情報技術の進歩・普及に伴い経営効率が向上した一方、重要情報の漏えいや消失、改ざんなど技術特有の不利益が発生する機会も増してきています。
これら不利益が対策の不備により生じた場合、経営者は取引先や従業員などへの社会的・道義的責任に加え、法的責任も追及されるおそれがあります。
近年は企業情報を狙うサイバー脅威も日々巧妙化しています。自社を守るためには、経営者が率先して対策に取り組むことが大切です。
https://www.ipa.go.jp/security/guide/sme/about.html
情報セキュリティ対策を推進する際に参考にしたいのが、「中小企業の情報セキュリティ対策ガイドライン」(情報処理推進機構〈IPA〉)です。
このガイドラインは情報の安全管理の重要性や企業の保有する機微な情報を各種の脅威から保護するための対策の考え方や段階的に実現するための方策を紹介する目的で作成されたものです。まずはこのガイドラインを参考に、自社に適した対策を実践していくとよいでしょう。
●「中小企業の情報セキュリティ対策ガイドライン」
●付録1 情報セキュリティ5か条
●付録2 情報セキュリティ 基本方針(サンプル)
●付録3 5分でできる! 情報セキュリティ自社診断
●付録4 情報セキュリティハンドブック(ひな形)
●付録5 情報セキュリティ関連規程(サンプル)
●付録6 中小企業のためのクラウドサービス安全利用の手引き
●付録7 リスク分析シート
●付録8 中小企業のためのセキュリティインシデント対応の手引き
資金や人材が限られる中小企業にとって、最初から全ての対策に取り組むことは容易ではありません。まずは、基本的な対策を取りまとめた「情報セキュリティ5か条」に取り組むことからはじめ、段階的に対策を講じていきましょう。
Windows OS、Mac OS、Androidなどはいずれも常に最新バージョンに!
Office、Adobe Readerなど利用中のソフトウェアも常に最新バージョンに!
「自動アップデート」は 必ずONに!
ウイルス定義ファイルは自動更新に設定!
ファイアウォールや脆弱性対策なども可能な統合型セキュリティ対策ソフトを導入!
ウイルス対策ソフトも常に 最新に!
ID・パスワードは推測、解析やウェブサービスから流出することで不正ログインに悪用される恐れがある!
「長く」「複雑」「使い回さない」を徹底しよう!
パスワードは使い回さない!
クラウドサービスの共有を限定的に!
ネットワーク接続の複合機、カメラ、ハードディスク、NASなどの共有を限定的に!
従業員の異動や退職時に設定の変更や削除漏れがないように!
利用者は必要な人だけに!
セキュリティ専門機関から常に最新の脅威情報を収集!
利用中のネットバンクやクラウドサービスからの注意喚起を確認!
最新情報で対策を!
基本的対策の次は組織的な対策です。「中小企業の情報セキュリティ対策ガイドライン」とその付録を参考に自社に適した基本方針を作成し、社内関係者に周知します。また、自社のセキュリティ診断を実施して、取り得る対策を検討していきましょう。
従業員の指針であり、関係者に対して取り組みを表明するための情報セキュリティに関する基本方針を経営者が定め、簡潔な文書にまとめて周知します。
「中小企業の情報セキュリティ対策ガイドライン」と付録2の「情報セキュリティ基本方針(サンプル)」を参考に、経営者と連携して自社に適した基本方針を作成しましょう。
●付録2 「情報セキュリティ基本方針(サンプル)」
付録3の「5分でできる!情報セキュリティ自社診断」を利用して、情報セキュリティ対策がどれくらい実施できているかを把握しましょう。
●付録3 「5分でできる! 情報セキュリティ自社診断」
「5分でできる!情報セキュリティ自社診断」の結果を基に、解説編を参考にして実施すべき情報セキュリティを検討しましょう。
情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者を任命して責任分担と連絡体制を整備しましょう。また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。
情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者、情報部門責任者、システム管理者、教育責任者、点検責任者を任命して責任分担と連絡体制を整備しましょう。また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。
中小企業においても競争力維持・強化のために、デジタルトランスフォーメーション(DX)を進めていくことが求められています。昨今はクラウドサービスなどデジタル技術やインターネットの活用が多様化し、それに伴いリスクも複雑化しています。そこで、より有効なセキュリティ対策のために、自社の情報システムについて、インターネットとの接続状況を図にするなどして対策を検討するとともに、予算を確保しましょう。
事業内容や取り扱う情報、職場環境、IT利活用の状況に応じて、「中小企業の情報セキュリティ対策ガイドライン」付録5の「情報セキュリティ関連規程(サンプル)」を参考に、情報セキュリティ規程を作成しましょう。(1)対応するリスクの特定、(2)対策の決定、(3)規程の作成の順に進めます。
●付録5 「情報セキュリティ関連規程(サンプル)」
まずは、情報資産台帳として、自社で管理している情報資産を悉皆的にリストアップする。
| ※具体的には、「INFORMATION 6-6 情報資産台帳の作成と詳細リスク分析」を参照してください。 |
いつ事故が起きてもおかしくない、あるいは事故が起きると大きな被害になるなど、リスクが大きなものを優先して対策を実施する。事故が起きる可能性が小さいか、発生しても被害が軽微であるものなど、リスクが小さいものについては、現状のままにするなど、合理的に対応します。
| ※次のステップ4では、「対策をより強固にする」ために、「Action6 詳細リスク分析の実施」において、洗い出した情報資産に対して、詳細なリスク値(リスクの大きさ)を算定し、リスク対策(リスクの低減、回避、移転、保有)を決定して、より効率的、効果的な対策を実施します。 |
「(2)リスク対策の決定」で決定した対策を、文書化した規程を作成します。作成に当たっては、「情報セキュリティ関連規程(サンプル)」をひな形にして、自社に適した規程として作成すると、漏れがなく効率的です。
業務の一部または全部を外部に委託したり、レンタルサーバーやクラウドサービスなどの外部サービスを利用したりして、重要な情報を渡したり処理を依頼したりする場合には、委託先に実施してもらう情報セキュリティ対策も決めましょう。取引条件のひとつとして、契約書や覚書に具体的な対策を明記しましょう。
「情報セキュリティ5か条」や「5分でできる!情報セキュリティ自社診断」、自社の情報セキュリティ対策に関するルール・規程を基準に、情報セキュリティ対策が、計画通りに実行されているか、見落としている対策はないか、対策がセキュリティ事故防止の役に立っているかを確認しましょう。
本格的な対策に取り組んでいても、必要な対策を追加して強固にしましょう。
情報セキュリティに関する脅威や攻撃の手口を知り、社内や取引先、同業者と共有することで対策レベルの向上につなげましょう。
情報漏えいや改ざんなどの被害が発生する攻撃の対象になりやすいWebサイトの運営形態、構築、運営それぞれの段階に応じた対策を講じましょう。
クラウドサービスに適した情報セキュリティ対策について、サービスの選定、運用、セキュリティ対策の3段階で検討しましょう。
テレワークのセキュリティ対策について、方針検討、セキュリティ対策、運用の3段階で検討しましょう。
インシデント発生時の対応について、検知初動対応、報告・公表、復旧・再発防止の3段階に分けて検討しましょう。
(1)情報資産の洗い出し、(2)リスク値の算定、(3)情報セキュリティ対策の決定の順で、リスクの洗い出しと対策の検討を行いましょう。