|
|
| (他の1人の利用者による、間の22版が非表示) |
| 1行目: |
1行目: |
| <div id="manual"> | | <div id="manual"> |
|
| |
|
| ISMSの具体的な事例です。
| | テレワーク時のISMSの具体的な事例です。<br> |
| | 基本はオフィス勤務時に準じての業務となりますが、<br> |
| | 各々の環境においてオフィス勤務時にない問題点や具体的な事例です。 |
|
| |
|
| <div class="example">
| |
| *<B>事例1:ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。</B>
| |
| <br>
| |
| *■問題点
| |
| ISMSに関する教育がなされておらず、問題を起こす可能性がある。
| |
|
| |
|
| *■対応方法
| | <B>事例1:第三者等の監視者がいないことによる抑止力がないリスク</B> |
| 配属前に教育の実施する。
| | {| class="wikitable" |
| </div>
| | |■問題点 |
| | |・不正による情報漏えいのリスクが高まります |
| | |- |
| | |■対応方法 |
| | |・定期的に教育、啓発活動を実施する。 |
| | |} |
|
| |
|
| <div class="example">
| | <B>事例2:家族共有のPCを使用している→2022年10月時点、原則全員会社からの支給PCを使用</B> |
| <B>事例2:お客さんが事務所に訪ねてきた。来客者は、社員の知り合いということだったので、そのまま事務所内に案内した。</B> | | {| class="wikitable" |
| <br><br> | | |■問題点 |
| *■問題点
| | |・家族・知人の端末利用時に情報漏えいにつながる可能性がある。 |
| ・盗み見等の情報漏えいにつながる可能性がある。
| | |- |
| | |■対応方法 |
| | |・可能なら個別のアカウントを作成する。<br>・ファイルなどは共有のPCに残さず、サーバーに保管するようにする。 |
| | |} |
|
| |
|
| *■対応方法
| | <B>事例3:自宅にプリンターが無いので、会社でプリントしたものを持ち帰ることがある</B> |
| ・来客者の入退出時のルールの徹底
| | {| class="wikitable" |
| </div> | | |■問題点 |
| | |・紛失、または盗み見等の情報漏えいにつながる可能性がある。 |
| | |- |
| | |■対応方法 |
| | |・通勤・帰宅時に不用なカバン開閉を行わないようにする。<br>・置き忘れなどしないように注意する。 |
| | |} |
|
| |
|
| <div class="example">
| | <B>事例4:シュレッターなどを持っていない</B> |
| <B>事例3:社内での作業が納期的に困難となったため、急いでその仕事ができる外注先を探し、そこに仕事を発注した。</B> | | {| class="wikitable" |
| <br><br>
| | |■問題点 |
| *■問題点
| | |・紛失、または盗み見等情報漏えいにつながる可能性がある。 |
| ・機密事項等に関する契約がなされていない可能性がある。
| | |- |
| | |■対応方法 |
| | |・廃棄が必要なものが出たときは次回会社に来た際にシュレッダー処理を行うようにする。 |
| | |} |
|
| |
|
| *■対応方法
| | <B>事例5:プライベートPCを利用している人は、ウィルス対策ソフトなど、十分なセキュリティ対策が施されていない端末の利用のリスクがある</B> |
| ・機密保持契約を結ぶ。(外部委託管理規定に明記されている)
| | {| class="wikitable" |
| </div> | | |■問題点 |
| | |・ウィルス感染などにより情報漏えいにつながる可能性がある。 |
| | |- |
| | |■対応方法 |
| | |・不審なメールに添付されたファイルやリンクを不用意に開かない。<br>|・ウイルス対策ソフトなどを導入する。 |
| | |} |
|
| |
|
| <div class="example"><B>事例4:顧客からの問い合わせがあり、顧客から預かった書類を綴じたファイルを取り出し見ていた。<br>その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。</B>
| | <B>事例6:テレワーク時に第三者と共有する環境で作業する</B> |
| <br>
| | {| class="wikitable" |
| | |■問題点 |
| | |・情報漏えいにつながる可能性がある。 |
| | |- |
| | |■対応方法 |
