menu

パソコン情報漏洩対策のセキュリティコラム

menu

【中小企業の情報セキュリティ対策ガイドライン】IPAガイドラインのポイント解説

【中小企業の情報セキュリティ対策ガイドライン】IPAガイドラインのポイント解説のアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > セキュリティ > 【中小企業の情報セキュリティ対策ガイドライン】IPAガイドラインのポイント解説

「セキュリティが大切なことはわかっているが、そればかりに投資する訳にはいかない。DXも必要だし、古いシステムも何とかしなければいけない」という声を、よく、耳にします。しかし、悩んでいるだけでは、情報資産を危険にさらしてしまいますし、結果的に、業務の停止、顧客からの信頼の失墜を招くことにもなりかねません。

セキュリティ対策を考える上で、大いに参考になるのがIPA(独立行政法人情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」(以下、「IPAガイドライン」とします)です。内閣サイバーセキュリティセンターをはじめ、いくつかの団体が、セキュリティに関するガイドラインを発表していますが、「中小企業」に焦点をあてたガイドラインが、セキュリティ対策の第一歩になります。

目次
  1. 中小企業の情報セキュリティ対策を強力にサポート!IPAガイドラインの全貌
  2. IPAガイドラインを徹底解説!中小企業が今すぐ取り組むべき対策基準
    1. 対策基準1:経営者の意識とリーダーシップ – トップが率先して取り組む情報セキュリティ
    2. 対策基準2:自社のリスクを把握する – 情報資産の洗い出しと脆弱性診断
    3. 対策基準3:組織体制の構築 – 担当者を決め、役割分担を明確に
    4. 対策基準4:基本的な対策の実践 – すぐにできる!パスワード、ウイルス対策、アクセス管理
    5. 対策基準5:情報管理の徹底 – 持ち出しルール、保管場所、廃棄方法
    6. 対策基準6:インシデント発生時の対応 – いざという時のための計画と訓練
    7. 対策基準7:委託先管理 – 外部に業務を委託する際のセキュリティ対策
    8. 対策基準8:継続的な改善 – 状況の変化に合わせて対策を見直す
  3. IPAガイドラインを活用したステップ別の導入ロードマップ
    1. まとめ

中小企業の情報セキュリティ対策を強力にサポート!IPAガイドラインの全貌

IPAガイドラインは、2009年に初版が公開され、版を重ねて、2023年4月に第3.1版が公開されました。定期的に更新されている理由は、内容を充実させるとともに、ビジネス環境の変化により、セキュリティインシデントの数や種類がますます増え、被害額も大きくなっていることと、その手口が巧妙になっていることによります。

IPAガイドラインは、文字通り、中小企業向けのものですが、特に、経営の意思決定を行うレベルの方と、情報管理を統括する方を対象としています。その意図は、情報セキュリティ対策が、経営に大きな影響を与えること、セキュリティに関わる問題が発生すると、経営者の法的、道義的責任が問われること、組織全体として対応する必要があることです。

IPAガイドラインは、「第1部経営編」と「第2部実践編」で構成されており、セキュリティ対策の経験が浅い方でも体系的に理解でき、事業環境や特徴に応じた情報セキュリティ対策を段階的に、かつ、具体的に進めていくことができるというメリットがあります。

尚、IPAガイドラインの付録や関連情報も無料公開されていますので、是非、参考にしてください。

IPAガイドラインを徹底解説!中小企業が今すぐ取り組むべき対策基準

では、IPAガイドラインの中から特に重要なポイントを見ていきましょう。

対策基準1:経営者の意識とリーダーシップ – トップが率先して取り組む情報セキュリティ

IPAガイドラインが、経営者の関与を重要視していることは先に述べましたが、それは、セキュリティの問題が「金銭の喪失」「顧客の喪失」「事業の停止」「社員の退職やモチベーション低下」を招くからです。また、それらは「営業機会損失」「ブランド毀損」「SCM関連企業との契約への悪影響」「株価下落」にも波及します。

