「情報セキュリティ対策」のガイドラインをご紹介
サイバー攻撃を受けていた企業が100%という検証結果も...
新型コロナウイルス感染症拡大による影響等もあり、テレワークの活用など中小企業におけるデジタル化の機運も高まっています。しかし、多くの中小企業では高度化するサイバー攻撃の脅威にさらされています。神戸大学の協力のもと2018年に大阪商工会議所が実施した調査※1では、調査した中小企業社全てで、サイバー攻撃を受けていたことを示す不審な通信データが記録されていました。さらに、別の調査※2では、大企業・中堅企業の4社に1社が、「取引先がサイバー攻撃被害を受け、それが自社に及んだ経験がある」と回答。情報セキュリティレベルが相対的に低い中小企業を狙うことで、サプライチェーンを構成する取引先企業への足掛かりとするサイバー攻撃(水平的脅威)が大きく懸念される状況下にあります。
「千里の道も一歩から」
経済産業省とIPA※3が策定した「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策を推進していく上で経営者が認識すべき3原則や実務担当者に指示すべき10項目などを解説しています。情報セキュリティ対策を進めていく上でのチェックリストとして活用できる網羅性の高さなどが反響を呼び、2017年11月にバージョン2.0を公開後、現在まで累計ダウンロード数が9万件を超えるなど、注目度の高い状況が続いています。
そんな中、2019年3月にIPAでは、中小企業向けに「中小企業の情報セキュリティ対策ガイドライン第3版」を公開しています(図1)。本ガイドラインでは、企業が対策に着手しやすいところから段階的に取り組めるよう具体的な手順を、専門用語を除いて分かりやすく解説しています。これからセキュリティ対策に取り組む企業にはまずは考え方の整理から、ある程度対策に取り組んでいる企業には、より強固にするための対策の提示まで、企業のレベルに合わせて解説しており、使い勝手の良い内容となっています。
セキュリティ対策を検討するにあたって、まず取り組みやすいのが「5分でできる!情報セキュリティ自社診断」です(図2)。25個の設問に回答するだけで、自社の情報セキュリティ対策の課題を簡単にチェックすることができ、セキュリティ上の課題に対する具体的な対策例なども紹介されています。自社の診断結果をもとに、今後どんな対策を設けるべきか検討されるための第一歩とされてはいかがでしょうか。
取引先とのさらなる信頼関係構築に向けてセキュリティ対策自己宣言
情報セキュリティ対策に取り組まれていく企業にお勧めしたいのがセキュリティ対策自己宣言「SECURITY ACTION」(図3)です。取引先やお知り合いの企業の名刺やホームページなどでロゴマークをご覧になった方も多くいらっしゃるのではないでしょうか。「SECURITY ACTION」とは、自社が情報セキュリティ対策に取り組んでいることを見える化する制度です。「★一つ星」は情報セキュリティ5か条に取り組むことで、「★★二つ星」は、前述の「5分でできる!情報セキュリティ自社診断」で課題を整理した上で、情報セキュティ基本方針を定め、対策に取り組んでいることを、SECURITY ACTIONロゴマークの表示により、自ら宣言することができます(無料)。情報セキュリティ基本方針のサンプルも公開されておりますので、詳細な申請の流れはIPAのホームページをご参照ください。「SECURITY ACTION」を宣言することで、取引先との信頼関係の構築や社内のセキュリティ意識の向上に繋がる他、様々な公的補助の加点対象となっており、今年度はIT導入補助金の申請要件にもなっておりました。IT導入補助金の申請を検討されている方は、早めに検討されてはいかがでしょうか。
その他、経済産業省とIPAでは、サイバー攻撃の被害にあった中小企業に対して、簡易サイバー保険と組み合わせて駆けつけ支援等を行うサービスを確立することを目的とした「サイバーセキュリティお助け隊」実証事業(図4)なども実施しています。現在、中小企業が利用しやすいサービスの幅広い展開に向け、お助け隊サービスのブランド化などが検討されています。
日進月歩の勢いで進化するサイバー攻撃。自社・従業員・取引先を守っていくために、企業のトップが陣頭指揮をしていくことが欠かせないことは言うまでもありません。盤石な情報セキュリティ体制は、一朝一夕に成り立つものではありませんが、本稿でご紹介した取り組みが今後の対策に向けた礎の一助となれば幸いです。
※1:大阪商工会議所「平成30年度中小企業に対するサイバー攻撃実情調査」
※2:大阪商工会議所「サプライチェーンにおける取引先のサイバーセキュリティ対策等に関する調査」
※3:独立行政法人情報処理推進機構
中小企業庁 事業環境部
調査室 調査係長
鈴木 崚
(2020年4月より当社から出向中)
機関誌そだとう205号記事から転載
詳しい情報・お問い合わせ先
中小企業の情報セキュリティ対策ガイドラインについて、お問い合わせ先
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
SECURITY ACTIONについて、お問い合わせ先
https://www.ipa.go.jp/security/security-action/
IPA事務局
E-mail isec-pr-nw@ipa.go.jp