中小企業のセキュリティ対策!

中小企業のセキュリティ対策!

 セキュリティ対策の重要性が高まる中、2019年3月19日に独立行政法人情報処理推進機構(IPA)より『中小企業の情報セキュリティ対策ガイドライン第3版』が発表されました。中小企業が情報セキュリティ対策を進めるにあたって何から始めたらいいのか、急速に拡大しているクラウドサービスを利用するにあたって気を付けるポイントをガイドラインに沿って紹介します。

 

「中小企業の情報セキュリティ対策ガイドライン」とは

 「中小企業の情報セキュリティ対策ガイドライン」は、中小企業(小規模事業者や個人事業主、各種法人含む)の経営者や情報管理に関わる人がセキュリティに取り組む際の「経営者が認識し実施すべき指針」と「社内において対策を実践する際の手順や手法」をまとめたものです。情報を安全に管理することの重要性を認識し、中小企業にとって重要な情報を漏えい、改ざん、消失などの脅威から保護するための情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介することを目的としています。

 

大幅改定の背景と変更点

 本ガイドラインは2016年11月に第2版が公開された後、小改訂や付録の追加は行われていましたが、今回は大幅改訂となりました。

 改定の背景

 大幅改定の背景として、2017年11月に経済産業省「サイバーセキュリティ経営ガイドライン」の大幅改訂や、中小企業等を対象としたクラウドサービスの充実といった形で環境が変化したことが挙げられます。

 変更点

 主な変更点としては、用語・全体構成の見直し、具体的な対策手法や付録の追加が行われました。ITにあまり詳しくない経営者の方々にも理解しやすく、組織がこのガイドラインに沿って段階的にセキュリティ対策に取り組めるように考慮されています。
また、クラウドサービスを利用する際の留意事項やチェック項目をまとめた「中小企業のためのクラウドサービス安全利用の手引き」が追加され、クラウドの活用を検討している企業、クラウドを既に活用している方がすぐに使えるようになっています。

 

中小企業でのセキュリティ対策の取り組み方針

 詳細は『中小企業の情報セキュリティ対策ガイドライン第3版』を確認いただく必要がありますが、情報セキュリティ対策の不備がある場合、大きな不利益を被り、経営者の責任も追及されます。そのため、経営者がリーダーシップをもって情報セキュリティ対策を推し進め、企業全体でセキュリティ対策に取り組む必要があります。
 また、本ガイドラインに沿ってセキュリティ対策を講じれば、「SECURITY ACTION(セキュリティアクション)」として中小企業自らが情報セキュリティ対策に取り組むことを自己宣言することができます。取り組み段階に応じて、「一つ星」「二つ星」のロゴマークを無料で使用することができます。こちらの「SECURITY ACTION」を宣言し、ロゴを使用することにより、取引先や関係者へ自社がセキュリティ対策への取り組んでいることを伝えることができます。また、平成29年度補正予算の「IT導入補助金」では、「SECURITY ACTION」を宣言していることが補助金の申請要件になっていました。

セキュリティ対策を「何から始めればいいか」という方へ

 できるところから始めよう!
 「情報セキュリティ5か条

 まずは下記の「情報セキュリティ5か条」から取り組みましょう。
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう!
 これらの項目は、企業の規模に関わらず、必ず実行すべき重要な対策です。経営者のトップダウンで5か条を実行し、セキュリティ対策の第一歩に取り組みましょう。
また、自社が「情報セキュリティ5か条」への取り組みを開始したことを自己宣言することで「SECURITY ACTION」一つ星を宣言し、ロゴを使用することができます。

 

組織的な取り組みを始めよう!

 情報セキュリティ自社診断ツールで自社の状況を把握!

 「5分でできる!情報セキュリティ自社診断」を参考に自社のセキュリティ対策の状況を把握し、対策の強化に努めましょう。

「情報セキュリティ基本方針」を定め、外部に公開

 従業員や顧客、取引先に自社が情報セキュリティ対策に取り組んでいることを伝えるため、経営者が「情報セキュリティ基本方針」を定めましょう。フォーマットの決まりはありませんが、「付録2:情報セキュリティ基本方針(サンプル)」を参考に作成するのがいいでしょう。

「SECURITY ACTION」二つ星を宣言しよう!

 上記の「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を確認し、実施すべき対策をまとめたら「SECURITY ACTION」二つ星を宣言することができます。

 

より本格的にセキュリティ対策へ取り組もう

 今回はSECURITY ACTIONを宣言できる2種類を紹介しましたが、ガイドラインでは、管理体制、緊急時対応体制といったより強固な対策の進め方が記載されています。段階的に、より本格的なセキュリティ対策を実施しましょう。

 

便利だがセキュリティが不安なクラウド

 クラウドサービスを紹介するにあたって、お客様よりクラウドサービスはセキュリティの観点から安全なのか、というお問い合わせをよくいただきます。
 中小企業がクラウドサービスを活用するにあたって確認するチェックポイントが「クラウドサービス安全利用の手引き」にまとめられています。大きく分けてクラウドサービスを選択するとき、運用するとき、セキュリティ管理全般のポイントが掲載されていますので、これらを考慮することでクラウドを安心して利用することができます。

 

まとめ

 最近でも情報漏洩といったセキュリティ対策不足が原因のニュースが大きく報じられていました。企業の大きさには関係なく、すべての企業でセキュリティ対策への取り組みはより重要視されるので早めに取り組みを始めましょう。
 また、コラム「DX(デジタルトランスフォーメーション)の第一歩」で紹介したように、今後企業が取り組んでいくDXを支える技術にクラウドが含まれています。

DX(デジタルトランスフォーメーション)の第一歩

 クラウドの重要性が高まっていく中でクラウドの使用を避けることは難しくなってきます。セキュリティ対策を講じることで安全なクラウド活用を目指すべきではないでしょうか。

 

Share this...
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn