、権利がある人のみがアクセスできるよう制限している。
  • 情報システムなど会社のITを運用する管理者・担当者のサーバやシステムに対するアクセス制限は必要最低限にしている。
  • 半年や年に一度など定期的に、情報システムやファイルサーバーへのアクセス権が正しく付与されているかどうか見直している。
  • 従業員が異動や退職した際に、付与されていたアクセス権やアカウントを変更・削除するルールを定めている。

パソコンや情報システムへのアクセスに利用するパスワードの利用ルールを定めていますか。

  • パソコンのパスワードには、複雑性のルールを定めている。
    (8文字以上などの文字数、英数記号大文字小文字から3種類以上利用する、推測しやすい単語を利用しない、等)
  • 情報システムのパスワードには、複雑性のルールを定めている。
    (8文字以上などの文字数、英数記号大文字小文字から3種類以上利用する、推測しやすい単語を利用しない、等)
  • パスワードが第三者に知られることを防ぐルールを定めている。
    (メモ帳に記載してパソコンの画面に貼らない、他人に共有しない、等)

業務で使用する携帯端末(スマートフォン・タブレット)を会社で管理し、必要なセキュリティ対策を施していますか。

  • 個人所有の携帯端末の業務利用を禁止している、又は利用する場合、会社支給の携帯端末と同等のセキュリティ対策を要求している。
  • 会社で支給している携帯端末は、台数や配布者などを特定し台帳などで管理している。
  • 会社で支給している携帯端末の使用においては、パスワードによる画面ロックをルール化している。
  • 会社支給の携帯端末の私的利用を禁止している。(ゲーム、業務に関係のないWebサイトの閲覧、等)
  • 会社で支給している携帯端末では、紛失・盗難時に遠隔で業務データが消去できるよう、リモートワイプ機能を有効にしている。
  • 会社で支給している携帯端末には、許可されたこと以外の操作が禁止できる、又は検知できるような仕組みやツールを導入している。

会社で使用するパソコン等の機器の内、ウイルス対策を必要とする機器にアンチウィルスソフトを導入していますか。

  • ネットワークに接続していないなどの例外的な理由のあるものを除いてすべてのパソコンやサーバーに導入している。
  • アンチウィルスソフトを導入しているが、すべてに確実に導入されているかは不明である。
  • アンチウィルスソフトの有効期限が切れていないことを確認し、必要に応じてライセンスを更新している。
  • アンチウィルスソフトの定義ファイルは、手動か自動かに関わらず、常に最新化している。
  • アンチウィルスソフトは、IT部門などが管理用ツールを利用して、その導入状況や定義ファイルの更新状況を適宜確認している。

業務で使用するソフトウェアを管理していますか。

  • 許可するソフトウェア、又は禁止するソフトウェアを定めており、従業員にも通知されている。
  • ソフトウェアのインストールや利用を制限する仕組みを導入している。
    (使用が認められたソフトウェアのみ利用できる、禁止されたソフトウェアは許可なく利用できない、等)
  • 未許可のソフトウェアを新たに利用する場合は、事前にセキュリティ面の安全性を確認している。
  • 利用が許可されていないソフトウェアを自動で検知したり、許可されていないソフトウェアのインストールを制御したりすることが可能なツールを導入していますか。

ウィルス感染等の情報セキュリティ事故やシステム障害に備えて、パソコンやサーバーに保存されている重要なデータのバックアップを取得してますか。

  • 重要なデータを格納している情報システムやファイルサーバのバックアップは、毎日、毎時間等、定期的にバックアップを取得している。
  • パソコンのデータのバックアップを定期的に取得している、もしくは、従業員にパソコン上に重要なデータを保存せずファイルサーバーなどの共有スペースに保存するよう指示している。
  • 取得したバックアップデータは、IT部門のものだけがアクセスできるよう制限している。
  • 取得したバックアップデータの保存期間は、半年や1年等、情報の重要性に応じて設定している。
  • 取得したバックアップデータは、物理テープに記録して遠隔地に保存するなど、地震などの災害時にも利用できるようにしている。
  • 取得したバックアップデータから、正常にシステムやデータの復旧ができるかどうかを定期的、もしくはシステムを構築した段階でテスト又は訓練したことがある。

セキュリティ機器のログ又は、発見されたイベントの記録を取得していますか。取る設定を有効にしていますか。

  • セキュリティ機器にデフォルトで設定されていた程度のログのみで、特に何かのルールに沿って設定したわけではない。
  • 取得するべきセキュリティ機器のログや検知履歴をポリシーなどで定義している。
  • 取得しているログや検知履歴は、IT部門のものや、外部の業者によって監視され、セキュリティ事故の発見や事故発生後の分析に活用されている。
  • 様々なセキュリティ機器のログや検知履歴を収集して管理するツールを導入し、運用している。

パソコンや携帯端末など情報機器のOS(オペレーティングシステム)やソフトウェアのバージョンは常に最新の状態にしていますか。

  • 情報機器のOSやソフトウェアのバージョンアップは、パソコンや機器の入れ替えの際にのみ行っている。
  • 情報機器やソフトウェアのバージョンアップは、更新やアップデートが配信されたタイミングで行っている。
  • 利用している情報システムとの親和性が低いなどの問題を考慮して、バージョンを更新する際にはテストを行っている。
  • OSやソフトウェアのバージョンアップのみではなく、ベンダーから配信されるセキュリティパッチも随時適用している。
  • OSやソフトウェアのセキュリティパッチを適用する際には、利用している情報システムとの親和性などの確認のため、テストしてから適用するようにしている。
  • 情報システムとの親和性の問題などが原因で、OSやソフトウェアのセキュリティパッチを適用できない場合は、適用できない情報機器をネットワークから切断したり、その他のセキュリティ機器で追加のセキュリティ対策を行うなどの代替策を講じている。
  • OSやソフトウェアの更新状況や、最新の脆弱性情報を、ベンダーからの配信や情報提供サービスの利用などによって、積極的に収集し、活用している。
  • OSやソフトウェアのバージョンやセキュリティパッチの適用状況を一元管理できる仕組みやツールを導入している。

セキュリティ面を考慮して、会社の情報の取り扱いを委託している外部サービス(開発ベンダー、クラウドサービスベンダー等)を管理していますか。

  • 会社の情報の取り扱いを委託する外部サービスは一元管理し、部門や個人の判断のみで勝手にクラウドサービスやWebサービスを利用しないようルールを定めている。
  • 会社の情報の取り扱いを外部に委託する際には、委託先候補のセキュリティ対策を事前に調査し、委託先決定の判断材料にしている。
  • 会社の情報の取り扱いを外部に委託する際には、機密保持契約を締結している。
  • 会社の情報の取り扱いを外部に委託する際には、契約書にセキュリティ対策の実施に関わる条項を含めている。
  • 会社の情報の取り扱いを委託している外部サービスに対して、業務やセキュリティ対策の履行状況を報告させたり、そのチェックを行ったりしている。
  • 特にクラウドサービスやWebサービスを利用する場合は、会社のデータの保存場所の確認や、情報の取り扱いやセキュリティ対策の実施に関わる責任範囲の明確化を行っている。