チェックリストの活用方法
サプライチェーン攻撃対策のチェックリストを効果的に活用するためには、単に一度確認して終わりにするのではなく、継続的な点検のサイクルを回すことが重要です。
- 点検の頻度を決める
- チェック項目によって、適切な点検頻度は異なります。日常的に確認すべき項目(ソフトウェアの更新状況など)、月次で確認すべき項目(アクセス権限の見直しなど)、四半期や年次で確認すべき項目(セキュリティポリシーの更新など)を区分し、計画的に点検を行いましょう。
- 優先度の見方を理解する
- チェックリストの各項目には優先度を設定しています。「必須」は最優先で対応すべき項目、「推奨」は可能な限り対応すべき項目、「任意」は余裕があれば対応する項目です。まずは「必須」項目から着手し、段階的に「推奨」「任意」へと進めましょう。
- 改善サイクルを回す(PDCA)
- チェックリストで現状を把握(Check)したら、未対応の項目について対策を計画(Plan)し、実施(Do)します。その後、効果を確認(Check)し、必要に応じて改善(Act)を行います。このPDCAサイクルを継続的に回すことで、セキュリティレベルを向上させることができます。
- 記録を残す
- 点検結果は必ず記録に残しましょう。記録を残すことで、対策の進捗状況を把握でき、監査や取引先からの問い合わせにも対応できます。エクセルやスプレッドシートで管理するのが一般的です。
チェックリストは、自社の状況に合わせてカスタマイズすることも可能です。業種や規模、取引先からの要求などを考慮して、必要な項目を追加・修正しましょう。
個人PC向けチェックリスト
従業員一人ひとりが日常的に確認すべきセキュリティ項目です。フィッシング詐欺やマルウェア感染の多くは、個人PCを経由して発生します。
| チェック項目 | 優先度 | 確認頻度 | 対応方法 |
|---|---|---|---|
| OSの更新が最新か | 必須 | 週1回 | Windows Update/macOS更新を実行 |
| ブラウザが最新版か | 必須 | 週1回 | 自動更新を有効にする |
| アンチウイルスが稼働しているか | 必須 | 毎日 | タスクトレイでアイコン確認 |
| アンチウイルスの定義ファイルが最新か | 必須 | 毎日 | 自動更新を有効にする |
| パスワードは十分な強度があるか | 必須 | 四半期 | 12文字以上、英数字記号混合 |
| MFA(多要素認証)を設定しているか | 必須 | 初回設定後確認 | 重要サービスでMFAを有効化 |
| 不審なメールに注意しているか | 必須 | 常時 | 差出人、URLを確認してから開く |
| 添付ファイルを安易に開いていないか | 必須 | 常時 | 不審なファイルは開かない |
| 業務用ソフトウェアが最新か | 推奨 | 月1回 | Adobe Reader、Office等を更新 |
| 不要なソフトウェアを削除しているか | 推奨 | 四半期 | 使用していないソフトをアンインストール |
| USB利用ルールを守っているか | 推奨 | 常時 | 許可されたUSBのみ使用 |
| ブラウザ拡張機能を確認しているか | 推奨 | 月1回 | 不要な拡張機能を削除 |
| 画面ロックを設定しているか | 推奨 | 初回設定後確認 | 離席時の自動ロックを設定 |
| パスワードの使い回しをしていないか | 推奨 | 四半期 | サービスごとに異なるパスワードを使用 |
| 個人情報の取り扱いに注意しているか | 推奨 | 常時 | 必要最小限の情報のみ入力 |
個人PCのセキュリティ対策は、サプライチェーン攻撃の入口を塞ぐために重要です。特に、ソフトウェアの更新と不審メールへの対応は、日常的に意識しましょう。
予防の基本については、サプライチェーン攻撃の予防法|個人・組織でできる基本対策も参照してください。
組織向けチェックリスト
情シス担当やセキュリティ担当が確認すべき、組織全体のセキュリティ項目です。サプライチェーン攻撃は、組織的な対策なしには防げません。
| チェック項目 | 優先度 | 確認頻度 | 担当者 |
|---|---|---|---|
| セキュリティポリシーが策定されているか | 必須 | 年1回見直し | セキュリティ担当 |
| IT資産の棚卸しができているか | 必須 | 四半期 | 情シス担当 |
| アクセス権限を定期的に見直しているか | 必須 | 四半期 | 情シス担当 |
| 脆弱性情報を収集しているか | 必須 | 週1回以上 | セキュリティ担当 |
| パッチ適用状況を管理しているか | 必須 | 月1回 | 情シス担当 |
| VPN機器のファームウェアが最新か | 必須 | 月1回 | ネットワーク担当 |
