セキュリティ対策ソフト マカフィーのインストール手順 ー … · セキュリティ対策ソフト マカフィーのインストール手順 ー for アンドロイド
付録 情報セキュリティ対策事例集 - IPA · 付録b....
26
��� �� �� B. ������������� ������ 66 ������������������������� ��� 9 ������������ ������������������������� �������������������������������� ���������������������������������� ��������������������������������� ��������������������������������� ������� ������ x ���� � ���������� � ���� � ��� � ������������������������� � ������ � ���������������������� � �������������������� ��������� x ������������������� x ������������������������� ���������������������
Transcript of 付録 情報セキュリティ対策事例集 - IPA · 付録b....
付録- 26
付録 B. 情報セキュリティ対策事例集
今回調査した 66社の中から、比較的に情報セキュリティ対策が進んでいる企業 9社の事例を紹介しました。 情報セキュリティ対策の検討の際に参考にして下さい。 なお、情報セキュリティ対策の具体的な対応状況・措置は、各企業の置
かれた状況、IT利活用の成熟度、経営資源、経営判断により異なります。
ここで紹介する事例には、更に踏み込んだ措置が望まれる事項も見受けら
れましたが、あえて面接調査の聞き取り内容に沿って記載しましたので、
ご注意下さい。 【記載内容】 概要属性 ① 企業概要:業種、業態 ② 従業員数 ③ 拠点数 ④ 情報システム部門:部門の有無、専任・兼任の別、人数 ⑤ IT利用用途 ⑥ マシン台数:サーバ台数、クライアントPC台数 ⑦ 地域:首都圏(東京/千葉/埼玉/神奈川) 地方圏(上記以外)
企業の特徴と情報セキュリティ対策の現状 情報セキュリティ対策の課題、問題点、今後の方針など ※事例中での暦年表示は西暦に統一しました。
付録- 27
人材派遣業 A社
「3 万人の派遣社員の個人情報をセキュアな環境で管理。IT担当者の高い専門性が強み」
---------------------------------------------------------------------------------------------
【概要属性】
①企業概要:人材派遣業(技術系のスタッフ派遣会社)
②従業員数:90名
③拠点数:全国 7箇所
④情報システム部門:運用管理 3名
⑤IT利用用途:基幹業務、DB、ファイル、Web、ログ管理
⑥サーバ:5台、クライアント:50台(うちノート 10%)
⑦地域:地方圏
【企業の特徴と情報セキュリティ対策の現状】
同社のビジネスが企業に技術系社員を派遣するという性格上、派遣社員の情報ももちろんだが、
派遣先の情報など恒常的に機密情報を多く扱う。そのため情報セキュリティについては細心の注
意を払っている。プライバシーマークを 2005年 12月に取得している。
派遣社員 3万人の個人情報を持っているために、情報の取り扱いについては全社的に徹底した
管理を行っている。その一環として従業者のセキュリティ対策に関して、正社員、派遣、アルバ
イト、パートに向けて、回覧、研修を行なっている。
また独自に「情報システム管理規則」を配布・徹底することで社員にセキュリティの考えが浸
透していることが特徴だ。その方法は「管理者&利用者の義務」をイントラネットで明示させて、
注意を喚起している。現状の管理規則は 2007年 4月 3日に制定されており、最終改訂が 2009
年 4月 3日となっている。
社員の教育も定期的に行っている。入退社時や年 1回の定期的な教育(パートも実施)のほか、
新入社員への誓約書の署名も行っている。具体的な内容としては、個人情報の取り扱いやITの
取り扱いに関して教育を行っている。
また外部の企業や取引先と情報をやり取りする際に、機密保持契約書を取り交わしている。ま
た派遣委託先からは、要求に応じて機密保持契約書を締結している。製造業系は基本契約書に機密
保持契約書が含まれているのが一般的だ。
情報セキュリティ対策の具体的なものとしては、運用管理面ではフリーソフトの使用やインス
トールは禁止している。ログの管理/PCの内部チェックも行っており、数百万円規模の投資を行
っている。USBメモリは、基本は使用禁止としているが、実際は徹底しているかといえば、すべ
てに行き渡っているとはいえないのが現状だ。また特に暗号化対策は行っていない。ウイルス対
策ソフトはサーバとクライアント PC の双方に入っている。添付ファイルに関してパスワード設
定を推奨している。
付録- 28
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報(データ)や情報システムへのアクセスを制限するために、サーバのアクセス権限は概ね
4 層程度に区分され、ID/パスワードでアクセス制限している。ただしパスワードの変更に関し
ては教育の時に指導しているが各 PC レベルでは徹底されているかどうかは疑問がある。またデ
ータ自体の暗号化は業務上手間がかかるために行っておらず、今後も考えていない。
万一情報システムに障害が発生した場合のシステム障害に関する把握はこれまでも出来ており、
明文化された書類はないが手順は決まっている。情報ネットワーク、トラブルなどの情報は企画・
IT課に一元化されているために、ディーラと連携して対処している。
またウイルス感染、情報漏えい等の緊急時の手順はプライバシーマークの緊急対策で決まって
いる。個人情報に関わる部分なので明文化している。
今まで情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の経験はな
いが、以前事務所への侵入・パソコンの窃盗の被害にあったことがある。P マークの運営側に報
告すると共に、内容を調べた結果、パソコンに機密情報が保存されて無かったので大事には至ら
なかった。
情報セキュリティの重要性は認識はしているので、今後も必要な対策を継続していく。もちろ
んコストとの兼ね合いであるが、むしろ現場の協力面(人的マネジメント)が課題・問題点とい
える。
例えば USB メモリ対策は、指導は行っているが、最終的には個人に任せているのが現状だ。
今後も個人情報の保護をさらに強化することになる。
結局情報セキュリティへの対応は自社主導で行わざるを得ないのが現状である。同社の場合、
情報システム部門に外部から有能なスタッフを雇い入れたために、高いスキルを持って推進でき
るが、取引のある販売店などからは、ほとんど良い提案や情報入手は期待できない。また地方都
市のため、セミナーやフェアなどの情報を得る機会があまり無いのも課題である。
付録- 29
医薬品、衛生用品製造販売会社 B社
「経営とIT部門が一体となった先進的な事例。自社で独自のセキュリティルールをもつIT部門の高いス
キル」
---------------------------------------------------------------------------------------------
【概要属性】
