記事内容
先に公開したコラム記事では、ものづくり中小企業の方と意見交換する中で知った「日常業務が繁忙で新しい取り組みを進める余裕がないケースが多い」実情について触れました。
その中でも、対策の遅れが目立つように感じたのが「情報セキュリティ対策」でした。今回のコラム記事の内容は、中小企業の情報セキュリティ対策についてになります。
情報セキュリティ対策に取り組むにあたっては、独立行政法人情報処理推進機構(以降「IPA」)の資料を有効活用するのが近道です。今回のコラム記事では、まずご覧頂きたいIPAの資料を引用したり、リンクを張ってご紹介します。
なお、IPAの資料を利用するにあたって筆者は「セキュリティプレゼンター制度」[1]に登録しております。
情報セキュリティ対策の重要性
IT利活用に積極的に取り組んでいる企業様であっても情報セキュリティ対策を「おざなり」な対策で済ませてしまったり、対策自体を「なおざり」にしているケースが見受けられます。情報セキュリティ対策を重要視されない経営者の方からは「利益に直接繋がらないから」との思惑を伺うことがあります。
しかし現代は情報化社会であり、情報セキュリティ対策の不備から問題を起こしてしまうと、企業にとって大きな損失を発生させるだけでなく社会的な信用も失ってしまいます。実際に情報漏洩事故等がニュースで大きく報じられることも多くなりました。そうならないためにも、情報セキュリティ対策の情報に触れることで重要性を理解して対策に目を向けて頂きたいと思います。
そう言われても実感が湧かない方は、まず(IPAが提供する)1本の動画をご覧になることをお勧めします。ドラマ仕立てになっていて見やすいので気軽にご覧になってみてください。情報セキュリティ対策についての「気付き」を与えてくれると思います。以下のリンク先でYouTubeの動画をご覧になれます。
「あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~」
https://www.youtube.com/watch?v=OP7O12w6KnQ
(2023/5/5 引用)
情報セキュリティ対策の情報入手に役立つサイト
一方で、情報セキュリティ対策がIT利活用のみならず組織管理においても重要な要素であることを理解されている経営者の方であっても「なかなか手に付かない」「どうしたら良いか分からない」と感じられているようです。
そんな時には情報セキュリティ対策に関するさまざまな情報を入手して触れてみましょう。そのために役立つIPAのWebサイトをご紹介します。
以下にリンクを張ったWebサイトの位置付けは「中小企業における情報セキュリティ対策の水準向上の支援を目的としています。情報セキュリティ対策を「知りたい」「学びたい」「始めたい」「続けたい」中小企業の方々と、それを後押しする方々の活動をサポートするためのサイトです。」とされています。
「情報セキュリティ対策支援サイト」
https://security-shien.ipa.go.jp/
(2023/5/5 引用)
中小企業に向けた情報セキュリティに関する情報が集められており、参考になる資料の紹介や学習ツールが提供されています。この中でも今回の記事では「中小企業の情報セキュリティ対策ガイドライン」を中心にご紹介します。
なお、上記サイトページ内の「役に立つサイトの紹介」に本ガイドラインのリンクが張られているのですが、そのリンク先となる(実際に資料を入手可能な)サイト情報を次にご紹介します。
中小企業の情報セキュリティ対策ガイドラインの紹介
「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html
(2023/5/5 引用)
リンク先のページ(下部)にある以下リンクからPDF資料を入手可能です。
「本編:中小企業の情報セキュリティ対策ガイドライン第3.1版(全72ページ)(PDF:8.0 MB)」
本ガイドラインは、中小企業(個人事業主、小規模事業者をも含む)の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したものです。
本編2部(経営者編と実践編)と付録(ひな形等)より構成されています。今回の記事では内容の解説までは行いませんがトピックスをご紹介します。是非、実際にご覧になってみてください。
[第1部 経営者編]
- 情報セキュリティ対策を怠ることで企業が被る不利益
- 経営者が負う責任
- 経営者は何をやらなければならないのか(認識すべき「3原則」、実行すべき「重要7項目の取組」)
