～「情報セキュリティ5か条」より～ 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.5.16 （更新・2026.1.7） 中小企業庁と情報処理推進機構（IPA）が推進する取り組み 「できるところから始めて段階的にステップアップ」 。 その最初のステップ 「情報セキュリティ5か条」 の第1項は 「OSやソフトウェアは常に最新の状態にしよう！」 です。 PCやタブレット、スマホ等のOSやソフトは最新化しましょう 〇ＯＳやアプリのアップデート処理＝情報セキュリティ対策の基本 PCやタブレット、スマホなどを利用していると画面にメッセージが表示され、OSや主要なアプリケーションソフトのアップデートを促される場合があります。 これらのアップデート処理の内訳には、 ・OSやアプリの機能追加 ・ソフトウェア上の誤り（バグ）修正 などのほか、サイバー攻撃に備えた対策の強化も含まれています。 歓迎されないことですが、サイバー攻撃やコンピュータウイルスも日々進化しています。 それらの攻撃からＩＴ機器及び利用者を守るため、「セキュ

～できるだけ、攻撃者の「都合の良いユーザー」にならぬ工夫と対応を 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.5.15 （更新：2025.10.28） Wi-Fiルーター（出典：https://www.photo-ac.com） 〇一般家庭のルーターが攻撃者の「踏み台」に 「お宅の通信機器が不正アクセスの通信元になっている」。 2022年秋、都内のアパートで暮らす30代の男性は捜査員から身に覚えのない指摘を受けて驚いた。 警視庁の捜査で、男性宅のルーターが企業へのサイバー攻撃に使われた疑いが浮上していた。・・・ 上記は2023年5月14日の日本経済新聞・朝刊に掲載された「家庭用ルーター 標的に」という記事からの引用です。 一般家庭でインターネット接続に利用されるルーターが、外部の攻撃者に不正アクセスされて乗っ取られ、ルーターの利用者を装って標的とする企業の情報窃取するための「踏み台」にされる事例は珍しいことではありません。 警視庁によると、この種のサイバー攻撃は2020年から複数発生し、これまでに大手メ

サイバー攻撃の技術も日々進化。本物と区別しにくい巧妙な手口が増えています。 そこで、予め脅威や攻撃の手口を知って対策をとるように心がけましょう。

～ＩＰＡのページより～ 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.4.27 独立行政法人情報処理推進機構（ＩＰＡ）では、今年4月「長期休暇における情報セキュリティ対策」と題したページを公開しています。 ページ冒頭「1....

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.4.19 （更新：2025.12.22） 中小企業庁と情報処理推進機構（IPA）が推進する取り組み 「できるところから始めて段階的にステップアップ」 。 その第１ステップ 「情報セキュリティ5か条」 中の４項めは 「共有設定を見直そう！」 です。 ここでの 「共有設定」 とは、 インターネット上のサービスや、組織内LAN上のサーバや複合機などへのアクセスや利用のための設定のこと。 そう考えればわかりやすいと思います。 「サーバー・IT・アイコン」出典： https://www.ac-illust.com/ 〇無関係な人・権限のない人からの情報へのアクセスを防止 ＩＴ化の進展に伴い、データ保管や共有等に利用するウェブサービスや、職場のネットワークに接続したプリンタ／スキャナ等複合機の設定誤りや、カメラ（Ｗｅｂカメラ）、ハードディスク（ＮＡＳ）などの設定誤りから、無関係な人に情報を覗き見られるトラブルが増加傾向にあります。 そこで、外部の人や、同じ社内でも部署の違

～情報セキュリティ5か条の第３項「パスワードを強化しよう！」ご説明 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.4.17 （更新：2025.11.20） 中小企業庁と情報処理推進機構（IPA）が推進する取り組み「できるところから始めて段階的にステップアップ」。その第１ステップ 「情報セキュリティ5か条」 の第３項は 「パスワードを強化しよう！」 です。 〇報道記事より 2025年11月20日付の日本経済新聞に、闇サイトでは「IDとパスワードのセット、3000ドル（約46万円）」などのキャッチコピーで取引され、また、2024年のソリトンシステムズの調査で、日本人のものとみられる末尾「.jp」のIDとパスワードは主要な闇サイトだけでも713万件も見つかった旨の記事が掲載されました。 （連載記事「証券口座乗っ取りの衝撃４『誰もが次の標的』） また、少し前になりますが、同じ日本経済新聞の2022年8月27日の記事によれば、 日本の主要企業から漏洩したパスワード約2万5000件の64%が、攻撃者の手にかかれば簡単

準備してきた情報やデータのバックアップ対策が、期待通りに機能することを、定期的に確かめましょう。

情報やデータのバックアップを考える際の「バックアップ計画」についてISO/IEC27002:2013に基づきご説明。

バックアップデータに基づき復旧作業を行う際、必要となる情報を記録し、その作業手順を用意しておきましょう。

～企業だけでなく、個人のＩＴ機器も狙われます 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.3.20 （更新：2025.5.23） 少し前ですが、2023年3月20日付の日経新聞・朝刊に、「身代金ウイルス悪質に　機密暴露の『二重...

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.3.17 （更新：2024.6.19） 〇クリアスクリーン：画面に情報を残さないこと ISMSの認証規格・ISO/IEC27001:2013の附属書A・「A.11.2.9」項では、クリア...