①企業概要:医薬品、医薬部外品、衛生用品、医療機器、家庭用日用雑貨の製造販売。
②従業員数:95名。
③拠点数:3箇所。
④情報システム部門:生産購買部情報システム課、運用管理 1人。
⑤IT利用目的:財務、顧客管理、給与、製品DB、グループウエア、工程管理
⑥サーバ:10台、クライアント:88台
⑦地域:首都圏
【企業の特徴と情報セキュリティ対策の現状】
情報セキュリティ対策としては独自に「情報セキュリティルールブック」を作成している。経
営サイドでは「売上に貢献するもの」「ユーザのためになるもの」に関しての投資を積極的に行う
方針である。あわせて担当者もセキュリティへの関心が高く積極性が随所に見られる。
重要な情報は、経営・財務、営業情報、人事、個人情報などで、情報レベルはグループウェア
上での公開、非公開、また公開でも階層によって区分している。グループウェア上では「必ず見
るべきもの」を全てここに移管している。その他の情報はデータライブラリーとしてデータバン
クに移管している。データバンク内の情報は共有フォルダとしているが、階層でアクセス制限し
ている。セキュリティ面から原価、仕切り、売上明細、新規開発検討の項目はグループウェア上
の公開を禁止している。
また、セキュリティに関して就業上何をしなければいけないか?などの情報セキュリティルー
ルの周知徹底について、正社員、派遣、アルバイト、パートに対し、回覧、会議、研修を行なっ
ている。社内ルール「情報セキュリティルールブック」を作成、別途新たなシステムの導入やセ
キュリティ情報は随時プレゼン資料などを作成。新入社員には入社時に研修を実施している。
入社や退社時は誓約書を取り交わしている。また外部の企業や取引先と情報をやり取りする際
に、契約書を取り交わしている。売買契約書では、機密保持に関する条項を入れている。機密保
持専用の契約は、一般業務ではないが、開発関連業者には実施している。
情報セキュリティ対策の実施体制は、情報システム部門(今は生産購買部情報システム課)が
対応。専任は 1名で、今期 2名に増員予定。コンピュータ及びソフト購入、インストール、シス
テム管理の一元化を行っている。
サーバルームは施錠管理している。入退室に関して、社外員の入退室に関しては、グループウ
エアで社名・人数・対応社を明記して申請する。
付録- 30
個人 PCの持ち込みは原則禁止(承認制)であるが、ネットワーク上は未登録 PCでも HUBに
接続すれば自動にアドレスが割り振られてしまうので、この点での注意は必要と感じている。
持ち出し用ノートPCが1台あるが、これも承認制で、社内での無線 LAN使用は禁止している。
物理的な情報セキュリティ対策としてサーバルームの入退室管理は行われている。社内への外
部人員の入退室はグループウエアで管理している。ヒヤリハット管理では、配線の処理も行って
いる。災害リスク管理では、データのバックアップは RAID5 で定期的に行っている。また、デ
ータはサーバに集約し、共有フォルダを使用し、かつ個人毎に容量を与えており、PC 側にデー
タを残さないように徹底している。
バックアップではリアルタイムバックアップソフトを使用し、本社のほかにクローンサーバを
設置し、リスクを分散している。テープでのバックアップとクローンサーバの二重のバックアッ
プとなっている。廃棄に関しても適切なルール化を行っている。
【情報セキュリティ対策の課題、問題点、今後の方針など】
現在は、運用管理用の有名な情報セキュリティ対策ツールを使用しているが、バグがあるため
他のシステムへの移行を考えている。
現状のシステムでは、デバイスの書き込みも自動で暗号化し、復元時のログも残る。ログ管理、
クライアント PCの内部管理も実施している。携帯や PDA、モバイル、USBメモリの扱いに関し
ても指示しているが、USBメモリでは書き込み時に暗号化している。
ソフトに関しては、申請によってのダウンロードとなる。無断インストールは禁止している。
電子媒体も持ち込み禁止にしている。外部への保存も暗号化を指示している。添付データに関し
ては、ユーザに手間をかけるので暗号化はしていないが、必ず申請しなければならない設定で、
ログも残る設定としている。
情報(データ)や情報システムへのアクセスを制限するために、「見るべきデータ」は全てグル
ープウエアに移行している。それ以外は特別なアクセス制限を設けている。データバンクは階層
によってアクセス制限を設けている。階層は部次長/課長/係長/主任/一般社員に区分しており、
アクセス内容を制限している。それ以外でも「経営会議出席者のみ」といった制限も設けている。
パスワードは 1ヶ月に一回変更、変更の 3日前に警告が出る。外部からのグループウェアのア
クセスは、常に変更が必要。パスワードは 6~8 文字、アルファベットと数字の組み合わせで、
同一文字 3回の使用禁止や続け文字の禁止などの規制を行っている。
課題としては、一応のセキュリティ対策は実施していると感じているが、優先順位から考える
と、セキュリティ対策はどうしても 2番目になってしまう点だ。生産管理、EDI、業務日報やグ
ループウェアなどがどうしても業務に直結している分、優先順位が高くなる。情報セキュリティ
は常に更新しながら対応しなくてはならないため、十分に対応するためには当然ながらコストが
課題(ネック)となっている。これは経済情勢からみても仕方がないことと感じている。
付録- 31
ゴミ袋製造 C社
「大手親会社の指導のもと、積極的な研修活動。社内のセキュリティレベルの向上に」
----------------------------------------------------------------------------------------
【概要属性】
①企業概要:ごみ袋等の製造・販売
②従業員数:67名。
③拠点数:6拠点(日本 4、シンガポール、インドネシア(工場))
④情報システム部門:開発及び運用 2名
⑤IT利用目的:販売管理、基幹業務、DB、人事、経理
⑥サーバ:4台、クライアント:70台(殆どがノート)
⑦地域:首都圏
【企業の特徴と情報セキュリティ対策の現状】
セキュリティポリシーを社員に徹底している。社内のイントラネット内で公表しており、策定
時には全社員向けに講習会を開いた。同活動は親会社の指導によるもの。BtoB のビジネスであ
り、個人情報は自社の社員情報が中心となるが、お客様センターに電話されるユーザの情報も多
少あり、必要性を感じていた。
情報セキュリティ実施状況把握のための施策として、セキュリティポリシー策定時に親会社の
資料で内容把握をし、その後もIPAの資料などで見直し、社員の再教育を行っている。
入社時にすべての社員にセキュリティに関して就業上何をしなければいけないか研修を行って
いる。入社時及び退職時に誓約書等は交わしていない。今後の改善テーマと考えている。入社研
修以降は、適宜講習会やメール等で通知を行い、改定内容の周知をしている。
外部の企業や取引先と情報をやり取りする際に、提携する物流業者とは契約の段階で秘密保持
契約を結んでいる。顧客については、現状契約の中にその旨謳っている先とそうでない先がある
ため、徹底を図るべく整備中である。また、情報システムの開発面等のアウトソーシング先と、
お客様相談センターのアウトソーシング先とは誓約書を交わしている。
重要な情報を保管したり、扱ったりする場所の入退管理と施設管理は、同社のビル自体、施錠
されており、入退出にはカードキーが必要で、来訪者はインターフォンでチェックできる体制。
ログまでは残していない。サーバは、サーバルームがあり、社員 ID カードでの出入りする。こ
