CHECK　情報セキュリティ対策の進め方

情報技術の進歩・普及に伴い経営効率が向上した一方、重要情報の漏えいや消失、改ざんなど技術特有の不利益が発生する機会も増してきています。

これら不利益が対策の不備により生じた場合、経営者は取引先や従業員などへの社会的・道義的責任に加え、法的責任も追及されるおそれがあります。

近年は企業情報を狙うサイバー脅威も日々巧妙化しています。自社を守るためには、経営者が率先して対策に取り組むことが大切です。

●中小企業の情報セキュリティ対策ガイドライン

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

情報セキュリティ対策を推進する際に参考にしたいのが、「中小企業の情報セキュリティ対策ガイドライン」（情報処理推進機構〈IPA〉）です。

このガイドラインは情報の安全管理の重要性や企業の保有する機微な情報を各種の脅威から保護するための対策の考え方や段階的に実現するための方策を紹介する目的で作成されたものです。まずはこのガイドラインを参考に、自社に適した対策を実践していくとよいでしょう。

●「中小企業の情報セキュリティ対策ガイドライン」

Step 1　できるところから始める（最低限のルール「情報セキュリティ5か条」）

資金や人材が限られる中小企業にとって、最初から全ての対策に取り組むことは容易ではありません。まずは、基本的な対策を取りまとめた「情報セキュリティ５か条」に取り組むことからはじめ、段階的に対策を講じていきましょう。

Action1　OSやソフトウェアは常に最新の状態にしよう！

Windows OS、Mac OS、Androidなどはいずれも常に最新バージョンに！

Office、Adobe Readerなど利用中のソフトウェアも常に最新バージョンに！

「自動アップデート」は　必ずONに！

Action2　ウイルス対策ソフトを導入しよう！

ウイルス定義ファイルは自動更新に設定！

ファイアウォールや脆弱性対策なども可能な統合型セキュリティ対策ソフトを導入！

ウイルス対策ソフトも常に 最新に！

Action3　パスワードを強化しよう！

ID・パスワードは推測、解析やウェブサービスから流出することで不正ログインに悪用される恐れがある！

「長く」「複雑」「使い回さない」を徹底しよう！

パスワードは使い回さない！

Action4 共有設定を見直そう！

クラウドサービスの共有を限定的に！

ネットワーク接続の複合機、カメラ、ハードディスク、NASなどの共有を限定的に！

従業員の異動や退職時に設定の変更や削除漏れがないように！

利用者は必要な人だけに！

Action5　脅威や攻撃の手口を知ろう！

セキュリティ専門機関から常に最新の脅威情報を収集！

利用中のネットバンクやクラウドサービスからの注意喚起を確認！

最新情報で対策を！

Step 2　組織的な取り組みを開始する

基本的対策の次は組織的な対策です。「中小企業の情報セキュリティ対策ガイドライン」とその付録を参考に自社に適した基本方針を作成し、社内関係者に周知します。また、自社のセキュリティ診断を実施して、取り得る対策を検討していきましょう。

Action1　情報セキュリティ基本方針の作成と周知

従業員の指針であり、関係者に対して取り組みを表明するための情報セキュリティに関する基本方針を経営者が定め、簡潔な文書にまとめて周知します。

「中小企業の情報セキュリティ対策ガイドライン」と付録2の「情報セキュリティ基本方針（サンプル）」を参考に、経営者と連携して自社に適した基本方針を作成しましょう。

●付録2　「情報セキュリティ基本方針（サンプル）」

Action2　実施状況の把握

付録3の「5分でできる！情報セキュリティ自社診断」を利用して、情報セキュリティ対策がどれくらい実施できているかを把握しましょう。

●付録3　「5分でできる！　情報セキュリティ自社診断」

Action3　対策の決定と周知

「5分でできる！情報セキュリティ自社診断」の結果を基に、解説編を参考にして実施すべき情報セキュリティを検討しましょう。

Step 3　本格的に取り組む

情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者を任命して責任分担と連絡体制を整備しましょう。また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。

Action1　管理体制の構築

情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ責任者、情報部門責任者、システム管理者、教育責任者、点検責任者を任命して責任分担と連絡体制を整備しましょう。また、情報セキュリティ事故が発生した場合など、緊急時対応体制も整備しておきましょう。

Action2　IT利活用方針と情報セキュリティの予算化

クラウドサービスの普及によってIT利活用の方法が多様化したことで、情報セキュリティリスクも多様化しています。自社で利用している情報システムやサービスの台帳を作成したり図式化したりして把握した上で対策を検討し、必要な予算を確保しましょう。

Action3　情報セキュリティ規程の作成

事業内容や取り扱う情報、職場環境、IT利活用の状況に応じて、「中小企業の情報セキュリティ対策ガイドライン」付録5の「情報セキュリティ関連規程（サンプル）」を参考に、情報セキュリティ規程を作成しましょう。（1）対応するリスクの特定、（2）対策の決定、（3）規程の作成の順に進めます。

