2019年12月に独立行政法人情報処理推進機構(IPA)が「中小企業の情報セキュリティ対策ガイドライン 第3版」を公開しました。https://www.ipa.go.jp/security/keihatsu/sme/guideline/
中小企業のセキュリティ対策について大変参考になりますので、ご紹介いたします。

昨今の情報化の進展により、情報セキュリティの強化が中小企業にとっても重要な課題となっています。
このガイドラインは中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順を示したガイドラインです。
構成は、2部構成で第1部「経営者編」と第2部「実践編」からなっています。これに付録が7つあります。

第1部「経営者編」では、情報セキュリティ対策に関して経営者が認識し、自らの責任で考えなければならない事項について、ITに詳しくない経営者も理解できるよう、可能な限り専門用語を排して説明しています。
情報セキュリティ事故が発生した場合に企業が被る不利益は、金銭の損失、顧客の喪失、業務の停滞、従業員のモラルダウンや退職などがあります。また、経営者が負う責任は法的責任も関係者や社会に対する責任もあります。そこで、経営者の認識すべき3原則を挙げています。
原則1 情報セキュリティ対策は経営者のリーダーシップで進める。
原則2 委託先の情報セキュリティ対策まで考慮する
原則3 関係者とは常に情報セキュリティに関するコミュニケーションをとる

具体的に実行すべき取組みとして7項目をあげています。
取組1 情報セキュリティに関する組織全体の対応方針を決める
取組2 情報セキュリティ対策のための予算や人材などを確保する
取組3 必要と考えられる対策を検討させて実行を指示する
取組4 情報セキュリティ対策に関する適宜の見直しを指示する
取組5 緊急時の対応や復旧のための体制を整備する
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
取組7 情報セキュリティに関する最新動向を収集する
3原則にしたがい7つの取組みを経営者が率先してやっていくことが重要です。

第2部「実践編」では、情報セキュリティを実践する責任者や担当者がどのように実務を進めたらよいかを具体的に説明しています。「情報セキュリティ対策をやってください。」といわれてもどこから始めればよいかわからない中小企業も多いと思います。このガイドでは、最初から完璧をめざすのではなく、現実的な方法としてできるところから始めて段階的にステップアップすることを推奨しています。

STEPは以下の4つです
STEP1 できるところから始める
STEP2 組織的な取り組みを開始する
STEP3 本格的に取り組む
STEP4 より強固にするための方策

STEP1「できるところから始める」では、情報セキュリティ5か条を定めています。
① OSやソフトウェアは常に最新の状態にしよう!
 OSやソフトウェアは情報セキュリティの問題でアップデートやバージョンアップされることがありますので、常に最新版を使う
② ウィルス対策ソフトを導入しよう!
 ウィルス対策ソフトを導入してウィルスパターンも最新を使う
③ パスワードを強化しよう!
 パスワードは「長く」、「複雑に」、「使いまわない」ようにして強化する
④ 共有設定を見直そう!
 データ保管などのウェブサービスやネットワーク接続した複合機やカメラの設定を間違えたため、無関係な人から情報を覗き見られるトラブルが増えています。限定した人だけに見えるよう設定を見直す必要があります。
⑤ 脅威や攻撃の手口を知ろう!
 悪意者の手口を知ることにより、対策を立てることができます。

STEP2「組織的な取り組みを開始する」では、以下の手順をあげています。
まず、付録2「情報セキュリティ基本方針(サンプル)」を参考に情報セキュリティ基本方針を作成し、従業員に周知します。次に実施状況を把握するために付録3「5分でできる!情報セキュリティ自社診断」を使い、25項目についてアセスメントを実施します。アセスメントの結果で問題があった項目は、付録3の解説編を参考にして対策を決定します。さらに、付録4の「情報セキュリティハンドブック(ひな型)」を編集して、社内に周知します。

STEP3の「本格的に取り組む」では、以下を手順にあげています。
まず、付録5「情報セキュリティ関連規定」を活用して自社の管理体制を社内に周知します。次に、利用している情報システムや導入を検討している情報システムを把握し、それらの情報セキュリティ対策を検討し予算を確保します。次に付録5「情報セキュリティ関連規程(サンプル)」を参考に、情報セキュリティ規程を作成します。情報セキュリティ規程の作成は、対応すべきリスクの特定、対策の決定、規程の作成の順に行います。委託時の対策として、契約や覚書に具体的な情報セキュリティ対策を明記し、委託先の情報セキュリティ方針を確認します。そして、情報セキュリティ対策が有効に働いているか、継続的に「点検と改善」を実施します。

STEP4の「より強固にするための方策」では、より強固な情報セキュリティ対策に取り組むために以下の6つの区分について説明しています。
(1)情報収集と共有
 情報セキュリティに関する情報収集の方法と情報共有の枠組み
(2)ウェブサイトの情報セキュリティ
 ウェブサイトを安全に構築し、運用するためのポイント
(3)クラウドサービスの情報セキュリティ
 クラウドサービスの選定から運用まで安全に利用するためのヒント
(4)セキュリティサービス例と活用
 情報セキュリティに関する専門の外部サービスの紹介
(5)技術的対策例と活用
 ITを活用する際の技術的対策(製品やソフトウェア)の紹介
(6)詳細リスク分析の実施方法
 付録7「リスク分析シート」を活用した詳細リスク分析の実施方法として、①情報資産の洗い出し、②リスク値の算定、③情報セキュリティ対策の決定

以上のように、このガイドラインは中小企業のセキュリティ対策に大変有効です。スモールスタートで重要なところから始められます。情報セキュリティ対策をより強固にしていく段階では中小企業診断士などの専門家も活用できますので、中小企業の方は是非ご検討ください。

●略歴
守谷 元伸 (もりやもとのぶ)
早稲田大学大学院理工学研究科電気電子工学専攻修士課程修了
一般社団法人東京都中小企業診断士協会中央支部執行委員(渉外部副部長)
特定非営利活動法人 東京都中央区中小企業経営支援センター 副理事長(事務局長)
独立行政法人情報処理推進機構 情報処理技術者試験委員 情報処理安全確保支援士試験委員
中小企業診断士 ITコーディネータ、PMP、プロジェクトマネージャー、システムアナリスト
著書は「経費節減なんと1181の具体策」(共著)他