| ログ監視を実施しているか | 必須 | 常時/日次確認 | セキュリティ担当 |
| バックアップを定期的に取得しているか | 必須 | 日次/週次 | 情シス担当 |
| バックアップからの復旧テストを実施しているか | 必須 | 四半期/年1回 | 情シス担当 |
| インシデント対応計画が策定されているか | 必須 | 年1回見直し | セキュリティ担当 |
| 社員教育・啓発を実施しているか | 必須 | 年1回以上 | 人事/セキュリティ担当 |
| 取引先のセキュリティを確認しているか | 必須 | 年1回/契約時 | 購買/セキュリティ担当 |
| 退職者のアカウントを速やかに削除しているか | 必須 | 退職時/月次確認 | 情シス/人事担当 |
| 外部接続のセキュリティを管理しているか | 推奨 | 四半期 | ネットワーク担当 |
| シャドーITを把握しているか | 推奨 | 四半期 | 情シス担当 |
| クラウドサービスの設定を確認しているか | 推奨 | 四半期 | 情シス担当 |
| ファイアウォールルールを見直しているか | 推奨 | 四半期 | ネットワーク担当 |
| 特権アカウントを管理しているか | 推奨 | 月1回 | 情シス担当 |
| メールフィルタリングを設定しているか | 推奨 | 月1回確認 | 情シス担当 |
| インシデント対応演習を実施しているか | 推奨 | 年1回 | セキュリティ担当 |
組織向けチェックリストで特に重要なのは、VPN機器の脆弱性対策と取引先のセキュリティ確認です。国内で発生したサプライチェーン攻撃の多くは、これらの弱点を突かれています。
脆弱性管理の詳細については、サプライチェーン攻撃を防ぐ脆弱性対策|パッチ管理・資産管理・自動化を解説をご覧ください。
テレワーク環境向けチェックリスト
テレワーク・リモートワーク特有のセキュリティリスクに対応するためのチェック項目です。自宅やカフェなど、社外での業務はサプライチェーン攻撃の新たな入口になり得ます。
| チェック項目 | 優先度 | リスク | 対応方法 |
|---|---|---|---|
| VPN接続を利用しているか | 必須 | 通信傍受 | 社内システムへはVPN経由でアクセス |
| VPN機器が最新版か確認しているか | 必須 | 脆弱性悪用 | 情シスに最新状況を確認 |
| 自宅ルーターのパスワードを変更したか | 必須 | 不正アクセス | 初期パスワードから変更 |
| 自宅ルーターのファームウェアは最新か | 必須 | 脆弱性悪用 | メーカーサイトで更新確認 |
| 自宅Wi-Fiの暗号化方式は適切か | 必須 | 通信傍受 | WPA3またはWPA2を使用 |
| 公共Wi-Fiの利用を避けているか | 必須 | 中間者攻撃 | カフェ等では携帯テザリングを使用 |
| 端末の物理的管理をしているか | 必須 | 盗難・紛失 | 離席時は施錠・持ち運び |
| 覗き見防止に注意しているか | 必須 | 情報漏洩 | プライバシーフィルター使用 |
| 家族と端末を共有していないか | 推奨 | 誤操作・感染 | 業務用端末は個人専用に |
| BYOD端末のセキュリティは十分か | 推奨 | マルウェア感染 | 会社のBYODルールに従う |
| クラウドサービス利用ルールを守っているか | 推奨 | 情報漏洩 | 許可されたサービスのみ使用 |
| 機密情報をローカルに保存していないか | 推奨 | 情報漏洩 | クラウドや社内サーバーに保存 |
| Web会議のセキュリティ設定は適切か | 推奨 | 不正参加 | パスワード設定、待機室を使用 |
| 業務終了後にVPNを切断しているか | 推奨 | 不正アクセス | 業務外はVPN接続を切断 |
| 印刷物の管理をしているか | 推奨 | 情報漏洩 | シュレッダー処理または会社に持参 |
テレワーク環境では、特にVPN機器の脆弱性が狙われるケースが増えています。FortiGate、Pulse Secure、Citrixなどの製品で重大な脆弱性が発見されており、これらを悪用したランサムウェア被害が多発しています。
取引先管理向けチェックリスト
取引先のセキュリティ状況を確認するためのチェック項目です。サプライチェーン攻撃では、セキュリティの弱い取引先が狙われます。
| チェック項目 | 確認タイミング | 確認方法 |
|---|---|---|
| 契約書にセキュリティ条項があるか | 契約時 | 契約書の確認 |
| 取引先のセキュリティ認証取得状況 | 契約時/年1回 | ISMS、Pマーク等の確認 |
| セキュリティ質問票を回収しているか | 契約時/年1回 | 質問票の送付・回収 |
| 取引先を重要度で分類しているか | 年1回 | リスク評価 |