●付録5　「情報セキュリティ関連規程（サンプル）」

（1）対応すべきリスクの特定

●情報資産の洗い出し

まずは、情報資産台帳として、自社で管理している情報資産を悉皆的にリストアップする。

●情報資産管理台帳の作成

• 特に、セキュリティ侵害を受けると事業の継続を脅かされると思われる情報資産に関しては、保存場所はどこか、個人情報を含むか、なども調査しておく。

※詳細は、「INFORMATION 6-4 App.02 情報資産台帳の作成と詳細リスク分析」を参照してください。

（2）リスク対策の決定

いつ事故が起きてもおかしくない、あるいは事故が起きると大きな被害になるなど、リスクが大きなものを優先して対策を実施する。事故が起きる可能性が小さいか、発生しても被害が軽微であるものなど、リスクが小さいものについては、現状のままにするなど、合理的に対応します。

※次のステップ4では、「対策をより強固にする」ために、「Action6 詳細リスク分析の実施」において、洗い出した情報資産に対して、詳細なリスク値（リスクの大きさ）を算定し、リスク対策（リスクの低減、回避、移転、保有）を決定して、より効率的、効果的な対策を実施します。

（3）規程の作成

「（2）リスク対策の決定」で決定した対策を、文書化した規程を作成します。作成に当たっては、「情報セキュリティ関連規程（サンプル）」をひな形にして、自社に適した規程として作成すると、漏れがなく効率的です。

Action4　委託時の対策

業務の一部または全部を外部に委託したり、レンタルサーバーやクラウドサービスなどの外部サービスを利用したりして、重要な情報を渡したり処理を依頼したりする場合には、委託先に実施してもらう情報セキュリティ対策も決めましょう。取引条件のひとつとして、契約書や覚書に具体的な対策を明記しましょう。

Action5　点検と改善

「情報セキュリティ5か条」や「5分でできる！情報セキュリティ自社診断」、自社の情報セキュリティ対策に関するルール・規程を基準に、情報セキュリティ対策が、計画通りに実行されているか、見落としている対策はないか、対策がセキュリティ事故防止の役に立っているかを確認しましょう。

Step 4　対策をより強固にする

本格的な対策に取り組んでいても、必要な対策を追加して強固にしましょう。

Action1　情報収集と共有

情報セキュリティに関する脅威や攻撃の手口を知り、社内や取引先、同業者と共有することで対策レベルの向上につなげましょう。

Action2　ウェブサイトの情報セキュリティ

情報漏えいや改ざんなどの被害が発生する攻撃の対象になりやすいWebサイトの運営形態、構築、運営それぞれの段階に応じた対策を講じましょう。

Action3　クラウドサービスの情報セキュリティ

クラウドサービスに適した情報セキュリティ対策について、サービスの選定、運用、セキュリティ対策の3段階で検討しましょう。

Action4　情報セキュリティサービスの活用

コンサルテーションや教育サービス、監査サービスなど、情報セキュリティ対策を強固にする外部のサービスの利用を検討しましょう。

Action5　技術的対策例と活用

ネットワーク脅威対策やコンテンツセキュリティ対策など、情報セキュリティ対策の向上に資する製品やソフトウェアの導入を検討しましょう。

Action6　詳細リスク分析の実施

（1）情報資産の洗い出し、（2）リスク値の算定、（3）情報セキュリティ対策の決定の順で、リスクの洗い出しと対策の検討を行いましょう。

●情報資産ごとの機密性・完全性・可用性の評価

• 情報資産毎に、機密性、完全性、可用性が損なわれた場合の事業への影響や、法律で安全管理義務があるなどを勘案して、評価値を算定する。

●機密性・完全性・可用性の評価値から重要度を算定

• 情報資産ごとの機密性、完全性、可用性の評価値をもとに、重要度を算定する。

●リスク対策の分類

• 情報資産の重要度を勘案して、必要とされるリスク対策を決定する。
• ①リスクを低減（リスクの発生確率を下げる対策）
• ②リスクを回避（リスクが発生する可能性を除去する対策）
• ③リスクを移転（リスクを他者等の移す対策）
• ④リスクを保有（残留リスクとして識別）

※詳細には、「INFORMATION 6-4 App.02 情報資産台帳の作成と詳細リスク分析」を参照してください。

---

【関連リンク】

• 全般的な脅威と対策は
  • ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』
• クイックリスト
  • ⇒ もしかしてサイバー攻撃？ 緊急時には、ここに連絡を！
  • ⇒ やられる前に、しっかり予防を！ ここに相談！
  • ⇒ 経営者の理解のもと、組織としてセキュリティ対策をしっかりと！
  • ⇒ セキュリティお役立ちリンク集！

【前後のページ】

• ← INFORMATION 6-3_App.01：セキュリティお役立ちリンク【詳細編】
• → INFORMATION 6-4 App.02 情報資産台帳の作成と詳細リスク分析