解説！『中小企業のサイバーセキュリティ対策ガイドライン』とは？

IPA（独立行政法人情報処理推進機構）が『中小企業の情報セキュリティ対策ガイドライン』の最新版を2017年1月に公開しました。最新版には、中小企業にとって重要な情報を漏えいや改ざん、喪失などの脅威から保護するためには「投資することが必要である」とし、情報セキュリティ対策の考え方や実践方法について説明されています。

目次

• 中小企業の強み！スピーディーな対策
• ダメージ回避！　経営者が知っておきたい3つの原則
• 情報セキュリティ対策を管理・実践する管理者層
• 次回予告

中小企業の強み！スピーディーな対策

IPAが2009年に策定した『中小企業の情報サイバーセキュリティ対策ガイドライン』。当時は、自社ホームページ公開など中小企業にもIT化の波が押し寄せた時期で、情報の流出を防ぐことを目的として策定されました。その後、IT化は急激に進み、近年ではさまざまな脅威が企業の情報を狙うようになりました。そこで公開されたのが最新版です。 情報セキュリティ対策の第一歩としてIPAは、『経営者と管理実務者に求められている役割が異なる』という点を提起しています。 具体的なセキュリティ対策を実行する管理実務者任せにせず、経営者は情報セキュリティの重要性を自ら認識したうえで、従業員に伝え、その対策を行う意義をしっかり理解させることが大切です。 『従業員の顔が見える』中小企業は、情報セキュリティ対策を迅速に実行できるというメリットがあります。経営者が直接、管理実務者に対策を指示し、対策の結果についても直接報告を受ける。経営者と管理実務者がダイレクトにコミュニケーションを図ってセキュリティ対策を進めていくことがカギとなります。

ダメージ回避！　経営者が知っておきたい3つの原則

まずは、情報セキュリティ対策を怠ることで被る不利益について確認しましょう。対策が遅れたり、怠ったりしているうちにサイバー攻撃を受ければ、大きな損失を受けるのは間違いありません。経済的損失のみならず、顧客や業務の喪失、企業イメージの崩壊にもつながります。また、個人情報保護法やマイナンバー法などの法的責任を負うことも考えられます。対策の遅れは経営者にとって大きなダメージを受けることになるとも言えます。 では具体的にどのように対策を進めていけばよいのでしょうか。ガイドラインでは、経営者が認識すべき『3原則』と、管理者層に指示する『重要7項目の取組』を紹介しています。

■経営者が認識するべき『3原則』
① 情報セキュリティ対策は経営者のリーダーシップで進める セキュリティ対策は、業務環境を安全にする一方で従業員に対して一部利便性の低下や対応作業に抵抗感を持つ可能性があります。そのため経営者がリーダーシップをとることで対策実行の統制を図りつつ、自社の事業に最適な範囲で対策を行うことが必要です。
②　委託先の情報セキュリティ対策まで考慮する 子会社だけでなく、生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となります。たとえ、委託先の不備によるものでも、委託先に対する管理責任を問われる可能性も考えられます。
③ 顧客などとの情報セキュリティに関するコミュニケーションはどんなときにも怠らない 　　顧客や株主ほか、ステークホルダーとの信頼関係のために、自社のセキュリティ対策方針やその状況、事故発生時の対応については開示しておくことが重要です。

さらに、経営者自らが実践するか、管理者層に指示する『重要7項目の取組』も重要です。情報セキュリティ対策に関する組織全体の対応方針や予算・人材の確保、緊急時の対応方法などの大枠を決定し実践することは、経営者が担う情報セキュリティ対策の具体的な役割であると記しています。

情報セキュリティ対策を管理・実践する管理者層

経営者によって決定された情報セキュリティ対策の大枠を、より細分化し管理実践を進めていくのが管理者層の主な役割になります。必要な情報を収集し、組織に合った情報セキュリティ対策を検討し、さらに情報セキュリティポリシーをまとめる必要があります。

中小企業の情報セキュリティガイドラインの中では、企業の規模に関わらず、必ず実行すべき重要な対策を次のようにまとめています。
① OSやソフトウェアは常に最新の状態にする
② ウイルス対策ソフトを導入する
③ パソコン、ファイル閲覧、各種ツールのログインなどのパスワード強化
④ クラウドサービスや機器は必要な人にのみ共有されるよう設定の見直し
⑤ ID・パスワードを盗もうとする脅威や手口を知る ―この5つの対策を実行したうえで、ガイドライン内付録の『5分でできる！情報セキュリティ自社診断』で現段階のセキュリティレベルを把握することが大切です。

『5分でできる！情報セキュリティ自社診断』では、25の設問に答えれば、組織のセキュリティレベルが判断できるとしています。ほかにも解説パンフレットや情報セキュリティハンドブックのひな形など、すぐに活用できる情報が盛り込まれています。セキュリティレベルをチェックして情報セキュリティポリシーの策定に役立つことでしょう。 このように『中小企業の情報セキュリティ対策ガイドライン』では、経営者と管理実務者、それぞれに役割を担うことの重要性が示されています。まずは、情報セキュリティ自社診断シートなどを使って組織のセキュリティレベルを知ることから始めてみましょう。

次回予告

次回は、有効なセキュリティ対策として注目をあびる『UTM』についてご紹介していきます。