• ホーム >
    • コラム >
    • 中小企業の情報セキュリティ対策ガイドラインを活用
  • 中小企業の情報セキュリティ対策ガイドラインを活用

  • 中小企業の情報セキュリティ対策ガイドラインを活用
  • 公開2019/09/18  更新2022/06/23

  • 中小企業の情報セキュリティ対策ガイドラインはIPAが無償提供している資料です。情報セキュリティ対策の実践に活用をお薦めします。

記事内容

前回のコラム記事では、ものづくり中小企業の方と意見交換する中で知った「日常業務が繁忙で新しい取り組みを進める余裕がないケースが多い」実情について触れました。中でも「情報セキュリティ対策の遅れ」が目立つように感じました。

情報セキュリティ対策に取り組むにあたっては、独立行政法人情報処理推進機構(以降「IPA」)の資料を有効活用するのが近道です。今回のコラム記事では、まずご覧頂きたいIPAの資料を引用したり、リンクを張ってご紹介します。

なお、IPAの資料を利用するにあたって筆者は「セキュリティプレゼンター制度」[1]に登録しております。

それでは本題に移ります。IT利活用に積極的に取り組んでいる企業様であっても情報セキュリティ対策を「おざなり」な対策で済ませてしまったり、対策自体を「なおざり」にしているケースが見受けられます。情報セキュリティ対策を重要視されない経営者の方からは「利益に直接繋がらないから」との思惑を伺うことがあります。

しかし現代は情報化社会であり、情報セキュリティ対策の不備から問題を起こしてしまうと、企業にとって大きな損失を発生させるだけでなく社会的な信用も失ってしまいます。実際に情報漏洩事故等がニュースで大きく報じられることも多くなりました。そうならないためにも、情報セキュリティ対策の情報に触れることで重要性を理解して対策に目を向けて頂きたいと思います。

そう言われても実感が湧かない方は、まず1本の動画をご覧になることをお勧めします。ドラマ仕立てになっていて見易いので気軽にご覧になってみてください。情報セキュリティ対策についての「気付き」を与えてくれると思います。以下のリンク先の一覧表から選択してリンクをクリックするとYouTubeで動画をご覧になれます。

『映像で知る情報セキュリティ ~映像コンテンツ一覧~』
https://www.ipa.go.jp/security/keihatsu/videos/index.html
[項目12]「あなたの会社のセキュリティドクター ―中小企業向け情報セキュリティ対策の基本―」(約12分)

一方で、情報セキュリティ対策がIT利活用のみならず組織管理においても重要な要素であることを理解されている経営者の方であっても「なかなか手に付かない」「どうしたら良いか分からない」と感じられているようです。そんな時には情報セキュリティ対策に関するさまざまな情報を入手して触れてみましょう。そのために役立つIPAのWebサイトをご紹介します。

以下にリンクを張ったWebサイトの位置付けは「中小企業における情報セキュリティ対策の水準向上の支援を目的としています。情報セキュリティ対策を『知りたい』『学びたい』『始めたい』『続けたい』中小企業の方々と、それを後押しする方々の活動をサポートするためのサイトです。」とされています。

『情報セキュリティ対策支援サイト』
https://security-shien.ipa.go.jp/

中小企業に向けた情報セキュリティに関する情報が集められており、参考になる資料の紹介や学習ツールが提供されています。この中でも今回の記事では『中小企業の情報セキュリティ対策ガイドライン』を中心にご紹介します。上記サイト右下「役に立つサイトの紹介」にリンクが張られています。「情報セキュリティ対策に役立つ資料」です。

中小企業の情報セキュリティ対策ガイドライン(第3版)
『中小企業の情報セキュリティ対策ガイドライン(第3版)』

『中小企業の情報セキュリティ対策ガイドライン』
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

リンク先のページ(下部)にある以下リンクからPDF資料を入手可能です。

「本編:中小企業の情報セキュリティ対策ガイドライン第3版(全60ページ、32.56MB)」

当ガイドライン資料は、中小企業(個人事業主、小規模事業者をも含む)の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したものです。本編2部(経営者編と実践編)と付録(ひな形等)より構成されています。今回の記事では内容の解説までは行いませんがトピックスをご紹介します。是非、実際にご覧になってみてください。

