弁護士法人赤津法律事務所

中小企業の環境経営を
予防法務で支援します。
弁護士法人赤津法律事務所

ブログ

中小企業の情報セキュリティ対策ガイドライン3.1版

 コロナパンデミックを機に、当事務所ではマイクロソフト365を導入し、事務所のほぼすべての情報をデジタル化しました。クラウド化によって、事件記録やパソコンを持ち帰らなくても自宅で仕事ができ、事務員さんや顧問会社の担当者さんとファイル共有で協働作業ができるようになりました。
 他方で、事務所がまるごとパソコン(クラウド)に収まってしまうと、万一これにサイバー攻撃とか何かあったらどうしようと心配になります。対策はしていますが、これで十分なのかなぁと不安になりますよね。

 そういう私にも「これならわかりやすい!」という資料を見つけました。

 IPA((独)情報処理推進機構セキュリティセンター)の「中小企業の情報セキュリティ対策ガイドライン」です。2009年から公表されていますが、今年4月に最新版の3.1版が公表されました。
 何をやるべきか、何からやるべきか、どのようにやるのか、がとってもわかりやすくカラーでまとめられています。そのまま使える付録も充実しています。

 IPAは毎年、「情報セキュリティ10大脅威」を発表しています。最近3年間で連続の第1位は「ランサムウェアによる被害」です。なりすましメールに注意!といわれるアレです。今年2023年の第2位は「サプライチェーンの弱点を悪用した攻撃」です。ここ数年順位を上げてきています。警察庁がまとめたところによると、ランサムウェア被害は右肩上がりに増加し、被害件数の5割は中小企業だそうです。
 大手企業がサプライチェーン全体のセキュリティ強化のために、取引先中小企業に対策を求めてくるのも止むをえません。ただ、対策強化によるコスト上昇分を取引対価で考慮しないことや、指定業者による高額なサービスを利用させようとすること、は、独占禁止法や下請法の問題を生じますので毅然と対応してくださいね。

何をやるべきか
先ず、経営者は、次の3原則を認識したうえで、重要7項目の取組みの実施を指示します。

「認識すべき3原則」
原則1 情報セキュリティ対策は、経営者のリーダーシップで進める。
原則2 委託先の情報セキュリティ対策まで考慮する。
原則3 関係者とは常に情報セキュリティに関するコミュニケーションをとる。

 実行すべき「重要7項目の取組」
取組1 情報セキュリティに関する組織全体の対応方針を定める。
取組2 情報セキュリティ対策のための予算や人材などを確保する。
取組3 必要と考えられる対策を検討させて実行を指示する。
取組4 情報セキュリテイ対セキュリティ宜の見直しを指示する。
取組5 緊急時の対応や復旧のための体制を整備する。
取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする。
取組7 情報セキュリティに関する最新動向を収集する。

何からやるべきか
 ガイドラインでは、できるところから始めて、段階的にステップアップするように構成されています。

先ずは、できるところから始める
 最初にやるべき「ステップ1」は「情報セキュリティ5か条」(ガイドライン付録1)にまとめられています。
① OSやソフトウェアは常に最新の状態にしよう!
➁ ウイルス対策ソフトを導入しよう!
③ パスワードを強化しよう!
④ 共有設定を見直そう!
⑤ 脅威や攻撃の手口を知ろう!

 IPAでは、中小企業向けに情報セキュリティ対策に取り組む自己宣言制度「SECURITY ACTION」を用意しています。社会的な信用獲得のみならず、公的支援制度の要件にもなっています。
「SECURITY ACTION」一つ星は、情報セキュリティ5か条に取り組むことを宣言するものです。
SECURITY ACTION セキュリティ対策自己宣言 (ipa.go.jp)

どのように取り組みを進めるか
 取り組みの進め方も、「組織的な取り組みを開始する」⇒「本格的に取り組む」⇒「より強固にするための方策」と、段階的なステップアップが示されています。

〇組織的な取り組みの開始
 先ず、情報セキュリティ基本方針の作成と周知をします。基本方針のサンプルはガイドラインの付録2にあります。
 次に、現状把握、実施状況の把握、ですが、これは、25項目の情報セキュリティ自社診断シートがガイドラインの付録3で用意されています。内容は、基本的対策5項目(脆弱性対策、ウイルス対策、パスワード対策など)、従業員としての対策13項目(標的型攻撃メール、電子メール、持ち出し、廃棄、ウェブ利用など)、組織としての対策7項目(守秘義務、インターネット利用、ルール化、など)で、「5分でできる!」とあるとおり、必要かつ簡潔です。
 最後に、対策の決定と周知ですが、これは上記の付録3情報セキュリティ自社診断の解説編に対策例が記載されているので、これを参考にできます。併せて、社内周知にはガイドラインの付録4「情報セキュリティハンドブック(ひな型)」も活用できます。

〇本格的な取り組み
 この段階になると、各種の情報セキュリティ既定の整備も必要になりますが、これもガイドラインの付録5に情報セキュリティ関連規定(サンプル)が用意されています。
 また、体制づくりでは、平時の管理体制とともに、インシデント(情報の漏洩、改ざん、焼失、日常使用している機能の停止または極端な性能の低下など、リスクが発現・現実化した事象のこと)対応の体制も構築しておく必要があります。ガイドライン3.1版では、付録8として「中小企業のためのセキュリティインシデント対応手引き」も追加されました。


 このガイドラインには、中小企業に利用しやすく信頼できる情報窓口や相談窓口、支援制度なども掲載されています。
 ちゃんと対策したいけど何からどうしていいのかわからない、という経営者さんは、下記サイトをクリックしてみてくださいね。

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
中小企業の情報セキュリティ対策ガイドライン第3.1版 (ipa.go.jp)