情報セキュリティ対策の必要性

• 情報化社会では組織や企業の重要な情報が電子化
• サイバー攻撃や事故による情報漏洩は日々発生している
• サイバー攻撃によって、自組織が踏み台化され他者への攻撃に利用される
• 対策を取らないという事は自組織が被害者になるだけでなく、加害者になる事もある

情報セキュリティ対策の目的

• 情報セキュリティ事故による損失を防ぐ又は低減する事
• 組織の損失とは、直接的なものだけでなく、利害関係者からの信頼喪失も

何をどこまで実施すれば良いか

• 情報セキュリティ対策をどれだけとっても被害をゼロにする事は至難
• その為、情報セキュリティ事故や事件を防止、検知、低減する為の対策が必要
• それぞれの対策を場当たり的に行なっても効果が薄く、組織的な取組で継続して実施する事が重要
• 情報セキュリティ対策のガイドラインや規格・基準などを利用すると効率よく構築でき、且つ利害関係者に信頼を与えやすい

情報セキュリティ対策への最初の取組み

• IPA（独立行政法人情報処理推進機構）が提言しているガイドライン
• 情報セキュリティ５ヶ条
  1. OSやソフトウェアの最新アップデート
  2. ウイルス対策ソフトの導入
  3. パスワードの強化
  4. 機密情報の共有設定の見直し
  5. 脅威・攻撃の手口を知ること
• セキュリティアクションの宣言

組織的に取組みを行いたい

• ISMSの適合性評価精度の基準となっているISO/IEC27001
• まずは管理策のみを活用するのも良い
• リスクアセスメントを実施し、自組織に必要なセキュリティ対策を
• 認証取得する事で、より利害関係者に信頼を得る事が可能（入札要件など）
• 詳しくはこちら

クラウド提供・利用している

• ISO/IEC27017(クラウドセキュリティ)

PマークからISMSへ移行を検討している

• プライバシー情報マネジメントの為の規格(ISO/IEC27701)
• ISMSを拡張する形で個人情報保護の仕組みについてのガイドライン
• 適用範囲を限定化可能
• 詳しくはこちら