ユーザーに優しいソフトウェア

92ソフトは「新５分でできる！情報セキュリティ自社診断」の全ての項目を実施しています。

「新５分でできる！情報セキュリティ自社診断」は、独立行政法人情報処理推進機構（IPA）が提供するツールで、情報セキュリティ対策のレベルを数値化し、問題点を見つけるためのものです。診断編を利用することで、情報セキュリティ対策の現状を把握し、必要な対策を講じることができます。詳細は こちら をご覧ください。

Part 1 基本的対策

No.1 パソコンやスマホなどの情報機器のOSやソフトウェアは常に最新の状態にしていますか？

92ソフトは以下のデバイスを所有し、常に最新の状態に保っています。

• デスクトップPC（Windows 11）
  • OS: Windows Updateの「利用可能になったらすぐに最新の更新プログラムを入手する」をオンに設定。
  • ソフトウェア: ノートン360の「ソフトウェアアップデータ」で「アプリを自動的に更新する（自動更新）」をオンに設定。
• ノートPC（Windows 11）
  • OS: Windows Updateの「利用可能になったらすぐに最新の更新プログラムを入手する」をオンに設定。
  • ソフトウェア: ノートン360の「ソフトウェアアップデータ」で「アプリを自動的に更新する（自動更新）」をオンに設定。
• スマホ（iPhone 14）
  • OS: 「設定」→「一般」→「ソフトウェアアップデート」の「自動アップデート」をオンに設定。
  • ソフトウェア: 「設定」→「アプリ」→「App Store」→「アプリのアップデート」をオンに設定。

No.2 パソコンやスマホなどにはウィルス対策ソフトを導入し、ウィルス定義ファイルは最新の状態にしていますか？

92ソフトは以下のデバイスにノートン360をインストールし、ウィルス定義ファイルを常に最新の状態に保っています。

• デスクトップPC（Windows 11）
  • ノートン360をインストールし、自動更新をオンに設定。
• ノートPC（Windows 11）
  • ノートン360をインストールし、自動更新をオンに設定。
• スマホ（iPhone 14）
  • ノートン360をインストールし、自動更新をオンに設定。

No.3 パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか？

92ソフトは以下の対策を実施しています。

• Webサイトのパスワード管理:
  • ノートン360のパスワードマネージャーを使用してランダムで複雑なパスワードを生成し、各サイトで設定。
  • パスワードマネージャーの2段階認証を通してログイン。
• Windowsのログイン:
  • Azure AD Premium P2（導入事例は こちら ）を利用して、全てのユーザのWindowsアカウントを管理。
  • 強力なパスワードを設定（12文字以上、大小の英字、数字、特殊文字を組み合わせ）。
  • 3か月に1回のパスワード変更を義務付け。
  • Windows Helloを利用して顔認証や指紋認証を設定。
  • Microsoftアカウントに2段階認証を設定。

No.4 重要情報に対する適切なアクセス制限を行っていますか？

92ソフトは以下の対策を実施しています。

• Azure AD Premium P2のフル機能を活用
  
  • 条件付きアクセス：リスクベースの条件付きアクセスポリシーを設定し、特定の条件下でのみアクセスを許可。
  • 特権アイデンティティ管理（PIM）：特権アクセスを管理し、必要な時にのみ特権を付与。
  • リスクベースの多要素認証（MFA）：リスクの高いサインインには追加の認証ステップを要求。
  • アクセスレビュー：定期的にアクセス権をレビューし、不要なアクセス権を削除。
  • 監査ログとサインインログ：詳細な監査ログとサインインログを保持し、異常な活動を監視。
• Azure Files（標準HDDストレージ）
  • ストレージの設定：Azure Filesを利用して、500GBの標準（HDD）ストレージを設定。
  • データ暗号化：保存データを暗号化し、アクセス制御を強化。
  • アクセス制御リスト（ACL）：特定のユーザーやグループに対して、ファイルやフォルダへのアクセス権限を設定。
  • 役割ベースのアクセス制御（RBAC）：ユーザーの役割に基づいてアクセス権限を設定。
  • ファイアウォール：ネットワークへのアクセスを制御。

No.5 新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか？

92ソフトは以下の対策を実施しています。

• ノートン360の機能を活用
  • リアルタイム脅威防御：ノートン360はリアルタイムで脅威を検出し、ブロックします。これにより、新たなマルウェアやウイルスからデバイスを保護します。
  • 自動更新：ノートン360はウイルス定義ファイルやセキュリティソフトウェアを自動的に更新し、最新の脅威に対する防御を維持します。
  • スマートファイアウォール：ネットワークトラフィックを監視し、不正なアクセスをブロックします。
  • セキュリティレポート：定期的にセキュリティレポートを提供し、脅威の状況や対策の状況を把握します。
• Microsoft Defender for Endpoint Plan 2の導入
  • エンドポイント検出と対応（EDR）：高度な脅威の検出と対応機能を提供し、リアルタイムで脅威を検出・対応します。
  • 自動調査と修復：脅威が検出された際に、自動的に調査し、修復する機能を提供します。
  • 脅威インテリジェンス：Microsoftのセキュリティチームとパートナーから提供される脅威インテリジェンスを活用します。
• Azure Sentinelの活用
  • ログデータの分析：Azure Sentinelを使用して、ログデータを収集・分析し、異常な活動を検出します。
  • 脅威インテリジェンスの共有：Azure Sentinelを通じて、脅威インテリジェンスをリアルタイムで共有し、対策を講じます。

