中小 企業 の 情報 セキュリティ 対策 ガイドライン。 サイバーセキュリティ経営ガイドライン（METI/経済産業省）

中小企業に向けた情報セキュリティ対策ガイドライン改版

IPAが発行している「中小企業の情報セキュリティ対策ガイドライン」について説明していきます。 このガイドラインは、タイトルどおり、中小企業を対象として策定されたものではありますが、国内の企業が最低限整備すべき情報セキュリティ対策を示しているものとして、ベースラインとして参照されています。 募集の始まったIT導入補助金を申請する際、今回から新たに必須条件として加えられれた「SECURITY ACTION」も、このガイドラインが基準となっています。 情報セキュリティ対策を行うのは誰？ 情報セキュリティ対策は、社内の誰かがリーダーシップをとり推進していく必要があります。 だからといって、その人だけにまかせて何とかなるというものではありません。 全員が情報セキュリティ対策の必要性を理解し、自分は大丈夫と思わず、定められたルールを守ることが欠かせません。 結構根拠のない自信を持っている人も多いのですが、インターネットに接続する環境が欠かせない現在において、絶対の安全はありません。 このガイドラインには、経営者、担当者、社内システムを利用する人、それぞれの役割が明記されています。 経営者の責任は重い このガイドラインには、「経営者が法的・道義的責任を問われます！」と明記されています。 現代社会では、情報にも価値や権利が認められています。 個人情報保護法をはじめとする各種法令により義務や違反した場合の罰則が定められています。 そのうえ、取締役や監査役は、別途会社法上の忠実義務違反の責任を問われることもあります。 そのため、このガイドラインでは、情報セキュリティについて、担当者に丸投げすることなく経営者が明確な方針を示すとともに自ら実行することの必要性を明記しています。 「丸投げ」胸が痛みますね。 詳しい人に任せているから大丈夫と思いたいところですが、情報セキュリティについては、ひとたび事件や事故が発生した場合の責任は重く、できる限りの対策をしていなかった場合の痛手は計り知れません。 お金をかけて最新のセキュリティ対策製品やサービスを導入すればおしまいというわけにいきませんので、しっかり理解して、途切れることのない対策が続けられる体制を構築します。 間違っても、会長や社長のパソコンは例外なんてことのないようにしてください。 参考文献：「中小企業の 情報セキュリティ対策 ガイドライン」 第2. 1版 IPA（独立行政法人情報処理推進機構 技術本部 セキュリティセンター）発行.

次の

中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

羅針盤としてのガイドラインを活用する 「セキュリティガイドライン」と聞くと、杓子定規なルールのように感じるかもしれません。 しかし経産省の「サイバーセキュリティ経営ガイドライン」とIPAの「中小企業の情報セキュリティ対策ガイドライン」は、実践的に企業がどうすべきかを教えてくれるかりやすい文書です。 企業を守る羅針盤ともなるので、経営者と企業幹部は必ず目を通しましょう。 経産省の「サイバーセキュリティ経営ガイドライン」は2015年12月に作られましたが、巧妙化するサイバー攻撃に合わせて2017年11月に「Ver2. 0」として改訂されました。 新たに加わったのは攻撃の検知、被害が出た時の備え、取引先・委託先などサプライチェーンの問題です。 IPAの「中小企業の情報セキュリティ対策ガイドライン」は2009年に策定されたもので、新たな脅威などを踏まえて2017年12月に第2. 1版として改定されています。 上記の「経営ガイドライン」を踏まえて、中小企業が取るべき実践的なセキュリティを教えてくれます。 セキュリティポリシーの作り方、自社を診断できる「5分でできる！情報セキュリティ自社診断」も含まれています。 この2つがあれば、企業のセキュリティ対策・サイバー攻撃対応の指針決定から、セキュリティポリシー策定、実践的な対策までをフォローできます。 図1：経営者のセキュリティ3大原則（サイバーセキュリティ経営ガイドライン2. 0） まず最初は「リーダーシップ」です。 セキュリティはコストではなく成長のための投資と位置づけて、トップ自らが指揮を取りなさいと呼びかけています。 システム部署に対して「うちは大丈夫か？」と聞くのはダメなトップ。 そうではなく積極的にリーダーシップを取ってセキュリティへの投資・対策を実行していきます。 2つ目は今回の改定でもっとも重要なサプライチェーンに対するセキュリティ対策です。 