セキュリティ◎中小企業の情報セキュリティ対策ガイドライン

　デジタルトランスフォーメーション（DX）によるビジネス変革が求められている状況下、その取り組みとセットで考えなければならないのが情報セキュリティ対策です。デジタル技術の導入が増えるほど、サイバー犯罪者にとっては攻撃点や攻撃経路などのアタックサーフェスは増えることとなります。逆にいえば、事業者はDXを進めるほどセキュリティを意識しなければなりません。

　DXが経営戦略に関わるものである以上、情報セキュリティも経営戦略の一端を担うものであると考えるべきでしょう。従来のようにコスト視するのではなく、予算化すると共にデジタルシフトやDXに組み込んで体系的に対策を進めていく必要があるわけです。

　とはいえ、情報セキュリティ対策にはさまざまなアプローチがあります。それこそセキュリティベンダーは、ID管理やデバイス管理、ネットワークセキュリティ、WEB対策などサイバー攻撃を防ぐ多種多様なソリューションを提案しています。

　確かに、こうしたソリューションの導入は効果的であり必要な対策ではありますが、前述したようにDX時代には中小企業や小規模事業者も体系的な考え方でセキュリティ対策に取り組むことが求められます。

　この意味で、大切なのは情報セキュリティの全体像を全社規模で理解しつつ、できるところから段階的かつ着実に対策を実現していくということです。そこで、教科書的な役割を果たすのが独立行政法人情報処理推進機構（IPA）のセキュリティセンターが公開している「中小企業の情報セキュリティ対策ガイドライン」です。以下、同ガイドラインの内容や包括的なセキュリティ戦略を講じるための活用方法、そのポイントなどについて解説していきましょう。

初歩から理解できる実践的な手引き書

　「中小企業の情報セキュリティ対策ガイドライン」は、中小企業の経営者や実務担当者が情報セキュリティ対策の必要性を理解し、自社の情報を安全に管理するための具体的な指針や手順などを示したもの。2009年に初版が公開されました。

　以降、社会環境やサイバー攻撃の多様化に伴い内容は更新されており、2016年11月には改訂版、2019年３月に第３版が公開されました。

　第３版が公開された後も、社会やビジネスを取り巻く環境は大きく変化しました。クラウドサービスの利用機会増加やリモートワークの広がり、サイバー攻撃の巧妙化など、数年前とは状況は様変わり。こうした状況を受け、2023年4月に最新版となる「第3.1版」へと更新されています。

本稿執筆時点で「中小企業の情報セキュリティ対策ガイドライン」の最新版は第3.1版

　主な変更点としては、「関連法令や被害事例の最新化」や「テレワークの情報セキュリティとセキュリティインシデント対応に関する解説の追加」、「セキュリティ対策に活用できるサンプルやひな形といった付録の追加」など、中小企業がセキュリティ対策に取り組むうえでの有用性が高められました。

　組織のセキュリティレベルは、対策を講じているセキュリティの最もレベルの低い部分により決まります。例えば、VPN（仮想専用回線）で通信を保護していても、VPNにアクセスするためのID管理がずさんでは、セキュリティレベルは高いとはいえず、インシデント（セキュリティ上の脅威となる事象）発生リスクは増加します。

　こうしたセキュリティの漏れを防ぎ、組織全体のセキュリティレベルを高めていくには体系的に対策を講じる必要があり、同ガイドラインを用いることで段階を踏みながら全体感のあるセキュリティ対策を実現することが可能です。

３つのカテゴリーで構成されるガイドライン

　本編は「経営者編」と「実践編」の二部部構成で、これに「付録」が加わった３つのカテゴリーから成り立っています。付録には情報セキュリティ対策を進めていくうえで役立つドキュメントのひな形やサンプル（情報セキュリティハンドブックや情報セキュリティ関連規定など）が用意されています。

　ひな型やサンプルをベースに自社に適した内容に変更することで、社内の情報セキュリティ対策向けのドキュメントを作成することができる点は利便性が高いといえます。

ガイドラインの全体構成（出典：「中小企業の情報セキュリティ対策ガイドライン第3.1版」のP3）

　本編の経営者編では、情報セキュリティ対策を怠った場合に事業者が被る不利益や、経営者がやるべきことなどが解説されています。ここで押さえておくべきは、「経営者は認識すべき“３原則”を理解し、“重要７項目”の取り組みを進める」ということです。

●認識すべき“３原則”
原則１：情報セキュリティ対策は経営者のリーダーシップで進める
原則２：委託先の情報セキュリティ対策まで考慮する
原則３：関係者とは常にセキュリティに関するコミュニケーションをとる

●実行すべき“重要７項目”
項目１：情報セキュリティに関する組織全体の対応方針を定める
項目２：情報セキュリティ対策のための予算や人材などを確保する
項目３：必要と考えられる対策を検討させて実行を指示する
項目４：情報セキュリティ対策に関する適宜の見直しを指示する
項目５：緊急時の対応や復旧のための体制を整備する
項目６：委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
項目７：情報セキュリティに関する最新動向を収集する

　ガイドラインでは、情報セキュリティを確保するための実行すべき“重要７項目”の取り組みについて、情報セキュリティ対策の担当者に指示するか、場合によっては経営者自らが実践することも必要になるとしています。

　第２部の実践編は、情報セキュリティ対策を実際に進める責任者や担当者向けに、どう対策を進めていくかを段階的に解説したものです。実践編で取り上げられている具体的な取り組みは、前述の“重要７項目”と対応しており、最終ステップまで到達することで実行すべき対策を網羅することが可能です。