これにより、新たな脅威や攻撃の手口を迅速に把握し、対策を社内で共有する仕組みを技術的に実現します。

Part 2 従業員としての対策

No.6 電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気を付けていますか？

92ソフトは以下の技術的対策を実施しています。

• ノートン360の電子メールスキャン:
  • POP3とSMTPアカウント: ノートン360は、POP3とSMTPを使用するアカウントの電子メールをスキャンし、感染したファイルが受信トレイにダウンロードされる前に検出・削除します。
  • SSL暗号化されたアカウント: SSL暗号化されたアカウントの場合、電子メールが受信トレイにダウンロードされた後にスキャンされ、感染したファイルを開こうとするときに検出・削除されます。
• リアルタイム脅威防御:
  • ノートン360はリアルタイムで脅威を検出し、ブロックします。これにより、新たなマルウェアやウイルスからデバイスを保護します。
• スマートファイアウォール:
  • ノートン360のスマートファイアウォール: ネットワークトラフィックを監視し、不正なアクセスをブロックします。これにより、悪意のあるURLリンクからの攻撃を防ぎます。具体的には、外部からの不正アクセスや不審な通信をリアルタイムで検出し、ブロックする機能を持っています。
• アンチスパム機能:
  • ノートン360のアンチスパム機能を有効にすることで、スパムメールをフィルタリングし、迷惑メールやフィッシングメールを受信ボックスから除外します。
• Microsoft Defender for Office 365:
  • フィッシング対策: 高度なフィッシング検出機能を提供し、悪意のあるメールをブロックします。
  • 添付ファイルのスキャン: 添付ファイルをリアルタイムでスキャンし、マルウェアを検出します。
  • リンクの検証: メール内のリンクを検証し、悪意のあるリンクを警告します。
• Azure Information Protection:
  • データの分類とラベル付け: 機密データを自動的に分類し、適切なラベルを付けることで、データの保護を強化します。
  • データの暗号化: 機密データを暗号化し、アクセス制御を強化します。
• セキュリティ意識向上:
  • 定期的なトレーニング: 従業員に対して、フィッシングメールの識別方法やセキュリティ意識向上のトレーニングを四半期ごとに実施。具体的には、最新のフィッシング手口や対策についての講義や実践的なワークショップを行います。
  • フィッシングシミュレーション: フィッシング攻撃のシミュレーションを定期的に実施し、従業員の対応力を強化。シミュレーション結果を分析し、必要な改善点をフィードバックします。
  • セキュリティニュースの共有: 最新のセキュリティ脅威や対策に関するニュースを社内ポータルやメールで定期的に共有し、従業員のセキュリティ意識を高めます。
  • KnowBe4: KnowBe4のDiamondプランを使用して、セキュリティ意識向上トレーニングや模擬フィッシングを実施。これにより、従業員のセキュリティ意識を高め、実際の攻撃に対する対応力を強化します。
• メーラーの選択:
  • Outlook限定: 92ソフトでは、電子メールのメーラーをOutlookに限定しています。Outlookはフィッシング対策、添付ファイルのスキャン、リンクの検証などの高度なセキュリティ機能を提供し、電子メールの安全性を確保します。

これらの対策により、92ソフトは電子メールによるウイルス感染リスクを最小限に抑え、強固なセキュリティ体制を維持しています。

No.7 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか？

92ソフトは以下の技術的対策を実施しています。

パスワード付きZIPファイルの使用:
重要情報を含むファイルをZIP形式で圧縮し、パスワードを設定します。これにより、ファイルを開くためにパスワードが必要となり、セキュリティが向上します。

暗号化ソフトウェアの利用:
VeraCryptやBitLockerなどの暗号化ソフトウェアを使用して、ファイルやフォルダを暗号化します。暗号化されたファイルは、適切な認証情報がないとアクセスできません。

Microsoft Officeのパスワード保護機能:
Word、Excel、PowerPointなどのMicrosoft Officeファイルには、パスワードを設定して保護する機能があります。ファイルを保存する際にパスワードを設定し、開く際にパスワードを要求するようにします。

Secure Email Gateway（SEG）の導入:
SEGは、電子メールの送受信を暗号化し、セキュリティを強化するソリューションです。これにより、メール本文や添付ファイルの内容が第三者に漏洩するリスクを低減できます。

クラウドストレージサービスの利用:
OneDrive、Google Drive、Dropboxなどのクラウドストレージサービスを利用し、重要情報を含むファイルを共有します。これらのサービスには、ファイルへのアクセスを制限するためのパスワード保護やリンクの有効期限設定などの機能があります。

デジタル署名の利用:
デジタル署名を使用して、ファイルの真正性と整合性を保証します。これにより、ファイルが改ざんされていないことを確認できます。これらの対策を組み合わせることで、重要情報を電子メールで送信する際のセキュリティを強化できます。

以下、順次施策実施中です！

※92ソフトはISMSの構築と運用を目指します。