中小企業における情報セキュリティ対策への取り組み方

2023年11月15日 2023年11月15日

osppoc-tacmi

今回は、中小企業向けのセキュリティ対策の取り組みについて、独立行政法人情報処理推進機構（IPA）の「中小企業の情報セキュリティ対策ガイドライン」（以下、ガイドラインと呼ぶ）を参考にご紹介します。

また、セキュリティ対策を実践するための運用管理ツールについてもご紹介します。

【参考資料】独立行政法人情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」

　　【目次】
１．中小企業の情報セキュリティ対策ガイドラインとは（IPAガイドライン参考）
２．経営者編（IPAガイドライン参考）
　(1) 認識すべき「３原則」
　　経営者のリーダシップ
　　委託先の情報セキュリティ
　　関係者とのコミュニケーション
　(2) 実行すべき「重要７項目の取組」
３．実践編（IPAガイドライン参考）
　STEP1まずはじめましょう
　 STEP2現状を知り改善しましょう
　 STEP3本格的に取り組みましょう
　 STEP4改善を続けましょう
 ４．情報セキュリティ対策の管理ツールの事例紹介
 ５．まとめ

１．中小企業の情報セキュリティ対策ガイドラインとは（IPAガイドライン参考）

中小企業では、少子化による人手不足などの課題から、インターネットなどのコンピューターネットワークを利用したIT活用による業務の効率化が求められています。

このインターネット上には悪意ある利用者も存在し、「マルウェア」と呼ばれる感染プログラムなどを用いてサイバー攻撃の機会を狙っており、中小企業もこれに巻き込まれる可能性もあります。さらにサイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まってきています。このような攻撃の被害を避けるためにも、中小企業においても適切なセキュリティ対策が求められています。

新たに情報化に取り組む場合や、これまでセキュリティ対策への取り組みが遅れていた企業では、どこから手を付ければ良いか分からない場合も多いと思われるため、IPAではガイドラインを定めて対策実施項目を整理するとともに、優先順位の高い対策項目から順に取り組むための「SECURITY ACTION」（セキュリティアクション）制度を実施しています。

このガイドラインを参考に中小企業におけるセキュリティ対策の重要性と取り組み方について「経営者編」「実践編」に分けてご紹介します。

２．経営者編（IPAガイドライン参考）

経営者編では、情報セキュリティ対策に関して、経営者が認識し、自らの責任で考えなければならない事項について説明します。

情報セキュリティの確保に向けて、経営者は、（1）に示す「３原則」について認識したうえで、（2）に示す「重要7項目の取組」の実施を指示する必要があります。

(1) 認識すべき「３原則」

経営者のリーダシップ

中小企業の経営者が情報セキュリティ対策に積極的なリーダーシップを発揮することは、信頼性の維持、リスク軽減、および競争力の向上につながります。情報セキュリティ対策は長期的なビジネス成功において不可欠な要素であり、経営者のリーダーシップがその実現に貢献します。

委託先の情報セキュリティ

中小企業は、委託先と緊密に連携しながら、情報セキュリティを保護するための包括的なアプローチを取るべきです。委託先の情報セキュリティも、組織全体の情報セキュリティ戦略の一部として組み込まれるべきです。

関係者とのコミュニケーション

情報セキュリティに関するコミュニケーションは、組織内外の信頼を築き、セキュリティの意識を高め、対策の効果を向上させるために不可欠です。透明性、教育、協力を重視し、関係者との協力体制を築くことが成功の鍵です。