ちらは入室制限があり、許可されている者は数名である。書類は重要文書はログが取られ、さら
に必要に応じて施錠の出来るキャビネットで保管される。
物理的な情報セキュリティ対策としては、サーバの自然災害対策までは行っておらず、無停電
電源装置のみ行っている。配線はすべてカバーし、引っ掛け防止を行っている。重要書類、CD
等の記録媒体はシュレッダーで物理的に読めなくして廃棄する。ノート PC は社外の持ち出しは
出来るが、こちらは申請、許可制。暗号化は考えてはいるものの、現在は未対応。
付録- 32
情報システムの運用に関して運用ルールについては、セキュリティポリシーと同様に策定し、
社員に公開している。策定時には社員に講習会等を行い説明している。
情報セキュリティ対策として運用管理面では、サーバのファイアウォールを導入している。PC
には、ウイルス対策ソフトを導入し、常に最新版になるよう自動設定させている。以前は、別の
メーカのウイルス対策ソフトだったが、非常に重かったのとウイルスチェックが甘いということ
で変更した。USBメモリは、使用台数、使用者を把握しておくために、申請制としている。その
使用制限は、暗号化等を行うものではない。暗号化については考えていなかった。無線 LANはセ
キュリティの問題上使用していない。またスパムメール対策として、通信キャリアのフィルタリ
ングサービスを利用している。
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報システムへのアクセスを制限するために、サーバは部分的にアクセス制限を設けている。
経理用サーバは、当該部署の社員のみのアクセス許可している。ファイルサーバは、部署ごとに
フォルダが割り当てられていて、所属部署だけのアクセス制限設定になっている。販売用サーバ、
メールサーバはアクセスフリーとなっている。グループウェアのデータベースで社員毎に読込み
のみ、読み書きなどと使用制限を課している。
情報漏えい対策で注意していることは、ソフトウエアの運用管理面での規制として勝手なイン
ストールは禁止となっている。資産管理ソフトですべての PC を管理しているために、勝手にイ
ンストールすると情報システム室で把握することが出来るようになっている。
情報システムに障害が発生した場合、業務を再開するために、障害時の切り分け作業は、情報
システム室で行うが、分からない場合、保守会社に連絡し復旧してもらう。ウイルス感染も同様。
重要性の認識としてノート PC などの暗号化を考えたいし、そのためのシステム変更も考えてい
きたいが、急務であるとは思っていない。
システム変更のためのコストが課題である。上記のセキュリティ対策よりも、速度の向上等品
質面の改良がネットワークシステムに求められているため、経営側はそちらを優先課題と考えて
いる。大きな問題は発生していないが、万一に備えた暗号化は今後の課題と考えている。
付録- 33
医療品販売 D社
「セキュリティレベルの高さは親会社の強い要請と指導によるもの」
----------------------------------------------------------------------------------------
【概要属性】
①企業概要:医療用医薬品、試薬、医療機器などの販売(親会社のグループ企業)
②従業員数:125名
③拠点数: 3
④情報システム部門:兼任(管理部)
⑤IT利用目的:受発、基幹業務、DB
⑥サーバ:5台、クライアント:130台(内ノート 50台)
⑦地域:地方圏
【企業の特徴と情報セキュリティ対策の現状】
親会社と業務提携、資本提携と関係強化をしていくなかで、親会社より情報セキュリティの要
求がなされ、一気に対策が進んだ。得意先、同社社員、問い合わせのユーザ、取引先の情報と対
象別にセキュリティポリシーは明確化され個人情報保護方針を定めている。
情報セキュリティ実施状況把握のための施策は、同社のシステム担当者が、独自に行っている。
そのためセキュリティポリシーの策定は親会社のものに合わせて行ない、その後もシステム監査
などを行い、都度チェックしている。
社員にはグループウエアでも告知し、メールや会議などでも教育している。各支店単位では朝
礼時に口頭で伝えるというケースも多い。新入社員には、研修で教育し、さらに誓約書も取り交
わしている。ただ退職者には誓約書のやりとりはない。
外部の企業や取引先と情報をやり取りする際に、すべての取引先、得意先と機密情報の保護に
関して契約書で交わしている。基本的に同社で用意した誓約書でのやりとり。相手先から、相手
先のフォームでといった要求があった場合、その内容を親会社の監査室にチェックをしてもらっ
ている。
情報セキュリティ対策の実施体制として、管理部が担当部署となっており、明確化されている。
責任者は、本社は社長、支店は支店長。サーバはサーバルームに保管しているが、金庫もあり出
入り制限はしていない。重要書類も施錠することと指示している。書類が増えて場所がなくなっ
てきているのが課題だ。
サーバの災害対策としては、無停電電源を施している。書類は別途書庫も設けており、部屋を
施錠している。ケーブルはすべて床下配線となっており、引っかけの心配はない。電子媒体の破
棄は、FDD は、中を破いて破棄する規定である。CD 等は使用させていない。PC はまず専用の
データ消去用ソフトウエアで、データを破壊し、その上で廃棄業者に委託する。重要書類は、シ
ュレッダー処理を徹底させている。ノート PC はすべてセキュリティワイヤーでデスクとつない
でいる。
付録- 34
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報セキュリティ対策としてサーバ、クライアント PC 共にウイルスソストの自動更新で最新
版にしている。サーバは 2 系統あり、一つは親会社のネット側でセキュリティ対策されている。
USBメモリは利用禁止にしていない。パスワードは設定しているが、暗号化まで行っている部署
は少ない。ノート PC は持ち出し可能としている。営業上持ち歩く必要がある。パスワードはあ
るが、暗号化までは行っていない。
PC立ち上げのためのパスワードは、立ち上げ、OS起動、業務ソフト起動と 3回の入力が要求
される。サーバへのアクセスもパスワードが必要。親会社のシステム、サーバについては業務毎
にパスワードを設定し、それぞれを必要となる社員に限って教えている。PCサーバについては、
ID、パスワードの入力が要求される。パスワードは、毎年更新しなければならない。1年ごとに
パスワードは破棄されてしまうので、変更しないとシステムを使えない。パスワードの設定は社
員が各自で行ない、規定は 5桁以上。システムごとに、パスワードを変えなければならず、各社
員が数多くのパスワードを保有することなり、覚えるのが大変。手帳に書いてしまっている社員
もいるので、パスワードを減らすといった方向性で考えていきたい。
無線 LANは、暗号化使用。ソフトウエアのインストールは禁止事項、チェック機能はない。情
報システムに障害が発生した場合、障害の切り分けは管理部で行う。必要に応じてメーカを呼ぶ。
親会社のシステムについては親会社の情報システム部門に連絡をする。
情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時、ウイル
ス感染は管理部でウイルスの除去、システム再設定を行う。情報漏洩時には、責任者の社長、支
店長に連絡が上がり、そこから親会社の情報セキュリティ室に連絡をし対処してもらう。
経済環境の悪化に伴って、IT投資も低下傾向だが、情報セキュリティに関連する投資は親会
