セキュリティガイドラインの概要
ふて寝するほど話したい。この番組は、システム開発25年の株式会社プラムザが、赤坂より開発現場の今と本音をザックばらんに話していこうという番組になります。
進行は私、鴨志田と、代表の島田と、人気がかし役の辰巳です。よろしくお願いいたします。
よろしくお願いします。
はい、では今回なんですけども、引き続きIPAのセキュリティガイドラインに沿ってというところになるんですが、
タイトルはセキュリティ自社診断をやってみようというところで、島田さんこれはIPAガイドラインに書いてある内容という形になるんでしょうか。
そうですね、今日はですね、主にはその辺の話をしようと思ってます。
はい、じゃあこれで大枠ガイドラインが終わりそうみたいな感じですかね。
そうですね、セキュリティガイドラインって実はまだ3分の1ぐらいしか言ってないんですけど、後の方はですね、非常に具体的な細かい内容になってきて、業界別にもやることが変わったりしますので、
ちょっとここぐらいにしておいて、よりこれ本格的にやってみようという方はですね、頑張ってその先読んでいってもらうと。
基本的に今日のところは大体どこの会社でもやって価値があるようなところなので、これをここまで読み合わせしていこうかなと、そのように思ってます。
はい、よろしくお願いします。主にはP18の表4で前回できるところから始めるっていうところのP19まで終わったというところですね。
はい。
はい、では島田さんよろしくお願いします。
はい、でですね、セキュリティガイドラインですね、皆さんお手元にありますでしょうかね、URLが貼ってありますのでそちらからダウンロードしていただいて、そのPDFのほうですね、それを元にお話ししてますが、今19ページまで終わっちゃってるんですよね。
20ページですね。20ページ以降ですね、組織的な取り組みを開始するという話になっていて、基本的にですね、基本方針作ってですね、
みんなに会社のみんなに周知していきましょうっていう話なんですよ。今ですね、自分の会社がですね、どれぐらいこうちゃんとセキュリティ対策ができてるのかっていう、そういうですね、自社診断のための25項目っていうのが用意されていまして、
これを見ると、自分のところがですね、どれぐらい真面目に取り組めているのかっていうことが100点満点出てくるっていう感じですね。25項目がありますんで、それがですね、ちゃんと実施できてるよっていうものがですね、4点。
一部やってるよっていうものは2点とか、やってないっていうのが0点って、合計すると100点満点になると。皆さんですね、これ面白いんですけど、わからないものがですね、マイナス1点になってるんですよね。
で、わからないっていうのはですね、セキュリティ対策としてはですね、良くないという状況ですね。ちゃんとやってるんだったらやってないで、経営者のほうはそれを把握してないといけないんですよね。これやってないよって。
だけどわからないっていうのは、もう無対策と言いますか、認識もできてないので、これはまずい状態ですよね。
そういうことですね。わからない、初めて聞いたみたいな、そんなん何それ。
これはなかなかヤバいですね、確かに。
ではこういった形で、ちょっとこれ面白いので見ていきますか。だいたいうちはPマーク取ってるんで、ほぼほぼ全部やってるはずではあるんですが、ちょっといきますかね。
基本的対策ですね。まず一番目、パソコンやスマホなど、情報機器のOSやソフトウェアは常に最新の状態にしていますか?これやってるはずですよね。
新しいものがね、新しすぎるものは、それはウェブサーバーとかね、そういう話はちょっと別にして、普段使ってる端末についてはやってる感じですよね。
Windowsとかは11にしたりとかそういう話ですよね。
そうそうそう、そうです。
今の時代ね、XPとかVistaとか使ってる人。
Vistaとかね。
MEとかありますけどね。
2番目ですね。パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしてますか?
これ前回の収録の後ですね、調べたんですけど、やっぱりiOSっていうのはセキュリティの設定が優れてるんで、基本的にはウイルス対策ソフトはいらないっていうふうに書いてますね。
パソコンなんかもね、今はOS付属も優秀なので、基本的に買って入れる必要ないっていうふうに思っています。これはデータ通信協会だっけな。
もうそのように言ってたはずですが。
それから3番目。パスワードは破られにくく長く複雑なパスワードを設定していますか?この話も前回しましたね、散々と。
あと4番目。重要情報に対する適切なアクセス権限を行っていますか?