(2) 実行すべき「重要７項目の取組」

組織全体の対応方針 自社に適した情報セキュリティに関する基本方針を定め、従業員や関係者に宣言します。

予算や人材の確保 情報セキュリティ対策を実施するために、必要な予算と担当者を確保します。

対策の検討・実行 リスクを把握して責任者・担当者に対策を検討させ、必要な対策には予算を与え、実行を指示します。

適宜の見直し 実施状況を点検させ、基本方針に沿っているか評価し、対策の追加や改善の実施を責任者・担当者に指示します。

緊急時の体制整備 万が一に備え緊急時の対応体制を整備、的確な復旧手順を作成し緊急時に適切な指示をします。

委託等の責任の明確化 委託や外部サービスの利用では、契約書等で情報セキュリティに関する責任や実施すべき対策を明確にします。

最新動向の収集 最新動向を発信している公的機関などを把握し、常時参照することで備えるように担当者に指示します。

３．実践編（IPAガイドブック参考）

実践編では、情報セキュリティ対策を実践する責任者・担当者を対象に、実務的な進め方について説明します。

STEP1まずはじめましょう

中小企業にも秘密の重要な情報があり、サイバー攻撃などでこれらの情報が洩れたら大変な企業・事業者のダメージになることから、ガイドライン「２．できることから始める」を参考にして、「情報セキュリティ 5 か条」（※1）を守るところから始めましょう。

STEP2現状を知り改善しましょう

STEP1が実施できたら、ガイドライン「３．組織的な取り組みを開始する」を参考に下記を進めてください。
「情報セキュリティ基本方針（サンプル）」（※1）を参考に基本方針を作成します。
「5 分でできる！情報セキュリティ自社診断」（※1）で現状を把握し、実施すべき対策を検討します。
「情報セキュリティハンドブック（ひな形）」（※1）を参考に具体的な対策を定めたハンドブックを作成し従業員に周知します。

STEP3本格的に取り組みましょう

STEP2まで実施できていて次に進める場合は、ガイドライン「４．本格的に取り組む」を参考に下記を進めてください。
情報セキュリティ管理の体制を構築、対策の予算を確保します。
対応すべきリスクと対策を検討、「情報セキュリティ関連規程（サンプル）」（※1）を参考に規程を作成します。
委託時に必要となる対策を検討するとともに、点検や改善に努めます。

STEP4改善を続けましょう

自社に必要な対策を追加（ガイドライン「５．より強固にするための方策」を参照）します。
技術の悪用や技術的な攻撃を防ぐためには、人的な注意や対策だけでは限界があり、技術的対策を強化したり、外部の専門サービスを利用する必要があります。ガイドライン「５．より強固にするための方策」を参照に自社に必要な対策を追加します。

（※1）ガイドラインの付録に掲載されています。

４．情報セキュリティ対策の管理ツールの事例紹介

ここでは、グループウェア匠tacmiを活用した情報セキュリティポータル、インシデント管理、定期点検の実施管理の例をご紹介します。

情報セキュリティーポータル

組織の情報セキュリティ関連の情報を、いつでも確認しやすいポータルサイトに集約させて情報を共有する匠tacmiWebDBポータル機能を紹介します。情報セキュリティポータルサイトは、組織の情報セキュリティ対策の浸透に大変有効な方法です。

体制図（❶）や基本方針・注意事項（❷）などを共通のポータル画面に集約させています。情報セキュリティ活動の報告書（❸）や関連する申請書の申請・確認（❹）もできます。

インシデント管理

情報セキュリティインシデントの記録から対策実施の管理を行う匠tacmiWebDBアプリのサンプルです。

事故発生時の対応手順をポータルに表示（❶）して、日頃から確認できるようにします。これまで発生したインシデントの一覧表示や検索機能（❷）の提供、発生中の情報セキュリティインシデントの対応状況表示機能（❸）のサンプルです。

定期点検の実施管理

情報セキュリティ対策の実施状況の確認と施策の定着のために、従業員の個々の定期点検の実施が有効です。

匠tacmi回覧板と添付ファイルを使って簡単に定期点検を行うサンプルの紹介です。

回覧板で日常点検の依頼（❶）を行います。点検の内容は添付ファイル（❷）で提供します。点検項目については、ガイドラインの「付録4：情報セキュリティハンドブック（ひな形）」を参考に組織にあったハンドブックを作成し、その中の項目を確認することが効果的です。情報セキュリティ被害を避けるためには、組織ガイドラインを定着・浸透させることが重要です。このために定期的に点検や周知を実施することは効果的です。
点検結果は、回覧板の返答に定型で回答（❸）することで集計することもできます。
（参考）回覧板の回答集計例　【グループウェア　回覧板】簡易なアンケートの実施とExcel集計