社が考えることになると思う。それに従い、なるべく安くできる方法を考える。情報セキュリテ
ィに関連する情報収集、提案などは親会社からの情報収集が多い。本を読んだり、セミナー参加
も以前は行っていたが、今は親会社に頼っている部分が強い。
付録- 35
美術品販売 E社
「コア事業に強い関連を持つ顧客の個人情報の資産管理とセキュリティ対策は経営戦略と一体」
----------------------------------------------------------------------------------------
【概要属性】
①企業概要:美術品販売(高級美術品の店舗及びWebによる直接販売)
②従業員数:100人
③拠点数:4箇所
④情報システム部門:6名
⑤IT利用目的:経理、業務、データベース
⑥サーバ:5台(内オフコン 1台)、クライアント:100台
⑦地域:首都圏
【企業の特徴と情報セキュリティ対策の現状】
美術品の販売を店舗や Web で行っているため、顧客の個人情報は資産である。この考えに基
づきセキュリティポリシーを明確化し、全社員に徹底させている。経営側としてこの考え方は強
く、特に専務が強く推進しているので、セキュリティ意識の向上につながっている。セキュリテ
ィレベル維持のためにオープン化を避け、オフコンでのシステムを未だ採用したまま。
情報セキュリティ実施状況把握のための施策として、今回のようなチェックシートのようなも
のはないが、セキュリティについては、DVD教材等を購入などで入手した際には、全社員に教育
用に見せたりしている。
セキュリティに関してまず、入社時に教育を行い、文書にて誓約書を書かせ、朝礼や書面での
伝達、上述した DVDの視聴などあらゆる手段を講じて教育している。対象は社員だけではなく、
パートも同様の扱い。退社時に情報機密保持契約等は行っていないため、今後の課題として残っ
ている。
外部の企業や取引先と情報をやり取りする際に、納入業者には基本的にすべて機密情報の保護
に関して契約書、覚書などの締結を契約時に取り決める。同社がセキュリティポリシーの明確化
をする前からの業者には一部行っていない企業もあり、今後はこちらも継続して取引する場合は
契約を取り交わすことにしている。
サーバに関しては、サーバルームにあり、こちらは部屋に施錠を施している。鍵を保有するの
は、情報管理室の社員のみであり、他の社員は、必要に応じて情報管理室の許可の上、入室が出
来る。その入退出は、すべてログを取っている。情報管理室も同様。ICカードと暗証番号がなけ
れば入室が出来ない。
物理的な情報セキュリティ対策として、フロアは OAフロアにしており、配線等はすべて床下。
バックアップは毎日行っている。ノートブック PC は店舗のみでの使用。ノートブック PC も設
置スペースの問題により、デスクトップにしなかっただけであり、持ち出しを目的にしたもので
ない。従って、ワイヤーで固定し、持ち出しを物理的に出来ないようにしている。
付録- 36
情報システムの運用に関して運用ルールを実施している。サーバへのアクセス制限、データの
更新、個人情報の管理など。
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報セキュリティ対策としてウイルス対策ソフトは、パッケージソフトをサーバ側に持たせて
おり、こちらで絶えず最新のものにしている。USBメモリは一切の使用を禁止。個人情報はオフ
コンで管理しているが、こちらはアクセス制限がある。アクセス不要な社員の PC には、対応の
ソフトウエアをインストールしておらず、アクセスしても情報が読めないようにしている。ファ
イルそのものに ID やパスワードを必要とはしていないために、アクセス権のあるクライアント
はいつでも見られる状態にある。
情報(データ)や情報システムへのアクセスを制限するために、パスワードも定期的更新等を
行っており、見破られにくくしている。アクセス制限はパスワードではなく、ソフトウエアでの
インストールで区別している。
情報漏えい対策としてオフコンアクセスログ、PC の使用ログを取っている。ソフトウエアの
インストールは禁止事項とはなっているが、管理が面倒な為に、定期的なチェックは行っていな
い。
情報システムに障害が発生した場合、業務を再開するための対処方法は決めている(例えば自
社で出来ること、委託先への依頼等の対処について)。
情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何を
すべきかは把握している。個人情報についてはセキュリティ保険にも加入している。
ただし現状以上のセキュリティ投資については、重要性は高いと考えているが、すぐに投資を
考えるものはない。社員の意識向上を含めたセキュリティ対策の強化を考えていきたい。
情報セキュリティに関連する情報収集、提案などはシステムサポートのアウトソーシングを依
頼しているシステムインテグレーターからの情報収集が多い。また、雑誌や情報誌などで情報管
理室の社員も独自で情報収集を行っている。
ビジネス上で発生する情報セキュリティに関する課題と問題点はない。『自社診断シート』にあ
った、見知らぬ人への声かけや、電子メールの送受信のセキュリティなど、一部出来ていなかっ
た事項の社員への再伝達などを行いたいとしている。
付録- 37
放送局系列開発企業 F社
「システム開発業を手掛ける情報システム系人材派遣会社。IT責任者が事業のキーマン」
--------------------------------------------------------------------------------------------
【概要属性】
①企業概要:システム開発、人材派遣(地方のテレビ局系列のシステム開発会社)
②従業員数:41名
③拠点数:2箇所
④情報システム部門:運用管理 3名
⑤IT利用目的:基幹システム、DB、Web、メール
⑥サーバ:10台、クライアント:60台(うち 70%程度がノート)
⑦地域:地方圏
【企業の特徴と情報セキュリティの現状及び特徴】
放送局関連のシステム開発を主たる業務にしているため、情報セキュリティには十分に対策を
講じている。セキュリティポリシーを明確化し、社員に徹底させている。同社の事業でシステム
開発も行っているので、自社のセキュリティレベルの向上は強く意識しなければならないと感じ
ている。情報セキュリティ実施状況把握のための施策を定期的に行っている。メーカ(クライア
ント)からの規定があり、業務に入るたびにチェックシートを回答、その上で覚書のやり取りを
する。
正社員以外の従業員を含め、すべての社員に入社時にセキュリティ全般に関する誓約書をとっ
ている。また、退社時も同様だ。教育としては、メールや文書での伝達。外部の企業や取引先と
情報をやり取りする際に、すべてのメーカでやり取りをする。3 社以上から委託を受ける際は、
そのベンダにあわせた契約でやりとりする。逆に、同社がエンドユーザから業務を直接請け負い、
他社に委託する際は、自社の契約書にて合意を取るようにする。
物理的な対応では、本社にはサーバルームがあり、特定の人員しか入れないよう施錠されてい
る。転倒防止対策も行っている。重要書類はすべて施錠が出来るキャビネットでの保管と規定し
ている。
またサーバルームは配線に対して配慮はしていないが、それ以外はすべて OAフロア化してお
り、床下の配線となっている。情報用紙はすべて、各自でシュレッダー処理する規定で、CD や
HDD 等電子媒体の破棄については、管理部に集められ、管理部が社内でシュレッダー処理等を
する。