前回話してない内容で、よく共通アカウントっていうのが存在があってですね。
使い回しですね。
うちで作ったシステムなんかも、ある部署では同じIDとパスワードでログインしてるとかっていうことがあったりして、やめてくださいって言うんだけど。
やっぱりそれをやると良くないですね。ログが取れないので、結局誰がやったのかがわからないと。
しかもなんか事故があったときにですね、どっから出たのかがわからないんですよね。
例えば5人で使いますって言ったのに、本当は6人目誰かが使っててもですね、それがわからないんですよね。
絶対1人で使ってるってわかってれば、誰か他の人がログインしたりしてると、おかしいってのはわかるんですけどね。
いわゆる証跡という話だと思うんですけど。
そうですね。
やっぱり何か起きたときにそれをたどるために取っておくもので、重要と言いますか。
セキュリティの観点からもそうだし、何か起きてから予防と対策の両方の観点から構築するとすごい重要な印象ですね。
そうですね。
お客さんによっては、システムによってはですね、ログインしたときに前回ログイン時刻とかっていうのを出してほしいとかっていう意見もあったりして、
それやるとあれはおかしい、自分もそのとき入った記憶ないなっていうときにすぐわかるとかね。
誰々さんがログインしてますって、あれやって自分で間違ったアカウントにログインしてないかっていうのを判断する上でも重要なんじゃないかなとか思いますね。
そうですね。
はい、そんなところですね。
それから5番目ですね。
新たな攻撃の手口を知り、対策を社内共有する仕組みできていますか?
いろんな攻撃手法が編み出されていますが、これは一般企業はあまりやりようがないんじゃないかな。
具体的な対策と課題
そうですね。それで言うと犯罪周りも、昔はオレオレ詐欺とかでしたけれども、最近は闇バイトに変わって取るべき対策が変わってくると言いますからね。
キャッチアップは必要ですよね。
そうですね。
はい、次ですね。6番目。従業員としての対策の中に入っていきますが、6番目ですね。
電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか?
そうですね。URLとかね、むやみに押さないっていう、クリックしないっていうのは本当に一番大事ですよね。
先ほど、スマホはOSが優れていて、特別なウイルス対策ソフトを入れなくても大丈夫と言ったものですね。
アプリであれば別ですので、アプリをインストールしてしまえば、そのアプリがマルウェアだったりしますと、それはやっぱり悪いことしますので、
そういうわけの分からないソフトをインストールするとか、そういうことはしちゃいけないですね、絶対に。
スマホはまあ、割りかし大丈夫かもしれないですね。
マーケットにローンチするまで、アプリをリリースするまでは結構ハードルが高いと言いますか。
そうそう、Apple Storeから落としてくれないんだけど、でもiOSは絶対Apple Storeなのかな?
絶対Apple Storeですね。
それで言うとあれですよ、Appleもテストフライトっていうテスト用のインストーラーみたいなテスト段階のアプリというか、まあ要は審査を通していないアプリもインストールできちゃうんで。
できるよね、だからね。だから悪いことする人ってそういうことやってくるんで。
ちょっと新しいアプリのテストをお願いしたくて、謝礼を支払いするのでこのアプリをインストールしてもらえますか?って言って。
それがしてみたら最後、もうマルウェアに感染されているということですね。
そうね。だからまあスマホだけじゃなくてパソコンとかもですね、変なアプリはインストールしないと絶対に身元不明なやつですね。
あと7番目ですね。電子メールやファックスの宛先の送信ミスを防ぐ取り組みを実施していますか?
これ実は難しくて、これ分かる?どうやってやるのか。
俺前聞いたことあるんだよね、これどうやってやるのかって。
宛先の送信ミスか、ああそういうことですね。
ファックスとかもね。
ファックスに関して言えば、僕新卒で入った会社はよく送るファックス先は複号機に登録してたんで、それで間違えることはほぼなかった感じですけど。
ほぼないと言っても、行の一つ下の行を選んでしまうかもしれないし。
いや本当にそれはありますね。
いや結構むずくないですか?送信完了のなんかね。
いやこれは面白い。
これ難しいでしょ?
