「中小企業の情報セキュリティ対策ガイドライン」のポイントを整理する
先日、2023年4月26日にIPAが「中小企業の情報セキュリティ対策ガイドライン」の改訂版(3.1版)を公表しました。
今回は、この改訂版で改訂されたポイントについてざっくりまとめてみようと思います。
改訂の概要
今回のガイドライン改訂においては主に「テレワーク」と「セキュリティインシデント」に関する改訂が行われた旨が公表されています。
各テーマの具体的な改訂ポイントとしては以下のような改訂が行われています。
【テレワーク】
テレワークの情報セキュリティの対応に関する検討事項
ハンドブック・規程雛形への具体策の落とし込み
【セキュリティインシデント】
インシデント発生時の対応に関する検討事項
インシデント対応の手引き書の追加
テレワークに関する改訂
コロナ禍などの影響で中小企業でもテレワークの普及が進んだことから、このガイドラインにおいてもテレワークを考慮した項目が追加されることになりました。
具体的には以下のような内容が追加されています。
テレワークの情報セキュリティの対応に関する検討事項
ガイドライン第2部5章の、より強固なセキュリティ対策にするための検討事項の一環としてテレワークに関する項目が新たに追加されました。
ここでは、テレワーク時のセキュリティレベル向上に向けて、「テレワークの方針検討」「テレワークのセキュリティ対策」「テレワークの運用」の3段階にわたって検討を行うことが望まれています。
次に、各段階についてもう少し細かく見ていきます。
【テレワークの方針検討】
ここでは第一段階として、企業がどの程度のテレワーク環境(端末やシステムなど)を提供できるか検討することが求められています。
ガイドライン上では、テレワークを実施するためのシステム方式などがより詳細にまとめられています。
【テレワークのセキュリティ対策】
第二段階では、具体的に想定される脅威に対する対策の実施や、従業者がそれらの対策・ルール等を適切に理解し遵守してもらうための教育の実施などが求められています。
ガイドラインでは、前述の各システム方式に応じたセキュリティ対策やその他テレワーク時に想定されるリスクごとの対策などがまとめられています。
【テレワークの運用】
第三段階では実際に運用するための規程整備の必要性や重要性、またてレアワークから通常業務に戻る場合の留意点などについてまとめられています。
というように、テレワーク時のセキュリティレベルを上げるための取り組み方についてガイドライン上に追加がされています。
こちらはテレワーク時のセキュリティ対策の検討や運用方法について整理する際に活用することができるかもしれません。
ハンドブック・規程雛形への具体策の落とし込み
「中小企業の情報セキュリティ対策ガイドライン」では様々な付録が提供されており、その一つとして「情報セキュリティハンドブック」と「情報セキュリティ関連規程」の雛形もありましたが、今回の改訂に伴いこれらの雛形類にもテレワークに関する項目が追加されています。
こちらは具体的な社内ルールなどを作成する際に役立てることができるかもしれません。
セキュリティインシデントに関する改訂
インシデント発生時の対応に関する検討事項
ガイドライン第2部5章の、より強固なセキュリティ対策にするための検討事項の一環としてセキュリティインシデント対応に関する項目が新たに追加されました。
ここでは、セキュリティインシデント発生時のセキュリティレベル向上に向けて、「検知・初動対応」「報告・公表」「復旧・再発防止」の3段階にわたって検討を行うことが望まれています。
次に、各段階についてもう少し細かく見ていきます。
【検知・初動対応】
まず第一段階では、インシデントの速やかな検知・通報・報告から判断、対応方針の指示についてや、被害の拡大防止を意識した初動対応の必要性について述べられています。
【報告・公表】
第二段階では、二次被害が想定される場合の本人への報告や、メディア等を通じた公表、対応完了後の報告など、情報発信や共有などの必要性についてまとめられています。
どういうタイミングでどういう内容を誰に伝えなければならないのか整理しておきましょう。
【復旧・再発防止】
第3段階では、復旧時の原因調査や情報整理、対応からインシデント対応後の再発防止対応などに言及されています。また、この段階では、訴訟対応等が見込まれる場合の必要な対応についてもまとめられています。
インシデントは被害を収めるだけでなく、同じことを起こさないようにするための情報集積・対応までを考慮するようにしましょう。
インシデント対応の手引き書の追加
テレワークでも述べた付録の一つとして、今回はインシデント対応の手引き書も追加されています。
この手引書では、対応の必要性や想定被害、目的、整理が必要な事項、そしてインシデントの種類別の対応フローなどがまとめられています。
もしインシデント対応の明確なフローが整備されていないといった場合にはこちらを活用することで、インシデント発生時の被害を最小限にとどめることができるかもしれません。
おわりに
今回は、先日改訂された「中小企業の情報セキュリティ対策ガイドライン」の改訂ポイントについてまとめてみました。
もちろん自社にあった仕組みを作ることも大切ですが 一から作るのはなかなか労力もいるので、まず外部で提供されている情報を参考にしたり活用しながらブラッシュアップしていくというのも有効的な取り組みになるかもしれません。
この記事が気に入ったらサポートをしてみませんか?