情報システムの運用に関してサーバの運用規定、PC の運用規定を策定し、全社員に文書を配
布している。内容はウイルス対策ソフトの運用規定、モバイル PC の運用規定、記録媒体の利用
規定など。
情報漏えい対策などについては、ウイルス対策ソフトは、サーバとクライアントごとにパッケ
ージソフトをインストールし、すべて最新版に更新するようにしている。以前はクライアント側
付録- 38
は有名なウイルス対策ソフトであったが、機能に問題が生じたため変更した。モバイル PC の持
ち出しは、持ち出すたびに届けを出させ、それをログ管理している。客先でも盗難防止対策とし
て、ワイヤーを持たせ、固定をさせている。ワイヤーだけで社内に 100 本近くある。モバイル
PCは、ID、パスワードの他、指紋認証も必要。USBメモリも届出制であり、使用のログ管理を
している。システムが認知していない USB メモリは挿入するとログで発覚するために、社員が
自身で購入しても使用は出来なくなっている。また USB メモリは暗号化するように指示してい
る。
情報(データ)や情報システムへのアクセスを制限するために、すべてパスワードで管理して
いる。パスワードは判りにくいものを使用し、定期的に交換するようにしている
【情報セキュリティの課題、問題点、今後の方針など】
アクセス制限としては、人事・経理システム、Web サーバ、メールサーバが管理対象である。
人事・経理システムは、人事、経理担当者しかフォルダが読めないようになっている。他の社員
にはソフトウエアをインストールしていないためにアクセスできない。Webサーバ、メールサー
バはシステム管理部の社員のみアクセス可能。無線 LANは以前使用していたが、セキュリティに
問題があると判断し、現在はすべて有線になっている。ソフトウエアのインストールは禁止事項
となっている。
情報システムに障害が発生した場合、業務を再開するために、システム管理部が復旧させる。
障害の切り分け、バックアップでデータ復旧、立ち上げといった対応だ。
ウイルス感染については、システム管理部が処置をする。情報漏洩時の対応は、経営側に報告、
対策委員会の立ち上げなどのエスカレーションが決まっている。また最近の問題では外部からの
アタックが多いのには困っている。
自社で販売しているセキュリティ製品があり、同社自身も導入したが、USB メモリのログ、
CDのログまで管理でき、情報漏洩対策強化につながっている。失敗・トラブル事例は特にない。
付録- 39
出版・書籍販売 G社
「プライバシーマーク取得活動過程でセキュリティ対策を経営課題として進める。IT担当が社長の息子」
----------------------------------------------------------------------------------------
【概要属性】
①企業概要:出版業(出版社から直接ユーザに販売する直販方式の業態)
②従業員数:27名
③拠点数:2箇所
④情報システム部門:総務兼任
⑤IT利用目的:基幹システム、EDI、人事・経理、DB
⑥サーバ:1台、クライアント:9台(うちノート1台)
⑦地域:首都圏
【企業の特徴と情報セキュリティ対策の現状】
セキュリティポリシーは明確化され、社員にも徹底している。2006 年にプライバシーマーク
の付与認定の取得を考え、コンサルティング会社に委託したが、JISの変更等により手間も増え、
コスト面も課題になったということで、とりあえずはペンディングにした。しかし目指したこと
により社員の教育にもなり、プラス面は大きかった。情報セキュリティ実施状況把握は、プライ
バシーマークの認定取得活動時に一通り行っている。それ以前は、在庫管理システムしかないよ
うな状況で、個人情報の管理はシステム化されていなかった。
セキュリティに関する適応範囲は、社員だけではなく、派遣社員にも及んでいる。社内ルール
を含め、情報セキュリティの取り扱いについては入社時だけではなく、退社時にも覚書の署名捺
印を求めている。
外部の企業や取引先と情報をやり取りする際に、主力の取引先については、先方の依頼により
覚書での合意の締結を行っている。
情報セキュリティ対策の実施体制は営業・事務統轄部で行っており、同部長が責任者(社長の
息子)になっている。サーバルームを別に設けることは難しく、オフィス内に置いている。書類
については、社員の机に入れることを禁止し、絶えず施錠の出来るキャビネットに入れている。
そのキャビネットの鍵は役員以上のみ保有。
情報システムネットワーク管理規定、PC ユーザ管理規定を策定している。情報システムネッ
トワーク管理規定は、サーバ管理細則、コンピュータウイルス防止にかかわる細則、パスワード
管理細則からなる。PCユーザ管理規定は、社内のPCの運用管理についての細則や障害時の対応、
撤去制限、公衆回線への接続の禁止など。
ウイルス対策としては、ファイルなどを入手した際にウイルス検査後に利用する、感染防止の
ためにワクチンをインストールする、早期発見のために最新にアップデートし、定期的にウイル
ス検査を行うなどの規定をしている。暗号化までは行っていない。USBメモリは特に制限は設け
ていないが、使用できる社員は特定している(3名)。別の事業所に移動してパソコンを利用する
付録- 40
際に、暗号化して使用するように規定している。利用のログまでは取っていない。サーバのデー
タについては、月に一度別の HDDにバックアップしている。
パスワードは、システム責任者が各クライアントに割り当てている。これでサーバ毎のアクセ
ス制限を行っている。情報漏えい対策として、ファイアーウォールは、外部企業に委託している。
サーバは、EDIのデータがあるために、すべてのクライアントがアクセスできるようにしている。
ファイルサーバには制限をかけている。具体的には、個人情報、経理・人事システムはシステム
責任者と社長しかアクセスできないように ID、パスワードでの制限をしている。パスワードは、
定期的に交換している。ソフトウエアについては、クライアントに権限はなく、一切のインスト
ールは出来ない。
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報システムに障害が発生した場合、業務を再開するために特に決めている事項はない。障害
時はシステム責任者が切り分けを行い、機器ベンダに連絡をする。ネットワークシステムそのも
のの包括保守契約などは委託していない。
情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時対応とし
て、感染時は即座にシステム責任者自身で対処する。情報漏洩時は社長に連絡、危機管理メンバ
ーの招集で、情報の収集、事後対策を考えることにしている。
セキュリティ投資は、とりあえずは必要な部分は行ったと考えている。今後もIT投資そのも
のは行うつもりであるが、セキュリティについては、コストのかからない、社員の教育や啓蒙と
いった部分の対応を考えて行く方針。システム担当者が一人だけだったので、もうひとりシステ
ム担当者を雇用したが、このコストが経営的には負担が大きいと感じる。
行政に期待したいのは、機器の購入の補助等は行うのに、こういった人的な部分のフォローが
ないのは問題点。そもそも、企業規模によらず、情報セキュリティは同様のレベルにしろという
方針自体に違和感を感じざるを得ない。中小企業が対応するには厳しい現実がある。
付録- 41
ソフトウェア販売・開発 H社
「IT系企業として自社でセキュリティポリシーを明確化し、毎年更新、確認してセキュリティ対策」
