情報セキュリティチェックシートとは?その具体的な内容について解説

この記事は約7分で読めます。

企業や組織におけるIT活用の範囲は広がる一方です。業務効率、品質を高め、生産性を向上させ、コミュニケーションツールとしても必須の役割を果たしています。
特にインターネットの登場と業務への導入で大きな成果をあげたケースも多いでしょう。 

しかし、その代償として情報セキュリティに関するリスクも抱えねばなりません。
インターネットに常時接続された環境は利便性が高く、業務の前提ともなっていますが、裏返せば常に外部からの侵入や攻撃にさらされている状況でもあるのです。 

また、ノートパソコンやスマートフォン、タブレット端末や記憶媒体は、テレワークを含めたオフィスの外で働くことも選択肢として提供してくれます。
しかしながらこれも、紛失、盗難、のぞき見など情報漏えいのリスクと背中合わせなのです。 

これらのセキュリティリスクに備えることが組織の運営では必須ですが、日増しに対応しなければならないポイントは増えていきます。
情報セキュリティ担当者はポイントを抑えるだけでも手間がかかり、見落としも発生しやすくなりがちです。 

このような状況に対して、情報セキュリティ対策のチェックリストを用意するのが一つの対策となります。
チェック業務の効率化と抜け漏れを防ぐ効果の見込める情報セキュリティチェックシートについて、その具体的な内容を解説します。 

また、こちらに現役セキュリティコンサルによる作成のセキュリティチェックシートをご用意いたしました。無料でダウンロードしていただけますので、ぜひ本記事と併せてご活用ください。

自社で情報セキュリティ対策チェックリストを準備すべき理由

企業や組織において、利便性の高さからインターネットの活用は必須の施策です。
しかし、インターネットに接続しているほぼ全ての機器がサイバー攻撃のリスクにさらされてしまいます。 

独立行政法人情報処理推進機構(IPA)が発行している「情報セキュリティ10大脅威 2021」において、組織の脅威とされている内容TOP10は下記の通りとなりました。内容を確認してみると、6位、7位、9位を除き、他の全てがインターネットに接続していることと関連があります。​

1位 ランサムウェアによる被害 
2位 標的型攻撃による機密情報の窃取
3位 テレワーク等のニューノーマルな働き方を狙った攻撃
4位 サプライチェーンの弱点を悪用した攻撃
5位 ビジネスメール詐欺による金銭被害
6位 内部不正による情報漏えい
7位 予期せぬIT基盤の障害に伴う業務停止
8位 インターネット上のサービスへの不正ログイン
9位 不注意による情報漏えい等の被害
10位 脆弱性対策情報の公開に伴う悪用増加

このようなサイバー攻撃のリスクを低減するためには、それぞれの攻撃に対し策を打ち立て、ひとつずつ対応するほかありません
そして、いずれかでも漏れがないように、セキュリティ対策チェックリストにより網羅的に対策をすることが必要となります。 

後述しますが、情報セキュリティに関連のある団体からいくつかの情報セキュリティ対策チェックリストが提供されています。これらの情報セキュリティ対策チェックリストは大いに参考にすべきものです。
ただし、企業の持つIT資産(ソフトウェア、ハードウェア)や従業員のITリテラシーなどはケースバイケースで企業や組織によって違います。
情報セキュリティ担当者は、提供されたリストをもとに自社に合った情報セキュリティ対策チェックリストを準備して活用することが望ましいのです。​ 

情報セキュリティ対策チェックリストの作成に便利なデータ

IPAを始め、情報セキュリティと関係のある団体から各種のセキュリティチェックリストが提供されています。
これらは、各企業ごとの情報セキュリティ対策チェックリストに向けて、必要なところを取り込んで活用するべきアイテムです。 

​チェックリストが作成できたのならば、月次などのタイミングで定期的にチェックを実施しましょう

新5分でできる自社診断シート

新5分でできる自社診断シート」はIPAによって提供されるセキュリティ対策チェックリストです。
情報セキュリティ対策のレベルを数値化し、問題点を見つけるためのツールであり、名前の通りすぐに適用できるところがメリットとなります
セキュリティ対策チェックリストを検討する上でも、一番最初に基本的な部分を確認するのに有効な入門編となるリストです。

情報セキュリティ対策ベンチマーク

情報セキュリティ対策ベンチマーク」はIPAによって提供されるセキュリティ対策チェックリストです。
新5分でできる自社診断シートが入門編にあたるのに対し、情報セキュリティ対策ベンチマークは一歩進んだ基本編にあたるチェックリストとなります。

情報セキュリティ対策セルフチェック

情報セキュリティ対策セルフチェックリスト」は特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)によって提供されているチェックリストです。
「自社の情報の取り扱い状況を確認しながら、情報セキュリティ上の弱点を知ること」を目的としており、企業の情報セキュリティ担当者が活用するのに向いたツールといえます

情報セキュリティ自己診断チェックリスト

情報セキュリティ自己診断チェックリスト」はNISC(内閣官房情報セキュリティセンター )によって提供される情報セキュリティの自己診断のためのチェックリストです。
内容的には、企業に限らず個人のレベルから情報セキュリティに関する自己診断に利用できるものとなっています。 

中小企業における組織的な情報セキュリティ対策ガイドライン

中小企業における組織的な情報セキュリティ対策ガイドライン」はIPAが中小企業に向けて提供している情報セキュリティ対策のためのガイドラインです。
全ての企業が実施すべき対策と、企業ごとに考慮が必要な対策を分けて記載しているため、自社向けのチェックリストを作成するのに活用できます
また、付録としてガイドラインに沿った情報セキュリティ対策チェックリストも付属しています。

情報セキュリティ対策チェックリストに盛り込むべきポイント

情報セキュリティ対策チェックリスト作成において、記載すべき内容について具体的に紹介します。

情報セキュリティのための方針群
方針の策定がなされているか
情報セキュリティのための組織
情報セキュリティのための組織が構成され、機器の取り扱いルールが定められているか
人的資源のセキュリティ
従業員に対する秘密保持契約と情報セキュリティ教育がおこなわれているか
資産の管理
情報資産を定め、管理がおこなわれているか
アクセス制御
従業員や顧客に向けた情報について適切なアクセス制御が行われているか
パスワードのルールの策定と徹底ができているか
暗号
Wifiなどの利用における暗号化方式は定められているか
物理的及び環境的セキュリティ
業務スペースの人員の出入りの管理および機器の安全性を考慮した配置がなされているか
運用のセキュリティ
システムや機器の利用に対してルールが策定され、マニュアル化されているか
通信のセキュリティ
外部との通信方法について定め、管理が行われているか
システムの取得、開発及び保守
外部への委託も含め、情報セキュリティに関する項目が含まれているか
供給者関係
委託先と秘密保持契約を結び、セキュリティ状況を管理できているか
情報セキュリティインシデント管理
セキュリティインシデント発生時の対応が定められ、エスカレーションルールは定められているか
事業継続マネジメントにおける情報セキュリティの側面
災害や停電などの不測の事態での事業継続の備えに情報セキュリティが考慮されているか
遵守
定められたルールを遵守するための取り組みが行われているか
従業員や顧客に向けた情報について適切なアクセス制御が行われているか

これらのチェックに向けてLRMではセキュリティコンサルタントの作成したセキュリティチェックシートを無料で提供しています。
ぜひ下記のリンクよりチェックシートをダウンロードしてください。

まとめ

情報セキュリティリスクへの対策は必須ですが、様々な攻撃に対し備える必要があり、抜け漏れが許されるものではありません。そこで情報セキュリティ対策のチェックリストを作成し、定期的なチェックを実施することにより、対策を網羅し安全を保ちましょう。 

各種の情報セキュリティに関する団体よりチェックリストが提供されているため、自社にあわせたリスト作成に役立ててください。​ 

セキュリティ対策をするセキュリティ技術の導入
タイトルとURLをコピーしました