ガイドラインの実践方法～基本から全社展開～

　では、第２部の実践方法の手順を見ていきましょう。ガイドラインで示されているセキュリティ対策の段階的な導入ステップは下表の通り。これからセキュリティ対策を進める事業者はStep１から、それ以外の事業者は自社の状況を鑑みて適する段階から取り組みを進めていきます。

情報セキュリティ対策の進め方（出典：「中小企業の情報セキュリティ対策ガイドライン第3.1版」のP4）

　Step１では、情報セキュリティ対策に取り組む端緒として、「情報セキュリティ５か条」が示されています（下表）。これは、事業者の規模に関わらず必ず実行すべき対策です。

情報セキュリティ５か条（出典：「中小企業の情報セキュリティ対策ガイドライン第3.1版」から引用。編集部にて編集・追記）

　情報セキュリティ５か条は、取り組むべきセキュリティ対策として必ずといってよいほど言及される項目です。中小企業はこの５つの項目に取り組むことにより、「SECURITY ACTION（セキュリティ・アクション）」の「一つ星」を宣言することができます・

　SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度で、取り組み段階に応じてロゴマークを無料で使用することができ、対外的なPRや顧客・取引先との信頼関係構築に役立ちます。

　最初の段階（Step１）を終えた、あるいはすでにクリアしている事業者は、次の段階となるStep２の「組織的な取り組みを開始する」こととなります。

　まず、付録２の「情報セキュリティ基本方針（サンプル）」を活用してドキュメントを作成して社内通知を実施し、全社へ情報セキュリティ対策に取り組むことを伝えます。

　次に、実施状況の把握です。25項目の質問から成る付録３の「５分でできる！情報セキュリティ自社診断」を利用して自社のセキュリティの現状を理解し、問題がある項目については解説編を参考に対策を検討。対策が決定したら、付録４の「情報セキュリティハンドブック（ひな形）」を活用し、従業員が実行すべき社内ルールとして全社に周知します。

　社内の情報セキュリティ対策を組織的な取り組みとして開始することで、前述したSECURITY ACTIONの「二つ星」を宣言することが可能となり、対外的な信頼はさらに高まります。

ガイドラインの実践方法～本格展開、より強固に～

　自社に適したセキュリティ対策を実行して効果を上げるための本格的な取り組みがStep３です。どのような情報セキュリティリスク（事故発生時に事業へ損害を与える危険性）が自社にあるかを考え、懸念される重大事故や関連業務などを踏まえて、ビジネスに損害を与える事故を防ぐ対策を決定し、具体的な規定として作成します。

　具体的には、「管理体制の構築」や「DX推進と情報セキュリティの予算化」、「情報セキュリティ規定の作成」、「委託時の対策」などを進めていきます。

　例えば、情報セキュリティ規定の策定では、事業内容や扱う情報、ITの利用状況、職場環境などはさまざまなため、汎用的な規定を流用しても実情には適しません。そこで、効率的に自社に適した規定を作成する方法が、ガイドラインでは解説されています。

　そのポイントは、経営者が懸念する情報セキュリティの重大事故などを念頭に対応すべきリスクを特定。すべてのリスクに対応することは高コストや仕事の非効率につながる場合もあるため、リスクの大小を検討してリスクの大きいものを優先に対策を実施することです。

　決定した対策を文書化して規定を作成するわけですが、ここで役立つのが付録５の「情報セキュリティ関連規定（サンプル）」。サンプルを参考に自社の規定に合わせて編集（*1）すれば、一から作るよりも大幅な労力の軽減となります。
（*1）サンプル文中の赤字・青字部分を自社向けに編集し、明記されていない対策については追記することで規定は完成する

　Step４は、情報セキュリティ対策をより強固にするための方策について解説したものです。デジタルシフトやDXによりセキュリティの重要性が高まっていることは冒頭で言及した通りですが、高度化かつ巧妙化する攻撃を防ぐには人的な注意や対策だけでは限界があります。そこで必要とされるのが、技術的対策の強化や外部の専門サービスを利用することです。

　このステップでは、ITを活用する事業者がより強固な情報セキュリティ対策に取り組むために求められる技術的対策や対策の導き出し方などについて、下表の通り８項目を取り上げて解説しています。

情報セキュリティ５か条（出典：「中小企業の情報セキュリティ対策ガイドライン第3.1版」のP32）

　ここまで見てきたように、同ガイドラインをしっかりと読み込み活用することで、中小企業の情報セキュリティ対策のレベルを初歩的な取り組みから高い段階へと押し上げていけることが理解できたのではないでしょか。

　今後、さらにデジタルシフトやDXが進めば、ますます情報セキュリティ対策を実施しているかどうかが問われることは確実であり、ビジネスにも大きな影響を与えることは間違いありません。これは中小企業といえども例外ではないだけに、セキュリティレベルの向上に取り組みたいものです。

ここがポイント！

●DX推進と情報セキュリティ対策は一体化して考えるべきこと。

●セキュリティレベルの向上には体系的な対策が必要であり、その教科書として「中小企業の情報セキュリティ対策ガイドライン」は好適。

●本編は「経営者編」と「実践編」の二部に、対策に役立つ「付録」を加えた３カテゴリーで構成。

●初歩から段階を踏みながらセキュリティレベルの向上が可能。