情報セキュリティ5か条とは?情報セキュリティ5か条を解説
目次[非表示]
情報処理推進機構(IPA)が公表している「情報セキュリティ5か条」というものがあります。
企業が行うべき基本的なセキュリティ対策を、誰にでもわかりやすくまとめたものが情報セキュリティ5か条です。
情報セキュリティ5か条の内容と実行のポイントを解説します。
情報セキュリティ5か条とは
情報セキュリティ5か条とは、情報セキュリティ確保のために企業が行うべき5つの基本的な取り組み事項です。
経済産業省のIT政策実施機関である独立行政法人「情報処理推進機構(IPA)」が策定し公表しています。
情報セキュリティ5か条は下記の5項目からなっています。
- 第1条:OSやソフトウェアは常に最新の状態にしよう!
- 第2条:ウイルス対策ソフトを導入しよう!
- 第3条:パスワードを強化しよう!
- 第4条:共有設定を見直そう!
- 第5条:脅威や攻撃の手口を知ろう!
情報セキュリティに関心の低かった企業にも分かりやすくシンプルにまとめられており、まずはこの5つから取り組むことで、必要最低限のセキュリティ対策が可能です。
情報セキュリティ5か条をきっかけに、セキュリティ対策に関心を深めて、より高度な対策に活かしていくと良いでしょう。
ここからは、各条項の内容と怠ることで生じるリスク、実行のポイントを解説していきます。
第1条:OSやソフトウェアは常に最新の状態にしよう!
パソコンやモバイルデバイスを利用する場合、OSやソフトウェアの定期的なアップデートはセキュリティ対策の基本です。
更新を怠った場合のリスクや、実行時のポイントを解説します。
OSやソフトウェアの更新を怠ることのリスク
OSやソフトウェアの更新を怠り、古いバージョンを使い続けると、セキュリティの脆弱性に対応できません。
OSやソフトウェアの製造元は、新たにセキュリティの問題(脆弱性)を発見した場合、修正するためのアップデート(セキュリティパッチ)を提供します。
アップデートを適用しないと、脆弱性を狙ったサイバー攻撃の脅威にさらされ続けるリスクがあります。
また、製造元のサポート切れとなった製品はセキュリティパッチが提供されなくなるため、サポート対象の製品への移行を検討しましょう。
OSやソフトウェアを常に最新に保つポイント
OSやソフトウェアを常に最新に保つためには、下記の3つのポイントに注意して取り組みましょう。
- 定期的にOSやソフトウェアのバージョンが最新となっているかをチェックする
- 自動アップデートを有効にして更新漏れのリスクを減らす(都度適用の判断が必要な場合は除く)
- アップデート適用後は挙動が変わる場合があるため、早めに動作を確認する
これらのポイントに注意することで、OSやソフトウェアを最新の状態に保てます。
それにより、情報セキュリティを確保しつつ、最新の機能や性能の享受も可能です。
第2条:ウイルス対策ソフトを導入しよう
ウイルス対策ソフトは、悪意のあるプログラム(マルウェア)を使ったサイバー攻撃を防いだり、感染を検知・駆除する効果があります。
ウイルス対策を怠ることのリスクや、ウイルス対策ソフト導入のポイントを見てみましょう。
ウイルス対策を怠ることのリスク
ウイルス対策を怠ったパソコンやモバイルデバイスは、マルウェアの攻撃に対して無防備です。
マルウェアに感染すると、プライバシーの侵害やデバイスの不正利用などのリスクが高まります。
マルウェアは、感染したデバイスだけでなくネットワークにも侵入して、企業のサーバやストレージにも広がります。
その結果、顧客情報の流出やシステムダウンなどの被害に遭い、企業のビジネスに悪影響を与えかねません。
ウイルス対策は個人から企業まで、すべてのITユーザーにとって必須のセキュリティ対策です。
ウイルス対策ソフトを導入する際のポイント
ウイルス対策ソフトを導入する際には、下記の3つのポイントを意識して検討すると良いでしょう。
- 最新の脅威に対応している、評価や信頼性の高い製品を選ぶ
- 動作が重くなる場合があるため、無料トライアルなどで影響を確認する
- オプション機能やサポート体制を確認し、自社のニーズにあったサービスを選ぶ
ウイルス対策ソフトを導入しても、すべての攻撃を100%防げるわけではありません。
ほかの対策と組み合わせてセキュリティを高めることが重要です。
第3条:パスワードを強化しよう!
