セキュリティアクション(SECURITY ACTION)を宣言したけど具体的にどう運用する？継続的な運用のヒントをご紹介【二つ星（★★）編】

　前回の記事でセキュリティアクション（SECURITY ACTION）の一つ星（★）について筆者なりの継続的な運用ヒントを掲載させていただきました。

　今回はセキュリティアクションの二つ星（★★）の継続的な運用のヒントと記載していますが、セキュリティ対策に終わりはありません。

　情報セキュリティ規程の策定および、規程の継続的な見直しによる新たな脅威等への対応のヒントになれば幸いです。

前回記事：セキュリティアクション(SECURITY ACTION)を宣言したけど具体的にどう運用する？継続的な運用のヒントをご紹介【一つ星（★）編】

出典：IPA：セキュリティアクション（SECURITY ACTION）とは

出典：IPA：SECURITY ACTION 新規申込み手順書

セキュリティアクション「二つ星（★★）」の宣言に必要な要件

　「二つ星（★★）」には以下の取り組みが必要となります。

「５分でできる！情報セキュリティ自社診断」で自社の状況を把握したうえで、「情報セキュリティポリシー（基本方針）」を定め、外部に公開したことを宣言する

出典：IPA：https://www.ipa.go.jp/security/security-action/download/sa-leaflet_new.pdf

「５分でできる！情報セキュリティ自社診断」は２５問の質問に答え、自社の現状をスコア化し把握することを目的としています。

　参考：５分でできる！情報セキュリティ自社診断

　その上で、５項目からなる情報セキュリティポリシー（基本方針）定め、公開します。　

　参考：情報セキュリティポリシー（基本方針）

　情報セキュリティポリシー（基本方針）とはどのようなものでしょうか。以下の５つの項目から成り立っています。

1.経営者の責任
2.社内体制の整備
3.従業員の取組み
4.法令及び契約上の要求事項の遵守
5.違反及び事故への対応

　この５つの項目を明確にさせることは何を意味するのでしょうか？これは前回の記事にも記載した通り、この制度の存在意義そのものと言えるでしょう。

　日本における企業数は９９％以上、350万社以上が中小企業であり、膨大且つ複雑に構成されたサプライチェーンの中で、中小企業１社１社が企業として情報セキュリティのリスク管理を行うということが、日本の情報セキュリティを強くすると考えられています。

　この二つ星は、企業としての責任を明確にして、情報セキュリティ対策（事故後の対応も含め）を講じ、コンプライアンスを遵守することを宣言しているのです。

　情報セキュリティ基本方針のサンプルはそのまま流用可能ですが、ここでは付随させる形で、現時点で構築できることをしっかり決めて明文化することをお勧めします。

継続的な運用のヒントは「５分でできる！情報セキュリティ自社診断」に隠れてる？！

　情報セキュリティポリシー策定の中に、「2.社内体制の整備」という項目があります。ここでは情報セキュリティの維持・改善のための組織を設置とありますが、なかなか専門組織を構築できる余裕のある企業は限られているのではないでしょうか？
　兼任でもいいので中心となる人（またはチーム）想定してください。

　その上で、「５分でできる！情報セキュリティ自社診断」の２５個の質問を見てみます。元々、以下の３つに分類されています。

・Part1.基本的対策
・Part2.従業員としての対策
・Part3.組織としての対策

この分類を少し違った視点で以下の２つに分類します。

・分類A:情報セキュリティ中心人物（経営者含む）が一元的に管理できる。
・分類B:一人一人が個別に管理する。

（筆者の独断と偏見で）以下の通り分類してみました。番号は実際に用いられている通り番号となります。

　参考：５分でできる！情報セキュリティ自社診断

・分類A:情報セキュリティ中心人物（経営者含む）が一元的に管理できる。

1.パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義 ファイルは最新の状態にしていますか?

4.重要情報に対する適切なアクセス制限を行っていますか?

5.新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできて いますか?

9.無線 LAN を安全に使うために適切な暗号化方式を設定するなどの対策 をしていますか?

