3月18日にIPA(独立行政法人情報処理推進機構)から「中小企業の情報セキュリティ対策ガイドライン」が公表されました。今回は、その使い方を紹介します。
http://www.ipa.go.jp/security/fy20/reports/sme-guide/
1.中小企業の情報セキュリティ対策ガイドライン
従来の情報セキュリティ対策の進め方は、リスク分析に基づき自社に合った対策基準や実施手順を策定するものであり、中小企業にとって着手が容易でなく、「何をすれば良いか分からない」場合がありました。このガイドラインでは、中小企業が最初に取り組むべき項目を「5分でできる自社診断シート」(別冊3)と「中小企業における組織的な情報セキュリティ対策ガイドライン」(別冊2)にまとめています。また、中小企業の中でも、個人情報や技術情報の取り扱いを委託されるサービス業や製造業は、委託元から情報セキュリティ対策の実施を求められることが多くなっています(※2)。しかし、守るべき機密情報やその取り扱い方が業務委託時に明確にされていないことも多いため、それらを明確にするための「委託関係における情報セキュリティ対策ガイドライン」(別冊1)が添付されています。
中小企業によるこれらのガイドラインの使い方は、まず、別冊3「5分でできる自社診断シート」を実施し、対策ができていると判断した場合に別冊2「組織的な情報セキュリティ対策ガイドライン」を実施するというものです。別紙1は、中小企業等に重要情報を渡して業務を委託する委託元が使用します。
2.5分でできる自社診断シート
このシートは、全ての中小企業の経営者や管理者が、情報セキュリティ対策の入り口として最低限実施すべき情報セキュリティ対策について自主点検するものです。
http://www.ipa.go.jp/security/fy20/reports/sme-guide/documents/sme-shindan-s.pdf
点検項目は、全ての社員一人ひとりが実施する必要のある20項目と会社が実施する必要のある5項目の合計25項目です。前者は、重要情報を机上に放置せず施錠保管する、パスワードを他人が見えるような場所に貼らないなどの項目で、後者は、従業員の採用時に守秘義務を知らせる、取引先との契約書に秘密保持の項目を盛り込むなどの項目で、どちらも初歩的な情報セキュリティ対策です。まずは、それらの対策が自社で実施されていることを確認しましょう。
3.中小企業における組織的な情報セキュリティ対策ガイドライン
このガイドラインは、一定以上の情報セキュリティ上のリスクに曝されており、また、一旦情報漏えい等の事故が発生した場合、自社の業務に影響が及ぶだけでなく、取引先などに対しても大きな迷惑をかける可能性のある中小企業を対象としています。個人情報や技術情報など重要な情報を保有していたり、または取引先から受け取っている昨今の状況から、中小企業の多くが対象になると思われます。
http://www.ipa.go.jp/security/fy20/reports/sme-guide/documents/sme-soshiki.pdf
このガイドラインは、中小企業が共通して実施すべき対策と、企業が自社の特徴を考慮して実施すべき対策の2部構成となっています。中小企業の保有するリスクは、その業種や事業内容によって多様であるため、どのような企業でも実施すべき対策(ベースライン)と自社の特徴を見ながら選択実施する対策を組み合わせて情報セキュリティを強化するためです。これは、リスクマネジメントの一般的な手法です。
ガイドライン前半の共通対策は、ISMSの詳細管理策(ISO27002)を参考とした、情報セキュリティに対する組織的な取り組み(7項目)、物理的セキュリティ(3項目)、情報システム及び通信ネットワークの運用管理(5項目)、情報システムのアクセス制御の状況及び情報システムの開発・保守におけるセキュリティ対策(5項目)、情報セキュリティ上の事故対応(2項目)の合計22項目です。中小企業にとって取っ付きにくい、情報システムやパソコンなどITに関する対策が10項目と多いことが特徴です。各項目には、さらに2~6個の具体策が記載されており、「5分でできる自社診断シート」に記載される項目も含まれています。残念なことに各具体策は簡単に1文で記述されていますので、以下の資料他を参照して理解することが必要です。
(IPA:情報セキュリティ対策のしおり)
http://www.ipa.go.jp/security/antivirus/shiori.html
共通対策だけでも相当な効果がありますが、さらなる安全を得るには、企業毎に考慮すべき対策を検討することが望まれます。そのためにガイドライン後半では、情報セキュリティ事故のシナリオ(退職者による情報漏えいやウィルス感染など)が10種類提示されています。各中小企業は、自社においても発生し大きな被害を生じうるシナリオを選択し、そのシナリオの後に記載されている対策の実施を検討することになります。シナリオの対策の多くは共通対策に記載されていますが、対策の必要性と実施方法がより具体的に記載されているため判りやすくなっています。さらに高度な対策をとりたい場合は、経済産業省の情報セキュリティ対策ベンチマーク(※1)や国際標準であるISMS(ISO27001)を利用します。
4.委託関係における情報セキュリティ対策ガイドライン
このガイドラインの対象は、中小企業等に業務委託する企業の担当者です。委託元が情報セキュリティ対策の具体的な実施内容を指定しないことが責任関係の曖昧さに繋がり、結局、立場の弱い委託先(特に中小企業)が大きな結果責任を負うことになりがちです。このガイドラインは、委託元が、委託先をそのような状況から守るために使用します。
http://www.ipa.go.jp/security/fy20/reports/sme-guide/documents/sme-itaku.pdf
具体的には、契約書の機密保持条項に規定すべき項目および、契約書別紙に記載すべき委託先に実施させる対策例が示されています。
(参考)
※1 中小・中堅企業にとっての情報セキュリティを再考する(1)
https://www.itc-kyoto.jp/itc/index0298.html
※2 中小・中堅企業にとっての情報セキュリティを再考する(2)
https://www.itc-kyoto.jp/itc/index0328.html
■執筆者プロフィール
岩本 元(いわもと はじめ)
ITコーディネーター、技術士(情報工学部門、総合技術監理部門)
&情報処理技術者(システム監査、プロジェクトマネージャ他)
企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築の
ご支援