パスワードは、デバイスやサービスへの不正アクセスを防ぐための最初の重要な防御壁です。
パスワード強化を怠ることのリスクと、パスワードを強化する際のポイントを解説します。
パスワード強化を怠ることのリスク
パスワードは、さまざまなデバイスやサービスへログインするための鍵であり、管理が不適切だと外部に流出して不正アクセスを許してしまいます。
たとえば、単純で短いパスワードを設定している場合、ブルートフォース攻撃(総当たり攻撃)や辞書攻撃(既知の単語やフレーズを試す攻撃)で簡単に突破される可能性が高いでしょう。
また、パスワードを使い回している場合には、1ヶ所から漏れるとほかのサービスも脅威にさらされます。
このように、パスワードの強化を怠ることで、攻撃者がデバイスやサービスに容易に不正アクセスできてしまうのです。
パスワードを強化する際のポイント
パスワードを強化し、不正アクセスからデバイスやサービスを守るためのポイントは下記のとおりです。
- 大文字・小文字・数字・記号を混ぜて長く複雑なパスワードを設定する
- パスワードを使いまわさない
- 二段階認証(パスワード+別の認証を組み合わせる方式)が使える場合、有効化する
複雑なパスワードを作成し、それを複数記憶しておくのは大変です。
パスワード管理ツールを活用することで、安全な管理が可能になります。
第4条:共有設定を見直そう!
共有設定とは、ファイルやデータ、ネットワークなどをどのユーザーやデバイスと共有するかを制御する設定です。
共有設定が不適切な場合のリスクと、共有設定を見直す際のポイントを解説します。
共有設定が不適切な場合のリスク
共有設定が適切に行われていない場合、本来アクセスすべきでない社員や外部者が、重要な情報を参照・更新できてしまうリスクがあります。
たとえば、企業の人事評価のファイルを全社員が参照可能な状態になっていた場合、誰でも他人の情報を参照できてしまい、社員の信頼を失うかもしれません。
また、外部の攻撃者がネットワークに侵入した際、共有設定が適切でなければ、企業の重要情報にアクセスし外部に持ち出すことが容易になります。
このように、不適切な共有設定は企業に大きな損害をもたらす可能性のあるリスクです。
共有設定を見直す際のポイント
セキュリティ強化のために共有設定を見直す際には、下記のポイントに注意すると良いでしょう。
- 情報の重要度に応じて共有設定し、個人情報や企業秘密は最小限の人のみアクセスできるようにする
- セキュリティ部門や管理者だけでなく、全社員に共有設定の重要性を周知し適切な設定を促す
- 定期的にアカウントやアクセス権を棚卸しして、不要な権限が残っていないかチェックする
共有設定を適切に行うことで、安全な情報管理を実現しましょう。
第5条:脅威や攻撃の手口を知ろう
情報セキュリティ5か条の最後は、脅威や攻撃の手口を知ることです。
脅威や攻撃の手口を知らないことのリスクと、周知するためのポイントを見ていきましょう。
脅威や攻撃の手口を知らないことのリスク
近年のサイバー攻撃は手口が巧妙化・多様化しています。
脅威や攻撃の手口を知らないことは、自己防衛が難しくなることを意味します。
たとえば、標的型攻撃メールは本物の業務メールなどを装って受信者を騙し、偽のURLやマルウェア付きのファイルを開かせる攻撃です。
攻撃の手口を知らないユーザーは、偽のメールを疑うことなくリンクや添付ファイルを開いてしまうでしょう。
こうした脅威や攻撃の手口に対する知識不足は、個人情報流出や企業ネットワークのマルウェア感染など重大な問題を引き起こすリスクを増大させます。
脅威や攻撃の手口を周知する際のポイント
企業内で脅威や攻撃の手口を全社員に周知する際には、下記のポイントを意識して取り組みましょう。
- 日々進化するサイバー攻撃の情報をキャッチする体制を確立する
- 定期的かつ継続的にセキュリティ研修を開催し、脅威や攻撃の手口に関する情報を周知する
- 理解した情報を行動に移すための具体的な行動指針を示す
こうした取り組みにより、企業全体の脅威や攻撃の手口に対する理解が高まり、セキュリティ意識の高い組織文化が確立されていくでしょう。
情報セキュリティ5か条を理解して重要な情報を守ろう
情報セキュリティ5か条は企業が守るべきセキュリティの基本事項をまとめたものです。
セキュリティ対策は、社員全体にしっかりと周知して、組織的に取り組むことで効果を発揮します。
各条項を守らないことのリスクや、実行する際のポイントを理解して、企業の重要な情報を守りましょう。
