事故の影響は取引先にも
電子メールの誤送信やクラウドサービスの誤設定による情報漏えい、退職者による情報持ち出し、外部からのサイバー攻撃による業務の停止など、情報セキュリティに関するニュースが相次いでいる。情報セキュリティ事故の影響は自社だけにとどまらず、取引先にまで影響を及ぼすことは少なくない。経営者は情報セキュリティリスクを企業リスクと捉え、対策を推進していく必要がある。
情報セキュリティ対策の推進に当たっては、自社の対策状況を把握した上で、情報セキュリティに関するガイドラインなどを参考にして自社に合った対策・ルールを決め、そのギャップを埋めていく必要がある。
独立行政法人情報処理推進機構(IPA)では、ガイドラインと併せて、対策状況を把握するためのツールを無償で提供しているので、活用いただきたい。
IPAのツールで自社診断
①5分でできる!情報セキュリティ自社診断
「5分でできる!情報セキュリティ自社診断」は、「中小企業の情報セキュリティ対策ガイドライン」で定める25個の診断項目に答えることで、自社の対策状況を簡単に把握することができる診断ツール。これから組織的な対策に取り組みたいという中小企業はぜひ試していただきたい。
②情報セキュリティ対策ベンチマーク
「情報セキュリティ対策ベンチマーク」は、40個の診断項目に答えることで組織の情報セキュリティマネジメントシステム(ISMS)の実施状況を、自らが評価する診断ツール。評価項目はISO27001(ISMSに関する国際規格)の管理策をベースとしているため、ISMSの認証取得に向けた準備としても有効である。
③サイバーセキュリティ経営可視化ツール
「サイバーセキュリティ経営可視化ツール」は、経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドライン」で定める重要10項目の実施状況を5段階の成熟モデルで可視化(レーダーチャート表示)できる診断ツール。業界平均値との比較が可能なほか、海外拠点がある企業でも利用可能な英訳版も提供している。
従業員教育の教材も無償提供
診断ツールを活用して対策状況を定量的に把握することで、対策の優先順位付けができ、適切なセキュリティ投資の実行が可能となる。
優先順位が低いなどの理由でセキュリティ対策ツールへの投資ができない場合は、人的対策への投資が現実的な選択肢となる。
例えば、電子メール経由でのウイルス感染リスクへ対応するために、フィルタリング機能を持つメールセキュリティツールを導入するのではなく、従業員が不審な電子メールの添付ファイルを開かない、URLをクリックしないための教育を行うといった具合である。
従業員を教育するに当たっては、自社の対策・ルールを周知するだけでなく、なぜその対策を取る必要があるか理解させることが効果的である。
IPAでは、必要性の理解などに役立つ動画教材やスライド教材などを無償で提供している。従業員教育に、ぜひ活用していただきたい。
(独立行政法人情報処理推進機構・江島将和)
「情報セキュリティ教材・ツール」についてはこちら
