ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

INFORMATION 6-4 中小企業の情報セキュリティ対策ガイドライン


CHECK:情報セキュリティ対策の進め方

情報技術の進歩・普及に伴い経営効率が向上した一方、重要情報の漏えいや消失、改ざんなど技術特有の不利益が発生する機会も増してきています。

これら不利益が対策の不備により生じた場合、経営者は取引先や従業員などへの社会的・道義的責任に加え、法的責任も追及されるおそれがあります。近年は企業情報を狙うサイバー脅威も日々巧妙化しています。

自社を守るためには、経営者が率先して対策に取り組むことが大切です。

情報セキュリティ対策を推進する際に参考にしたいのが、「中小企業の情報セキュリティ対策ガイドライン」(情報処理推進機構〈IPA〉)です。

このガイドラインは情報の安全管理の重要性や企業の保有する機微な情報を各種の脅威から保護するための対策の考え方や段階的に実現するための方策を紹介する目的で作成されたものです。

まずはこのガイドラインを参考に、自社に適した対策を実践していくとよいでしょう。

M6-4-1.png

  • 「中小企業の情報セキュリティ対策ガイドライン」

M6-4_1.jpgM6-4_2.jpg

  • 付録2「情報セキュリティ基本方針(サンプル)」
  • 付録3「5分でできる!情報セキュリティ自社診断」
  • 付録4「情報セキュリティ関連規程」

ACTION1:最低限のルール「情報セキュリティ5か条」

資金や人材が限られる中小企業にとって、最初から全ての対策に取り組むことは容易ではありません。

まずは、基本的な対策を取りまとめた「情報セキュリティ5か条」に取り組むことからはじめ、段階的に対策を講じていきましょう。

1 OSやソフトウェアは常に最新の状態にしよう!

Windows OS、Mac OS、Androidなどはいずれも常に最新バージョンに!
Office、Adobe Readerなど利用中のソフトウェアも常に最新バージョンに!

cbox.png 「自動アップデート」は必ずONに!

M6_4_1_1.png

2 ウイルス対策ソフトを導入しよう!

ウイルス定義ファイルは自動更新に設定!
ファイアウォールや脆弱性対策なども可能な統合型セキュリティ対策ソフトを導入!

cbox.png ウイルス対策ソフトも常に最新に!

M6_4_1_2.png

3 パスワードを強化しよう!

ID・パスワードは推測や解析、ウェブサービスからの流出することで不正ログインに悪用される恐れがある!
「長く」「複雑」「使い回さない」を徹底しよう!

cbox.png パスワードは使い回さない!

M6_4_1_3.png

4 共有設定を見直そう!

クラウドサービスの共有を限定的に!
ネットワーク接続の複合機、カメラ、ハードディスク、NASなどの共有を限定的に!
従業員の異動や退職時に設定の変更や削除漏れがないように!

cbox.png 利用者は必要な人だけに!

M6_4_1_4.png

5 脅威や攻撃の手口を知ろう!

セキュリティ専門機関から常に最新の脅威情報を収集!
利用中のネットバンクやクラウドサービスからの注意喚起を確認!

cbox.png 最新情報で対策を!

M6_4_1_5.png


ACTION2:組織的な対策に取り組む

基本的対策の次は組織的な対策です。

「中小企業の情報セキュリティ対策ガイドライン」とその付録を参考に自社に適した基本方針を作成し、社内関係者に周知します。また、自社のセキュリティ診断を実施して、取り得る対策を検討していきましょう。

1 情報セキュリティ基本方針の作成と周知

従業員の指針であり、関係者に対して取り組みを表明するための情報セキュリティに関する基本方針を経営者が定め、簡潔な文書にまとめて周知します。

「中小企業の情報セキュリティ対策ガイドライン」と付録2の「情報セキュリティ基本方針(サンプル)」を参考に、経営者と連携して自社に適した基本方針を作成しましょう。

2 実施状況の把握

付録3の「5分でできる!情報セキュリティ自社診断」を利用して、情報セキュリティ対策がどれくらい実施できているかを把握しましょう。

3 対策の決定と周知

「5分でできる!情報セキュリティ自社診断」の結果を基に、解説編を参考にして実施すべき情報セキュリティを検討しましょう。

M6-4-2.png


ACTION3:本格的に対策に取り組む

情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者を任命して責任分担と連絡体制を整備しましょう。

また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。

1 管理体制の構築

情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者、情報部門責任者、システム管理者、教育責任者、点検責任者を任命して責任分担と連絡体制を整備しましょう。また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。

2 IT利活用方針と情報セキュリティの予算化

クラウドサービスの普及によってIT利活用の方法が多様化したことで、情報セキュリティリスクも多様化しています。自社で利用している情報システムやサービスの台帳を作成したり図式化したりして把握した上で対策を検討し、必要な予算を確保しましょう。

M6-4-3_1.png

3 情報セキュリティ規程の作成

事業内容や取り扱う情報、職場環境、IT利活用の状況に応じて、「中小企業の情報セキュリティ対策ガイドライン」付録5の「情報セキュリティ関連規程(サンプル)」を参考に、情報セキュリティ規程を作成しましょう。

  1. 対応するリスクの特定
  2. 対策の決定
  3. 規程の作成の順に進めます。
4 委託時の対策

業務の一部または全部を外部に委託したり、レンタルサーバーやクラウドサービスなどの外部サービスを利用したりして、重要な情報を渡したり処理を依頼したりする場合には、委託先に実施してもらう情報セキュリティ対策も決めましょう。

取引条件のひとつとして、契約書や覚書に具体的な対策を明記しましょう。

5 点検と改善

「情報セキュリティ5か条」や「5分でできる!情報セキュリティ自社診断」、自社の情報セキュリティ対策に関するルール・規程を基準に、情報セキュリティ対策が、計画通りに実行されているか、見落としている対策はないか、対策がセキュリティ事故防止の役に立っているかを確認しましょう。

M6-4-3_2.png


ACTION4:対策をより強固にする

本格的な対策に取り組んでいても、必要な対策を追加して強固にしましょう。

1 情報収集と共有

情報セキュリティに関する脅威や攻撃の手口を知り、社内や取引先、同業者と共有することで対策レベルの向上につなげましょう。

2 ウェブサイトの情報セキュリティ

情報漏えいや改ざんなどの被害が発生する攻撃の対象になりやすいWebサイトの運営形態、構築、運営それぞれの段階に応じた対策を講じましょう。

3 クラウドサービスの情報セキュリティ

クラウドサービスに適した情報セキュリティ対策について、サービスの選定、運用、セキュリティ対策の3段階で検討しましょう。

4 情報セキュリティサービスの活用

コンサルテーションや教育サービス、監査サービスなど、情報セキュリティ対策を強固にする外部のサービスの利用を検討しましょう。

5 技術的対策例と活用

ネットワーク脅威対策やコンテンツセキュリティ対策など、情報セキュリティ対策の向上に資する製品やソフトウェアの導入を検討しましょう。

6 詳細リスク分析の実施
  1. 情報資産の洗い出し
  2. リスク値の算定
  3. 情報セキュリティ対策

の決定の順で、リスクの洗い出しと対策の検討を行いましょう。


INFORMATION 6-3 セキュリティお役立リンク

INFORMATION 6-5 中小企業のためのクラウドサービス安全利用手引き

ガイドブックTOP

ページトップへ