セキュリティゼロの組織にセキュリティを注入していく手順

修正履歴

・2025/03/02：初版

やること

セキュリティを意識していない組織に対してセキュリティを注入していく方法に関して考えてみる。
やるべきことを洗い出し、優先順位をつけて、具体的作業を考えるという手順でやる。

注意事項

前提条件はスタートアップ企業を想定して設定しています。
ChatGPT相手に２週間ぐらい壁打ちを繰り返し条件を追加して出力してもらいました。
プロンプト量としては結構なサイズになりました。

前提条件

もっとあるけど重要要素だけ記載しています。
・社員数30〜300人程度を検討
・フルクラウドでリモートワークを実施している企業をターゲット
・PCは正社員に貸与している。業務委託は私物PCを利用してもらっている
・PCはWindowsとMacが混在している
・GoogleWorkspace、Salesforce、勘定奉行等を導入済み
・退職者による内部情報漏洩を心配している
・毎月複数人が辞め、複数人が入社するという人の入れ替わりが激しい状況

---

セキュリティ導入施策の検討レポート

以下、背景情報を踏まえて「考えられる打ち手のリストアップ → 優先順位付けと理由 → 具体的なアクションプラン」の順にまとめます。

---

1. 考えられる打ち手（全リスト）

まずは網羅的に挙げられる施策を列挙します。

1. セキュリティポリシー（情報セキュリティポリシー／運用ルール）の策定・社内規約の整備

2. セキュリティ教育・トレーニングの実施

3. 情報資産の可視化・分類（資産管理）

4. アカウント管理・ID管理の強化（SSO・MFA導入、アカウントライフサイクル管理）

5. 端末管理（MDM導入、OS・ソフトウェア更新管理、パッチ管理）

6. ゼロトラストセキュリティツールの導入（CASB、ZTNAなど）の検討

7. DLP（Data Loss Prevention）機能の導入や運用ルール整備

8. ログ管理・監査体制の整備（SIEM導入、Google Workspaceログの活用など）

9. エンドポイントセキュリティ（EDRなど）の導入

10. インシデントレスポンス体制の確立（CSIRT創設準備、外部SOC利用検討）

11. 退職者・業務委託者への権限管理と情報持ち出し対策（オフボーディングプロセスの確立）

12. ネットワークセキュリティ対策（VPN不要のクラウド利用想定でも、社内Wi-Fiのセキュリティ見直しなど）

13. 監査ログの定期的なレビュー体制整備（アクセス監査・利用監査）

14. 物理セキュリティ（オフィスでの盗難対策、ゲストWi-Fi分離など）の見直し

15. プライバシーマーク/ISMSなど外部認証取得の検討

16. 経営層へのレポーティング体制整備（セキュリティリスク共有、予算確保）

17. 社内外のベンダー/サービスに対するセキュリティ要件定義（第三者委託先管理）

---

2. 優先順位付けと理由

上記リストを背景情報（社員数30〜300名程度、フルクラウド、内部情報漏洩リスク、ゼロトラスト導入意向、社内に専任情シスやセキュリティ担当がいない 等）を踏まえ、ステップバイステップで導入する前提にて優先度を3段階（高：A / 中：B / 低：C）で振り分けます。**「高優先度＝なるべく早期に着手すべきもの」**です。

優先度A（早急に取り組むべき施策）

1. セキュリティポリシー・運用ルールの策定

   • 理由: 全てのセキュリティ対策の基盤となり、社内の統制・徹底のための最上位文書。現状ポリシーが存在しないため早期に方針を定義し、経営層のコミットを得る必要がある。

2. セキュリティ教育・トレーニングの実施

   • 理由: ヒト要因のリスクを下げるためにも、基礎的なセキュリティリテラシー向上が不可欠。ポリシー策定後に全社員へ周知し、定期的なトレーニングを行う。

3. アカウント管理・ID管理の強化（SSO・MFA）

   • 理由: フルクラウド環境で複数SaaSを利用しているにもかかわらず、認証基盤が統合されていないためアカウントの不正利用・漏えいリスクが高い。MFAなどによる強固な認証が最優先。

4. 退職者・業務委託者への権限管理と情報持ち出し対策（オフボーディングプロセス確立）

   • 理由: すでに内部情報漏洩疑惑がある。まずは人為的なリスクを最小化し、退職者や契約終了時のアカウント削除・権限剥奪をスムーズに行う仕組みが急務。

5. 端末管理（MDM導入やOS・ソフトウェア更新管理）

   • 理由: BYODを含め端末管理がまったく行えていないため、マルウェア感染リスクやデータ持ち出しリスクが高い。特にリモートワーク・私物PC利用状況を可視化・制御する必要あり。

6. ログ管理・監査体制の整備（最低限Google WorkspaceなどSaaSログの活用）

   • 理由: 不正アクセスや情報漏洩が疑われても調査できない状態。少なくともGoogle Workspaceの管理コンソール・監査ログ、Salesforceなどのログを収集・レビューできる仕組みを早急に作りたい。