難しいですね。
どうやってやるかって言うと、2人でやるって言うんだよね。
ああそういうこと。
無理でしょ。
いやー二人とも間違えたら終わりやん。
だいたいでも2人でメール打つときにわざわざ1人呼んで、今からメール送信していいとかって言わないよね。
やばいですね。
まあこれ現実的じゃないんでね。
まあそれぐらいダブルチェックするくらいしか本当は方法ない。
無理ね。
それから8番目。
重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
なんだよね。
これはまあ重要情報は電子メールに書いてはいけないっていう個人の情報とか、個人情報とかっていうのはそれはそうなんだけど、
それを添付ファイルにしてパスワードで保護か、どうやってパスワードを送るのかなっていうこともありますね。
まあ別メールでパスワードを明記するとか、口頭で電話で伝えるとか。
それはいいですね。
口頭で電話とかで教えるのはいいけども、別メールで送るっていうのはね、いわゆるPPAPですね。
あんまり意味がないってことですね。
あんまり意味がないですね。
1番はやっぱりパスワードをあらかじめ伝えておいて、これからしばらくずっとそのパスワードを使いますので書いてほしいと。
そのパスワードで書いてほしいと伝えておくのがいいとされてますね。
企業のセキュリティ対策
ぱっとは難しいかもしれないんですけど、弊社も使ってると思うんですが、重要情報とか機密情報はそれ専用のパスワードとかセキュリティが保護できるようなソフトとか、
SaaSとかのサービスを使って共有するっていうのがやっぱり安パイなんだろうなっていうのを今聞いていて思いましたね。
そうですね。
うちが独自で作ったんで、あれを使ってパスワードの共有のシステムを作って開発者と共有してますが、
あれは非常にセキュアで、一回こっきり開いたらもう二度と出てこないっていうか、必ずメール認証が入るんで簡単には開けない。
一回共有したものなんですね。
一回開いたらそうですし、時間で認証期間が切れちゃうんで。
そうですね。
そんな素敵なシステム、皆様もお使いいただけるようになっておりますので、ご興味があるお客様はぜひお問い合わせいただければと。
そうですね。便利ですよ、あれ。
次、9番目ですね。
無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
これは多分買ったときにデフォルトの設定を変えなければ特に問題ないセキュアなプロトコルになっていると思います。
それから10番目ですね。
インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか?
インターネットを介したウイルス感染っていうのは、さっき言ったような変なソフトをインストールしないっていうことでいいと思うんですけど、SNSへの書き込みか。
トラブル対策ってどうやるのかな?
なんか誹謗中傷を書かないとかそういう話じゃないですか。
そういうことを会社で周知すると。
そうですかね。
悪口は書くなと。
悪口ね。
あと前半は会社の業務中にサボっちゃって、メールが来て、これはなんだと思って開いてみたら変なサイトに誘導されてしまったみたい。
この項目が従業員としての対策なので、仕様のものと仕事では分けましょうみたいな感じのことを言ってるんですかね。
会社のパソコンで変なサイトを見てっていうのもあり得るのかな?夜勤の人とかね。
あり得るかもしれないですね。
あとSNSの書き込みは会社のアカウントで個人のアカウントで呟くようなことを呟かないといけない。
ちょいちょいやりますよね。
誹謗中傷は良くないですからね。
そうですね。
それから11番目ですね。
秘密保持契約の重要性
パソコンやサーバーのウイルス感染、故障や誤作動による重要情報の消去に、消失に備えてバックアップを取得していますか?
これは最近はクラウドのサービスがいろいろと発達していて、ファイルとかリアルタイムにバックアップしてもらったりする機能がありますよね。
みんな使ってるのかな?
使ってますね。
厳しい案件の復元の手順までマニュアル化して定期的にチェックもしますし。
GoogleとかMicrosoftも出してるしね。
そういうのを使ってバックアップしておいたほうがいいですよね。
それから12番目ですね。
紛失や盗難を防止するため重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
昔は机の上に山積みに書類があって、すごい徹夜で仕事してそのまま帰っちゃうとかいう人がいて、なだれが起きるとかって前の人の机にってことがあったんだけど、
そういうことはしないと今はね。
プラムザは完全にそういうことさせないので、私がもう10年くらい前にそれを全部やめさせたので、基本的にフリーアドレスだしね。
完全にクリーンデスクですよね。
書類関係も全部キャビネットに鍵付けでいる気がしますね。
有料職業紹介の免許を取りに何年か前に行ったと思いますけど、その時の要項としてオフィス内に鍵付きキャビネットがあるかっていうふうに聞かれたのをすごい思い出しました。
必ずなきゃいけないっていうね。
いわゆる個人情報の書類とか保管したりすることが、履歴書とかそういう話ですよね。
13番目ですね。重要情報が記載された書類や電子媒体を持ち出すときは盗難や紛失の対策をしていますか?
まず書類は多分ないと思うんですよね、うちの場合はね。
オフィスに置かないですよね。
電子媒体を持ち出すときっていうのは、うちなんかは基本的に完全にリモートなんでね。
USBとか外付けハードディスクドライバーとか使わないですよね。
あれもね、もう最近は使わないからね。
クラウドですね、保存するにしても。
そうですね。
重要情報がクラウドに保存という形です。
クラウドのIP制限かけてるんで。
USBメモリーとかにコピーするっていう行為自体がもう何年もやってない気がするんですけどね。
ただお手さんのところからデータもらってくるときとかですね、たまにあるんで、
そういうときは必ず会社の方に直行して自宅に持ち帰らないというルールがあります。
秘密保持契約の中に入ってると思いましたね。
それが14番目ですね。
離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
一応みんなあれをね、スクリーンセーバーを5分以内にしてると思うんですけど、
基本的に5分間は意図的に消さないと見えてしまうんだけど、
基本的にリモートなんで、そこもないんだよね。うちの場合は。
あれにあったとしても、離席するときパソコン閉じますよね?