投稿：舩生好幸（ISACA認定CISA、 IPA登録 セキュリティプレゼンター ）2023.2.28 （更新：2025.12.26） 「溢れたゴミ箱」出典・写真AC： https://www.photo-ac.com/ ISO27001ISMS（情報セキュリティマネジメントシステム）の審査で、審査員が職場のごみ入れをチェックするのは定番の項目です。 と言いますのも、職場のごみ入れから往々にして、 ・非公開情報が記された資料やその草案などが捨てられている、 ・お客様住所氏名などが書かれたリストが”裏紙”として再利用され捨てられている、 等、職場の情報セキュリティルール運用の「穴」を発見できるからです。 〇業務に使用した記録媒体は安全な処分が求められます ISO/IEC27001:2013の附属書A・A.8.3.2項「媒体の処分」では、紙などを含む記録媒体の、安全な処分に関する方法を定めて運用することを求めています。 「媒体」には紙も含まれます。 機密情報や非公開の情報等が記された紙媒体は以下のようにセキュリティを保った状態で処分できるよう配慮すべき

投稿：舩生好幸 ISACA認定CISA、IPA登録 セキュリティプレゼンター） 2023.2.24 （更新：2024.9.12） 以前、Windows8.1等のサポート終了のお話を書きましたが、今回は現役のOSなどに関する内容です。...

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.2.21 （更新：2025.8.5） USBメモリやSDカード、DVD-Rなどの小型可搬媒体は、軽量コンパクトかつ大容量で、電子データの移動や保管等に便利ですが、その長所があだとなり、移...

投稿：舩生好幸（ ISACA認定CISA、IPA登録 セキュリティプレゼンター ）2023.2.16 （更新：2025.11.6） ISMS（情報セキュリティマネジメントシステム）の認証規格、ISO/IEC27001:2013の附属書A「A.8.2」項では、情報の価値や重要性などに基づき、情報の分類と、その表示（＝いわゆる「ラベル付け」）を求めています。 （※このブログはISO/IEC27001:2013に基づき説明しております。ISO/IEC27001規格の最新版としてISO/IEC27001:2022がリリースされています。ISMS認証取得を目的とされる場合は左記2022年版もご確認ください。） 業務で利用する情報が明確に分類され、その分類がラベルで分かりやすく表示されていると、どのような取り扱いや保護が必要か、利用者に簡潔かつ明確に示すことができます。 〇機密性に基づく情報の分類例 ISO/IEC27001に沿って情報資産の洗い出しやリスクアセスメントを実施している組織では、その実施結果から、組織の情報を、機密性によって分類する場合が多いの

投稿：舩生好幸（ ISACA認定CISA、IPA登録 セキュリティプレゼンター ）2023.2.2 （更新：2025.10.14） 「サイバーセキュリティ」出典： https://www.photo-ac.com/ Windows11には、「Windowsセキュリティ」（旧・Windows Difender）というセキュリティソフトが組み込まれています。 Windows95や98の頃、セキュリティソフトは外部製品をPCにインストールする以外なかったのですが、現在はOSに一体化されているといえます。 当時を思えば、便利かつ安心感が高まりました。 ですが、現在も新しいPCを購入すると、市販セキュリティソフトの「1ヵ月お試し版」などがあわせてプリインストールされていることも多いです。 攻撃者からPCを保護するにはWindowsセキュリティで十分なのか？　少し調べてみました。 Windowsセキュリティのパネルイメージ 〇Windowsセキュリティ・保護の領域 Windows11の「設定」をたどってWindowsセキュリティを開くと、保護の領域として、

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.1.26 （更新：2023.9.29） 新聞にも掲載されましたが、一般財団法人「日本サイバー犯罪対策センター」によれば、 偽の通販サイトは毎月1万件以上 新たに確認されているそうです。...

～「機密性」に加えて「完全性」「可用性」も 投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.1.26 （更新：2024.5.15） 情報セキュリティはいくつかの要素から成り立っている、という考え方があります。...

投稿：舩生好幸（ ISACA認定CISA、IPA登録 セキュリティプレゼンター ）2023.1.25 （更新：2025.12.8） 画像出典：https://www.photo-ac.com BYODは「Bring Your Own Device」の略で、一般に、従業員の私物のPCやスマートフォンなど情報端末を業務で使用することを指します。 導入のメリットには、 ・使い慣れた私物の端末で効率よく作業できる ・業務用との2台持ちが解消できて身軽に／スペース効率向上 ・事業者側は従業員に提供する端末費用を抑制できる 等ありますが、一方で、私用と業務用が同じ端末なので公私混同が生じやすく、 ・SNSにうっかり業務上の機密情報を書き込んでしまう ・業後や休日中の紛失や盗難などから業務に支障が出たり情報漏えいのリスクが高まる ・通常、端末に業務用管理ソフト導入の必要があり、その点が当事者の不満となりやすい 等のデメリットもありえます。 〇導入に先立って調査・検討を 企業等でBYODを導入しようと考えるなら、それに先立ち、 ・対象業務の範囲と特性等を明確化し

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.1.19 （更新：2025.11.5） 「並べられた机と椅子」出典： https://www.photo-ac.com/ 「クリアデスク」は机上に書類等を放置しないことを指します。 「クリアデスク」は情報セキュリティ対策の基本の一つです。 重要書類や重要な情報を格納したUSBメモリ・DVD-Rなどの小型可搬媒体は、 ・保管場所を定める ・作業に必要な場合のみ保管場所より持ち出す ・作業終了後は速やかに保管場所に戻す といった基本を守ることを励行しましょう。 そして、業務利用時以外のクリアデスクを徹底しましょう。 ＊保管場所にも配慮を さらに、紛失や、盗難等によって漏えいすることを予防するため、重要書類や重要情報を格納した小型可搬媒体等を保管する際は施錠できる場所を選びましょう。 〇ISO規格でも求められる「クリアデスク」 ISMSの認証規格ISO/IEC27001:2013の附属書Aの「A.11.2.9」項では、クリアデスク方針と、クリアスクリーン方針を定めて