優先度B（Aを進めつつ並行または次段階で進める施策）

1. DLP（Data Loss Prevention）の導入と運用ルール整備

   • 理由: 既に内部漏洩が疑われているため、機密ファイルのダウンロードやメール送信の制御・監視を行う必要がある。Aの施策（ポリシー策定・ログ管理）と連動して効果を発揮。

2. ゼロトラストセキュリティツール導入（CASB、ZTNAなど）の検討

   • 理由: 中長期的には社外端末からのアクセスを可視化・制御し、状況に応じたアクセス制限をするために重要。まずはID管理・MDM整備が優先だが、早めに製品調査・PoCを行う意義あり。

3. エンドポイントセキュリティ（EDRなど）の導入

   • 理由: MDMでは不十分な高度攻撃やゼロデイ攻撃等への対策として、端末での脅威検知・可視化が必要。端末管理スキーム確立後にセットで導入することで効果大。

4. インシデントレスポンス体制の確立（CSIRT準備、外部SOCの選定）

• 理由: ログを収集しても分析人員や対応フローがないと機能しない。内製か外注かを早期に検討し、CSIRTを小規模でも立ち上げ、SOCは外部委託を想定するロードマップを作る。

優先度C（余力があれば・段階が進んだら実施する施策）

1. ネットワークセキュリティ強化（社内Wi-Fiのセキュリティ見直し、ゲストネットワーク分離など）

• 理由: フルクラウドで業務する場合も、拠点内ネットワークが脆弱だと不正アクセスを許す可能性がある。物理環境の見直しは優先度はそこまで高くないが、時間があるうちに整備すべき。

1. 監査ログの定期的レビュー体制構築（週次・月次のチェック）

• 理由: ログ収集基盤ができた後の運用プロセス。優先度AやBの施策を実装してからになるが、継続的なモニタリングプロセス確立も重要。

1. プライバシーマーク/ISMSなど外部認証取得の検討

• 理由: 自社のセキュリティレベル向上や対外的な信頼獲得には効果的。ただしまずは実効性ある運用体制構築が先。運用が整った段階で取得を検討。

1. ベンダーや第三者委託先へのセキュリティ要件定義（契約書類見直しなど）

• 理由: 自社が対策をしても、業務委託先や関連ベンダーが低レベルなセキュリティだと漏洩リスクが継続する。まずは自社内整備が優先だが、並行して契約書や要件の整備を検討。