---------------------------------------------------------------------------------------
【概要属性】
①企業概要:各種ソフト開発販売、LAN、WANシステム構築等(地方の小規模 SI企業)
②従業員数:20人未満
③拠点数:2箇所
④情報システム部門:無(担当役員が実施)
⑤IT利用目的:基幹業務、販売管理、財務
⑥サーバ:5台、クライアント:十数台
⑦地域:地方圏
【企業の特徴と情報セキュリティ対策の現状】
同社はいわゆるIT企業なので、少人数ではあるが、セキュリティ対策は必須で行っている。
セキュリティポリシーを明確化し、全社員に徹底させている。2004年 1月に「個人情報保護に
関する自主規定」及び「個人情報セキュリティ(保安)対策」を制定、後者の中に情報セキュリ
ティ対策の見直し改善は項目として挙げている。制定時には全社員に文書で配布し、徹底を図っ
ている。
情報セキュリティ実施状況把握のための施策として、通信会社の依頼で毎年内容をチェック、
再確認。項目は、組織的な対策ガイドラインのチェックリストや自社診断シートと同等の内容。
社員には、文書で配布し、以降は会議や朝礼などで必要に応じて教育している。新入社員には
研修で説明の上、誓約書を求めている。この誓約書は退職時にも再度交わされる。アルバイト、
パート等を含めた全社員共通事項となっている。
外部の企業や取引先と情報をやり取りする際に、すべての取引先と機密情報の保護に関して契
約を交わしている。先方から求められるケースもあれば、自社が求めるケースもある。個人情報
保護法施行前は殆どなかったが、現在では周知事項となっている。エンドユーザでも物販のみの
企業に対しては行わないことが多い。これは個人情報がないためだ。
情報セキュリティ対策は、担当役員が責任者となっている。サーバは、サーバ室においてあり、
サーバ室は施錠管理されており、鍵を保有するのは役員クラスのみ。入退出のログも取っている。
夜間はオフィス全体をロック、大手民間の警備保障会社に警備を委託している。文書もすべて施
錠保管を義務としている
使用している記録媒体は、すべて金庫に保管。破棄については、記録媒体、書類はシュレッダ
ーにて処理をする。同社には、エンドユーザ向けの開発ソフトウエアが保管されているが、そち
らもすべて金庫保管、破棄するときはシュレッダーと決めている。ケーブルはすべてモールによ
り保護。自然災害の対策としては、親会社のサーバにデータの分散保管をしており、こちらによ
るリスク回避を実施している。モバイル PCについては物理的な対策は施していない。
付録- 42
情報システムの運用に関してルールは決めてはいるが、文書化はしていない。社員には徹底さ
せることが出来ていると感じている。
ウイルス対策ソフトはパッケージソフトを採用、毎日自動更新をさせ、さらに毎日昼休みには
ウイルスチェックプログラムを作動させチェックをする。最新のパッチも適応している。ノート
PC は持ち出す場合があるために暗号化を義務付けている。これは SEのみであり、営業員は ID
とパスワードのみ。USBメモリは、必要最低限のケースしか認めておらず、さらに使用する際は
暗号化を徹底させている。バックアップは、毎日 RAID/NAS14にデータ保管をしている。
サーバは、財務・人事サーバなどでアクセス制限を行っており、IDとパスワードが必要となる。
顧客関係の資料等は、担当者しか見られないようにアクセス制限がある。
【情報セキュリティ対策の課題、問題点、今後の方針など】
企業のビジネスコアがIT関連なので、セキュリティには万全の体制をとらざるを得ない。情
報漏えい対策には、財務・人事サーバは、役員のみのアクセス権としている。パスワードは、他
の社員にもわからないようにし、定期的に変更。販売管理も、営業員と営業事務しか見れないよ
うに制限をしている。無線 LANはセキュリティの問題上使用していない。ソフトウエアのインス
トールは禁止事項。親会社とのネットワークや営業所との通信は、VPNを活用、ファイル送付時
には一部ではパスワードをかけている。個人情報はグループウェア内にあり、パスワードでのア
クセスとなっている。
情報システムに障害が発生した場合は、自社内に SE が存在し、自社で構築したシステムであ
るので、自社で解決している。
ウイルス感染時は、自社で解決。情報漏洩時の対処は想定していなかったために、正式には決
まっていない。情報セキュリティ責任者に報告する事と社員はわかっていると認識している。プ
ライバシーマークの獲得を考えたい。クライアントへの信頼性向上の観点から必要性があると判
断しており、プライバシーマーク獲得に向けた投資が必要。プライバシーマークへの投資にどれ
だけ掛かるかが、課題点。現在のような経済環境化では新規投資は厳しいのは本音ではある。
14 NAS:Network Attached Storage。ネットワークに直接接続して使用するファイルサーバ専用機。
付録- 43
建設会社 I社
「少人数の規模で、経営者自らセキュリティ対策を推進。スキルの足りない部分は外部へ委託」
----------------------------------------------------------------------------------------
【概要属性】
①企業概要:住宅建設、改修業(少人数での注文住宅の設計、施工)
②従業員数:13名
③拠点数:1箇所
④情報システム部門:無
⑤IT利用目的:経理、作業用
⑥サーバ:無、クライアント:3台(うちノート 1台)
⑦地域:地方圏
【企業の特徴と情報セキュリティ対策の現状及び特徴】
顧客情報は=個人情報となるため、そのような意識で管理している。そうはいってもセキュリ
ティに関してはコストはかけられないので、人的な労力を中心に、出来ることを行っている。社
長・専務のセキュリティに対する理解、事務担当者の処置により、ある程度のセキュリティは出
来ていると思われる。逆にシステム的な面は、専門家もいないので弱いが、外部のインテグレー
タの協力を得て行っている。
サーバは使用していない。PC は、経理と作業用を分けて使用しており、情報の共有はしてい
ない。テクニカル面はインテグレータに相談して可能なことを最小限で行っている。重要な情報
としては、領収書、契約書、顧客情報など。
正社員には朝礼や勉強会等を行っている。セキュリティの周知は、従業員に対して(職人を含
む)口頭で行っている。ある程度定期的に行っており、若い従業員・職人は自主的にセキュリテ
ィに関する勉強会を行っている。社内のルールを明文化はしていないが、人数も少ないため問題
はない。
外部の企業や取引先と情報をやり取りする際、契約書は市の発行による正式なものを使用して
いる。その中に機密保持も条項も含まれている。取り決め時・契約時には、機密保持や情報の扱
いに関して必ず話すことにしている。
情報セキュリティ対策の実施体制は専務が主となり、経理担当者が加わって管理している。I
T関連は専務が詳しいので責任者となっている。コンピュータ、ソフトは外部企業のインテグレ
ータから付き合いで購入している。
契約書、領収書は、鍵のかかるキャビネットに保管し、使用時のみ取り出す。PC データでは
MO/CDで保管し、施錠保管している。
廃棄はシュレッダー処理し、社長か専務が確認している。データメディアに関しても同様に消
去後はシュレッダー処理。経理担当者が元々公務員の経験者であることから、書類やデータの処
理に関しては適切な手法を理解して実行している。経理の PC データは HDD でバックアップし
付録- 44
ており、随時行っている。作業場が併設されていることから、ブレーカーが落ちる危険性がある