そうですね。
その辺ちょっと気を使って、上司の人が言わないと付けっぱなしで席離れてしまうっていう人結構いますけどね。
デスクトップだったら仕方ないですけど、ノートはさすがに。
そうですね。
デスクトップだからこそスクリーンセーバーですよね。
あとこれ、社内にばっかりのところはいいんですけどね。
お客さんも来るようなオフィスで、例えば車の販売店とかですね。
カウンターの中が見えちゃうとか。
それとかちょっと慎重にやった方がいいかもしれないですね。
スクリーンセーバーも30秒とかにして。
それから15番目ですね。
関係者以外の事務所への立ち入りを制限していますか?
これ先ほどの話に通じるとこありますけども、結構仕切りが曖昧だったりするとこもありますんでね。
そういうところはちゃんと分けた方がいいですよね、パーティションとか使って。
それから16番目ですね。
退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
これ大事なんですよね。
やっぱり持ってかれちゃって、時間をかけてやればですね、さっきのブルートフォースじゃないですけど、
パソコンって開かないんですけどね、なかなかね。
なかなか開かないですけど、持ってかれると結構不安ですよね。
あとその情報自体に価値があるっていうのもそうですし、
パソコンとかであればリバースエンジニアリングっていって分解とかしちゃって、
価値の高い半導体の部品とかを売っ払うみたいな。
そうですね、それは物理的な被害、損害ですね。
そんなこともあるんじゃないか。
それから17番目ですね。
事務所が無人になるときの施錠忘れ対策を実施していますか?
これはうちの場合はないからね。
うちセコムじゃないですか?
あれも全部忘れて入っちゃったらどうなるのかっていう。
あれもなかったらちょっとそうですね、やばいかも。
セコムしてないじゃんってなるんで。
そうだね、基本的にうちの場合は小さなオフィスなんで、
帰るとき真っ暗じゃないっていうことがおかしいんだよね。
確かに。
あれはちょっとここもしかすると2になるかもしれないね、うちの場合も17番。
でもそれで言うならばオートロックとかになるしかないですよね。
そうだね、オートロック。
でもオートロックも完全に扉をカチッとやってなければ。
そうだね、表のビルのロックがあるんで簡単に入ってくることはできないんだけどね。
ヨーロッパの家とかだったら基本全部オートロックですよね。
オートロック以外にどうすればいいのかちょっとわからないですね。
重要情報が記載された書類や重要なデータが保存された媒体を破棄するときは復元できないようにしていますか?
これは当然やらなきゃいけないですね。
うちの場合は業者にちゃんと出して廃棄証明書を作ってもらってますね。
それからあと7つですよ。
19番目、従業員に守秘義務を理解してもらい業務上知りえた情報を外部に漏らさないなどのルールを守らせていますか?
これはかなりうち厳しく守秘義務契約結んでますよね。
そうですね。
これね、やっぱり社員だから安心ってことはないので、むしろ任さすのが社員だったりしますので、
経営者の人は従業員としっかり個別に守秘義務契約結んだ方がいいと思いますよ。
これ名前出していいかわからないですけど、某○○県知事の選挙の件でPR会社の社長があることないことをベラベラ喋り尽くしてしまって、
そうなってしまってますけど、本当に有能な敵より無能な味方こそ最大の敵であるという文字もございますので、非常に気をつけなければならない。
そうですね。
それから20番目ですね。従業員にセキュリティに関する教育や注意喚起を行ってみますか?
まさに今やってることを周知するっていうのがそういうことですよね。
教育ってやってもみんな忘れちゃうので、年に1回とか決まった時期にやるって大事だと思います。
21番目、個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしてみますか?
これ一時期は個人所有の情報機器を使っちゃいけないっていうことをよく言われてたんですけど、最近はそんなことも言ってなくて、
特にアメリカなんかだとですね、BYODはBring Your Own Deviceですか、自分のパソコンで仕事しようみたいな、
そういうのが普通になってきてますんで、使ってもいいとは私も思ってるんですけど、
プラムザはみんな自分のパソコンでやろうって話になってるんですけど、セキュリティ対策をしっかり周知してやってもらわないと危ないですからね。
22番目、重要情報の受領を行う取引先との契約書には秘密保持情報を規定していますか?