| 重要取引先の監査を実施しているか | 年1回/必要時 | 監査(リモート/訪問) |
| インシデント発生時の連絡体制があるか | 契約時 | 連絡先リストの整備 |
| 取引先との情報共有ルールがあるか | 契約時 | NDA、情報取扱規程 |
| 取引先のサブ委託を把握しているか | 契約時/年1回 | 再委託先の確認 |
| 取引先へのアクセス権限を最小化しているか | 契約時/四半期 | アクセス権限の棚卸し |
| 取引終了時の情報削除を確認しているか | 契約終了時 | 削除証明書の取得 |
取引先管理は、サプライチェーン攻撃対策の要となる部分です。詳細については、サプライチェーン攻撃対策の取引先管理|評価・契約・監査・TPRMをご覧ください。
- セキュリティ質問票の活用
- 取引先のセキュリティ状況を把握するために、質問票(チェックシート)を活用しましょう。自社で作成することも可能ですが、業界標準のテンプレート(自工会ガイドラインのチェックシートなど)を活用するのも効果的です。
- 重要度に応じた対応
- すべての取引先に同じレベルの確認を行うのは現実的ではありません。取引先を重要度(扱う情報の機密性、アクセス権限の範囲、取引金額など)で分類し、重要度の高い取引先には詳細な確認や監査を実施しましょう。
経営者向けチェックリスト
経営者が確認・意思決定すべきセキュリティ項目です。サプライチェーン攻撃対策は、経営課題として取り組む必要があります。
| チェック項目 | 確認内容 | 意思決定事項 |
|---|---|---|
| セキュリティ予算の確保 | 予算は十分か | 予算額の決定 |
| セキュリティ責任者の任命 | CISO等の任命状況 | 責任者の任命・権限付与 |
| セキュリティポリシーの承認 | ポリシーの内容確認 | ポリシーの承認 |
| インシデント対応体制の承認 | 対応計画の内容確認 | 計画の承認、報告ルールの決定 |
| 事業継続計画(BCP)の策定 | BCPの有無と内容 | BCP策定の指示、承認 |
| 取引先管理方針の決定 | 取引先のセキュリティ要件 | 方針の決定、購買部門への指示 |
| サイバー保険の検討 | 保険加入状況 | 加入の可否、補償範囲の決定 |
| 定期的な報告の受領 | セキュリティ状況の把握 | 報告頻度・内容の指示 |
経営者向けの詳細情報については、サプライチェーン攻撃と経営|リスク・ガバナンス・投資判断を解説をご覧ください。
- 経営層のコミットメントの重要性
- セキュリティ対策を組織全体で推進するには、経営層のコミットメントが不可欠です。予算、人員、権限を適切に配分し、セキュリティを「コスト」ではなく「投資」として捉えることが重要です。
- インシデント発生時の経営判断
- サプライチェーン攻撃が発生した場合、公表の可否、顧客への対応、取引先への連絡など、経営判断が求められる場面が多くあります。事前にシナリオを想定し、判断基準を整理しておくことをお勧めします。
チェック結果の活用と改善サイクル
チェックリストで現状を把握したら、その結果を改善につなげることが重要です。
- 定期点検の頻度設定
- チェックリストの各項目について、適切な点検頻度を設定しましょう。すべての項目を毎日確認するのは現実的ではありません。リスクの高さや変化の頻度に応じて、毎日、週次、月次、四半期、年次などに分類します。
- 改善計画の立て方
- 未対応の項目について、改善計画を立てましょう。優先順位、担当者、期限、必要なリソース(予算、ツール、外部支援など)を明確にします。すべてを一度に実施するのは困難なため、段階的に進めることが現実的です。
- 経営層への報告方法
- チェック結果と改善状況を、定期的に経営層に報告しましょう。報告には、対策済み項目の割合、未対策項目のリスク、必要なリソースなどを含めます。経営層の理解と支援を得ることで、対策が進めやすくなります。
- PDCAサイクルの継続
- セキュリティ対策は一度実施して終わりではありません。Plan(計画)→Do(実行)→Check(評価)→Act(改善)のサイクルを継続的に回し、セキュリティレベルを向上させましょう。新しい脅威やガイドラインの更新にも対応できる体制を維持することが重要です。
| 点検頻度 | 対象項目の例 | 報告先 |
|---|---|---|
| 毎日 | アンチウイルスの稼働確認、不審メールの報告 | 各自確認 |
| 週次 | OS・ソフトウェアの更新状況 | 部門責任者 |
| 月次 | パッチ適用状況、アクセス権限の確認 | 情シス担当 |
| 四半期 | 資産棚卸し、取引先セキュリティ確認 | セキュリティ担当/経営層 |
| 年次 | セキュリティポリシー見直し、演習実施 | 経営層 |
関連する攻撃手法