10.パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?

15.関係者以外の事務所への立ち入りを制限していますか?

17.事務所が無人になる時の施錠忘れ対策を実施していますか?

18.重要情報が記載された書類や重要なデータが保存された媒体を破棄する 時は、復元できないようにしていますか?

19.従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏ら さないなどのルールを守らせていますか?

20.従業員にセキュリティに関する教育や注意喚起を行なっていますか?

21.個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
22.重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定して いますか?

23.クラウドサービスやウェブサイトの運用等で利用する外部サービスは、 安全・信頼性を把握して選定していますか?

24.セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順 を作成するなど準備をしていますか?

25.情報セキュリティ対策(上記 1 ~ 24 など)をルール化し、従業員に明示 していますか?

・分類B:一人一人が個別に管理する。

3.パスワードは破られにくい「長く」「複雑な」パスワードを設定していま すか?

6.電子メールの添付ファイルや本文中の URL リンクを介したウイルス 感染に気をつけていますか?

7.電子メールや FAX の宛先の送信ミスを防ぐ取り組みを実施していま すか

8.重要情報は電子メール本文に書くのではなく、添付するファイルに書いて パスワードなどで保護していますか?

10.インターネットを介したウイルス感染や SNS への書き込みなどのトラブルへの対策をしていますか? 

12.紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は 机上に放置せず、書庫などに安全に保管していますか?

13.重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の 対策をしていますか?

14.離席時にパソコン画面の覗き見や勝手な操作ができないようにしていま
すか?

15.退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をして いますか?

運用継続の情報の属人化を恐れないこと

　いかがでしょうか？当然ですが、それぞれの環境に応じて異なるところはあるかと思います。

要は分類A:情報セキュリティの中心になる人が３分の２（大半を）をコントロールできるということになります。

　分類B:一人一人が個別に管理する事項については、注意喚起、情報セキュリティ教育を定期的に実践していく必要があります。

　この時、できるだけ難しさを排除する工夫が必要です。情報セキュリティという一見すると専門性の高さが伺える雰囲気を出してしまうと敬遠されてしまします。

　実際は大変初歩的な内容ですし、業務で使う上での利便性を引き合いに出し意見交換やディスカッションをするなど、カリキュラムを工夫することもお勧めです。

　このように継続的な運用のポイントは中心人物が推進し、全体性を持つ部分をいかにシンプルにシェイプアップできるかがポイントです。中心人物に情報が集まりすぎることを恐れず、情報セキュリティが浸透するまでは運用継続を優先するべきだと考えます。

情報セキュリティの運用指標は？

　継続的な運用と言っても、何かしらの指標がなければ、ステークホルダーへのアピールになりません。「５分でできる！情報セキュリティ自社診断」はスコア化されます。この診断スコアの維持、向上を運用指標とすることをお勧めします。

　「５分でできる！情報セキュリティ自社診断」で100点満点を達成したら情報セキュリティ関連規定の作成へステップアップしましょう。

　

情報セキュリティ関連規定の作成をきっかけに情報開示を

　情報セキュリティ関連規定の作成時に関連性の高いのは、先の分類A:情報セキュリティ中心人物（経営者含む）が一元的に管理できる。に分類された項目です。
　この項目は規定の軸になる部分でもあるため、引き続き中心人物で取り組むことになるケースが多いでしょう。

　しかしこのように規定に展開されるタイミングで、少しずつ属人化を紐解いていく必要があります。一人よりも二人、二人よりも三人。企業規模にも応じてですが、この規定が企業内における情報セキュリティのバイブル的なものになりますので、規定の作成を良い機会に利用してください。

最後に

　いかがでしょうか。情報セキュリティは中小企業における喫緊の課題であり、セキュリティアクションは課題解決の一助となる重要な取り組みのうちの一つです。

　セキュリティアクションの宣言自体は大変簡単です。是非活動の本質を捉え、情報セキュリティの向上に役立てていただければと思います。