中小企業の経営者向けのセキュリティ対策のガイドラインが公開されているので、これを読んで、できるところからはじめてください。ってことになっているのですが…これを見た方はこう思ったんじゃないでしょうか…
✔️ 読んでくださいって…70ページ長いよ
✔️ 全部見ないとダメ?なにかポイントはないの?面倒だなぁ…
✔️ パッと見てわかるようにして欲しい
✔️専門的な用語が多いから読みにくくて入ってこないなぁ…
などなど、確かにそうなんです。
有識者がホントにわかりやすく、なるべく専門的な用語を排除しながら作成したってのはよくわかるんです。が、どうしてもわかりにくいんですよね。
私でも(IT-Security業界歴35年でそれなりに専門的な知識を持っているつもりです。)全部読むのに90分くらいかかりました(15分くらいは寝てたかも…)
なので、70ページをぐーんと縮めて。。つまり、要約してしてポイントだけ解説します。
・IPAセキュリティガイドラインを要約して1ページにしました
・【必須!】絶対にやっておくべきこと!【ガイドには記載がなかった…】
・これを理解したら、とるべき行動があります。
全部で3分くらいで読めちゃうボリュームです。
IPAセキュリティガイドラインを要約して1ページにしました
A4 1ページに要約しました。
クリックで見られます。
要約してしまうと、ホントに大したことは書いてありません。大事なことであるけど内容を理解して、どうするかは考えないといけない。これだと何したらいいの?って疑問や問題は残ったままになると思います。
情報セキュリティ対策5か条は効果的かつ実践的な対策です
書いてあることは
❶ OSやソフトウェアは常に最新の状態にしよう!
❷ ウイルス対策ソフトを導入しよう!
❸ パスワードを強化しよう!
❹共有設定を見直そう!
❺脅威や攻撃の手口を知ろう!
情報セキュリティ対策5か条は、IPA(独立行政法人 情報処理産業推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」の「付録1」で公開されているものです。
引用元:IPA 独立行政法人 情報処理推進機構
ってことでその他は法律のこと、セキュリティ対策ツールや用語解説です。5分でできる診断とか、付録(1〜8)があって、これは具体策が書いてあるからこっちの方が実践的ですね。
ガイドラインというよりは、参考資料としては良いものだと思います。
私だったら、もっと実践的にというか中小企業ではやっていることが少ないけど絶対にこれをやっとかないと、なんも始まらないよ。ってことがありますので、それを解説していきます。
【必須!】絶対にやっておくべきこと!【ガイドには記載がなかった…】
結論からいいます。絶対にこれはやってくださいってのは2つです。
✅ ネットワーク構成図作成
✅ 資産管理台帳作成(PCとアプリケーションの一覧表)
まずは、これです。従業員名簿みたいなものです。誰が?何人?どこに?ということがわからないと採用も教育も配属もなにもできないですよね。それと一緒です。就業規則を作っても知らしめる対象者が不明ならなんのため?ってことです。
セキュリティポリシー(規定)を作ってもPCが何台あってどんなアプリが稼働してデータはどこをどう通ってるのかも把握してないなら規定もなんもあったもんじゃないです。だから、まずはこの2つは必須!絶対なのです。
しつこいですが、必須です。救急車で運ばれる時に、性別、年齢の他にバイタルは?って確認するじゃないですか。あれと一緒。現状を把握しないと治療法も対策もないんです。セキュリティもまったく同じってことです。
30年前からずっと言ってきてます。それでIT資産管理とかクライアント管理ツールという市場を開拓し製品を提供するってことにもなったのですが。
【必須その①】ネットワーク構成図
簡単なものから複雑なものまで規模によって違いますが、なるべく現実の配置に合わせるように作成された方が頭に入ってきやすいでしょうね
ネットワーク構成図 で検索すると例は多々出てきます。
物理的な構成も重要なのですが、データフローを把握しておくことが大事です。データ(パケットって言いますが)がどのように流れているのか。データの種類によって一方通行だったり、特定の機器から向こう側へ行くことができなかったり。。いろいろな設定が可能になっていてセキュリティを担保する上でこれを把握しておくことは重要です。
多分。。中小企業のほとんどはなくてデータフローを把握してないですよね。。
自作は難しいかもしれませんが私は必須だと思います。これを見ながらいろいろ説明することで知識がないと言ってる経営者の方も理解できるようになります。「あ…そういうことね。」とか、「そうするためにこの機械を入れてるんですね」とか、少しづつですが知見も深まりますし、ネットワーク構成図を見てどうなっているかを把握することについては専門的な知識は不要です。むしろ逆で専門的な知識が無いのでネットワーク構成図を見ると理解できるようになるんです。
【必須その②】資産管理台帳
PCの台数によっては目視で一覧表(だいたいExcleで作られている)を作るのは大変ですが30台くらいだったらなんとか頑張れるかなぁ..ってレベルだと思います。私個人としては30台を超えたら資産管理ツールを導入した方がいいと思います。
費用はかかりますが、いろいろ考えるとセキュリティ面でもコスパは良いです。