サプライチェーンとはビジネスパートナーや委託先、下請け企業のこと。 自社だけでなく一緒に働く企業・人を含めて総合的なセキュリティ対策をしなさいという原則です。 後述しますが、これこそ売上に直結する重要な要素になります。 3つ目はコミュニケーション。 自社がきちんとセキュリティ対策をしていることを顧客や株主に明らかにすること。 そして社内のセキュリティ責任者・担当者とも定期的にコミュニケーションを図り、サイバー攻撃被害にあった場合に円滑に行動できる下地を作ることが重要です。 この3大原則は「サイバーセキュリティ経営ガイドライン」では最初から決められていたもので、Ver2. 0でも変更はありません。 時代は変わっても、この骨太の3大原則は変わらないでしょうから頭に叩き込んで実行しましょう。 図2：サイバーセキュリティ経営の重要10項目（サイバーセキュリティ経営ガイドライン2. 0） 最初の3項目は管理体制の構築です。 「指示1」は「リスクの認識、組織全体での対応方針の策定」で、セキュリティポリシーを作って内外に周知徹底させることです。 単にポリシー文書を作りなさいという意味ではなく、長期的な「企業としてのセキュリティ方針」を決めることが重要です。 「指示2」は「リスク管理体制の構築」で、CISO（最高情報セキュリティ責任者）などを決めることからスタート。 CISOをトップとして平時の対策と有事の緊急対応の体制を作り、監査役など他のリスク管理体制とも連携させます。 「指示3」は「セキュリティ対策のための資源（予算、人材等）確保」です。 つまり「お金」と「人」を手当しなさいという意味。 予算は単年度ではなく長期計画を立てる、セキュリティ担当者は外部のセミナーなどにも積極的に参加させる、社員向け教育の予算をとることがキーポイント。 セキュリティ専門の人材を雇えない場合は、専門ベンダーに依頼するのがいいでしょう。 「指示4」から「指示6」までは具体的なサイバーセキュリティリスクの特定と対策の実装です。 「指示4」は「リスクの把握とリスク対応に関する計画の策定」で、自社でもっとも重要な守るべき資産を定義し、どんなリスクがあるかを洗い出します。 その上でリスクに対応するための計画を立て、具体的な対策をとります。 専門ベンダーへの委託、サイバー保険の加入などを検討します。 「指示5」は「リスクに対応するための仕組みの構築」で、今回のVer2. 0で改訂されています。 具体的なセキュリティ対策をまとめたもので「多層防御（ファイアウォール、脆弱性診断、暗号化など）」「サイバー攻撃の監視・検知」「従業員教育」の3つが柱になっています。 今回の新版では、サイバー攻撃を受けた企業の多くが外部からの指摘でようやく被害に気づいているという実態を元に、サイバー攻撃の検知に重点を置いた改定となっています。 「指示6」は「セキュリティ対策におけるPDCAサイクルの実施」で、Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善]を回す体制を作ること。 このガイドラインの巻末にある「付録A」の「サイバーセキュリティ経営チェックシート」が、Check[実施状況の確認・評価]に利用できます。 「指示7」と「指示8」は、有事に備えた体制構築です。 「指示7」は「インシデント発生時の緊急対応体制の整備」として、社内にCSIRT（組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム）を置くなどして、緊急時の体制を整えてシミュレーションを行います。 それに続くのが「指示8」の「インシデントによる被害に備えた復旧体制の整備」で、復旧させる手順・方針を定めます。 今回のVer2. 0で改訂されており、ランサムウェアの被害が出る中でデータ消失などに対する復旧策が重要だとしています。 もっとも注目すべき改訂は「サプライチェーン対策」 3大原則の2つ目、そして「指示9」の「サプライチェーンのビジネスパートナーや委託先等を含めたサイバーセキュリティ対策の実施及び状況把握」は、Ver2. 0でもっとも重要な改訂ポイントと言えるでしょう。 自社のセキュリティ対策はしっかりしたが、委託先企業で情報漏えいやサイバー攻撃被害が出たというトラブルが増えていることを踏まえています。 平たく言うと、ビジネスパートナー・委託先・下請け企業など、一緒に仕事をする会社・人のセキュリティもしっかりしましょうということ。 委託先のセキュリティ対策を確認して契約する、対策状況を報告させる、委託先がサイバー保険に加入しているかなどが対策例として挙げられています。 ISMS（情報セキュリティマネジメントシステム）などのセキュリティマネジメント認証を取るのが望ましいとされています。 