コロナ後の変化に対応を

独立行政法人情報処理推進機構（IPA）は4月26日、中小企業向けに情報セキュリティ対策の考え方や、段階的に実現するための方策を紹介する「中小企業の情報セキュリティ対策ガイドライン」を改訂し、第3.1版を公開した。

2019年3月に第3版を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX推進の両輪としての情報 セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行った。今回の改訂の主なポイントとしては「テレワークの情報セキュリティ」と「セキュリティインシデント（セキュリティに関する事故など） 対応」が挙げられる。

テレワーク時の対策を追加

中小企業においてもテレワークの普及が進んでいることを踏まえ、第2部に「テレワークの情報セキュリティ」を追加し、検討事項を3段階に分けて説明している。第1段階では、テレワークで使用するシステム構成や機器に関する方針検討について、第2段階では、VPN（仮想専用線）方式、リモートデスクトップ方式、スタンドアロン（社内ネットワークに接続しない）方式、クラウドサービス方式といった方式ごとや、個人所有の端末、無線LANといった機器ごと、さらにテレワークを行う場所ごとの留意点も示している。第3段階では、テレワークのセキュリティに関するルールや規定の重要性を説明している。

さらに、付録で提供している「情報セキュリティハンドブック（ひな形）」と「情報セキュリティ関連規程（サンプル）」では、具体的な実現方法を手順書レベルに落とし込んで記載している。これらを合わせて活用することで、利用者はやるべきことを知るだけでなく、実施のための実用的な方法を得ることができる。

インシデント発生時の対応も説明

サイバー攻撃の高度化に伴いセキュリティインシデントが増加していることを踏まえ、第2部に「セキュリティインシデント対応」を追加し、インシデント発生時の対応における検討事項を3段階に分けて説明している。第1段階では、検知・初動対応として、速やかに情報セキュリティ責任者への報告を行うことや被害を拡大させないための初動対応が重要であることを示している。第2段階では、顧客や関係者、行政機関、一般・メディアなどに対して必要に応じて適時の報告や情報公開を行うことについて示している。第3段階では復旧・再発防止として、システム管理者や外部専門組織と協力して迅速な復旧作業や根本的な再発防止策を検討することについて説明している。

さらに、中小企業が非常時にすぐ手元で活用できるよう、インシデント対応の手引書を新たな付録として追加した。8ページの冊子で、インシデント対応時に整理しておくべき事項のリストや、「検知・初動対応」「報告・公表」「復旧・再発防止」といった基本ステップごとのアクションを示した上で、「ウイルス感染・ランサムウエア感染の場合」「情報漏えいの場合」「システム停止の場合」といった場合ごとに対応のポイントを1ページずつ解説するほか、相談窓口や報告先も紹介している。

本ガイドラインの詳細については、IPAのウェブサイトで確認してほしい。

（独立行政法人情報処理推進機構・江島将和）