[第2部 実践編]
- 実践編の進め方
- できるところから始める(情報セキュリティ5か条の遵守)
- 組織的な取り組みを開始する(情報セキュリティ基本方針の作成と周知等)
- 本格的に取り組む
- より強固にするための方策
同ガイドラインの改訂情報
本ガイドラインは、2023年4月に第3.1版へと改訂されていることをお知らせします。
2019年3月に第3版が公表されて以来となる今回の改訂では、関連法令を最新の内容に見直しがされた他に、コロナ過におけるテレワークの普及や、DX推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策が盛り込まれています。第3.1版の主な変更点を挙げます。
テレワークを安全に実施するためのポイントを具体的な方策として追加
中小企業においてもテレワークの普及が進んでいることを踏まえ、「テレワークの情報セキュリティ」として、検討事項を三段階に分けて説明しています。
セキュリティインシデント発生時の対応を具体的な方策として追加
サイバー攻撃の高度化に伴い、セキュリティインシデントが増加していることを踏まえ、「セキュリティインシデント対応」として、インシデント発生時の対応における検討事項を三段階に分けて説明しています。
「中小企業のためのセキュリティインシデント対応の手引き」を付録に追加
中小企業が非常時にすぐ手元で活用できるよう、インシデント対応をまとめた8ページの冊子になります。
本冊子では、インシデント対応時に整理しておくべき事項のリストや、「検知・初動対応」「報告・公表」「復旧・再発防止」といった基本ステップごとのアクションを示しています。さらに、「ウイルス感染・ランサムウェア感染の場合」「情報漏えいの場合」「システム停止の場合」といった場合ごとに1ページずつ解説するほか、相談窓口や報告先も紹介しています。
このように、社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂がなされていますので、旧版を利用された方であっても第3.1版を改めて確認されることをお勧めします。
情報セキュリティ基本方針の必要性
情報セキュリティに対しては社会的な関心が高まっていますので、多くの企業様ではPCソフトウェアのアップデート(最新版への更新)やウイルス対策ソフトの利用といった技術的な対策に取り組まれていることでしょう。
しかし、どんなに技術的な対応が進んでも、それだけではリスクが軽減されることにはなりません。情報管理に対するルールが存在せずに社員各自がバラバラな対応を取っていたり、存在していたとしてもルールに対する社員の意識が低くては情報セキュリティ対策による十分な成果を得られません。
企業様それぞれの業態や業務等の実状に合わせた情報管理のためのルール「情報セキュリティ基本方針」(「情報セキュリティポリシー」とも言う)を作成し、そのルールを全社員が認知してしっかりと守る社内環境があってこそ、情報セキュリティ対策は満足な成果に繋がります。
「情報セキュリティ基本方針」は、企業様がどんな脅威から、どんな情報を、どのようにして守るかを明確にし、全社員の情報セキュリティへの取り組みをルールとして定めたものです。例えるなら情報における「防災マニュアル」のようなもので、情報という企業様の大切な財産を危険から守るために大変重要なものです。
情報セキュリティ対策は事業継続の観点からも重要
この例えのように、情報セキュリティ対策は「備え」であるとも言えるのです。現代の商取引では、メールのやり取りも含めて取引先と情報が繋がっていないことはないでしょう。自社でどんなに情報セキュリティ対策に気を配っていても取引先の不備から問題に巻き込まれたり、逆に自社の不備から取引先に損害を与えてしまうリスクもあります。
防災対策と同じで「絶対安全」はありません。しっかりとした準備をしておくことで有事の際には企業様が被る損害を著しく軽減してくれるでしょう。事業継続の観点からも企業様にとって大変重要なものです。
このように、情報セキュリティ対策に取り組むにあたっての第一歩として、「中小企業の情報セキュリティ対策ガイドライン」は最適です。まだご覧になっていなければ、ご確認の上で取り組んでみては如何でしょうか。
この記事のまとめ
- IT利活用に取り組む中小企業でも情報セキュリティ対策の遅れが見受けられる
- 情報セキュリティ対策の実施には「中小企業の情報セキュリティ対策ガイドライン」が役立つ
- 情報セキュリティ対策による「備え」が有事の際の損失軽減に繋がる