法的側面を見ると、セキュリティ対策不足が原因で損害が生じた場合、善管注意義務違反や、任務懈怠に基づく損害賠償責任を問われる可能性があり、株主代表訴訟にまで発展することもあります。また、場合によっては、刑罰の対象にもなります。

経営者や情報管理を統括される方は、これらのリスクを認識するだけではなく、自身が率先して対策に取り組むとともに、全社に重要性を周知させる役割を担います。

これについて、IPAガイドラインでは「認識すべき3原則」と「実行すべき重要7項目の取り組み」を提示しています。

(以下、IPAガイドラインより抜粋)

[認識すべき3原則]

  • 情報セキュリティ対策は経営者のリーダーシップで進める
  • 委託先の情報セキュリティ対策まで考慮する
  • 関係者とは常に情報セキュリティに関するコミュニケーションをとる

[実行すべき重要7項目の取り組み]

  • 情報セキュリティに関する組織全体の対応方針を定める
  • 情報セキュリティ対策のための予算や人材などを確保する
  • 必要と考えられる対策を検討させて実行を指示する
  • 情報セキュリティ対策に関する適宜の見直しを指示する
  • 緊急時の対応や復旧のための体制を整備する
  • 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  • 情報セキュリティに関する最新動向を収集する

対策基準2:自社のリスクを把握する – 情報資産の洗い出しと脆弱性診断

セキュリティ対策を実施する上で重要なポイントは、次の3ステップで進める「リスク分析」です(詳しい手順はIPAガイドラインをご参照ください)。

自社が持つ情報資産を網羅的に洗い出して、重要度を判断する:

情報資産管理台帳を作成します。そこには、情報資産名、情報の種類、利用業務名、保管場所/保管形態、利用者、管理者などを記載します。それをもとに、それぞれの「機密性・完全性・可用性」を評価します。その評価をもとに、情報資産ごとの重要度を判断します。

情報資源保護の優先順位を決めるためにリスク値を算定する:

リスク値は「重要度×被害発生可能性」で計算されます。被害発生可能性は、セキュリティインシデントの「起こりやすさ(脅威)」と「対策の弱さ(脆弱性)」で判断します。

対策を決める:

算定したリスク値から、対応の必要な情報資産を決めて、リスク対応策を決定します。リスク対応策の考え方は次の通りです。

  • リスクの低減:セキュリティ対策を講じて、セキュリティインシデントが起きないようにします
  • リスクの保有:セキュリティインシデントが発生した場合の損害額が大きくなく、セキュリティ対策にかかるコストのほうが、損害額を大きく上回ると判断した場合は、現状維持とします
  • リスクの回避:リスク自体を抑制するために、情報資産の利用方法や保管方法を変えます
  • リスクの移転:自社でのリスク対策の代替として、外部の対策サービスの利用や、インシデント発生時の金額的損失が補填されるような保険への加入を実施します

対策基準3:組織体制の構築 – 担当者を決め、役割分担を明確に

情報セキュリティは、組織全体で対応する必要があります。そのために、対応を推進する組織体制が必要です。推進は、情シス部門に任せるのではなく、役割分担表を作成し、それをもとにして、全社をリードする責任者と、対策を着実に進める担当者を指名する必要があります。

対策基準4:基本的な対策の実践 – すぐにできる!パスワード、ウイルス対策、アクセス管理

セキュリティ対策をこれまで意識してこなかったという企業でも、すぐにできる対策があります。それは「基本的な技術対策」と「社員の意識付け」です。

パスワードは、最も基本的な対策ですが、簡単に想像できない強固なパスワードの設定や、定期的な変更、その際の使いまわしの禁止がポイントです。

また、ウイルス対策ソフトの導入や、ウイルス対策の機能を最新化するための「OSやソフトウェアのアップデート」は、欠かすことができません。

業務システムや共有フォルダへのアクセス権は、「必要な人に、必要なレベルで」が大原則です。また、不要なファイルや、使われないソフトウェアなどは、定期的に削除する必要があります。

