以下25の質問項目は、日々進化するサイバーセキュリティの脅威から会社の資産を守るために最低限必要なセキュリティ対策の取り組み状況に関するものです。
それぞれの質問に対して、「はい」か「いいえ」のいずれかを選択してください。
(質問は全部で25問ありますので、全ての質問に回答してください。)
当該診断サービスは客観的に自社のサイバーリスクを診断できるよう、グローバルでトップレベルのセキュリティベンダーであるベライゾン社と共同で開発したものです。
以下25の質問項目は、日々進化するサイバーセキュリティの脅威から会社の資産を守るために最低限必要なセキュリティ対策の取り組み状況に関するものです。
それぞれの質問に対して、「はい」か「いいえ」のいずれかを選択してください。
(質問は全部で25問ありますので、全ての質問に回答してください。)
日々変化する情報セキュリティの脅威から会社や従業員を守るためには、会社として明確なルールを定め、従業員がそのルールを守ることができるように、文書化し通知することが必要です。
残念ながら、情報セキュリティ事故を完全に防ぐことはできません。しかしながら、いざ事故が起こってしまったときに、その被害をいかに最小限に抑えるかが非常に重要です。
万が一の場合でも迅速に対応できるよう連絡体制や対応手順を整備しておくことが必要です。
情報漏洩は悪意ある外部からの攻撃のみが原因ではありません。自社の従業員が引き起こすことも少なくありません。
従業員が、悪意の有無にかかわらず外部や競合先に会社の重要な情報を漏らしてしまわないように、守秘義務を課したり、不用意に外部に話さないようなルールを決めておくことが必要です。
認証を取得することは、情報セキュリティ管理体制の整備や組織の体制強化に加え、対外的な情報セキュリティの信頼性向上やアピールとしても有効です。また、自組織の管理するシステムが、各認証で定義される対象に含まれていることも確認する必要があります。
全従業員が会社の情報セキュリティルールを知り、様々なセキュリティの脅威から会社の情報を守るためには、情報セキュリティ教育やトレーニングは欠かせないものです。
入社時の教育や日々変化するセキュリティの脅威に関わる定期的な教育の実施はもちろん、情報セキュリティ関連の社内ポスター掲示など、日ごろの注意喚起を促す対策も非常に有効です。
インターネット上には様々なツールやサービスが存在します。SNSなどこれらの誤った使い方が思いもよらない情報セキュリティ事故につながってしまったケースも少なくありません。
会社の情報を意図しない開示や漏洩などのリスクから守るために、従業員にインターネットを利用した様々なツールの正しい利用方法を伝え、ルール化することが必要です。
情報セキュリティを取り巻く環境は日々変化しています。一度情報セキュリティルールを定めた、対策を実施したからといって、それが1年後も効果的である保証はどこにもありません。
無理なくかつ会社の情報を適切に保護し続けるためにも、定めたルールや実施している対策を1年に一度などの頻度で定期的に見直し、必要に応じて更新していく必要があります。
残念ながら従業員や清掃業者などの外部業者の中にも、様々な理由で本来自分が知るべきではない会社の情報を狙っているものがいる可能性があります。こうした第三者は、ショルダーハッキングによる情報の不正入手や無人状態のパソコンの不正操作を行うことが確認されています。
こうした不正行為から、個人情報や会社の機密情報、認証情報などを守るため、画面ロック機能などを活用して、漏洩が起きないよう対策を行う必要があります。
オフィスは会社の重要な情報の宝庫です。またより機密な情報が保管されている人事室やサーバ室がオフィス内にある場合もあります。こうした情報や場所への外部者のアクセスはもちろん、従業員であっても本来知るべきではない情報にアクセスできてしまわないよう、入館、入室管理は非常に重要な対策です。
情報セキュリティ事故が発生した場合でも、そもそも会社が何を保有していたのか、それがどこにどのようにあったのかという情報なしでは、被害の正確な特定や、その後の対応策の検討も効果的に行うことができません。
こうした事態を防ぎ、効果的な情報セキュリティ対策を実施するためにも、会社の資産管理が改めて重要視されています。
情報セキュリティ事故はニュースを賑わすハッキングのような大規模なものばかりではありません。電子記憶媒体の紛失やノートパソコンの盗難なども場合によっては重大な情報セキュリティ事故につながります。会社の情報機器を盗難や紛失から保護し、思わぬ情報漏洩事故から会社を守るためにも、取り扱いや携行する際のセキュリティルールを明確に定めて、従業員に周知しなければなりません。
重要な情報が記載された書類や情報を保管した電子記憶媒体から会社の情報が漏洩したケースが非常に多くあります。情報を読み取れない、また復元できない方法によって適切に廃棄するよう、明確にルールを定める必要があります。
