HOME情報セキュリティ情報セキュリティ対策日常における情報セキュリティ対策

本文を印刷する

情報セキュリティ

日常における情報セキュリティ対策

最終更新日:2018年 12月 20日
独立行政法人情報処理推進機構
セキュリティセンター

0. はじめに

情報セキュリティ対策は、日常的に行っていくことが重要です。情報セキュリティ対策を疎かにしてしまうと、ウイルスに感染してシステムに問題が発生したり、不正アクセスによって情報が流出したりといった被害が発生する可能性があります。このような事態を招かないよう、以下の対策を実施してください。

1. 組織のシステム管理者向け

  1. 情報持ち出しルールの徹底
    業務用パソコン等の機器やデータを組織外に持ち出す場合のルールを明確にし、関係者に周知徹底してください。また、そのルールに則り適切に運用されているかを確認してください。ルールの例としては、関係者に機器を貸し出しする際は、機器内に不必要なデータが保存されていないか事前に確認する、紛失した場合に備えて、持ち出す機器やUSBメモリ等の外部記憶媒体には適切な暗号化を施す、等があります。
  2. 社内ネットワークへの機器接続ルールの徹底
    ウイルス感染したパソコンや外部媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります※1。普段は社内ネットワークに接続していないパソコン等の機器を社内ネットワークに接続する場合のルールを明確にし、関係者に周知徹底してください。 接続する機器の脆弱性対策やウイルスチェックなどが適切に実施されているかを確認してください。
  3. 修正プログラムの適用
    管理するサーバやパソコン等のOS(オペレーティングシステム)、ルータやスイッチ等のファームウェア、各種ソフトウェアに修正プログラムを適宜適用し、最新のバージョンに更新、維持するようにしてください。
  4. セキュリティソフトの導入および定義ファイルの最新化
    管理するサーバやパソコン、スマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)が常に最新の状態になるように設定し、最新の状態になっているか定期的に確認してください。
  5. 定期的なバックアップの実施
    システムの不具合やランサムウェア等のウイルスによるデータ破壊に備えて、定期的に外部記憶媒体等へバックアップを行ってください。特に重要なデータは必ずバックアップを行ってください。
  6. パスワードの適切な設定と管理
    システム管理等で使用するパスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて、最低でも8文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、パスワードを初期設定のままで利用していないか確認してください。
  7. 不要なサービスやアカウントの停止または削除
    外部から接続できるサーバで稼働している不要なサービスや、管理する機器やシステムに存在する不要なユーザアカウントは、停止または削除してください※2

2. 組織の利用者向け

  1. 修正プログラムの適用
    利用するパソコン、スマートフォン等のOS(オペレーティングシステム)や各種ソフトウェアに修正プログラムを適用し、最新のバージョンに更新してください。
  2. セキュリティソフトの導入および定義ファイルの最新化
    利用するパソコン、スマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新な状態になるように設定し、最新の状態になっているか定期的に確認してください。
  3. パスワードの適切な設定と管理
    パスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて最低でも8文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、パスワードを初期設定のままで利用していないか確認してください。
  4. 不審なメールに注意
    日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等により被害にあう場合があります。少しでも不審をいだいたメール※3の添付ファイルやURLは不用意にクリックせずに、システム管理者に連絡してください
    なお、標的型攻撃メールのように、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。受信したメールの正当性が判断できない場合は、上長またはシステム管理者へ相談し、必要に応じてメールの送信者となっている組織へ確認してください。
  5. USBメモリ等の取り扱いの注意
    ウイルス感染の可能性があるため、所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体はパソコンに接続しないでください。また、自身が管理していないパソコンに自身の外部記憶媒体を接続しないでください。
  6. 社内ネットワークへの機器接続ルールの遵守
    ウイルス感染したパソコンや外部記憶媒体を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります※1。 個人所有の持ち込みパソコンや外部記憶媒体等を不用意に社内ネットワークに接続しないように注意してください。 持ち込み機器を社内ネットワークに接続する必要がある場合は、システム管理者に許可を取ってください。
  7. ソフトウェアをインストールする際の注意
    ソフトウェア(フリーソフト等)をインターネットからダウンロードしたり、自身のパソコンにインストールしたりする場合は、システム管理者に事前に許可をとってください。
  8. パソコン等の画面ロック機能の設定
    第三者に見られたり、操作されたりしないようパソコンやスマートフォン等には画面ロックを設定してください。また、席を離れる際パソコンは画面ロックをかけ、スマートフォンは放置しないようにしてください。