ので、バックアップは随時行っている。CD には書き換えの必要ないデータ、MO は書き換えの
あるデータを保管。
情報システムの運用に関して運用ルールは書面化はしていないが、ルール・手順は相談をして
取り決めている。PCも離席時には電源を落としている。
【情報セキュリティ対策の課題、問題点、今後の方針など】
情報セキュリティ対策としてウイルス対策は、有名なパッケージソフトをインストールしてい
る。ファイアウォール機能もついている。このソフトも外部のインテグレータにインストールし
てもらったもの。特定のインテグレータとは、CADの関連を含めての相談相手になってもらって
いる。PCは事務(経理)用 1台。作業用は別途 1台とノートが 1台。各 PCは共有フォルダの
み読み書き可能にしている。データの暗号化はしていない。USBメモリは社長と専務が使用して
いるが、個人で管理しており、他社員は使用していない。パスワード機能はついていない。
PC 立ち上げ時にパスワード入力。フォルダ・ファイルへの個別のパスワード化は行っていな
い。PC を操作する従業員を制限している。パスワードの変更はしていないが、使用者のみがパ
スワードを知っている形で公開しないようにしている。
情報漏えい対策として無線 LAN はセキュリティ上の問題・懸念から使用していない。ノート
PCも現場で使用するためのもので、社長が使用するのみ。
情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、何を
すべきかと言った手順は決まっていない。
数年前に、前の PCでウイルス感染があった。文章の作成用だったので大きな問題はなかった。
セキュリティは個人情報もあるので大切と考えている。(社長・専務も同様)。但し投資は考えて
いない。出来ることは限られるので、本当に最小限必要なことは何かを見極める情報が必要と感
じる。
付録- 46
【中小企業における情報セキュリティ対策の実施状況等調査ヒアリングシート】
※事前に組織的な対策ガイドライン、自社診断シートを送った上で、ヒアリングで詳細に聞き取る。 ・このヒアリング時の重要な聞き取りポイントは以下の3点。
1.情報セキュリティの企業としての実態と考え方 2.情報セキュリティガイドラインの妥当性や気づきの確認、評価 3.情報セキュリティの緊喫の課題、問題点
・自社診断シートは事前に FAXで回収し、未実施項目、点数を確認しておく。 ・組織的な対策ガイドラインを事前に送ることで、実際に自社の情報セキュリティの実態に合致して
いるか?またはこのガイドラインをもとに情報セキュリティ対策を実施(検討)してみた時の、違
和感や充足度合を確認する。 ・ガイドライン付録のチェックシートも記入してもらい、それをもとに詳細なヒアリングを行う。 ・ヒアリングとは別に、社内の様子で気づいた点についてもチェックしていく。
・ヒアリングシートについては取材先に開示は行わず、取材後の項目整理、まとめとして活用する。
・ヒアリング実施に際して、会社概要についても聞き取りを行う。(資本関係など)
Q1)情報セキュリティに対する組織的な取り組み状況
Q1-1:情報セキュリティに関する経営者、企業としての情報セキュリティに対する重要性の認識
・ ガイドラインのセキュリティポリシーを明確化(実施していない理由、実施している理由)(5 分でできる自社診断シート 70点以上の企業に対して)
・ 情報セキュリティの考え方、経営、企業としての方針の現状とその理由
Q1-2:情報セキュリティ実施状況把握のための施策を行っているか? ・ 5分でできる自社診断シートの項目のうち、No1~20のテクニカルな項目については、(個別ではなく)
全体的に確認した事があるか。あれば、その方法。無ければ、その理由
Q1-3:従業者(派遣を含む)に対してセキュリティに関して就業上何をしなければいけないか情報セキュリティルールの周知徹底を行なっているか?またそのための教育、指導、知識習得の機
会を与えているか? セキュリティ周知の方法(朝礼、回覧、会議等、外部研修、定期研修、実施していない) 適応範囲(正社員、派遣、アルバイト、その他、実施していない) 社内ルール(明確化している、規定作成が大変なので行わない、明確化するほど検討時間がない、文書化
するほど対策実施を求めていない、その他) ・ 5分でできる自社診断シートの項目のうち、No22を実施している場合は、その手法(朝礼、回覧、会議)及び範囲(派遣社員を含むか)。実施していない場合はその理由
付録- 47
・ 5分でできる自社診断シートの項目のうち、No25 社内ルール明確にしていない場合、その理由 ・ ガイドラインの従業者のセキュリティ責務の明確化(派遣含む、実施している理由、していない理由)
(5分でできる自社診断シート 70点以上の企業に対して) ・ ガイドラインのルールの周知と知識習得機会の設定(手法)(5分でできる自社診断シート 70点以上の企業に対して)
Q1-4:外部の企業や取引先と情報をやり取りする際に、情報の取り扱いに関する注意事項の合意
を取っていますか?(契約書、覚書などの締結) 機密保持依頼を実施していない理由 (機密を渡していない、取引先との関係が長く信頼している、契約書がない、契約書を書いても朗詠防止
の効果が薄い、取引先との立場上要求できない) ・ 5分でできる自社診断シートの項目のうち、No23 取引先に対する機密保持依頼を実施していない場合はその理由
・ ガイドラインの外部との情報の取扱いに関する合意(実施していない理由)(5分でできる自社診断シート 70点以上の企業に対して)
・ 取引先からの情報セキュリティ対策の要請及び実施状況確認の有無 ・ 具体的な合意方法、手法、また対象(すべての取引先と行なっているのか?限られた取引先との場
合のみか)について
Q1-5:情報セキュリティ対策の実施体制(5 分でできる自社診断シート 70 点以上の企業に対して)
・ ガイドラインのセキュリティ責任者、担当者の明確化(どの部署か。実施していない場合はその理
由も)(5分でできる自社診断シート 70点以上の企業に対して) Q2)物理的セキュリティ対策について ※情報セキュリティの関わるオフィスやハードウェア、サーバルームなどの物理的なセキュリテ
ィ対策の現状を把握する。特に外部の人間が許可や確認も無く勝手に出入りできなくするような
抑止施策とディザスターリカバリ対策のような災害対策(BCP)などの対策を確認する。 Q2-1:重要な情報を保管したり、扱ったりする場所の入退管理と施設管理を行っていますか?(5
分でできる自社診断シート 70点以上の企業に対して) ・ ガイドラインの重要情報の保管と入退室または施錠管理(実施していない理由)(5分でできる自社診断シート 70点以上の企業に対して)
Q2-2:物理的な情報セキュリティ対策として実施している内容(実施してない場合はその理由)
付録- 48
※5 分でできる自社診断シート及び情報セキュリティ対策チェックリストを見た上でインタビュアーが気になるチェック項目等について質問する
対象項目:5分でできる自社診断シート設問 No1,2,3,4,5,6,7 情報セキュリティ対策チェックリスト No2-1,2-2,2-3 Q3)情報システム及び通信ネットワークの運用管理状況について ※ここでは運用管理に関する情報システムそのものの情報セキュリティの実態を詳細に聞き取る。
特にセキュリティの観点からシステム担当者の運用管理状況及びユーザのシステム利用方法に
ついて把握する
Q3-1:情報システムの運用に関して運用ルールを策定していますか?(実施している内容、していない場合はその理由)(5分でできる自社診断シート 70点以上の企業に対して)