会社のネットワークやシステムは、事業の形態や事情によって変更されることが少なくありません。こうした変化は、時として思いもよらない情報セキュリティ上の弱点を生み出してしまう可能性もあります。ネットワーク構成やシステム構成を適切に文書化し、変更を都度反映していくことは、情報漏洩のきっかけをなくすことにもつながります。
インターネットには、悪意を持った様々な攻撃者がはびこっています。電子メールを悪用した攻撃や、不正な通信を利用した攻撃などから会社の情報を守るためには、自社の環境に合わせた様々なツールやサービスを利用して様々な攻撃を監視、遮断する必要があります。
電子メールは今や業務にはかかせないツールですが、誤った使い方は重大な情報セキュリティ事故につながりかねません。電子メールを原因とする事故を防ぐために、電子メールを利用して「やっていいこと」と「やってはいけないこと」を明確に定める必要があります。
昨今はWi-Fiを業務に利用する会社も多くあります。しかし便利な一方、適切に設定されていないWi-Fi は悪用されて情報セキュリティ事故に原因になりかねません。セキュリティを意識した適切なWi-Fi の設定は、情報セキュリティ事故防止には欠かせません。
情報セキュリティは、「知る権利があるもののみが必要な時に知ることができる」という基本的な考え方のもとになりたっています。知る権利のないものが情報を得てしまうことは重大な情報セキュリティ事故につながりかねません。会社の情報へのアクセス権を適切に管理することは、情報セキュリティ事故防止の基本原則として非常に重要な対策の一つです。
情報システムやパソコンは会社の重要な情報を保管する、取り扱う大切なツールです。このツールの利用を適切に制限するためには、パスワードでアクセスできる人を限定する必要があります。またこのパスワードが他人に知られて重大な情報セキュリティ事故につながらないよう、推測されにくいパスワードの設定など、明確なルールを定めることが必要です。
スマートフォンなどの携帯端末は非常に便利である反面、容易に情報セキュリティ事故を引き起こす原因にもなりえます。携帯端末自体にセキュリティ機能を設定することはもちろん、いつだれがどのような端末を使っているかを把握することも情報セキュリティ事故を防ぐために必要です。
コンピュータウィルスやウィルスを利用したさらなる攻撃からの防御は、情報セキュリティ対策をする上では最も重要なものの一つです。
アンチウィルスソフトの導入はもちろんのこと、そのソフトが適切に機能するように、常に最新の状態に保つなどの管理も必要です。
ソフトウェアの利用は業務に欠かせませんが、不正なソフトウェアの利用は重大な情報セキュリティ事故につながりかねません。意図しない情報漏洩を防ぐためには、業務に必要なソフトウェアを特定しそれ以外のソフトウェアのインストールや利用を適切に制限する必要があります。
業務データは会社にとって最も重要な資産です。このデータが使えなくなってしまうと業務自体が止まってしまい莫大な損失につながりかねません。データの盗難や紛失のみではなく、地震などの重大な災害時などでも常にデータを利用・回復できるようデータのバックアップを取得し、安全に管理する必要があります。
ネットワークや情報システムのログとは、記録や証拠のことです。この記録や証拠がなければ、会社のネットワーク上で何が起きているかを把握したり、万が一の情報セキュリティ事故の場合でも、原因を突き止めたりすることができません。ログを適切に取得し、管理することは情報セキュリティ事故の未然防止や二次被害の拡大防止に非常に有効です。
情報機器や携帯端末のソフトウェアなど業務で使用するツールは日々進化しています。こうした進化には、重大なセキュリティ上の弱点を克服する内容も含まれています。こうした弱点の放置は重大な情報セキュリティ事故につながるため、提供される情報機器や携帯端末などのソフトウェアアップデートなどは適切に管理し適用する必要があります。
情報セキュリティ事故は、外部委託先が原因で起きることも多々あります。会社の情報セキュリティをしっかり管理していても、会社の情報やその取り扱いを委託している外部委託先がずさんな管理をしていては自社の情報を守れているとは言えません。外部委託先でも自社と同様に情報が守られるよう管理する必要があります。
0 1,000
サイバー攻撃・ハッキング等による不正アクセス(情報漏えいなど)による被害や、貴社の過失によるものや、使用人等による犯罪リスクが日々増加し、社会情勢は厳しさを増しています。ひとたびサイバー事故が発生した場合、賠償金、見舞金、信用の低下等のダメージを企業が被ります。
これらの脅威やリスクにより発生した多額な費用等を補償する商品です。
上記は簡易診断の結果となります。
詳細診断では貴社の業種に応じた傾向値や、貴社が対策すべき項目、推奨されるサービスなど、より具体的なレポートをご提供いたします。