| | |・第三者と共有する環境で作業を行う場合、覗き見防止フィルターや作業場所を考慮し、覗き見防止に努める |
| | |} |
|
| |
|
| *■問題点
| | <B>事例7:脆弱性が内在するアプリケーションの利用</B> |
| ・紛失、または共通ファイルであれば他の人が使えない可能性がある。
| | {| class="wikitable" |
| | | |■問題点 |
| *■対応方法
| | |・チャットツールやWeb会議システムなど、セキュリティ対策が万全ではない可能性がある。 |
| ・情報利用ルールの徹底。
| | |- |
| </div>
| | |■対応方法 |
| | | |・アプリケーションのバージョンは常に最新に保つ。<br>・機密性の高い会議にはパスワードを設定するか招待がないと入室できないようにする。 |
| <div class="example"><B>事例5:企画書を作成しているとき、来客があった。重要商談だったためパソコンでの作業をそのままにして急いで商談室へと向かった。</B>
| | |} |
| <br>
| | <B>事例8:ノートPCの使用時の注意</B> |
| | | {| class="wikitable" |
| *■問題点
| | |■問題点 |
| ・覗き見による情報漏えいの可能性あり
| | |・電車や喫茶店などで作業すると第三者に画面が見えてしまう。 |
| | | |- |
| *■対応方法
| | |■対応方法 |
| ・スクリーンセーバーをかける。
| | |・電車などの移動中や第三者に見られる可能性が高い場所では作業しない。 |
| </div>
| | |} |
| | |
| <div class="example"><B>事例7:急ぎの用事が入り、顧客への受け渡す書類を持参できなくなった。顧客に断りの電話を入れた後、メールでその書類を添付して送付した。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・メールの送付先を間違える可能性がある。
| |
| | |
| *■対応方法
| |
| ・メール送信手順の確認。添付ファイルにパスワードをかける。
| |
| </div>
| |
| | |
| <div class="example"><B>事例8:PCが故障したために直そうとしたが、自社では無理だとわかり、業者に修理依頼をすることにした。修理業者は長年取引がある業者だったので、安心して修理に出した。</B>
| |
| <br> | |
| | |
| *■問題点
| |
| ・パソコンから情報漏えいの可能性がある。<br>
| |
| ・情報が紛失する可能性がある。
| |
| | |
| *■対応方法
| |
| ・情報漏えいに対する対策を行う。<br>
| |
| ・外部業者で機密保持契約を結ぶ。
| |
| </div>
| |
| | |
| <div class="example"><B>事例9:顧客にプレゼンテーションを行なうため、ノートPCを持ち出すことになった。しかし、普段プレゼン用で使用しているパソコンが使用中だったため、別のパソコンを使用することになった。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・万が一盗難等にあった場合、プレゼン用以外の情報漏えいにつながる可能性がある。
| |
| | |
| *■対応方法
| |
| ・持ち出しルールを策定する。<br>
| |
| ・基本的には持ち出さない。持ち出しても紛失時の備えて、ロック機能をつける。
| |
| </div>
| |
| | |
| <div class="example"><B>事例10:MOやCDなどのメディアが読み書きができなくなったため、そのまま不燃ごみとして捨てた。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・第三者に漏洩する危険性がある。(他のマシン等で読み込み可能となる場合あり)
| |
| | |
| *■対応方法
| |
| ・メディア廃棄の際には、破壊か完全なる消去を行う。
| |
| </div>
| |
| | |
| <div class="example"><B>事例11:ネットワークのパスワード変更時期になったが、ついつい後回しにしてしまい、半年が過ぎてしまった。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・パスワード漏洩の可能性が増加してしまう。
| |
| | |
| *■対応方法
| |
| ・サーバ側でログイン時、強制的にパスワード変更するように設定する。
| |
| </div>
| |
| | |
| <div class="example"><B>事例12:大容量のデータを扱う処理だったためサーバーのディスクを使用せず、自分のマシンのハードディスク(ローカルドライブ)で処理を行なっていた。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・不正アクセスに対する管理が不十分である。<br>
