Cybersecurity guide for SMEs - 12 steps to securing your business https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smesなお、このガイドについては、INTERNET Watchで連載中の「海の向こうの“セキュリティ”」でも紹介しています。
海の向こうの“セキュリティ”
中小企業のシステムやビジネスをセキュアにするための12のステップ
「サイバーセキュリティガイド」をENISAが公開
https://internet.watch.impress.co.jp/docs/column/security/1341091.html
中小企業のためのサイバーセキュリティガイド
ビジネスをセキュアにするための12のステップ
STEP1 優れたサイバーセキュリティ文化の構築
管理責任の割り当て
優れたサイバーセキュリティは、あらゆる中小企業の継続的な成功のための重要な要素である。この重要な機能に対する責任は、組織内の者に割り当てられるべきであり、担当者の時間、サイバーセキュリティ・ソフトウェア、サービス、ハードウェアの購入、スタッフのトレーニング、効果的なポリシーの策定など、適切なリソースがサイバーセキュリティに与えられるようにする必要がある。
従業員の同意の獲得
経営陣がサイバーセキュリティに関する効果的なコミュニケーションを行い、経営陣がサイバーセキュリティの取り組みを率直に支持し、従業員に適切なトレーニングを実施し、サイバーセキュリティポリシーに記載された明確で具体的なルールを従業員に提供することで、従業員の同意を得る。
サイバーセキュリティポリシーの発表
会社のICT環境、機器、およびサービスを使用する際に、従業員がどのように行動することが期待されるかについて、明確かつ具体的なルールをサイバーセキュリティポリシーで説明する必要がある。また、これらのポリシーは、従業員がポリシーを遵守しなかった場合に直面し得る結果を強調する必要がある。ポリシーは定期的に見直し、更新する必要がある。
サイバーセキュリティ監査の実施
定期的な監査は、適切な知識、スキル、経験を有する者が実施すべきである。監査人は、外部の契約者または中小企業の内部の者で、日常のIT業務から独立した者でなければならない。
データ保護を忘れずに
EU一般データ保護規則(GDPR: General Data Protection Regulation)に基づき、EU/EEA居住者の個人データを処理または保存する中小企業は、そのデータを保護するために適切なセキュリティ管理が行われていることを確認する必要がある。これには、中小企業に代わって業務を行う第三者が、適切なセキュリティ対策を講じていることも含まれる。STEP2 適切なトレーニングの提供
すべての従業員がさまざまなサイバーセキュリティの脅威を認識し、対処できるように、定期的にサイバーセキュリティの意識向上のためのトレーニングを実施する。これらのトレーニングは、中小企業向けにカスタマイズされ、実際の状況に焦点を当てるべきである。企業内でサイバーセキュリティを管理する責任者に、サイバーセキュリティに特化したトレーニングを提供し、職務遂行に必要なスキルとコンピテンシーを確実に身につけさせる。
STEP3 効果的なサードパーティ管理の徹底
すべてのベンダー、特に機密なデータやシステムにアクセスできるベンダーが積極的に管理され、合意されたセキュリティレベルを満たすようにする。ベンダーがこれらのセキュリティ要件をどのように満たすかを規制するために、契約上の合意が必要である。STEP4 インシデント対応計画の策定
正式なインシデント対応計画を策定する。この計画では、明確なガイドライン、役割と責任が文書化されており、すべてのセキュリティ・インシデントがタイムリーかつ専門的で適切な方法で対応されることを保証する。セキュリティ上の脅威に迅速に対応するために、不審な活動やセキュリティ侵害が発生した場合に監視して警告を発するツールを調査する。STEP5 システムへのアクセスのセキュア化
パスフレーズの使用を全員に奨励する。パスフレーズとは、一般的な単語をランダムに3つ以上組み合わせたフレーズのことで、覚えやすさとセキュリティのバランスが非常に優れている。一般的なパスワードを使用する場合は以下の点に注意すること。- 小文字と大文字、可能であれば数字や特殊文字も使って長くする。
- 「password」のようなわかりやすいもの、「abc」のような文字や数字の羅列、「123」のような数字は避ける。
- ネット上で見つけられるような個人情報の使用は避ける。
- 他のところで再利用しない。
- 同僚と共有しない。
- 多要素認証を有効にする。
- 専用のパスワードマネージャーを使用する。
STEP6 デバイスのセキュア化
デスクトップPC、ノートパソコン、タブレット、スマートフォンなど、スタッフが使用するデバイスをセキュアに保つことは、サイバーセキュリティプログラムの重要なステップである。
ソフトウェアにパッチを適用して最新の状態に保つ
パッチを管理するには、集中管理されたプラットフォームを利用するのが理想的である。中小企業には以下のことが強く推奨される。- すべてのソフトウェアを定期的に更新する。
- 可能な限り自動アップデートを有効にする。
- 手動でのアップデートが必要なソフトウェアやハードウェアを特定する。
- モバイルデバイスやIoTデバイスを考慮に入れる。
アンチウイルス