このことは事業拡大にも繋がる要素です。 大企業が新たな契約企業を選ぶ際に「サプライチェーン対策」としてセキュリティ対策がしっかりしていることが条件になるためです。 つまり自社のセキュリティ対策がしっかりしていれば、新たなビジネスチャンスを生むことになるのです。 まさに「セキュリティ対策は事業拡大への投資」だと言えるでしょう。 3大原則の3つ目、「指示10」の「情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」は、コミュニケーションを強化せよという指示です。 IPAやJPCERTなどの情報を活かし、またインシデントの情報提供を行うこと。 そして自社がセキュティ対策をしっかり行っていることを内外に示すことも重要です。 図3：「中小企業の情報セキュリティ対策ガイドライン第2. 1版」と付録の「5分でできる自社診断シート」） まずやるべきは付録2にある「5分でできる！情報セキュリティ自社診断」を行うことです。 25個の質問に答えると、自社のセキュリティレベルを把握できます。 以下のページから「5分でできる！情報セキュリティ自社診断パンフレット」と「5分でできる！情報セキュリティ自社診断シート」をダウンロード。 パンフレットを見ながらシートに記入していきます。 各項目の実施状況に応じて「実施している」は4点、「一部実施している」は2点、「実施していない または わからない」は0点で採点し、全項目の合計点によって評価するものです。 足りない部分はパンフレットを見て、専門ベンダーに相談しながら改善していきます。 その上で従業員・派遣社員へ、自社のセキュリティルールを把握してもらうための、ハンドブックを作成しましょう。 上記のページにハンドブックのひな型（情報セキュリティハンドブックひな形：全11ページ）がありますので、自社に合わせて直して印刷・配布するだけでOKです。 図5：「中小企業の情報セキュリティ対策ガイドライン第2. 1版」付録3にある「リスク分析シート」 手順２「リスクの値の算定」は、同じシートのタブ切り替えの「脅威の状況」と「対策状況チェック」で記入します。 回答は選択式で難しくないので一つ一つ入力していきましょう。 すると同じシートの「情報資産管理台帳」の右側「リスク値」が自動的に表示されます。 どの資産がリスクが高いのか、ということがわかるのです。 手順３「情報セキュリティ対策の決定」は、上記のリスク値を元にして検討します。 具体的にはシートのタブ「診断結果」を見てポリシーを検討していきます。 最後に手順４で「情報セキュリティポリシーを策定」します。 手順３を元にして、上記ページにある「情報セキュリティポリシーサンプル」を書き換えて利用します。 ひな型をそのまま使うだけでなく、自社の具体的業務に応じた内容を付け加えていくのが理想です。 この手順をこなすには時間をかけて社内の調査をする必要があります。 実はそれこそが企業にとって大事なことです。 自社にとって最も大切で守るべきものは何か、決定的に足りていないセキュリティ対策は何か、を洗い出すこと。 これが企業のセキュリティ対策と緊急時対応を強化するのです。 セキュリティポリシーは策定する行為自体も重要になります。 専門ベンダーは「基準適合サービスリスト」から選ぶ セキュリティポリシーを作って足りない部分・重要な部分を洗い出した上で、具体的なセキュリティ対策を専門ベンダーに相談します。 経済産業省は2018年2月に「情報セキュリティサービス基準」を策定しており、IPAが「情報セキュリティサービス基準適合サービスリスト」としてベンダー名を公開しています。 「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監視・運用サービス」の4つのサービスで専門ベンダーがリストアップされています。 セキュリティポリシー作成でわかった自社の欠点・問題点を元にして、専門ベンダーを選んで相談するといいでしょう。 本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。 導入ご検討の際にぜひご活用ください。 Check Point Media Encryption A4・全2ページ• Check Point Full Disk Encryption A4・全2ページ• NonCopy2 A4・全2ページ• 4thEye Professional A4・全2ページ• Tripwire Enterprise A4・全2ページ• CylancePROTECT A4・全2ページ• Webコンテンツ保護・情報漏えい対策ソリューション A4・全4ページ.