但し、技術的な対策は、「社員の意識」があって初めて機能します。技術的な対策を十分に施していても、意識の低い社員がいれば、マルウェアなどに対して、セキュリティの穴を作ってしまいます。その意味では、社員教育は基本中の基本となります。

対策基準5:情報管理の徹底 – 持ち出しルール、保管場所、廃棄方法

社員に周知徹底しなければいけないポイントに、「情報資産の扱い方のルール」があります。

パソコンやUSBメモリを社外で利用する際はもちろんのこと、紙ベースでの情報の扱いも対象となります。また、情報資産は、機密度、保管期限、保管場所、廃棄方法などの定義をもとに、厳格に管理されなければなりません。

対策基準6:インシデント発生時の対応 – いざという時のための計画と訓練

セキュリティ対策を周到に実施していても、インシデントが発生しないとは言い切れません。発生した場合、または、発生した可能性がある場合、まず、被害を止め、被害を広げないための社内連絡体制が必要です。そのためには、連絡網を作り、適宜更新することが望まれます。

また、連絡と並行して、初動が重要になります。初動チームを編成する必要があるかもしれませんし、より緊急な場合は、強制的にシステムを停止する必要があるかもしれませんので、その権限を持ったリーダーが参画しなければなりません。

尚、インシデントの状況から、顧客への連絡や関連企業への連絡の要否判断も初動チームのテーマになります。

インシデントが解消されたと判断した場合は、復旧作業を行い、業務を正常化しなければなりませんが、インシデントのケースは様々ですので、予め作業内容を体系化しておくと、いざという時の役に立ちます。

これら全ては、セキュリティインシデントの混乱の中で、うまく機能する保証はありません。定期的に訓練を行うことが理想です。

対策基準7:委託先管理 – 外部に業務を委託する際のセキュリティ対策

セキュリティインシデントに、外部委託、業務委託が関係することが稀ではありません。委託契約時に機密保護契約を締結することは当然ですが、実体として、セキュリティの意識が低い委託先や、その社員が多いことも事実です。

機密保護契約とは別に、委託契約の中に、セキュリティに関する定期報告、セキュリティ監査の実施、セキュリティ違反があった場合の違約金などを明記しておくべきです。また、近年、クラウドサービスの利用が盛んですが、これも、外部委託として捉える必要があります。

対策基準8:継続的な改善 – 状況の変化に合わせて対策を見直す

いくつかの対策を紹介しましたが、セキュリティ対策は、「1度やれば完了」ではありません。ビジネスも情報システムも変化しますし、それに伴って、利用する情報資産の種類も、質も量も変化します。また、セキュリティへの脅威は、年々巧妙化しています。従って、実施した対策は定期的に見直し、改善していくことが重要です。

IPAガイドラインを活用したステップ別の導入ロードマップ

IPAガイドラインにも記されていますが、次のステップの内、自組織に適したものから開始し、それが進めば次のステップを実施することが効果的です。

Step1 まず始める

今まで、セキュリティを意識していなかった組織では、「できることから始める」ことが重要です。その際には、IPAが提供する「セキュリティ5か条」が参考になりますし、「セキュリティ5か条」自体を社内配布することから開始することもできます。

Step2 現状を知り、改善する

企業としてのセキュリティに取り組む姿勢を宣言し、それに基づき、セキュリティ対応の現状把握を行います。また、必要と考えられる対策を実施します。

Step3 本格的に取り組む

情報資産のリスク分析を行い、必要なセキュリティ対策を実施します。また、実施後は、その効果の確認と改善策の検討を行います。

Step4 改善を続ける

Step3で実施した対策に加えて、より強固なセキュリティ対策を検討し、実施します。

まとめ

「中小企業だから」は、セキュリティ対応不足の言い訳にはなりません。サプライチェーンの中の、ひとつの企業が起こしたセキュリティインシデントが、関連企業全ての業務を停止させるという事件も起きています。

経営層がリーダーシップを発揮することで、情報資産を守ることが求められています。