日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.25 ガイドライン大幅改定

中小企業の情報セキュリティ対策ガイドライン第3版

独立行政法人情報処理推進機構(IPA)は、中小企業における情報セキュリティー対策の考え方や実践方法を具体的に示した「中小企業の情報セキュリティ対策ガイドライン第3版」を策定し、IPAのホームページ(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)で公表した。 第3版は第2版から2年4カ月ぶりの大幅改訂で、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業を取り巻くIT環境などの変化を受けたものである。

情報セキュリティー対策において最も重要な意思決定者である経営者が情報セキュリティーの重要性を自ら認識し、何に取り組むべきかをまとめた「経営者編」と、専門的知識がない実務担当者にも実践できるよう具体的に手順を記した「実践編」の2部構成を維持しつつ、経営者編では、ITに詳しくない中小企業の経営者にとってより理解しやすい表現へと改善を図った。また、実践編では、対策に取り組めていない中小企業が組織的な対策を段階的に進めていけるように構成を見直した。

さらに、中小企業においても活用が進むクラウドサービスについて、安全に利用するための留意事項やチェック項目をまとめた手引き「中小企業のためのクラウドサービス安全利用の手引き」を付録として追加した。

情報セキュリティー対策は何から始めればよいか、どこまでやればよいか、そのような中小企業の疑問に応えたガイドラインであり、企業の規模や業種にかかわらず参考となるので活用してほしい。

経営者が認識すべき3原則

経営者編では、経営者は次に挙げる3原則を認識し、対策を進める必要があるとしている。

原則① 情報セキュリティー対策は経営者のリーダーシップで進める

情報セキュリティー対策を進めていく上では経営者のリーダーシップが不可欠。現場任せにせず経営者が判断して意思決定し、自社の事業に見合った情報セキュリティー対策の実施を主導する。

原則② 委託先の情報セキュリティー対策まで考慮する

企業経営において外部リソースの活用は不可欠だが、委託先にて情報漏えいなどが発生しても、委託元としての管理責任を問われる。そのため、委託先や再委託先の情報セキュリティー対策まで考慮する必要がある。また、受託の場合は、依託元の情報セキュリティー要件に対応していく必要がある。

原則③ 関係者とは常に情報セキュリティーに関するコミュニケーションを取る

顧客や取引先など業務上の関係者からの信頼を高めるには、普段から自社の情報セキュリティー対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要である。

情報セキュリティーに関する関係者とのコミュニケーションに当たっては、セキュリティ対策自己宣言制度「SECURITY ACTION」を活用してほしい。利用手数料は無料。具体的な手続きはIPAのホームページ(https://www.ipa.go.jp/security-action/)を確認してほしい。

具体的な情報セキュリティー対策のルールや仕組みの構築は、ガイドラインを参考に社内の担当者や外部の専門家が担う企業も多いであろうが、経営者は3原則を認識し、情報セキュリティー対策を主導してほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

ITシステム・サービスの開発や運用を外部に委託する組織において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念や原因究明の難しさ…

前の記事

独立行政法人情報処理推進機構・江島将和

組織や企業において、メールの誤送信や重要情報を保存した情報端末(PCやスマートフォンなど)・記録媒体(USBメモリーなど)の紛失、重要書類(紙媒体)の紛失など、情報管理に対す…

関連記事

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…

独立行政法人情報処理推進機構・江島将和

新型コロナ関連の偽メールに警戒を独立行政法人情報処理推進機構(IPA)は4月27日、ビジネスメール詐欺に関する3度目の注意喚起を行った。ビジネスメール詐欺とは、巧妙に細工し…

独立行政法人情報処理推進機構・江島将和

東京商工会議所が8日に公表した「新型コロナウイルス感染症への対応に関するアンケート」によると、テレワークを実施している企業は26・0%、実施検討中は19・5%であった。また、…