次の

サイバーセキュリティ経営ガイドライン（METI/経済産業省）

中小企業の情報セキュリティ対策ガイドラインとは？ 中小企業の情報セキュリティ対策ガイドラインとは、中小企業で起こりうるサイバー攻撃の内容やそれに対する具体的な対策を盛り込んだ情報セキュリティ対策書です。 情報セキュリティ対策がなぜ重要なのか、どのようなリスクが考えられるかなどの対策の必要性に関する説明から、実践方法まで一通りを知ることができます。 ガイドラインは第一部である経営者編と第二部である管理実践編に分かれています。 第一部では経営者自らが負う責任や取り組みについて詳しく解説しており、情報セキュリティに詳しくない場合にもその重要さについて理解を深め、実践方法を知ることが可能です。 第二部では管理職への指示の出し方や従業員の管理、一人ひとりが守るべき項目チェックなどが細かく記されています。 それぞれの立場に応じてやるべきことを理解できるような構成となっており、このガイドラインを取り入れる企業は年々増加しています。 初版は2009年ですが、改訂版が2016年11月に公開されたのち、2019年3月に第3版が公開され、ダウンロード可能になりました。 企業を脅かすさまざまな脅威 情報セキュリティ対策が重要視されるようになった背景には、企業を脅かすさまざまな脅威が増えてきたことがあります。 情報セキュリティに関する脅威は2009年、2016年、2019年と短期間の間にも大きく変化しており、数年前の情報では新たな脅威に太刀打ちできない状況です。 インターネットを利用したサイバー攻撃やセキュリティの脆弱性をついた情報の流出などの手口も巧妙化しており、それに伴ってガイドラインも改訂を重ねています。 インターネットバンキングやオンラインでのパスワード暗号化登録といった便利なサービスが一般化するにつれ、不正利用やパスワードの偽造、他人のデバイスへの侵入など複雑な手口を使った脅威も増加しています。 数千万円規模の損害賠償が必要になるような顧客情報の流出や企業の信用失墜など、経営に致命的なダメージを与えかねない脅威も少なくありません。 次から次へといたちごっこのように湧いてくる最新の脅威に対応するためには、企業や個人などのユーザーも常に最新の情報に触れ、対策のアップデートを図ることが重要です。 情報セキュリティ対策の不備は企業に大きな損失をもたらす 情報セキュリティ対策を後回しにしてハッキングなどのサイバー攻撃を受けた結果、以下のような不利益を被るおそれがあります。 ・金銭の損失 最も直接的かつ多い事例が、金銭の喪失です。 インターネットバンキングの不正送金やクレジットカードの不正利用などダイレクトなものから、サーバーダウンによるシステム不備によって数日間の営業休止に追い込まれる場合もあります。 また、取引先の機密事項や個人情報が盗まれ、漏洩してしまった場合、多額の賠償金の支払い義務が生じる可能性も少なくありません。 資金繰りにあまり余裕がない中小企業の場合、一度の攻撃で倒産まで追い込まれてしまうことさえあるのです。 ・顧客の損失 金銭以上に取り返すことが困難なのが信用の失墜です。 一度でも取引先や顧客に関する情報漏洩を起こしてしまった場合、社会的な評価も株価も大暴落してしまう場合があります。 社会的信用を回復するには長い時間と努力が必要です。 事故後しばらくは取引先や顧客からの受注が激減する可能性もあり、その期間を耐え抜く体力がなければ事業を継続することは困難になるでしょう。 ・業務の損失 日常的に使用しているシステムから情報が漏洩した場合、原因の調査や対策が完了するまではシステムを停止しなければなりません。 最悪の場合、メールなどを含めたインターネットの一切を停止しなくてはならない可能性も出てきます。 そうなれば当然業務は遅れ、納期遅延や営業機会の損失など多くの業務に支障をきたしてしまい、間接的な金銭や顧客の損失にもつながってしまいかねません。 ・従業員への影響 現場で日々働いている従業員にも深刻な影響を及ぼす可能性は大きいです。 情報漏洩が内部からの不正であれば、「所詮この程度の会社か」と働く意欲を失ってしまったり、全体のモラルが低下することも考えられます。 