[V3] 33項目+アルファの設問について

 情報セキュリティ整備状況診断に関するセルフチェックは、CMMCレベル1およびIPA 25項目への対応状況評価するための33の設問と、+アルファとしてCMMCレベル3の内「多要素認証」と「暗号化」に関連する2つのプラクティスに対応した2つの設問で構成されています。

 全35の設問は、以下のファミリーに分類されています。

  1. ウィルス対策
  2. ユーザー権限管理
  3. インターネット利用時の対策
  4. 不正侵入防止対策
  5. データ保護・廃棄管理
  6. 入退室・施錠管理
  7. セキュリティ対策ルール運用
  • IPA 25項目の設問:

 IPAの「5分でできる!情報セキュリティ自社診断」の25個の診断項目に答えることで、御社における情報セキュリティの課題を簡単にチェックできるようになっています。

  • Part1:基本対策(5設問:設問番号IPA-1~IPA-5)
  • Part2:従業員としての対策(14設問:設問番号IPA-6~IPA-19)
  • Part3:組織としての対策(6設問:設問番号IPA-20~IPA-25)

 各設問の内容が分からない場合は、動画による学習教材であるIPAの「5分でできる!ポイント学習」の「自社診断シート25問に対応した学習コース」を活用ください。こちらは無料ですが、学習の履歴を把握するためにユーザー登録が必要となります。

 「5分でできる!情報セキュリティポイント学習」は、主に中小企業で働く方を対象とした、 無料の学習ツールです。インターネット接続環境があれば、いつでもどこでも学習可能!インストールは不要です。情報セキュリティについて1テーマ5分で勉強でき、学習の中止や再開が可能で、一度に多くの時間を費やす必要はありません。

 身近にある職場の1コマを取り入れた親しみやすい学習テーマで、セキュリティに関する様々な事例を疑似体験しながら適切な対処法を学ぶことができます。日頃のセキュリティ意識の確認にご活用ください。

5分でできる!情報セキュリティポイント学習(IPA)

 なお、「自社診断シート25問に対応した学習コース(ダウンロード版PDF)」については、設問に対応した“設問ガイダンス”からも参照できます。

  • CMMCレベル1の設問:

 CMMCレベル1のプラクティスに対応した8つの設問と上記IPA設問に含まれる7つの設問に答えることで、あなたの会社のCMMCレベル1のセキュリティ対策の問題を簡単にチェックできるようになっています。

 CMMCレベル1のプラクティスと設問の関係を、以下に示します。

CMMCレベル1プラクティス設問番号設問
(AC.1.001)システムへのアクセスは、権限のあるユーザー、あるいは権限のあるユーザーの代理として動作するプロセスまたは(その他のシステムを含む)装置に限定する。
(AC.1.002)システムへのアクセスは、権限のあるユーザーが実行を許可されている各種のトランザクションおよび機能に限定する。
IPA-4重要情報※2 に対する適切なアクセス制限を行っていますか?
(※2 :重要情報とは営業秘密など事業に必要で組織にとって価値のある情報や顧客や、従業員の個人情報など管理責任を伴う情報のことです。 )
(AC.1.003)外部システムへの接続および使用を検証し、管理/制限する。IPA-23クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか?
(AC.1.004)公衆アクセス可能なシステム上に掲載または処理された情報を管理する。CMMC-1-1ニュースリリース等外部公表する情報を管理、制限し、契約情報を含む可能性のある情報を、公開Webサイト等に掲載許可しないようにしていますか?
(IA.1.076) システムのユーザー、あるいはユーザーの代理として動作するプロセスまたは装置を特定するCMMC-1-2システムを利用できるユーザー、装置等を特定し、IDを発行し、付与していますか?
(IA.1.077)
組織のシステムへのアクセスを許可する前提条件として、それらのユーザー、プロセスまたは装置のアイデンティティーを認証(または検証)する。
CMMC-1-3ユーザー、装置等がシステムを利用できるようにする前に、ユーザー、装置等のIDをパスワード等により認証していますか?
(MP.1.118)FCI(米国政府契約情報)を含むシステムの記憶媒体を廃棄または再利用する前に、サニタイズ(情報除去)または破壊する。IPA-18重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
(PE.1.131)組織のシステム、装置、およびそれぞれの運用環境への物理的アクセスを、権限のある人に限定する。CMMC-1-4社内施設(事務所、工場等)や社内システム・装置のアクセス(入室、利用)を許可した人に限定していますか?
(PE.1.132)訪問者をエスコートし、その活動を監視するIPA-15関係者以外の事務所への立ち入りを制限していますか?
(PE.1.133)物理的アクセスの監査ログ保持する。CMMC-1-5社内施設(事務所、工場等)や機器に、いつ誰がアクセス(入室、利用)しているか記録を残していますか?
(PE.1.134)物理的アクセス装置を管理・監督する。IPA-16退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
(SC.1.175)組織の通信(すなわち、組織のシステムによって送受信される情報)を、システムの外部境界および主要な内部境界において監視・管理・保護する。CMMC-1-6社内システムをインターネット接続する場合、ファイアウォール、Webプロキシ等を利用して、送受信される情報を監視・管理・保護していますか?
(SC.1.176)内部ネットワークから物理的・論理的に分離された、公開アクセス可能なシステムコンポーネント用のサブネットワークを実装する。CMMC-1-7外部に公開するWebサーバ、メールサーバ等がある場合、内部ネットワークから分離されたDMZセグメントに配置していますか?
(SI.1.210)情報およびシステムの欠陥をタイムリーに特定し、報告し、修正する。IPA-1パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?
(SI.1.211)組織のシステム内における適切な場所で、悪意のあるコードからの保護機能を提供する。
(SI.1.212)悪意のコード保護メカニズムについて、その新リリースを入手できるようになった時に、それを更新する。
IPA-2パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイル※1 は最新の状態にしていますか?
(※1:コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれます。)
(SI.1.213)組織のシステムの定期的スキャンを実行すると共に、外部ソースからのファイルのリアルタイムスキャンを、ファイルがダウンロードされ、開かれ、実行される都度実行する。CMMC-1-8パソコンやスマホなどについてウイルス対策ソフトで、定期的にスキャンすると共に、外部からのファイルをリアルタイムスキャンしていますか?

+アルファの設問:

 +アルファの設問としてCMMCレベル3の中の多要素認証暗号化に関連する2つのプラクティスについて、セキュリティ対策の課題をチェックできるようになっています。

  • 多要素認証CMMCレベル3プラクティス;IA.3.083、設問番号:CMMC-3-1)
  • 暗号化(CMMCレベル3プラクティス;MP.3.124、設問番号:CMMC-3-2)

※設問ガイダンスについて

  • 各設問には、設問で要求されている内容の解説と対策例を表示しています。
  • CMMCプラクティスに対応した設問には、該当のプラクティスを表示しています。
  • 参考情報として、各設問に関連する、防衛省情報セキュリティ基準の該当条項を表示しています。