適切な情報セキュリティ対策を行っていないと、情報漏えいにつながるだけではなく、事業停止や従業員のモチベーション低下、離職など、企業はさまざまな不利益を被ります。このような事態を回避すべく、「中小企業の情報セキュリティ対策ガイドライン」を活用しましょう。本記事では、2023年4月に第3.1版として改訂・公開されたガイドラインの内容について詳しく解説します。記事を参考に、本格的な情報セキュリティ対策への取り組みを始めましょう。
中小企業の情報セキュリティ対策ガイドラインの改訂
中小企業の情報セキュリティ対策ガイドラインは、企業経営者や実務の担当者が情報セキュリティ対策の重要性を正しく理解し、適切に対策へ取り組めるように知識や手法をまとめたコンテンツです。IT関連の資格試験、検定などを主催している、独立行政法人「情報処理推進機構(IPA)」が当該ガイドラインを作成しました。
当該ガイドラインは、2019年3月に第3版がリリースされましたが、それから4年が経過した2023年に内容が改訂されました。改訂された背景としては、急速に普及したテレワークが挙げられます。働き方改革の推進や新型コロナウイルス対策により、多くの企業がテレワークを導入しましたが、その結果、情報セキュリティリスクが高まりました。
また、サイバー攻撃の手口が年々巧妙化しているのも、ガイドライン改訂に至ったひとつの理由と考えられます。
関連記事:情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
情報セキュリティ対策ガイドラインでの変更点
変更点として、テレワーク環境下における具体的なセキュリティ対策の追加が挙げられます。3.1版には、テレワークの方針施策とともに、具体的なセキュリティ対策の手法が追加されました。
また、セキュリティインシデント発生時における、具体的な対応方法を追加したのも変更点です。インシデントの予兆を察知したときにまず取るべき行動や、再発防止の取り組み方法なども盛り込まれました。さらに、付録として「中小企業のためのセキュリティインシデント対応の手引き」が追加されています。
第1部 経営者編で注意すべきポイント
情報セキュリティ対策ガイドラインは、1部と2部で構成されています。1部は経営者編となっており、対策の必要性や経営者が負う責任、やるべきことなどを記載しています。
・情報セキュリティ対策の必要性
情報セキュリティ対策を怠ると、企業はさまざまな不利益を被ります。金銭の損失や顧客の喪失、事業の停止、従業員のモチベーション低下、離職などです。
たとえば、情報セキュリティ対策を怠ったばかりに、顧客情報が外部へ流出し、顧客を失ってしまうかもしれません。一度失った信頼はなかなか取り戻せず、そのまま事業停止につながるおそれもあります。経営者は、組織のトップとして企業と従業員を守らなくてはなりません。そのため、当該ガイドラインで情報セキュリティ対策の必要性、重要性を正しく理解する必要があります。
・経営者が負う責任
当該ガイドラインには、経営者が負う責任についても記載されています。情報セキュリティ対策を適切に行わず、組織に何かしらの被害をもたらした際には、経営者にさまざまな責任が発生します。
たとえば、適切な安全管理措置を行わなかったがために、社員の情報が流出してしまい、法的責任を問われる場合があります。また、顧客情報や取引先との契約情報などが流出した場合、関係者や社会に対する責任も果たさなくてはなりません。
・認識すべき「3原則」
当該ガイドラインには、経営者がすべきことを3つの原則で紹介しています。
・原則 1 :情報セキュリティ対策は経営者のリーダーシップで進める
対策の推進がスムーズかつスピーディーに進むよう、経営者が先頭に立ちトップダウンで進めます。
・原則 2 :委託先の情報セキュリティ対策まで考慮する
外部へ重要な情報を提供するのなら、委託先が適切な情報セキュリティ対策を行っているかどうかも確認しなくてはなりません。
・原則 3 :関係者とは常に情報セキュリティに関するコミュニケーションを
日常的に情報共有とやり取りを行うことで、顧客や取引先、株主など業務上の関係者との信頼関係を構築・維持できます。
・実行すべき「重要7項目の取組」
当該ガイドラインで紹介されている「重要7項目の取組」は以下の通りです。
・情報セキュリティに関する組織全体の対応方針を定める
・情報セキュリティ対策のための予算や人材などを確保する
・必要な対策を検討し実行を指示する
・情報セキュリティ対策に関する適宜見直しを指示する
・緊急時の対応や復旧のための体制を整備する
・委託や外部サービス利用の際には、セキュリティに関する責任を明確にする
・情報セキュリティに関する最新動向を収集する
第2部 実践編の内容で注意すべきポイント
実践編では、情報セキュリティ5か条と組織的な取り組みの流れ、損害を防ぐための具体的な対策が記載されています。具体的な対策を立てる際の参考にしましょう。
・情報セキュリティ5か条
情報セキュリティ5か条は、必ず実行すべき5つの対策です。
・OSやソフトウェアは常に最新の状態にしよう!
・ウイルス対策ソフトを導入しよう!
・パスワードを強化しよう!
・共有設定を見直そう!
・脅威や攻撃の手口を知ろう!
同時にすべての項目に取り組むのは難しいと考えられるため、取り組みやすそうなものから手をつけてみましょう。
・組織的な取り組みの流れ
まずは、情報セキュリティに関する基本方針を定めましょう。軸となる方針がないと、対策にブレが生じるおそれがあります。また、基本方針を定めるだけでなく、従業員に周知しなくてはなりません。
次に、現状における対策の実施状況を把握します。当該ガイドラインの付録を活用すれば、容易に実施状況の把握が可能です。実施状況を把握したら、対策を決めて従業員への周知を進めましょう。
・損害を防ぐための具体的な対策
事業に深刻な損害を及ぼす事故を回避するための対策も、ガイドラインには記述されています。
・管理体制の構築
対策を推進し、万が一事故が発生したときスムーズに対応できるよう管理体制を構築します。
・DXの推進と情報セキュリティの予算化
DX推進によってより複雑化するリスクに対応するため、対策に必要な予算を確保しなくてはなりません。
・情報セキュリティ規程の作成
自社にマッチした規程を作成するには、対応すべきリスクを抽出したうえで対策を決定します。
・委託時の対策
委託時の対策が適切でないと、委託先と共有した機密情報が外部に流出する可能性があります。
・点検と改善
対策がきちんと実行できているか、効果を得られているか、改善の余地はないかなどを確認します。
まとめ
中小企業の情報セキュリティ対策ガイドラインが改訂となり、安全なテレワークを実現するための具体策やインシデント発生時に取るべき行動なども追記されました。情報セキュリティ事故が発生すると、情報漏えいや利益損失につながるだけでなく社会的な信頼を失い、事業停止にも追いやられかねません。こうしたリスクを回避すべく、当該ガイドラインを参考にしつつ適切な対策を進めていきましょう。
▼製品・サービスに関するお問い合わせはこちら
▼Cloudbirc WAF+の無償トライアルはこちら
▼パートナー制度のお問い合わせはこちら