本ガイドラインは、主に中小企業を対象に、組織的に情報セキュリティ対策を立てる上で考慮すべき項目を記載しています。また情報セキュリティに関わる事故例を紹介し、その原因分析や対策の例を示しています。

本ガイドラインの内容は以下の通りです。

• 共通して実施すべき対策
  企業の規模・業種に関わらず、共通して実施すべき対策を５項目に分類して解説しています。
  
• 企業毎に考慮すべき対策
  10件の情報セキュリティに関わる事故の例と対策項目を解説しています。これらの事故例を自社に置き換えてみて、自社の状況に合わせたリスクを気付いてもらい、その対策を検討してもらうことが狙いです。

共通して実施すべき対策だけでも相当な効果があると考えられますが、更に企業毎に考慮すべき対策に記載されている内容も参考にして、十分な情報セキュリティ対策を検討して下さい。

本ガイドラインで取り上げている“企業が守るべき「情報」”とは、電子的な情報だけではありません。紙に印刷した情報や製造物本体も含まれています。本ガイドラインでは、これら企業にとって守るべき情報資産に対して、どのような脅威と対策が考えられるのかを具体例などを交えて紹介しています。 なお本ガイドラインの付録には、本ガイドラインで挙げた対策の観点で、自社の情報セキュリティの状況をチェックするための情報セキュリティ対策チェックリストがあります。こちらもご活用下さい。

 

「共通して実施すべき対策」の内容

本ガイドラインでは、共通して実施すべき対策として、以下の５分類に従って具体的な対策の立て方を解説しています。

「共通して実施すべき対策」にて説明する5つの項目

1. 情報セキュリティに対する組織的な取り組み
2. 物理的セキュリティ
3. 情報システム及び通信ネットワークの運用管理
4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策
5. 情報セキュリティ上の事故対応

「企業毎に考慮すべき対策」の内容

本ガイドラインでは、企業毎に考慮すべき対策として、以下の10件の事故例に従って事故の原因と対策の立てる上でのポイントを解説しています。

「企業毎に考慮すべき対策」にて説明する10のシナリオ

• シナリオ1　従業員の情報持ち出し
• シナリオ2　退職者の情報持ち出し、競合他社への就職
• シナリオ3  従業員による私物PCの業務利用とWinnyの利用による業務情報の漏洩事故
  
• シナリオ4  ホームページへの不正アクセス
  
• シナリオ5  アウトソーシングサービスの利用
  
• シナリオ6  委託した先からの情報漏えい
  
• シナリオ7  在庫管理システム障害の発生
  
• シナリオ8  無線LANのパスワードのいい加減な管理
  
• シナリオ9  IT管理者の不在
  
• シナリオ10 電子メール経由でのウイルス感染

 

ダウンロード

本ページで紹介した「中小企業における組織的な情報セキュリティ対策ガイドライン」は、以下のリンクからダウンロードできます。

• 中小企業における組織的な情報セキュリティ対策ガイドライン [1,090KB]

 

本件に関するお問い合わせ先