| |
| ・バックアップの対象になっていない。
| |
| | |
| *■対応方法
| |
| ・適切なアクセス制限を設ける。<br>
| |
| ・データの紛失などが起きても復旧できるようバックアップを行う。
| |
| </div>
| |
| | |
| <div class="example"><B>事例15:顧客のシステムインストールのため一時的に自社内に必要なソフトをインストールした。しかし、作業完了後もそのままソフトはインストールしたままだった。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・著作権法違反の恐れがある。<br>
| |
| ・使用権があるかないかも確認する。
| |
| | |
| *■対応方法
| |
| ・契約上のソフトウェアの取り扱いルールの明確化。ソフトのインストールには申請許可が必要。
| |
| </div>
| |
| | |
| <div class="example"><B>事例17:広告の制作中、修正用に出力し確認済となったものを、そのままゴミ箱に捨てている。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・廃棄物の持ち去りなどにより情報が漏洩する危険性がある。
| |
| | |
| *■対応方法
| |
| ・廃棄手段のルール化。保護レベル2以上の制作物の破棄はシュレッダーにかける。
| |
| </div>
| |
| | |
| <div class="example"><B>事例22:外注先の担当者はいつものように制作室へ入っていった。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
| |
| | |
| *■対応方法
| |
| ・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。
| |
| </div>
| |
| | |
| <div class="example"><B>事例24:バイク便の引き取りのときに、荷物が重たいので自分の机まで運んでもらった。</B>
| |
| <br>
| |
| | |
| *■問題点>
| |
| ・権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
| |
| | |
| *■対応方法
| |
| ・外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う。
| |
| </div>
| |
| | |
| <div class="example"><B>事例26:保管庫があふれて、とりあえず保管庫の上に保管した。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・本来鍵をかけて保管しなければならないものが人目にさらされ、権限のない人間による媒体の閲覧・盗難などによる情報漏えいの危険性がある。
| |
| | |
| *■対応方法
| |
| ・媒体保管の容量などをあらかじめ予測する。<br>
| |
| ・施設エリアごとの保管ルールを明確化する。
| |
| </div>
| |
| | |
| <div class="example"><B>事例27:複数の人間で共同作業している制作媒体のデータを自分のマシンで修正して、そのまま帰ってしまった。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・誤った情報を掲載した媒体を納品してしまう恐れがある。
| |
| | |
| *■対応方法
| |
| ・常に最新の版を共用サーバに置くとともに、利用ルールを明確に定める。
| |
| </div>
| |
| | |
| <div class="example"><B>事例28:納品データをMOに入れて顧客先に持ち込み、顧客のマシンを借りてサーバにデータを転送して納品した。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・顧客のマシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
| |
| | |
| *■対応方法
| |
| ・データ移動用のメディアは必ず帰社後ウイルスチェックを行う。
| |
| </div>
| |
| | |
| <div class="example"><B>事例29:個人情報など重要な情報が含まれる納品データをMOに入れて顧客先に持ち込み、MOはもちかえってデータが入ったまま保管していた。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・本来すぐに処分しなければならない情報がメディアの紛失などにより、情報漏えいする危険性がある。
| |
| | |
| *■対応方法