集中管理されたアンチウイルスソリューションは、継続的に効果を発揮するために、すべての種類のデバイスに導入し、最新の状態に保つ必要がある。また、海賊版ソフトウェアにはマルウェアが含まれている可能性があるため、インストールしない。
電子メールとウェブの保護ツールの採用
スパムメール、悪意のあるウェブサイトへのリンクを含むメール、ウイルスなどの悪意のある添付ファイルを含むメール、フィッシングメールなどをブロックするソリューションを採用する。
暗号化
データを暗号化して保護する。中小企業は、ノートパソコン、スマートフォン、タブレットなどのモバイル機器に保存されているデータを確実に暗号化する必要がある。ホテルや空港のWiFiネットワークなどの公共ネットワークを介して転送されるデータについては、VPN(Virtual Private Network)を採用するか、SSL/TLSプロトコルを使用したセキュアな接続でウェブサイトにアクセスするなどして、データが暗号化されていることを保証する。自社のウェブサイトに適切な暗号化技術を採用し、インターネット上を流れる顧客データを保護することを保証する。
モバイルデバイス管理の実施
スタッフのリモートワークを促進するために、多くの中小企業ではスタッフが自分のノートパソコン、タブレット、スマートフォンを使用することを許可している。この場合、これらのデバイスに保存されている機密性の高いビジネスデータについて、いくつかのセキュリティ上の懸念が生じる。このリスクを管理する1つの方法として、モバイルデバイス管理(MDM)ソリューションを採用することで、中小企業は以下のことが可能になる。- 自社のシステムやサービスへのアクセスを許可するデバイスを管理する。
- デバイスに最新のアンチウイルス・ソフトウェアがインストールされていることを徹底する。
- デバイスが暗号化されているかどうかを判断する。
- デバイスに最新のソフトウェアパッチがインストールされているかどうかを確認する。
- デバイスがPINおよび/またはパスワードで保護されていることを徹底する。
- デバイスの所有者がデバイスの紛失や盗難を報告した場合、またはデバイスの所有者が中小企業との雇用関係を終了した場合、デバイスから中小企業のデータを遠隔操作で消去する。
STEP7 ネットワークのセキュア化
ファイアウォールの採用
ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業のシステムを保護するための重要なツールである。ファイアウォールは、すべての重要なシステムを保護するために導入する必要がある。特に、中小企業のネットワークをインターネットから保護するためにファイアウォールを採用する必要がある。
リモートアクセスソリューションの見直し
中小企業は、あらゆるリモートアクセスツールを定期的に見直し、セキュアであることを保証する必要がある。その際には特に以下の点に注意する。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新の状態になっていることを徹底する。
- 不審な地理的位置または特定のIPアドレスからのリモートアクセスを制限する。
- スタッフのリモートアクセスを業務に必要なシステムやコンピュータに限定する。
- リモートアクセスに強力なパスワードを設定し、可能であれば多要素認証を有効にする。
- 攻撃の疑いや通常とは異なる不審な活動を警告するために監視とアラートが有効になっていることを徹底する。
STEP8 物理的セキュリティの改善
重要な情報が存在するところでは、適切な物理的管理を行う必要がある。例えば、会社のノートパソコンやスマートフォンを車の後部座席に放置してはいけない。また、ユーザーがコンピュータから離れる際には常にロックをかける必要がある。もしくは、業務目的で使用するデバイスではオートロック機能を有効にする。また、機密性の高い印刷文書も放置せず、使用しない時はセキュアに保管する。STEP9 バックアップのセキュア化
重要なフォーメーション(組織編成)の復旧を可能にするためには、ランサムウェア攻撃などの大惨事から復旧するための有効な手段であるバックアップを維持する必要がある。以下のバックアップルールを適用すること。- バックアップは定期的に行い、可能な限り自動化する。
- バックアップは中小企業の本番環境とは別に保持する。
- バックアップは、特に拠点間で移動する場合は、暗号化する。
- バックアップからデータを定期的にリストア(復元)できるかテストする。理想的には、最初から最後までのフルリストアのテストを定期的に行うべきである。
STEP10 クラウドとの連携
クラウドベースのソリューションには多くの利点がある一方で、いくつかの固有のリスクがあり、それらを中小企業はクラウド事業者と連携する前に検討する必要がある。ENISAは中小企業がクラウドに移行する際に参考にすべき「中小企業のためのクラウドセキュリティガイド」を発行している。ENISA (2015-04-10) Cloud Security Guide for SMEs https://www.enisa.europa.eu/publications/cloud-security-guide-for-smesクラウド事業者を選定する際には、中小企業は、データ、特に個人データをEU/EEA域外に保存しても、いかなる法律や規制にも違反しないことを保証する必要がある。例えば、EUのGDPRでは、EU/EEA域内の居住者の個人データは、よほど特殊な事情がない限り、EU/EEA域外に保存・送信しないことが定められている。