1. 経営層へのレポーティング体制整備

• 理由: 経営者への定期報告・予算確保は継続的な対策に必須。施策の進捗やリスク状況を共有し、毎年予算を取るには報告ラインが必要。

---

3. 具体的に行う作業・アクションプラン

優先度Aの具体策

1. セキュリティポリシー・運用ルールの策定

   • 作業内容例

     • 経営層とヒアリングし、どこまで守るのか・どこに責任を置くのかを定義した「情報セキュリティポリシー」を作成

     • ポリシーを補完する「運用規程」「端末利用規程」など細則を策定

     • 全社員（業務委託含む）へ周知、承認を得るプロセスを設計（導入時の同意書など）

2. セキュリティ教育・トレーニングの実施

   • 作業内容例

     • オンラインでのセキュリティ基礎研修（パスワード管理、SNS利用注意、フィッシング対策 など）

     • メールによるフィッシング模擬演習を定期的に実施

     • 部署別・業務委託向けの教育コース設定（利用ツールやリスクの違いを考慮）

     • 新入社員・新規委託時のオンボーディング研修にセキュリティ項目を組み込む

3. アカウント管理・ID管理の強化（SSO・MFA）

   • 作業内容例

     • Google Workspaceを中核としたID基盤に統合するSaaS(OktaやAzure ADなど)の比較・選定

     • MFA(多要素認証)を必須化するためのセットアップ、運用方針の決定（スマホアプリ、FIDOキー等）

     • SalesforceやZoomなど、主要SaaSとSSO連携を進めるための設定・テスト

     • アカウントライフサイクル管理（入社時、退職時、権限変更など）フローの策定と運用開始

4. 退職者・業務委託者への権限管理と情報持ち出し対策（オフボーディングプロセス確立）

   • 作業内容例

     • 退職・契約終了時に実行すべきチェックリストを作成（アカウント削除・社用情報の返却確認など）

     • 退職・契約終了を人事・管理部門からリアルタイムに共有してもらうプロセスづくり

     • MFAやSSO基盤でのアカウント停止をワンクリックで行えるように設定

     • 退職者が利用した端末のデータ消去・アクセス権剥奪を確認するための記録

5. 端末管理（MDM導入やOS・ソフトウェア更新管理）

   • 作業内容例

     • MDM製品（Microsoft Intune、Jamf、MobileIron等）の比較・選定

     • Windows/Mac混在環境での導入テスト（BYOD端末へのポリシー適用方法・同意スキームなど）

     • OS/アプリのパッチ適用状況の可視化と、自動アップデートポリシーの整備

     • ストレージ暗号化（BitLocker, FileVault）の義務付け、セキュリティソフトの適用

6. ログ管理・監査体制の整備（最低限Google WorkspaceなどSaaSログの活用）

   • 作業内容例

     • Google Workspace管理コンソールでの監査ログ取得設定（Driveログ、ログインログなど）

     • Salesforce・Zoomなどの監査ログ活用方針の決定（期間、保存場所、フォーマットなど）

     • 簡易的にスプレッドシートやログ可視化ツールを用いて定期レビューを開始

     • 監査ログを自動で取得し保管するためのスクリプト化、またはSIEM導入の検討（Splunk, LogStareなど）

優先度Bの具体策

1. DLP（Data Loss Prevention）機能の導入と運用ルール整備

   • 作業内容例

     • Google WorkspaceやCASB製品でのDLP機能調査・PoC実施

     • 社内外へのファイル共有ルール（共有リンクの制限、ダウンロード制限、メール添付の暗号化など）策定

     • 機密データの自動検出・アラート設定（個人情報や機密文書が外部共有される際のトリガーを設定）

     • 運用開始後は定期的にDLPアラートをレビューして改善

2. ゼロトラストセキュリティツール導入（CASB、ZTNAなど）の検討

   • 作業内容例

     • CASB製品（Netskope, McAfee, Zscalerなど）やZTNA製品の比較・PoC

     • ポリシーベースで、ユーザ・デバイス・場所・アプリケーションの状況によってアクセスを制御

     • 導入フェーズに合わせて、既存ネットワーク機器・Wi-Fi環境との連携方法を検討

     • BYOD端末の利用状況やアクセス権管理とどうリンクさせるかの調整

3. エンドポイントセキュリティ（EDRなど）の導入

   • 作業内容例

     • EDR製品（CrowdStrike, SentinelOne, Cylanceなど）の比較・PoC

     • 端末からの不審な挙動をリアルタイム検知し、中央管理画面で把握できるように設定

     • インシデントが起きた場合の初動対応手順の策定（隔離、調査、復旧など）

     • 社内にEDRのアラートをチェックできる担当を置くか、外部SOCに委託するか検討

4. インシデントレスポンス体制の確立（CSIRT準備、外部SOCの選定）

• 作業内容例

  • 社内のCSIRT設立に向けた役割定義（最小限のメンバー、責任範囲、報告ラインなど）

  • 外部SOCサービスの比較（24時間監視・アラート対応、フォレンジック支援など）

  • インシデント対応フロー策定（検知→初動→封じ込め→復旧→再発防止策）

  • 定期的に模擬インシデント対応訓練（テーブルトップ演習など）を実施

優先度Cの具体策

1. ネットワークセキュリティ強化（社内Wi-Fiのセキュリティ見直し等）

   • 作業内容例

     • 社内Wi-FiのWPA2エンタープライズ化やゲスト向けSSID分離

     • ルーター・スイッチのファームウェアアップデート、管理画面パスワードの強化

     • オフィス入退室と合わせたネットワーク利用制限（必要に応じて）

2. 監査ログの定期的レビュー体制構築（週次・月次のチェック）

   • 作業内容例

     • 監査ログのレポーティングテンプレートを作成し、定期的に経営層・関連部署へ報告

     • 不審イベント（深夜の大量ダウンロードなど）の検知ルール策定

     • レビュー結果を踏まえてポリシーの微修正や追加設定

3. プライバシーマーク/ISMSなど外部認証取得の検討

   • 作業内容例

     • まずISMS/Pマークの必要要件を洗い出し、現状のギャップ分析を行う

     • ドキュメント整備や運用証跡の取得が十分にできる状態か確認

     • コンサルタントの活用含め、取得スケジュールや費用対効果を試算

4. ベンダー/第三者委託先へのセキュリティ要件定義

   • 作業内容例

     • 業務委託契約やNDAを見直し、「セキュリティルール遵守」「持ち出し時の制限」「漏洩が発生した場合の責任範囲」などの明確化

     • 定期的に委託先へセキュリティチェックリスト提出を求める仕組み

     • 重要システムやデータを扱う委託先には追加の監査や要件を課す

5. 経営層へのレポーティング体制整備

   • 作業内容例

     • 毎月/四半期に1度、セキュリティに関するハイライト報告（インシデント状況、施策進捗、リスク評価など）

     • セキュリティ対策のコストとリスク低減効果を見える化し、予算承認を得やすくする工夫

     • 年次でのセキュリティロードマップ更新と承認プロセスを設定

---

まとめ

• **まずは「方針・ポリシーの策定」「教育」「ID管理（SSO/MFA）」「退職者・業務委託者管理」「端末管理（MDM）」「ログ監査」**を優先的に着手し、社内でセキュリティ基盤を整える。

• 次にDLPやゼロトラストツール、EDRを導入し、インシデント対応体制（CSIRT/SOC）を整備しながら**“検知・対応”ができる運用**へ移行する。

• 最終的にはネットワーク対策、外部認証なども含めた**“総合的なセキュリティマネジメント”を実践し、将来的にはCSIRTを社内に構えつつ外部SOCを活用**する成熟度を目指す。

上記ステップを踏まえ、ステークホルダーと協議しながら具体的なロードマップを作成して進めることを推奨します。ステップバイステップで導入するとはいえ、優先度Aの項目はほぼ同時並行で早急に実装を検討すると良いでしょう。

以上