・ ガイドラインの情報システムの運用ルールの策定(実施していない理由)(5分でできる自社診断シート 70点以上の企業に対して)
Q3-2:情報セキュリティ対策として運用管理面で実施している内容(実施してない場合はその理
由)
※5 分でできる自社診断シート及び情報セキュリティ対策チェックリストを見た上でインタビュアーが気になるチェック項目等について質問する
対象項目: 5分でできる自社診断シート設問 No2,8,9,10,11,12,13,14,15,16,17,18,19,20,25
情報セキュリティ対策チェックリスト No3-1,3-2,3-3,3-4,3-5 Q4)情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状況 ※情報システムでのネットワーク管理上のアクセス管理やクライアント管理など情報漏えい対策
の実施状況について把握する。
Q4-1:情報(データ)や情報システムへのアクセスを制限するために、利用者 IDの管理(パスワードの管理など)を行っていますか?(5分でできる自社診断シート 70点以上の企業に対して)
・ ガイドラインの情報システムへのアクセス管理(実施していない理由)(5分でできる自社診断シート 70点以上の企業に対して)
Q4-2:情報漏えい対策として情報システム面、管理面で実施している内容(実施していない場合
付録- 49
はその理由)
※5 分でできる自社診断シート及び情報セキュリティ対策チェックリストを見た上でインタビュアーが気になるチェック項目等について質問する
対象項目:5分でできる自社診断シート設問 No15,20,23 情報セキュリティ対策チェックリスト No4-1,4-2,4-3,4-4,4-5 Q5)情報セキュリティ上の事故対応状況について ※情報システムで実際にセキュリティ上のトラブルが発生した場合の対処方法と具体的な事例が
あれば聞き取り、その際の処理、対処状況などを聞き取る。 Q5-1:情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握していま
すか?(5分でできる自社診断シート 70点以上の企業に対して) ・ ガイドラインの障害時対策の策定(実施していない理由)(5分でできる自社診断シート 70点以上の企業に対して)
Q5-2:情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の緊急時に、
何をすべきかを把握していますか?(5分でできる自社診断シート 70点以上の企業に対して)
・ ガイドラインのセキュリティ事故(不正アクセス、情報漏えい等)発生時の対策の策定(実施して
いない理由)(5分でできる自社診断シート 70点以上の企業に対して) Q5-3:情報セキュリティに関連する事件や事故等(ウイルス感染、情報漏えい等)の経験はあり
ますか? ・ 具体的な事例とその時の対処方法の詳細
Q6)情報セキュリティのガイドラインの内容について 情報セキュリティのガイドライン及び 5分で出来る自己診断シートの内容についての感想はいかがですか?(別紙『中小企業における組織的な情報セキュリティ対策ガイドライン』『5分で出来る!中小企業のための情報セキュリティ自社診断』参照)
・ 大体理解できていたか、実施済みか、情報が不足してないかなどの状況を具体的にヒアリングする
付録- 50
(わかりやすさ、目的の明確さ、対象の明確さ、内容の網羅性、過不足のポイントなど) ・ その他感想や改善すべき点はあるか
Q7)情報セキュリティのガイドラインの活用効果について 情報セキュリティのガイドライン及び 5分で出来る自己診断シートの効果、利活用について(別紙『中小企業における組織的な情報セキュリティ対策ガイドライン』『5分で出来る!中小企業のための情報セキュリティ自社診断』参照)
・ 自社診断シートや組織的な対策ガイドライン(対策チェックリスト含む)は今後の対策を検討する
のに役立ちそうか ・ 効果があったか(また調査以前に認知していたか。認知していた場合はすでに利用したことがある
かいなか) ・ 実際の企業への活用度合い、マッチ度、基準のラインとしての妥当性など具体的にヒアリングする
Q8)情報セキュリティ投資についての重要性、課題について
経済環境の悪化に伴って、IT投資も低下傾向ですが、情報セキュリティに関連する投資はどう考えますか? 「重要性の認識」 「課題・問題点」 ・ 情報セキュリティ対策関連で課題と認識していること、悩み
・ 投資増減や必須項目など全般的な投資と絡めて具体的にヒアリングを行う
Q9)情報セキュリティについての情報、提案について 情報セキュリティに関連する情報収集、提案などは誰が行いますか? 情報収集先(商工会議所・商工会(経営指導員、等)、ITコーディネータ、ITベンダ、税理士、中小
企業診断士、取引先(親会社含む)、友人・知人、IPA(Web、セミナー等)、その他) ・ 情報収集手段、改善提案作成者(今後の普及・情報提供手段の考慮材料としての観点も含める)(複
数可) ・ 具体的な情報収集、提案先など、その理由、要因
Q10)具体的な事例としてのご紹介
特徴的な事例や先進事例または失敗・トラブル事例としてご紹介して頂く場合のコメント(伝
聞も可) 「成功・先進事例」
付録- 51
「失敗・トラブル事例」 ・ 自社の対策を進めるに当たって、効果的だった事例はあるか。 ・ 自社または取引先等(伝聞でも可)で情報セキュリティに関するトラブルの発生はあるか。また、
そこから得た教訓はあるか。 Q11)貴社独自の情報セキュリティに関する課題、問題点
貴社のビジネス上で発生するまたは必須となる情報セキュリティの課題と問題点をお聞かせ
ください。 ・ 取引先や親会社との関係性などビジネスを行って行く上で必須となる情報セキュリティについて ・ Q9までに含まれない特記事項などを具体的に聞き出す
Q12)経営層の意識、情報セキュリティ認定、各種資格、その他について
公的な認証制度、担当者の持っている資格・必要と考える資格、IPAなど公的機関への期待などについて聞き取る。
・ IPAについての認知状況 ・ IPA(及び関連団体)に期待することがあるか ・ セキュリティベンチマークについての認知、使ってみたいかなど ・ 公的な認証等(ISMS、プライバシーマーク)についての考え ・ 担当者が持っている資格や今後取得していく(させていく)資格
付録- 52
【企業プロフィール情報】
Ⅰ.概要属性 1.企業規模分類: (A:20人未満、B:20-100人、C:100-300人) 2.業種分類: (A:製造・建設業、B:小売・卸売・飲食業、C:サービス業・その他) 3.地域分類: (A:大都市、B:地方) 4.S:ネット系企業 Ⅱ.詳細情報 企業概要: 従業員数: 拠点数: 情報システム部門有無: 情報システム部門内訳:人数 内訳 IT導入状況: 主な利用用途: 主な ITシステム(業務システムなど保守サポートしている)の購入先: サーバの有無:(有) 台 メーカ名: (無) クライアント状況:台数 台 資本金: 百万円 年間売上高: 百万円 IPAの情報セキュリティ対策ベンチマークシステムの認知の有無 〒 住所: (ヨミ) 社名: 部署: 役職: 回答者氏名: e-mailアドレス: 調査日付: 調査担当: ※本シートは、調査実施者のインタビューに用いるもので、調査対象企業には記入をお願いしており
ません。 ※個人情報の取り扱いに関しては、調査協力依頼状に法令遵守及び適切な取扱いについて明記したほ
か、面接調査時に口頭説明しております。
