【質問回答】第3回セミナー『DX・デジタル化と情報セキュリティ対策』

先日開催したセキュリティ専門家による第3回セミナーで参加者の皆様から寄せられたご質問にお答えします。アーカイブ動画も公開しておりますので、ぜひご覧くださいませ。

【開催概要】
開催日時：2024年10月23日(水)　14時00分から16時00分・オンライン開催
『DX・デジタル化と情報セキュリティ対策』
講師：十河　敏郎さん（情報セキュリティマネジメント指導 専門家）

Q１．何から始めればわからないのですが、まずはこれだけ対応していれば一旦安心のようなものはありますでしょうか？

A１．まずは、独立行政法人 情報処理推進機構（IPA）推奨の「情報セキュリティ５か条」^※1 を実践して下さい。さらに余裕があれば、「サイバーセキュリティお助け隊サービス」^※2 の利用をお勧めします。

Q２．セキュリティ担当者を置くほど人員がいないのですが、あまり工数がかからないセキュリティ対策を教えてください。

A２．A1の回答に同じですが、専従担当者が居らず、手っ取り早く安心を得たいとの事であれば、「サイバーセキュリティお助け隊サービス」^※2 をお勧めします。

Q３.システム選定と同じように、セキュリティツールの選定をする場合に気を付けるポイントはありますか？(業者の選び方や、〇〇の場合はクラウドがよい　等)

A３．費用も大事ですが、できれば、機能に注視して下さい。何を何から守りたいのか保護対象を見定め、その対象をカバーする機能をもった製品を選定して下さい。

Q４．サイバー攻撃を受け、情報漏洩やランサムウェア被害を受けた場合はどこに報告、相談すればよいですか？

A４．まずはIPAの「情報セキュリティ安心相談窓口」^(※3⁾ にご相談下さい。その他に「企業・組織からのインシデント等に関する相談/届出/情報提供窓口のご案内」(^※4)にて相談内容別の窓口を紹介しています。また、「中小企業のためのセキュリティインシデント対応の手引き」(^※5)も参考にして下さい。

Q５.安全なパスワードの作り方とパスワード変更の頻度について、公的機関が推奨するルールなどがあれば教えてください。

A５．IPA、東京都が提唱していますので参考にして下さい。
〇チョコっとプラスパスワード（IPA）
　　https://www.ipa.go.jp/security/chocotto

〇パスワードの作り方と管理方法(東京都)
　　https://shanaitaisei.metro.tokyo.lg.jp/r5/summary/betten/betten02.html
ただし、最近は「NIST、新ガイドラインでパスワードの複雑さと強制的な変更を廃止」 という話もでてきています。推奨は時の流れと共に変遷しますので、最新の情報をしっかりキャッチして下さい。

Q６．生成AIを業務で利活用する場合、セキュリティの側面から気をつけるべきポイントを教えてください。

A６．本セミナー内でも取り上げましたが、主に以下の点にご留意下さい。

〇AIに質問・指示する時の機密情報の入力
〇社内にAIを設置し、外部に公開する時の社内機密情報の漏えい
〇AIを外部公開する場合の偽・誤情報の発信

Ｑ７．メールサーバの移行を考えています。移行時の注意点と優先して実施すべきセキュリティ対策についてご教示ください。

Ａ７．メールサーバの移行元、移行先の各々がオンプレミスかクラウドかにより、移行方法が変わってくると思いますので、一般的なセキュリティ上の考慮点を答えます。

移行先メールサーバ選定について
・送信ドメイン認証等の必要なセキュリティ機能の確認

メールデータの移行時
・移行元から移行先への移送用メールデータの暗号化

メールデータの移行後
・移行に利用した媒体の適切な管理
・移行元サーバ上のメールデータの廃棄

DNSの切替え
・切替えに要する時間を考慮した上でのDNSの適切な切替え

Ｑ８．個人の所有デバイスを業務で利用したいとのリクエストがありました。利用を認める場合、どういった点に気を付けるべきでしょうか？

Ａ８．個人の所有デバイス利用時には「個人所有デバイスへのデータ保存が可能」「マルウェア対策ソフト等のインストールを強制できない」等のセキュリティリスクが発生します。
よって、「個人所有デバイス利用時のルール」を定め、ルールに則った利用および必要なセキュリティ対策の確認を行った上で、厳格なデバイス管理を実施して下さい。また、社内ネットワークへの接続管理も厳格に実施して下さい。

Ｑ９．家族経営の場合、セキュリティ対策はどこまで実施すべきでしょうか？

Ａ９．まずはIPAの「情報セキュリティ５か条」 (^※1) をできる範囲で実施して下さい。また、自営業の場合、業務利用と家庭利用が混じります。特に他端末でウィルスに侵された場合業務端末にも被害が及びますので、注意が必要です。業務端末のプライベート利用によりSNSへの機密情報を発信する可能性が高まりますので要注意です。

Ｑ１０．セキュリティについてとりあえずここを見ておけばよい、というような信頼できるWebページや機関はございますか？

Ａ１０．まずは「情報セキュリティ」（IPA）、「中小企業向けサイバーセキュリティウェブサイト」（東京都）で情報収集を行って下さい。最新の流れを押さえておきたいのであれば、「Security NEXT」「日経クロステック（ITピックアップ）」がお勧めです。

Ｑ１１．やらなければいけないのはわかるのですが、予算は営業などの本業に使われてしまいセキュリティに関する予算が下りません。
何か経営層を納得させられるようなコツはありますか？

Ａ１１．セミナー本編でも話しましたようにインシデント発生時に受ける被害（金額面、業務面、信用面）及び経営者に問われる責任を理解してもらい、サプライチェーンへの攻撃、金銭目的の攻撃を考えれば自社がいつでもターゲットになり得る事を理解してもらえると考えます。

参考サイト

〇情報セキュリティ５か条 (^※1)
https://www.ipa.go.jp/security/security-action/download/5point_poster.pdf

〇「サイバーセキュリティお助け隊サービス」 (^※2)
https://www.ipa.go.jp/security/otasuketai-pr

〇情報セキュリティ安心相談窓口　(^※3)
https://www.ipa.go.jp/security/anshin/enterprise.html

〇企業・組織からのインシデント等に関する相談/届出/情報提供窓口のご案内　(^※4)
https://www.ipa.go.jp/security/todokede/incidentportal.html

〇中小企業のためのセキュリティインシデント対応の手引き　(^※5)
https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf