情報セキュリティ（企業） - 武安技術士事務所

企業の情報セキュリティーINFORMATION SEURITY

情報セキュリティ・マネジメント・システムの構築

情報セキュリティ・マネジメント・システムの構築は、以下の手順で行います。

企業としての、情報セキュリティ基本方針を定めます
情報セキュリティの対策を実施する社内体制を決めます
情報セキュリティの対象（何を守るのか）を決めます
情報セキュリティの対象に対して、どのようなリスクが存在するかを洗い出します
洗い出したリスクに対して、対策（を実施するかを含めて）を検討します
実施する対策（情報セキュリティ対策）を文書化し、社内規定・社内ルールを作成します
社内に広報するとともに、社員に対して、セキュリティ教育・研修を実施します
情報セキュリティ対策を実施します
実施した対策について、効果を検討し、対策内容を見直します

※注意点

情報セキュリティのリスクは、できるだけ漏れなく洗い出します
洗い出したリスクに対して、完全な対策を行うことは一般的には無理ですので、対策実施後の残存リスクについて認識することも必要です（リスクの容認）

情報セキュリティの対象（守るべき物）の例

情報セキュリティの対象（守るべき物）の例としては、このようなものがあります。

社内にある個人情報	人事情報（履歴書、給与情報、評価等）に関する書類とサーバーのデータ税務署、労働基準監督署、社会保険事務所、健康保険組合等への提出書類
営業情報、機密情報	お客様との契約書、見積書、発注書、打合せ記録お客様に関する営業情報社内の組織図、経営方針
製造物	設計書、設計図面、設計・製造ノウハウ
お客様の信用	お客様からの借用物品お客様から預かった個人情報・データ等のデジタルデータお客様先に対する発言

リスクが発生する場所とその発生リスクの例

リスクが発生する場所（リスク対策を実施する場所）と発生リスクの例として、このようなものがあります。

リスクが発生する場所	発生リスク
事務所（ビル）執務室会議室サーバルーム	不審者の侵入許可された者以外の侵入地震による破壊・火災による焼失中に入れない
ロッカー（書類棚）保管庫金庫倉庫	資料・媒体の無断持ち出し資料・媒体の紛失
机の上机の引き出し	機密資料の閲覧資料・媒体の無断持ち出し資料・媒体の紛失
サーバ　ファイルサーバ／データベースサーバ／　ウェブサーバ／メールサーバ	不正アクセスファイル・データの改ざんコンピュータ・ウィルスによる汚染ＯＳ障害またはハード障害によるデータの紛失
ＰＣ・ノートＰＣ記憶媒体（携帯ハードディスク、DVD、CD-R、　USBメモリー、メモリーカード等）携帯電話・スマートフォン	ＰＣ・記憶媒体の紛失ＰＣの不正利用ＰＣの故障携帯電話・スマートフォンの紛失
ブラウザの利用メールの送受信ＳＮＳの使用	インターネットの不正使用ブラウザによるコンピュータ・ウィルス感染メールの誤送信（送信先・添付資料の誤り）メールによる機密情報漏洩メールによるコンピュータ・ウィルス感染メールの記述ミスによる社外の信用喪失ＳＮＳの記述による機密情報の漏洩ＳＮＳの記述ミスによる社外の信用喪失ネットワークの障害による通信不能
お客様先お客様先への移動中（電車・タクシー・バス・飛行機・飛行場の中）郵便・宅配便の使用	お客様先（待合室・エレベータ等）での発言による、　お客様の信用喪失移動中のＰＣ・記録媒体・資料等の紛失・盗難移動中の発言による社外の信用喪失郵便・宅配便で送付した資料等の輸送中の紛失

リスク対策（セキュリティ対策）の例

リスク対策（セキュリティ対策）の例として以下のようなものがあります。
リスク対策は、自社のリスクに対する許容度、対策の必要性・重要性により異なりますので、それぞれの企業にあった検討が必要です。

リスクが発生する場所	リスク対策（セキュリティ対策）
事務所（ビル）執務室会議室サーバルーム	施錠管理入退出チェック（ガードマン、セキュリティ・カード、　暗証番号、生体認証）入退出の記録保存監視カメラの設置防火・消火設備の設置
ロッカー（書類棚）保管庫金庫倉庫	施錠管理資産管理（資産毎にセキュリティレベル・管理者を　　定める）入出庫記録
机の上机の引き出し	机の整理整頓引き出しの施錠管理
サーバ　ファイルサーバ／データベースサーバ／　ウェブサーバ／メールサーバ	アクセス管理（利用者・利用権限管理）アクセスログ管理データ・バックアップウィルス対策ソフト導入サーバ・ポート管理セキュリティホール対策ファイアーウォールの設置
ＰＣ・ノートＰＣ記憶媒体（携帯ハードディスク、DVD、CD-R、　USBメモリー、メモリーカード等）携帯電話・スマートフォン	ＰＣ・スマートフォンのセキュリティ対策ＰＣ・記憶媒体の資産管理ＰＣ・記憶媒体の暗号化シンクライアントの利用
ブラウザの利用メールの送受信ＳＮＳの使用	ネットワークの通信ログの保管アクセス先の制限メールの送信先、添付資料の検査添付資料の暗号化メール・ＳＮＳの使用制限
お客様先お客様先への移動中（電車・タクシー・バス・飛行機・飛行場の中）郵便・宅配便の使用	お客様先・移動中での発言内容の注意かばん・荷物を手元から離さず、放置しない

プライバシーマークとＩＳＭＳ（ISO/IEC 27001）について

　情報セキュリティ対策を行う上では、プライバシーマークやＩＳＭＳ（ISO/IEC 27001）の認証を受けることも対策の一つとなります。
　これらを取得すると、第三者から見て対策を行っていることが確認されますで、漏れなく対策を実施できるとともに、社外から見た時の信用力にもつながります。

このページの先頭へ

バナースペース

武安技術士事務所

代表者　武安真児

事務所　神奈川県横浜市緑区

リスクが発生する場所	発生リスク
事務所（ビル）執務室会議室サーバルーム	不審者の侵入許可された者以外の侵入地震による破壊・火災による焼失中に入れない
ロッカー（書類棚）保管庫金庫倉庫	資料・媒体の無断持ち出し資料・媒体の紛失
机の上机の引き出し	機密資料の閲覧資料・媒体の無断持ち出し資料・媒体の紛失
サーバ　ファイルサーバ／データベースサーバ／　ウェブサーバ／メールサーバ	不正アクセスファイル・データの改ざんコンピュータ・ウィルスによる汚染ＯＳ障害またはハード障害によるデータの紛失
ＰＣ・ノートＰＣ記憶媒体（携帯ハードディスク、DVD、CD-R、　USBメモリー、メモリーカード等）携帯電話・スマートフォン	ＰＣ・記憶媒体の紛失ＰＣの不正利用ＰＣの故障携帯電話・スマートフォンの紛失
ブラウザの利用メールの送受信ＳＮＳの使用	インターネットの不正使用ブラウザによるコンピュータ・ウィルス感染メールの誤送信（送信先・添付資料の誤り）メールによる機密情報漏洩メールによるコンピュータ・ウィルス感染メールの記述ミスによる社外の信用喪失ＳＮＳの記述による機密情報の漏洩ＳＮＳの記述ミスによる社外の信用喪失ネットワークの障害による通信不能
お客様先お客様先への移動中（電車・タクシー・バス・飛行機・飛行場の中）郵便・宅配便の使用	お客様先（待合室・エレベータ等）での発言による、　お客様の信用喪失移動中のＰＣ・記録媒体・資料等の紛失・盗難移動中の発言による社外の信用喪失郵便・宅配便で送付した資料等の輸送中の紛失

リスクが発生する場所	リスク対策（セキュリティ対策）
事務所（ビル）執務室会議室サーバルーム	施錠管理入退出チェック（ガードマン、セキュリティ・カード、　暗証番号、生体認証）入退出の記録保存監視カメラの設置防火・消火設備の設置
ロッカー（書類棚）保管庫金庫倉庫	施錠管理資産管理（資産毎にセキュリティレベル・管理者を　　定める）入出庫記録
机の上机の引き出し	机の整理整頓引き出しの施錠管理
サーバ　ファイルサーバ／データベースサーバ／　ウェブサーバ／メールサーバ	アクセス管理（利用者・利用権限管理）アクセスログ管理データ・バックアップウィルス対策ソフト導入サーバ・ポート管理セキュリティホール対策ファイアーウォールの設置
ＰＣ・ノートＰＣ記憶媒体（携帯ハードディスク、DVD、CD-R、　USBメモリー、メモリーカード等）携帯電話・スマートフォン	ＰＣ・スマートフォンのセキュリティ対策ＰＣ・記憶媒体の資産管理ＰＣ・記憶媒体の暗号化シンクライアントの利用
ブラウザの利用メールの送受信ＳＮＳの使用	ネットワークの通信ログの保管アクセス先の制限メールの送信先、添付資料の検査添付資料の暗号化メール・ＳＮＳの使用制限
お客様先お客様先への移動中（電車・タクシー・バス・飛行機・飛行場の中）郵便・宅配便の使用	お客様先・移動中での発言内容の注意かばん・荷物を手元から離さず、放置しない

武安技術士事務所は情報システム開発・情報セキュリティ対策を得意分野とする技術士事務所です。