優秀な従業員が転職してしまうなど、人材の流出や職場環境の悪化は、企業の屋台骨を揺らがせる重大な脅威です。 こうした危機を防ぐためには、事前に情報セキュリティの強化が必要であることは明らかです。 適切に情報セキュリティ対策を行うことによって被る不利益を最小限に抑えることができ、致命的なダメージになる前に防ぐことが可能になります。 現在まで築いてきた多くの顧客やステークホルダーからの信頼、従業員を守ることは新たな顧客を獲得するより重要なことかもしれません。 経営者が認識するべき3原則 ガイドラインでは経営者の立場で行う情報セキュリティ対策について、主に以下の3点を紹介しています。 まず1つめは、経営者自らが情報セキュリティの重要性を理解し、強力にリーダーシップをとって導入を進めることが大切だということです。 管理職や従業員は日々の業務に追われ、現状よりもやらなければならない手順や面倒な作業が増えることが多いセキュリティ対策には消極的な傾向にあります。 経営者がしっかりと音頭をとってセキュリティ対策に取り組めば、自ずと部下も従わざるを得なくなるでしょう。 中小企業の上意下逹のスピードが活かせる性質の分野でもあります。 次に、委託先の情報セキュリティ対策の問題です。 業務の一部をさらに外注や下請けなどに出している場合、情報委託先での漏洩の可能性まで気を配る必要があります。 委託先からの漏洩であっても、情報を渡した委託元が自分の会社であれば責任や風評被害を追うのはその会社です。 業務と情報を委託する先の情報セキュリティ対策がしっかり行われているか、普段からしっかりと確認しておきましょう。 最後に、情報セキュリティに関して普段から関係者とのコミュニケーションを取っておくことです。 情報の取り扱いに関してどのような取り組みをしているのか、有事の際にはどう対応するかなどを顧客や取引先にしっかり説明するためには、経営者自身がきちんと把握している必要があります。 こうした説明責任を果たし、またその通りに実行することで周囲からの信頼を保つことができます。 経営者が行うべき7つの取り組み ガイドラインでは経営者の立場から行う情報セキュリティ対策の取り組みが7つ定められています。 「情報セキュリティに関する組織全体の対応方針を定めること」「予算や人材などを確保すること」「必要と考えられる対策を検討させて実行を指示すること」の3つは初期に必要な取り組みです。 まずは意思決定を下し、現在の業務を圧迫しないよう必要な予算と人材を確保します。 さらに予算を使って有効な対策を検討、実行させ定期的に報告を聞くことで進捗や効果を把握することが可能です。 さらに、「情報セキュリティ対策に関する適宜の見直しを指示すること」「緊急時の対応や復旧のための体制を整備すること」この２つは万が一のことが起きた場合に早期に発見し、被害を最小限にするための手段です。 半期、四半期など定期的な報告とともに対策自体が情報技術の進歩に遅れていないか、緊急時にきちんと具体的な対策が取れるかなどを確認します。 「委託や外部サービス利用の際にはセキュリティに関する責任を明確にする」「情報セキュリティに関する最新動向を収集する」という最後の二つは、情報セキュリティ対策の取り組みをアップデートし続け、新たな脅威を生まないために必要な取り組みです。 これら7つの取り組みは、経営者自身が行うか、または情報システムなどの管理者層に対して指示を行い実施することになります。 管理者に任せる場合もいかにセキュリティ対策が重要であるかを理解させ、一丸となって対策に臨むことが重要です。 管理者層が行う情報セキュリティ対策の進め方 経営者が示す情報セキュリティ対策方針を実行するのは、主に管理職とその部下たちです。 ここからは、管理職以下が対策を実行に移す際のポイントと進め方を解説します。 まずはステップ1「情報セキュリティ5か条」についてです。 情報セキュリティ5か条はガイドラインの柱ともいうべき基本的な対策で、すぐに実行できるものばかりです。 まずはこの5つを完璧にするところから対策を始めましょう。 ステップ2は「5分でできる！