これももう秘密保持契約はですね、しっかりあらゆる情報を共有する、秘密情報を共有するってことですね、結んでおく必要があると思いますね。
セキュリティ診断の重要性
23番目、クラウドサービスやウェブサイトの運用などで利用する外部サービスは安全信頼性を把握して選定していますか?
そうですね、こちらも前回も言いましたけどね、前々回も言ったかな、そうやって信頼してると思ってた外注先とかですね、そこから情報が漏れてしまったりしますので、
よく信用できる人とですね、契約するというのは大事だと思いますね。
先行きますよ、24番目、セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
あれ何回やってましたっけ?
いや、緊急時の備えみたいな。
緊急時の備えはあれですよ、誰のとこに連絡が行くとかいうのはやってますよ。
例えばセコムで異常があったら誰々のとこに電話する。最終的には私のとこに来るんだけど。
そうですね、僕もセコムちゃんと解除しないでオフィス入ったままぼーっとしてたら、セコムの人来て、あなた誰ですかみたいになって、
たまたまその時、名刺持ってましたから大丈夫でした。
名刺なかったら、僕がその社内の人間かどうかっていうのを証明できなくて、
誰かを呼ぶしかなかったっていう、結構やべえ事態になったと思います。
でもその話ね、俺聞いたよ、セコムの人からね。
たつみっていう怪しい奴が来たんですけど大丈夫ですかね。
最後ですね、情報セキュリティ対策、上記1から24などをルール化して従業員に明示していますかということで、こういう内容をちゃんとマニュアルなりですね、フローを作って社員に知らしめるということをやってますかということですね。
これがですね、自社診断のための25項目ということで、皆様のですね、会社の方では何点になりますでしょうか。
プラムザは何点になりますかね、これで。
マニュアル作成と柔軟な対応
これね、たぶん90点以上いってると思うよ。
これ100点満点ですか。
100点満点だからね。
さっきの17番、事務所が無人になるときの正常を合わせる対策。
これは…
一つ思いついたんですけど、なんかトラップとかも仕掛けておいたらいいんじゃないかと思ったんですけどどうですかね。
トラップ?
トラップ。
何か竹槍が突き出てきたりとか。
そう、抹殺しちゃうわけですね。
それでは、そういう形で、うまく拾えませんでしたが、25項目チェックしてもらって、点数上がるようにですね、施策を打っていってもらいたいということですね。
それを先ほど言った通りですね、マニュアル等にしてですね、周知して、で、うまくいかなかったですね。
うまくいかないところとか、うまく業務にそぐわないところについては、修正を入れていくということが大事だったりします。
この全部のPマークなんかも全部そうなんですけど、対策を作ってその通りにいかないとみんな諦めてしまう。
これは現実的じゃないということで諦めてしまってしますけど、そういうことをしないでですね、それは柔軟に変えていくというルールのほう。
それが大事ですよというようなことをよく言われます。
はい、こんなところですね。23ページもですね、ちょっと時間もあるんですけども、こちら読んでいただいて、24ページ目からですね、本格的に取り組むという方法がずっと書いてあります。
こうなっていくとですね、非常に専門的になってきますし、時間もかかってきますので割愛しますが、皆さんですね、会社のほうでどんどんですね、このセキュリティを気をつけていただいて、
情報漏洩等ないようにですね、頑張っていただきたいなというふうに思います。
はい、ありがとうございます。このP21ページの表5自社診断のための25項目、まずやってみていただいて、そこの項目を埋めていくためには、
18の表4の重要な項目の取り込みに、該当のそれこそ専門的になってくるというような本格的な取り組みのページの先も書いてありますので、そこをぜひやっていっていただければという形になりますというところで、
ちょっといつもよりは長くなってしまいましたが、何かこうセキュリティの対策の一助になればと思いますので、よろしくお願いします。
お願いします。わからなかったらプラムザの方にお問い合わせいただければというところですかね。
コンサルしますんで、はい。
これが年末の最後の配信になる形でしたっけね。
来年は1月6日からポッドキャストをまた配信させていただけばと思いますので、ぜひ引き続き聞いていただけると幸いです。よろしくお願いします。
よろしくお願いします。良いお年をお迎えください。
本日はいかがでしたでしょうか。楽しんでいただけましたらフォローや評価をお願いします。また、Xでも最新情報を随時発信していますのでよろしくお願いします。
システム開発に関するご相談がございましたら、公式ホームページからお気軽にお問い合わせください。
それではまた次回お会いしましょう。
ありがとうございました。