[第1部 経営者編]

  • 情報セキュリティ対策を怠ることで企業が被る不利益
  • 経営者が負う責任
  • 経営者は何をやらなければならないのか(認識すべき「3原則」、実行すべき「重要7項目の取組」)

[第2部 実践編]

  • できるところから始める(情報セキュリティ5か条の遵守)
  • 組織的な取り組みを開始する(情報セキュリティ基本方針の作成と周知等)
  • 本格的に取り組む
  • より強固にするための方策

なお、当ガイドライン資料のことを以前からご存知な方に対しては、2019年3月に第3版へと改訂されていることをお知らせします。主な変更点を挙げます。

[第1部 経営者編(変更点)

  • ITに詳しくない経営者にも理解し易くするため、可能な限り専門用語を排する等記述を見直し

[第2部 実践編(変更点)

  • 段階を踏んで対策を実践できるよう構成を見直し
  • 「ウェブサイトの情報セキュリティ」、「クラウドサービスの情報セキュリティ」に関する解説を追加

[付録(変更点)

  • 「中小企業のためのクラウドサービス安全利用の手引き」を追加
  • 旧版の付録「情報セキュリティポリシーサンプル」は「情報セキュリティ基本方針(サンプル)」と「情報セキュリティ関連規程(サンプル)」に分割

このように、より分かり易く、より実践的に、加えて新しい環境変化にも対応した内容となっていますので、旧版を利用された方であっても第3版を改めて確認されることをお勧めします。

情報セキュリティに対しては社会的な関心が高まっていますので、多くの企業様ではPCソフトウェアのアップデート(最新版への更新)やウイルス対策ソフトの利用といった技術的な対策に取り組まれていることでしょう。

しかし、どんなに技術的な対応が進んでも、それだけではリスクが軽減されることにはなりません。情報管理に対するルールが存在せずに社員各自がバラバラな対応を取っていたり、存在していたとしてもルールに対する社員の意識が低くては情報セキュリティ対策による十分な成果を得られません。

企業様それぞれの業態や業務等の実状に合わせた情報管理のためのルール「情報セキュリティ基本方針」(「情報セキュリティポリシー」とも言う)を作成し、そのルールを全社員が認知してしっかりと守る社内環境があってこそ、情報セキュリティ対策は満足な成果に繋がります。

「情報セキュリティ基本方針」は、企業様がどんな脅威から、どんな情報を、どのようにして守るかを明確にし、全社員の情報セキュリティへの取り組みをルールとして定めたものです。例えるなら情報における「防災マニュアル」のようなもので、情報という企業様の大切な財産を危険から守るために大変重要なものです。

情報セキュリティ対策への高い意識を全員が持つ
『情報セキュリティ対策への高い意識を全員が持つ』

この例えのように、情報セキュリティ対策は「備え」であるとも言えるのです。現代の商取引では、メールのやり取りも含めて取引先と情報が繋がっていないことはないでしょう。自社でどんなに情報セキュリティ対策に気を配っていても取引先の不備から問題に巻き込まれたり、逆に自社の不備から取引先に損害を与えてしまうリスクもあります。

防災対策と同じで「絶対安全」はありません。しっかりとした準備をしておくことで有事の際には企業様が被る損害を著しく軽減してくれるでしょう。事業継続の観点からも企業様にとって大変重要なものです。

このような情報セキュリティ対策に取り組むにあたっての第一歩として『中小企業の情報セキュリティ対策ガイドライン』は最適です。まだご覧になっていなければ、ご確認の上で取り組んでみては如何でしょうか。

この記事のまとめ

  • IT利活用に取り組む中小企業でも情報セキュリティ対策の遅れが見受けられる
  • 情報セキュリティ対策の実施には「中小企業の情報セキュリティ対策ガイドライン」が役立つ
  • 情報セキュリティ対策による「備え」が有事の際の損失軽減に繋がる