(連載企画)矛と盾 – DXと情報セキュリティ 第4回
経営を戦いに例えるならば、常に攻め(矛)と守り(盾)のバランスを取り、限られた経営資源を配分していく、まさに“矛盾”を抱えながらも前へと進む営みです。IT・デジタルの分野で言えば、矛となる活動がDX、盾となる活動が情報セキュリティ対策となりましょう。
本連載では、4回にわたり、小さな会社(※)のDX・情報セキュリティ対策支援について、考察して参りました。最終回となる今回は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」の具体的内容に少し触れながら、小さな会社においてガイドラインを賢く利用する方法について、ご提案できればと考えております。
(※)本連載では、従業員20名以下の事業者さんを「小さな会社」と呼ばせていただきます。
●IPA「中小企業の情報セキュリティ対策ガイドライン」文書構成(2024年2月27日現在)
前回連載の再掲となりますが、改めてガイドラインの文書構成をご紹介致します。
・本編(第3.1版)70ページ
・付録1:情報セキュリティ5か条
・付録2:情報セキュリティ基本方針(サンプル)
・付録3:5分でできる!情報セキュリティ自社診断
・付録4:情報セキュリティハンドブック(ひな形)
・付録5:情報セキュリティ関連規定(サンプル)
・付録6:中小企業のためのクラウドサービス安全利用の手引き
・付録7:リスク分析シート
・付録8:中小企業のためのセキュリティインシデント対応手引き
(https://www.ipa.go.jp/security/guide/sme/about.html)
●ガイドラインの活用方法
本編4ページに解説がありますが、こちらのガイドラインは、各事業者の現状や特徴に合わせて、以下の4ステップで段階的に進めていくことができる構成となっています。
①まず始めましょう
②現状を知り改善しましょう
③本格的に取り組みましょう
④改善を続けましょう
4ステップの構成は、情報セキュリティ対策の特性(売上拡大には直結せず、必ず組織的な活動が必要とされ、また終わりなく続く)を踏まえ、実用性の高いガイドラインとする工夫だと思われます。利用する側もこの4ステップをしっかり意識して取り組むことが、賢い使い方に通じると考えます。
●今出来ることは、すぐやる
ガイドラインのステップ1が「まず始めましょう」となっているように、今出来ることをすぐやるのは、情報セキュリティ対策の鉄則と言えます。ガイドラインの文書でいうと、『付録1:情報セキュリティ5か条』が該当します。こちらはわずか2ページの資料で、以下5つの情報セキュリティ対策における基本動作を強く促す内容となっています。
①OSやソフトウェアは常に最新の状態にしよう!
②ウイルス対策ソフトを導入しよう!
③パスワードを強化しよう!
④共有設定を見直そう!
⑤脅威や攻撃の手口を知ろう!
支援者としては、まずはこちらの情報セキュリティ5か条を紹介し、経営者に注意喚起と情報セキュリティ対策の必要性を再認識して頂くところから始めるのが良いと思います。
●己を知る
ガイドラインのステップ2は「現状を知り改善しましょう」です。情報セキュリティ対策を始めるにあたり、今現在どの程度出来ているのかを客観的に把握することが必要です。その為の道具として、『付録3:5分でできる!情報セキュリティ自社診断』が用意されています。
この自社診断は、全25問の質問に対し、4段階の自己評価(実施している・一部実施している・実施していない・わからない)を回答することで、自社の対策状況を定量的に把握できるようになっています。オンライン版も用意されており、無料で簡単にチェックすることができます。
(https://security-shien.ipa.go.jp/diagnosis/selfcheck/)
解説編として、それぞれの診断項目についての基本的対策も紹介されていますので、実施できていない部分の改善にも利用できます。
●敵を知る
情報セキュリティ5か条の中にもあるように、脅威や攻撃の手口(トレンド)を知ることも対策としてとても重要です。とはいえ、どのようにして定期的に最新の情報を収集したらよいのか、情報の入手方法に悩まれる方も多いのではと思います。そこでお勧めしたいのが、IPAが毎年発表している「情報セキュリティ10大脅威」です。(https://www.ipa.go.jp/security/10threats/index.html)
こちらは、『前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの』(上述Webページより抜粋引用)です。
信頼できる情報源から、まとまって整理された情報が入手できるため、時間や人手に余力の乏しい小さな会社には特にお勧めです。ただし、利用の際には以下の点に注意をしてください。
・ランキングの順位にとらわれず、自社が置かれる立場や状況を考慮して、対策の優先度を決める。
・ランク外になっても、脅威そのものが無くなった訳ではない。
●組織的に取り組むことを宣言する
ガイドラインにおいてはステップ2の最初の取り組みとして登場しますが、『付録2:情報セキュリティ基本方針(サンプル)』を利用して自社の基本方針をまとめ、情報セキュリティ対策に組織として取り組んでいくことを内外に宣言します。
付録のサンプルは非常によくまとめられており、小さな会社においては、ほとんど変更せずに流用できると思います。文書自体の作成はサンプルを利用して簡単に済ませ、作成に時間をかけるよりも、内容を社内にしっかりと落とし込んで実のある方針として固めることが大切です。小さな会社であれば、従業員全員が参加する会議も行いやすいと思いますので、作成した基本方針を皆で読み合わせ、ざっくばらんに意見交換をする機会を定期的に設けるのが、社内に浸透させる近道かと思います。
情報セキュリティ対策は、作業範囲が広く量もかなり多くなります。その為、担当者が1人いれば済むという話には決してなり得ず、経営者を筆頭に組織的に分担して対応していくことが必須です。そこで、経営者自身がその覚悟を持ち、主に社内に向けてそれを宣言するためのツールとして、情報セキュリティ基本方針の策定と公開は非常に大切です。
ガイドラインのステップ3以降は、組織的な実行体制が整っていないと進めることが難しい内容となっていますので、支援者としては、まずはステップ2まで実現することを当面の目標として提示するのが良いかと思います。
人手の少ない小さな会社においては、情報セキュリティ対策のために新たな組織体制を作る事は難しいと思われますので、既存の組織体制の中に新しい役割としてどのように落とし込んでいくかが、支援上の大きなポイントになると考えています。
以上で本連載は終了です。一年間つたない言説にお付き合い頂き、誠にありがとうございました。
【若杉 廣】
この記事へのコメントはありません。