情報セキュリティ5か条とは？ 概要や対策、守らなかった場合のリスクを解説

情報セキュリティ5か条とは？

情報セキュリティ5か条とは、ビジネスの規模に関わらず、企業が必ず実行すべき5つのセキュリティ対策をまとめたものです。

「情報セキュリティ対策といわれても、何から始めてよいのかわからない」という企業に向けて、情報処理推進機構 （IPA）が最低限押さえておきたい基本事項として情報発信しています。

参考：情報セキュリティ5か条｜情報処理推進機構

情報セキュリティ5か条

ここでは、情報セキュリティ5か条の内容を詳しく見ていきましょう。

1. OSやソフトウェアは常に最新の状態にしよう！

OSやソフトウェアが古い状態のまま放置されていると、ウイルスへの感染や脆弱性を狙った不正アクセスなどを受ける危険性があります。

サイバー攻撃の手法は日々進化しており、既知の脆弱性を狙った攻撃は世の中にあふれています。

古い状態のまま放置される期間が長ければ長いほど、攻撃を受ける危険性と隣り合わせです。

OSやソフトウェアは、メーカーのサポートを受けられるバージョンを利用するとともに、更新プログラムが公開されたら、速やかに適用しましょう。

対策例としては、Windowsアップデートの適用（Windows OS）、ソフトウェア・アップデートの適用（Mac OS）、Google Chromeの更新などがあります。

2. ウイルス対策ソフトを導入しよう！

ウイルスに感染すると、資格情報（IDとパスワード）を盗まれたり、データが暗号化されて、複号のために身代金を要求されたりすることがあります。

また、ウイルスは感染した1台のパソコンから他のパソコンへ感染が拡大していく特徴を持つため、社内でのウイルス横展開や、取引先のパソコンが感染するなど、被害が拡大する危険性が高いです。

パソコンやスマートデバイスには必ずウイルス対策ソフトを導入し、ウイルス定義ファイル（パターンファイル）は最新に保ちましょう。

対策例としては、Microsoft Defender ウイルス対策の有効化（Windows OS）、ウイルス定義ファイルの自動更新などがあります。

3. パスワードを強化しよう！

攻撃者は「Pass1234」など、よく使われるパスワードを総当たりで使い、不正アクセスを試みます（ブルートフォース攻撃）。

また、同じパスワードを複数のサービスで使い回していると、1つのサービスで流出したIDとパスワードから、他のサービスへの不正アクセスを許してしまいます。

パスワードについては最低限、「長く」「複雑に」「使い回さない」ようにして強化しましょう。

多要素認証を導入し、パスワードが流出した際も本人以外アクセスできない仕組みを作ることも有効です。

対策例としては、パスワードポリシーによる長く複雑なパスワードの強制、IdP（Identify Provider）を用いた認証の統合、多要素認証の有効化などがあります。

4. 共有設定を見直そう！

ずさんな共有設定は、情報セキュリティ事故を招きます。

クラウドサービスが普及したことでデータの共有が容易になりましたが、一方で、誤操作による社外秘データの流出が増えています。

また、業務委託者と共有で使っているクラウドストレージで、全員が見られる領域に社内向けドキュメントを保存するなど、アクセス権の不備による情報漏洩も珍しくありません。

クラウドサービスや機器の共有設定は、必要な人のみがアクセスできるように設定しましょう。

対策例としては、クラウドサービスの共有制限有効化、アクセス制御の導入などがあります。

5. 脅威や攻撃の手口を知ろう！

サイバー攻撃には、ドキュメントファイルを装って送られるマルウェア添付メールや、有名なWebサイトを装って資格情報を抜き取るフィッシングサイトなど、さまざまな手法があります。

対策例としては、専門機関が公開する攻撃手法の認知、クラウドサービスが提供する注意喚起の確認などがあります。

情報収集の方法としておすすめなのが、専門機関のWebサイトを閲覧することです。情報処理推進機構 （IPA）では「情報セキュリティ10大脅威」として、社会的に多大な影響があったと考えられる脅威を毎年公開しています。

最新の脅威や手口などの情報収集を欠かさず行い、対策を練りましょう。

参考： 情報セキュリティ10大脅威 2022｜情報処理推進機構

情報セキュリティを行わなかった場合のリスク

情報セキュリティを行わなかった場合、どのようなリスクが想定されるのでしょうか。

ここでは、具体的なリスクを解説します。脅威を正しく把握することは、正しい対策につながります。

情報漏洩

情報セキュリティ対策を行っていない場合、あらゆる情報が漏洩する危険にさらされます。

例えば、従業員の個人情報や取引先の連絡先、クレジットカード番号、社外秘の開発情報などの情報が単体で漏れることもあれば、IDとパスワードといった資格情報が漏れることで、情報がまとめて漏洩することもあります。

また、顧客の個人情報に対しても適切なセキュリティを施さなければなりません。

ビジネスの規模に関わらず、どの企業も情報は保持しているため、セキュリティ対策は必須です。

損害例

被害の大きいサイバー攻撃の代表例として、ランサムウェアがあります。

ランサムウェアとは、パソコン内のデータを暗号化し、利用できない状態にして解除のための身代金を要求するマルウェアです。

要求される身代金としては、数千万円から数億円という規模の事例が公開されており、事業継続性に多大な打撃を与えます。なお、身代金を支払ったとしても解除される保証はありません。

感染対策としては、OSを細心に保つことやセキュリティソフトの導入などが有効です。

参考：事業継続を脅かす新たなランサムウェア攻撃について｜情報処理推進機構

情報セキュリティ5か条についてのまとめ

情報セキュリティ5か条の概要や対策、守らなかった場合のリスクを解説しました。

ビジネスの規模や業種によって機密性は異なりますが、情報はすべての企業が持っているものです。

従業員の情報や売上記録などの自社に関するデータだけでなく、顧客の個人情報を守る意味でも、情報セキュリティは欠かせません。

まずは、情報セキュリティ5か条で挙げられている内容と自社の現状を照らし合わせ、できていない部分に取り組むところから始めてみましょう。