中小企業の情報セキュリティ対策ガイドラインの紹介

4月26日に IPA より「中小企業の情報セキュリティ対策ガイドライン 第3.1版」が公開されました。小規模の事業者様でも、攻撃を受けるケースが多発しています。また、取引先からセキュリティ対策を求められるケースも増えてきているのではないでしょうか？

しかし、セキュリティ対策といっても、何から手を付けていいのかわからない経営者の方、セキュリティ対策を指示された方も多いと思います。IPA さんの「中小企業のセキュリティ対策ガイドライン 第3.1版」を読んで、対策を進めていくことをお勧めします。

できるところから始める

どのような事業規模であれ必ず実施してほしいこと５つが「情報セキュリティ５箇条」として、まとめられています。

1. OSやソフトウエアは最新に
   古いソフトウエアには攻撃する方法が知れ渡っている脆弱性が存在するケースがあるので、継続的にバージョンアップをしなければいけません。保守期限が切れたOSは使わせない、普段利用しているソフトもアップデートが出たら更新してもらうよう、従業員に伝えましょう。

2. ウイルス対策ソフトの導入
   対策ソフトを導入することで、検知できますが、対策ソフトもアップデートをしないと最新のウイルスに対抗できないので、注意してください。

3. パスワードの強化
   長く、複雑に、サービスごとに別のパスワードを設定するように周知が必要です。

4. 共有設定の見直し
   ファイル共有サービスを特定の人に見せるために、一般に公開する設定にしてしまうなどの事故も発生しています。サービスの仕様を理解し、必要な範囲にのみ公開する方法を周知しましょう。

5. 脅威や攻撃の手口を知る
   サイバー攻撃は、新しいタイプのものが次々に出てきます。最近流行っている脅威や、その手口などを把握し、従業員にも注意喚起する必要があります。セキュリティに関する情報をＳＮＳなどで発信されている方もおられるので、日々確認し、自社にも関係しそうな攻撃・手口を広く社内に情報発信するなどを検討してはどうでしょう？

[PR]
社内の情報共有はグループウエアの導入が便利です。
サイボウズ Office は1ユーザーあたり月額500円から利用できるクラウド型のグループウエアです。申し込むだけで簡単に導入できます。

サイボウズ Office | 中小企業の“チーム力”を強化するグループウェア

実施状況の把握

あまり費用をかけずに、効果の高いセキュリティ対策が２５個選定されており、その対応状況を把握するための質問が「自社診断のための25項目」にまとまっています。診断を実施し、できていない項目に対応をしましょう。

診断結果の点数により、次にとるべき対策が書かれています。診断を実施し、次の対策を打ちましょう。

本格的に取り組む

最低限実施すべきことが実施できたら、本格的に取り組みましょう。

1. 管理体制の構築
   セキュリティの責任者を設定、システムの管理者の設定、事故があったときの連絡先・役割分担などを定めましょう。

2. DX推進・セキュリティの予算確保
   予算がないと、何もできないので計画を立てて予算化しましょう。

3. セキュリティ規則
   セキュリティ規則は、自社の状況に適した規則を策定しましょう。知識・経験などが必要になります。サンプルが公開されているので、自社に適した内容にした規則を作りましょう。

4. 委託先の管理
   業務委託や、クラウドサービスの利用など、外部に業務の全部または一部を委託することがありますが、委託業者にもセキュリティ対策を実施いただく必要があります。

[PR]
クラウドサービスの選定も委託先管理として重要です。弊社が提供しているクラウドサービス cybozu.com のセキュリティの取り組みをこちらで紹介しています。

安全性への取り組み| サイボウズのクラウド基盤サイト

より強固にするための対策

紹介は省略させていただきますが、さらにセキュリティを強固にするための対策が書かれています。必要に応じて対応を検討すべき項目となっています。

まとめ

会社のセキュリティ対策を進めていくうえで、とても参考になるガイドラインとなっていると思います。マルウエアに感染してしまい、取引先にマルウエアが添付されたメールを送ってしまった、という事例もあります。まず、「情報セキュリティ５箇条」を取り組み、自社診断で、必要に応じて対策を強化していきましょう。