| |
| ・データ移動の用途が終わった後は、速やかにデータを返却するか消去する。
| |
| </div>
| |
| | |
| <div class="example"><B>事例30:媒体データを大阪オフィスにデータを送る為、何度も修正してそのつどMOVEにデータを入れたが、旧データも別名で残ったままになっている。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・最新版がどれかが判らなくなり事故が発生する可能性がある。
| |
| | |
| *■対応方法
| |
| ・データのフォルダに日付をつけるなどルールを定める。
| |
| </div>
| |
| | |
| <div class="example"><B>事例31:媒体データを大阪オフィスにデータを送る為、MOVEにデータを入れようとしたが、MOVEがすでに他のデータでいっぱいでデータを渡すことができない。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・作業の遅延などによる金額および作業コストの損失の恐れがある。
| |
| | |
| *■対応方法
| |
| ・データは直ぐに受け取った者が確実に削除する。
| |
| </div>
| |
| | |
| <div class="example"><B>事例33:私物のiPodを会社のパソコンにつなぎ、会社のマシン間でデータを移動させた。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・自宅マシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
| |
| | |
| *■対応方法
| |
| ・ウイルス被害の可能性などの知識を啓蒙する。
| |
| </div>
| |
| | |
| <div class="example"><B>事例34:サーバを利用中、サーバに接続したまま長時間席を離れた。</B>
| |
| <br>
| |
| | |
| *■問題点
| |
| ・他人に自分の権限でサーバを利用される恐れがある。<br>
| |
| ・事故発生時に責任を追及される可能性がある。
| |
| | |
| *■対応方法
| |
| ・離席する際は、スクリーンセーバをかける。設定は5分。
| |
| </div>
| |
| | |
| </div>
| |
テレワーク時のISMSの具体的な事例です。
基本はオフィス勤務時に準じての業務となりますが、
各々の環境においてオフィス勤務時にない問題点や具体的な事例です。
事例1:第三者等の監視者がいないことによる抑止力がないリスク
| ■問題点
|
・不正による情報漏えいのリスクが高まります
|
| ■対応方法
|
・定期的に教育、啓発活動を実施する。
|
事例2:家族共有のPCを使用している→2022年10月時点、原則全員会社からの支給PCを使用
| ■問題点
|
・家族・知人の端末利用時に情報漏えいにつながる可能性がある。
|
| ■対応方法
|
・可能なら個別のアカウントを作成する。
・ファイルなどは共有のPCに残さず、サーバーに保管するようにする。
|
事例3:自宅にプリンターが無いので、会社でプリントしたものを持ち帰ることがある
| ■問題点
|
・紛失、または盗み見等の情報漏えいにつながる可能性がある。
|
| ■対応方法
|
・通勤・帰宅時に不用なカバン開閉を行わないようにする。
・置き忘れなどしないように注意する。
|
事例4:シュレッターなどを持っていない
| ■問題点
|
・紛失、または盗み見等情報漏えいにつながる可能性がある。
|
| ■対応方法
|
・廃棄が必要なものが出たときは次回会社に来た際にシュレッダー処理を行うようにする。
|
事例5:プライベートPCを利用している人は、ウィルス対策ソフトなど、十分なセキュリティ対策が施されていない端末の利用のリスクがある
| ■問題点
|
・ウィルス感染などにより情報漏えいにつながる可能性がある。
|
| ■対応方法
|
・ウイルス対策ソフトなどを導入する。
|
事例6:テレワーク時に第三者と共有する環境で作業する
| ■問題点
|
・情報漏えいにつながる可能性がある。
|
| ■対応方法
|
・第三者と共有する環境で作業を行う場合、覗き見防止フィルターや作業場所を考慮し、覗き見防止に努める
|
事例7:脆弱性が内在するアプリケーションの利用
| ■問題点
|
・チャットツールやWeb会議システムなど、セキュリティ対策が万全ではない可能性がある。
|
| ■対応方法
|
・アプリケーションのバージョンは常に最新に保つ。
・機密性の高い会議にはパスワードを設定するか招待がないと入室できないようにする。
|
事例8:ノートPCの使用時の注意
| ■問題点
|
・電車や喫茶店などで作業すると第三者に画面が見えてしまう。
|
| ■対応方法
|
・電車などの移動中や第三者に見られる可能性が高い場所では作業しない。
|