※信頼できるオススメ資産管理ツール
PC台数と稼働しているOSやアプリケーションのバージョンを把握しておくことも必須です。現状がわかってないと脆弱性が公開された時に対処すべきかどうかの判断もできません。履歴書無しで従業員を採用して、見た目以外のことはほとんどわからず必要に応じてその都度本人確認をします。という人事業務ってあり得ないですよね。。資産管理台帳がないってのはそれと同じような状態になっているってことです。
なんらかの対策ツールを導入していても、なぜかこの2つをちゃんとやっている中小企業は少ないんです。それなりの規模の企業は情報部門があって担当者がいるので、だいたい作成されています。更新されてないってことはありますが。これがないと担当者が変わったり、何か導入したり更改する時に、どうしたらいいのかわからずニッチもサッチも… ってことになるんです。
ベンダーもこの情報をもらって具体的な提案(最適な)をすることになります。もし、ないってことだと現状調査しないと…ってことになり、ここに費用が発生します。ちなみに、私は前職で知人のネットワーク事業者に構成図作成の依頼をしたことがあります。お友達価格でやってくれました。調査に3ヶ月かかって100万でした。が、これは破格値なんです。この工数と人数(6人月)だと少なくとも300万。いや。。。500万でも仕方がないって仕事内容なんです。
最初からちゃんとやらないとあとでとんでもない出費になる。だから、今やっておかないと。。ってことでこれも出費を抑えるためのリスクヘッジ。つまり、セキュリティ対策なんです。あ..ちなみにネットワーク構成を確認させてください。という一言がなくてセキュリティ対策の提案です。と言ってくるベンダーの営業マンがいたら、その人は単なる物売りであって提案をする気はないと思った方がいいですよ。
具体的な対策と行動をするときに注意するべきこと
ネットワーク構成図と資産管理台帳は必須なのか…どうしよう?作成するか…でも、どうやって作ったらいいんだ?ってなりますよね…すぐに行動しようとする姿勢はOKですが、その前にとるべき行動…別の行動をしましょう。
自社だけでやろうとしない
今までやってなくて、やったこともなくてそれなりの専門知識が必要なことを自分でやってしまおうって思うのはダメです。っていうか、はっきり言って無理です。できません。見た目だけのなんちゃってネットワーク構成図ができてもそれは、全く意味がありません。正確じゃないと存在しないのと一緒です。
まずは、どうしたらいいかをIT業界に詳しい方(知人・友人など)に聞いて(相談)ください。思い当たる人がいなければ、お付き合いのある“士業”のセンセイに誰か知り合いいませんか?と聞いてください。
弁護士や税理士、会計士さんは中小企業とのお付き合いが多いですから、そのようなことで悩んでいるという方々がどうしているか。ってことは見聞きした経験があって紹介できるITに詳しい方を知っている可能性はあります。
実際に私のところにも、商工会議所や社労士さん、税理士さんから「ちょっと相談したいことがあるんだけど…」って言われることはまぁまぁあります。「相談だけならお金とらないよね?」とも言われます。が、まぁ…相談だけならいいですよ。と、受けることがあります。ちょっと会話するだけで1時間いくらです。なんて弁護士センセイのようなことは言えませんから。
なので、場合によっては多少の費用がかかるよって言われるケースはあるかもしれませんが。。ネットワーク構成図もなく資産管理もしっかりできてなくて困っているんですよ…って相談して、何からはじめて実行するにはどのくらいの予算が必要かなど算出してもらうことがまずはとるべき行動です。間違って、お付き合いのあるITベンダーに相談してはいけません。そんな相談したら、カタログ持って売り込みにくるだけですから。
あまり多くの人に答えることはできないかもしれませんが、どうしても相談したいって思われたら。。こちら宛でメッセージを送ってください。無料相談に応じます。
まとめ 35年の経験で培ったガイドライン
IPAのセキュリティ対策ガイドラインを解説するにしても、それを自社に合わせて認識するには、ネットワーク構成図と資産管理台帳がないと照らし合わせるものがないから読んでも実効性はありません。それが、私の経験値から言える実践的なアドバイスです。
何をするにも現状を把握することが第一歩です。ダイエットするにもまずは体重を計測しますよね。体重を見ながらダイエットが成功しているか効果が無いのかを自己評価するじゃないですか。見た目で効果がすぐにわかるダイエットなんかないですから。
今がこうだから、3ヶ月後にはこうなっていたい。。目標や理想をする場所へ向かうに今の立ち位置がわかってなければ方向性も決められないんですから。私はこれを「GPS理論によるセキュリティ対策」と命名して幾度もセミナーをしました。
※「GPS理論」についてはこちらの記事をご一読ください。
最後にもう1度言います。やるべきことは
✅ ネットワーク構成図の作成
✅ 資産管理台帳の作成
その前に、自分でやろうとせず、
✅ 専門家(専門知識とIT業界経験がある人)に無料相談を依頼する
ぜひ、やってみてください。
ちょっと相談してみたいと思われ方は、こちらからどうぞ。
最後まで読んでくださってありがとうございます。
また、お会いしましょ。
