27 Jan 2022
IPA 独立行政法人 情報処理推進機構のWebページには、情報システムに対するインターネットを経由した外部からの不正アクセスを可能な限り防ぐとともに、不正アクセスが行われた際の被害を軽減させるために行うべき対策についての、セキュリティ対策セルフチェックシートが公開されています。
その格子の抜粋が下記です。
セキュリティ対策セルフチェックシート
- 共通事項
- 1.不正アクセス対策に必要となる情報の収集 ・・・ Aが2項目
- 外部公開サーバー
- 1.不正アクセスの要因を減少させるための対策
・Aが6項目、Cが1項目
<Webサーバーのみに係る項目> ・・・ Aが2項目、Bが1項目、Cが1項目
<メールサーバーのみに係る項目> ・・・ Aが1項目
2.不正アクセス及びその予備行為を発見するための対策
・Aが6項目、Bが3項目、Cが2項目
<Webサーバーのみに係る項目> ・・・ Aが1項目
<メールサーバーのみに係る項目> ・・・ Aが1項目
3.不正アクセスを発見した場合の対応に係る対策
・Aが5項目
4.不正アクセスによる被害を軽減させるための対策
・Aが1項目、Bが2項目
- 内部ネットワーク(外部セグメントから保護された、外部への公開の対象としていないネットワーク)
- 1.不正アクセスの要因を減少させるための対策
・Aが5項目、Bが1項目
<Webサーバーのみに係る項目> ・・・ Aが2項目、Bが1項目、Cが1項目
<メールサーバーのみに係る項目> ・・・ Aが1項目
2.不正アクセスを発見するための対策
・Aが1項目
3.不正アクセスを発見した場合の対応に係る対策
・Aが4項目
A:必ず行うべきもの
B:守るべき情報の重要性との兼ね合いではあるが、極力行うべきもの
C:守るべき情報の重要性と、当該項目の実施に必要なコスト等を勘案の上、必要と思われる場合には行うべきもの
[出典: セキュリティ対策セルフチェックシート]
このページには、セキュリティ対策チェックシート作成の考え方という別紙もリンクされています。その中で、セキュリティは、不正アクセス技術の進展等で破られる可能性も増大する性質であること、対策を講じるためには、費用や労力が必要であり、場合によってはシステムの利便性を損なう可能性があることを認識し、守るべき情報の重要性との兼ね合いを見つつ進めていくべきなのが実情であるとしています。そのような状況の中でも、現時点で必要と考えられるセキュリティ対策が行われているかどうかをチェックすることは、情報システムにとってセキュリティ点検の意味だけではなく、セキュリティ対策の向上に繋がることを期待して、こうしたチェックシートにまとめられているようです。
セキュリティ対策セルフチェックを活用される企業や組織は、このチェックシートの対策のみが万全であると過信せず、セキュリティは破られる可能性があることも認識し、最新の情報収集とメンテナンスを継続することが必須だとされているので、そのことを十分理解することが重要なポイントとなります。