3. 家庭の利用者向け

  1. 修正プログラムの適用
    利用するパソコンやスマートフォン等のOS(オペレーティングシステム)、無線ルータ等のファームウェア、各種ソフトウェアに修正プログラムを適用し、最新のバージョンに更新してください。IPAでは、パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できる「MyJVN バージョンチェッカ」※4を提供していますので利用してください。
  2. セキュリティソフトの導入および定義ファイルの最新化
    利用するパソコンやスマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新な状態になるように設定し、最新の状態になっているか定期的に確認してください。
  3. 定期的なバックアップの実施
    システムの不具合やランサムウェア等のウイルスによるデータ破壊に備えて、定期的に外部記憶媒体等へバックアップを行ってください。特に重要なデータは必ずバックアップを行ってください。
  4. パスワードの適切な設定と管理
    パスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて最低でも8文字にしてください。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、パスワードを初期設定のままで利用していないか確認してください。
  5. メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意
    日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスを仕掛けたサイトやフィッシングサイトへ誘導するURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等により被害にあう場合があります。少しでも不審をいだいたメール※3の添付ファイルやURLは不用意にクリックしないでください。
    なお、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。受信したメールの正当性が判断できない場合は、確かな情報源を使ってメールの真偽を確認してください。メール本文に記載されている連絡先に連絡をしたり、届いたメールへ返信して問い合わせたりすることは、避けてください。
    また、不審なサイトへ誘導するURLは、ショートメッセージ(SMS)で送られてくる場合や、SNSで投稿されている場合もあります。そのため、URLを安易にクリックしない習慣をつけてください。よく利用するサイトは、正しいと確認できているURLをあらかじめお気に入りに登録しておき、それを使用してアクセスしてください。
  6. 偽のセキュリティ警告に注意(2018/12/20追記
    ウェブサイトの閲覧中に、ウイルスに感染している、パソコンが壊れる等の偽の警告に遭遇する場合があります※5。表示されたメッセージに従って、操作したり、電話をかけて遠隔操作を許してしまったりすると、最終的に有償ソフトウェアの購入や有償サポート契約へ誘導されます。利用しているセキュリティソフトによる警告ではない場合、特にインターネット利用中にブラウザ画面上に表示される警告は偽物である可能性が高いと考えられます。あらかじめ、セキュリティソフトの本物の警告画面を確認しておいてください。もし、偽の警告画面が表示された場合は、画面を閉じてください。画面が消せない場合は、ブラウザを強制終了するか、パソコンを再起動してください。
  7. スマートデバイスのアプリ導入時の注意
    不正なアプリのインストールを防ぐために、携帯電話会社が提供している公式マーケット等の信頼できる場所からアプリをダウンロードしてください。
    また、アプリの権限(アプリが端末のどの機能や情報にアクセスできるかを定義したもの)を必ず確認してください。公式マーケットやアプリの公式サイトに情報/機能毎の権限の使用内容が記載されている場合もあります。要求されたアクセス許可の内容に不自然な点があったり、疑問に感じたりした場合には、そのアプリのインストールを中止してください。
    Android OSの機器では、公式マーケット以外で配信されるアプリを「提供元不明のアプリ」といいます。そのようなアプリの中には危険なものもあるため、細心の注意が必要です。通常は、Android端末のセキュリティ設定※6で「提供元不明のアプリ」のインストール許可をオフにしておいてください。提供元不明のアプリをインストールするときは、信頼できるものであるかを確認してください。
  8. スマートフォン等の画面ロック機能の設定
    スマートフォンやタブレット等を紛失してしまった際に、誰かに不正に使用されることがないよう、パスワード等の入力が必要な画面ロック機能を必ず有効にしてください。また、紛失時に速やかに画面ロックされるよう、画面ロックまでの時間は長くても数分程度の時間で設定してください。
脚注
1
「WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境」
https://www.ipa.go.jp/security/anshin/mgdayori20170713.html
2
「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」
https://www.ipa.go.jp/security/vuln/websitecheck.html
3
「ウイルス感染を目的としたばらまき型メールに引き続き警戒を」
https://www.ipa.go.jp/security/txt/2015/12outline.html
4
MyJVN にようこそ
https://jvndb.jvn.jp/apis/myjvn/別ウィンドウで開く
5
「偽のセキュリティ警告によって有償の「ソフトウエア購入」や「サポート契約」をしてしまう相談が増加中」
https://www.ipa.go.jp/security/anshin/mgdayori20180718.html
6
Androidヘルプ 他の提供元からのアプリの入手をオフにする
https://support.google.com/android/answer/7391672別ウィンドウで開く

更新履歴

2018年 12月 20日 組織のシステム管理者向け >>
1.情報持ち出しルールの徹底 を変更
6.パスワードの適切な設定と管理 を変更
7.アクセス権の再確認 を、不要なサービスやアカウントの停止または削除 に変更

組織の利用者向け >>
3.パスワードの適切な設定と管理 を変更
4.不審なメールに注意 を変更
5.USBメモリ等の取り扱いの注意 を変更
6.社内ネットワークへの機器接続ルールの遵守 を変更

家庭の利用者向け >>
3.定期的なバックアップの実施 を変更
4.パスワードの適切な設定と管理 を変更
5.メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意 を変更
6.偽のセキュリティ警告に注意 を追記
7.スマートデバイスのアプリ導入時の注意 を変更

脚注 >>
3 不用意なクリックによって自分名義の招待メールが友人に送信される可能性 を削除
4、5 を追記
2017年 8月 3日 組織のシステム管理者向け >>
2.社内ネットワークへの機器接続ルールの徹底 を追記

組織の利用者向け >>
6.社内ネットワークへの機器接続ルールの遵守 を追記
2015年 12月 21日 組織のシステム管理者向け >>
4. 不審なメールの取り扱いの徹底 に追記
5. メールやSNSでの不審なファイルやURLに注意 に追記