セキュリティ事故への備えは平時のうちに
- 舩生 好幸
- 2024年9月10日
- 読了時間: 3分
更新日:9月3日
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.9.10
(更新:2025.9.3)
〇セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
起きて欲しくありませんが、コンピュータウイルス感染やサイバー攻撃の被害、重要情報の漏えいなど、情報セキュリティ事故は予想もしないタイミングで発生する場合があります。
事故が起きてから対応策を考え始めていては、諸々のプレッシャーからの誤判断や、時間の制限から対応が不十分であったり、対応が後手に回るなどして、さらに深刻な事態になる可能性もあります。
〇セキュリティ事故への備えは平時のうちに
平時のうちから、日々、報道されるセキュリティ事故などを参考に「もし、同じことが自分の会社で起きたら・・・」と想定して、誰がいつ何をするのか、対策をまとめておきましょう。
(対策例)
・重要情報の流出や紛失、盗難があった場合を想定した対応手順書を作成し、従業員に周知する。
・テレワークでウイルス感染、パソコンや書類の紛失、盗難など事故が起きた場合を想定して、連絡先を決め、テレワーク勤務者に周知する。
等
また、作成した対応手順書、対策手順書などは、内容が現在の使用機器や業務内容などに適合しているか、定期的に(年1回など)見直す機会を設けましょう。
例:9月1日は「防災の日」ですので、災害対策などと一緒に、情報セキュリティインシデントへの対応手順書も見直す日(週間、時期)、と定めておくと忘れにくく、取り組みやすいのではないでしょうか。
*上記は、IPA(独立行政法人情報処理推進機構)発行の以下の文書を参考に、筆者の意見も加えて構成しています。
・「5分でできる!情報セキュリティ自社診断」Ver.5.4・設問No.24及び解説
*「5分でできる!情報セキュリティ自社診断」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録3」として登録されており、誰でもダウンロードが可能です。
〇ご利用ください「中小企業のためのセキュリティインシデント対応の手引き」
また、IPA(独立行政法人情報処理推進機構)からは「中小企業のためのセキュリティインシデント対応の手引き」という資料も一般公開されています。
この手引きはA4版8ページの小冊子で、万一セキュリティ事故が発生した場合、
・どのようなステップで対応を進めるのか
・対応にあたりどのような事項や情報を整理しておく必要があるか
・相談窓口や報告先はどこか
といったポイントをコンパクトにまとめています。
対応手順を作成する際のご参考になると思います。
*「中小企業のためのセキュリティインシデント対応の手引き」も、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録8」として登録されており、誰でもダウンロードが可能です。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
コメント