情報セキュリティ自社診断シート」です。 ガイドラインに付属の25項目のチェックシートで自社の現状の問題点を知ることができます。 管理職だけでなく、従業員にも配布したり目立つ場所に掲示したりするなど、何らかの方法で情報セキュリティに対する意識を促したいところです。 ステップ3ではこれまでのステップを踏まえ、情報セキュリティポリシーを策定します。 有事の責任分担や情報共有の仕組みづくりなど、継続的に情報セキュリティ対策を実践していくための土台を築くことが必要です。 ステップ4は、PDCAを回して継続的に改善を続けることです。 PDCAは、Plan（計画）、 Do（実行）、 Check（監査）、 Act（問題への対策）の頭文字をとっています。 最初に作った土台が過不足なく稼働しているか、綻びはないかを監査サービスや情報脆弱性診断サービスなども利用しながら定期的にチェックします。 何か不具合があれば対策をたてて、その効果を確認していくことがセキュリティの維持には不可欠です。 情報セキュリティ対策の入り口「情報セキュリティ5か条」 ガイドラインでは「情報セキュリティ5か条」を企業の規模に関係なく、必ず実行するべき対策として紹介しています。 「情報セキュリティ5か条」とは、OSやソフトウェアを常に最新の状態にすること、ウイルス対策ソフトを導入すること、パスワードを強化すること、共有設定を見直すこと、脅威の手口を知ることの5つを指します。 どれも思い立ったらすぐに実行することができる簡単な対策ですが、情報を盗聴しようとする脅威に対しては大変有効なものばかりです。 個々のパソコンのアップデートや推測されにくいパスワードの設定、攻撃の手口を知ることなどは従業員それぞれに意識をしてもらう必要があります。 印刷して従業員に配布したり、オフィスに掲示するなどして活用しましょう。 自社の現状を把握「5分でできる！情報セキュリティ自社診断」 ガイドラインに付属の「5分でできる！情報セキュリティ自社診断」を使えば、自社の問題点を知ることができます。 25の設問に、はい・いいえで答えるだけで、自社の現在のセキュリティレベルを把握することが可能な便利な診断です。 設問は基本的対策、従業員としての対策、組織としての対策に分かれているため、従業員に関わる項目は上記の5カ条とともに配布し、回収してみるのも良いでしょう。 正直に診断した結果、高得点を取れていない場合は「情報セキュリティハンドブック」を活用してルール化し、全員に周知を徹底することで情報セキュリティ対策への意識向上につなげることが必要です。 リスクを最小限にする「情報セキュリティポリシーの策定」 情報セキュリティポリシーをまとめるうえでの考え方やポイントも、ガイドラインに紹介されています。 情報資産管理台帳の作成から始まり、リスクの値の算定、情報セキュリティ対策の決定後に情報セキュリティポリシーの策定をするというのが大まかな流れです。 ポリシーを策定する時には、自社に適合したポリシーにすることが大切です。 大手企業のセキュリティポリシーなどをそのまま利用しても、自社の状況に合っていなければ無意味なものでしかありません。 また、情報セキュリティといってもいろいろあり、全てを対策するには時間がかかります。 自社の扱うあらゆる情報のうち、漏洩や不正利用された時のリスクがより大きなものから対策を定めましょう。 ガイドラインに沿って対策を進めてみては？ 中小企業の情報セキュリティ対策ガイドラインに書かれている内容は、企業経営者と情報セキュリティ対策の管理担当者の双方にとってとても有益な情報ばかりです。 ネット上の攻撃によって起こった過去の被害事例や対策の立案、点検の具体的なやり方など、悩んだ時に参考になるような多くの事例や有益な情報コラムも掲載されています。 情報の取り扱いに関する世間の意識は年々高まっており、企業が情報セキュリティ対策をすることは当たり前の時代になっています。 致命的なダメージを受ける前に対策をしておかなければ、多くのものを失ってしまうことにもなりかねません。 この機会に、ガイドラインをもとにして自社の情報セキュリティ対策を進めてみてはいかがでしょうか。

次の