チェックリストの対策により、以下の攻撃手法のリスクを軽減できます。
- ランサムウェア
- データを暗号化し身代金を要求する攻撃です。バックアップの取得・復旧テスト、パッチ適用、アンチウイルスの稼働確認などで対策できます。サプライチェーン攻撃と組み合わせて使用されることも多いです。
- フィッシング詐欺
- 偽サイトやメールで認証情報を窃取する攻撃です。不審メールへの対応、MFAの設定、社員教育などで対策できます。取引先を装ったフィッシングも増加しています。
- 不正アクセス
- 認証を突破してシステムに侵入する攻撃です。パスワード強度の確保、MFAの設定、アクセス権限の見直しなどで対策できます。
- マルウェア感染
- 悪意のあるソフトウェアに感染する攻撃です。アンチウイルスの稼働確認、ソフトウェアの更新、不審な添付ファイルへの対応などで対策できます。
- VPN脆弱性の悪用
- VPN機器の脆弱性を突いて侵入する攻撃です。VPN機器のファームウェア更新、脆弱性情報の収集で対策できます。多くのサプライチェーン攻撃でこの手法が使用されています。
- 内部不正
- 従業員や委託先による不正行為です。アクセス権限の最小化、退職者アカウントの削除、ログ監視などで対策できます。
- 情報漏洩
- 機密情報が外部に流出する事態です。データ管理ルールの徹底、クラウド設定の確認、取引終了時の情報削除確認などで対策できます。
よくある質問
- Q: チェックリストの点検頻度はどのくらいが適切ですか?
- A: 項目によって適切な頻度は異なります。OS更新確認は週1回程度、アクセス権限の見直しは四半期ごと、セキュリティポリシーの見直しは年1回が目安です。リスクの高い項目(VPN機器の脆弱性など)は、より高い頻度で確認することをお勧めします。まずは月1回の定期点検から始め、徐々に頻度を最適化していくのがよいでしょう。
- Q: すべての項目を一度に対応する必要がありますか?
- A: すべてを一度に対応する必要はありません。優先度「必須」の項目から着手し、段階的に「推奨」「任意」へと進めましょう。特に、VPN機器の更新、パスワード・MFAの設定、バックアップの取得は最優先で対応すべき項目です。リソースに限りがある場合は、3〜6ヶ月程度の計画を立てて段階的に実施することをお勧めします。
- Q: チェックリストをカスタマイズしてもよいですか?
- A: カスタマイズを推奨します。業種、規模、取引先からの要求、社内システムの構成などによって、必要なチェック項目は異なります。本記事のチェックリストをベースに、自社に必要な項目を追加したり、不要な項目を削除したりしてカスタマイズしてください。業種別のガイドライン(自工会、FISC、厚労省など)のチェックシートも参考になります。
- Q: チェック結果はどこに記録すべきですか?
- A: エクセルやGoogleスプレッドシートで管理するのが一般的です。チェック日、確認者、結果(OK/NG)、備考(未対応の場合の対応計画など)を記録します。記録を残すことで、対策の進捗管理、監査対応、取引先からの問い合わせへの回答などに活用できます。専用のセキュリティ管理ツールを導入する方法もあります。
- Q: 中小企業でもすべての項目に対応する必要がありますか?
- A: 中小企業では、リソースの制約からすべての項目に対応することが難しい場合もあります。その場合は、「必須」項目を優先し、特にVPN機器の更新、パスワード・MFAの設定、バックアップの取得、社員教育に注力しましょう。中小企業のサプライチェーン攻撃対策では、限られたリソースでの対策方法を詳しく解説しています。
まとめ
サプライチェーン攻撃対策のチェックリストについて解説しました。要点を整理します。
- チェックリストは継続的な点検のサイクルを回すことが重要
- 優先度「必須」の項目から着手し、段階的に対応を進める
- 個人PC、組織全体、テレワーク環境、取引先管理それぞれの項目を確認
- 経営者は予算確保、責任者任命、方針決定などを担う
- チェック結果を改善計画に落とし込み、PDCAサイクルを回す
- VPN機器の脆弱性対策、パスワード・MFA、バックアップは最優先
- 自社の状況に合わせてカスタマイズして活用
次のステップとして、サプライチェーン攻撃を防ぐ脆弱性対策|パッチ管理・資産管理・自動化を解説で、脆弱性管理の詳細を確認しましょう。
対策カテゴリの全体像は、サプライチェーン攻撃の対策|自社で実践すべき防御策を解説をご覧ください。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る
- 自社の対策を始める(現在のカテゴリ)
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
