中小企業の情報セキュリティ対策

/アセスメント

概要

中小企業の情報セキュリティ対策ガイドラインは、中小企業を対象に、セキュリティ対策を行う際の手順や手法がまとめられたガイドラインで、情報処理推進機構(IPA)から公開されています。

ガイドラインは1部と2部から構成され、1部は経営者編、2部は実践編となっています。1部では経営者が認識すべき3原則が挙げられています。この3つは、サイバーセキュリティ経営ガイドラインの経営者が認識すべき3原則と一致します。

  1. 情報セキュリティ対策は経営者のリーダシップで進める
  2. 委託先の情報セキュリティ対策まで考慮する
  3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる

また、中小企業で情報セキュリティを確保するための経営者の役割りとして、7つの取組みは以下になります。

  1. 情報セキュリティに関する組織全体の方針を定める
  2. 情報セキュリティ対策のための予算や人材を確保する
  3. 情報セキュリティ対策の検討と実施を指示する
  4. 情報セキュリティ対策は適宜見直しを指示する
  5. 緊急時の対応や復旧のための体制を整備する
  6. 委託や外部サービス利用の際は情報セキュリティに関する責任を明確にする
  7. 情報セキュリティに関する最新動向を収集する

情報セキュリティ5か条

多くの中小企業にとっては、いきなり大掛かりなセキュリティ対策は難しいため、まずは基本的な5つの対策が示されています。

  1. OSやソフトウェアは常に最新の状態にする
  2. ウィルス対策ソフトを導入する
  3. パスワードを強化する
  4. 共有設定を見直す
  5. 脅威や攻撃の手口を知る

情報セキュリティ基本方針

経営者が定めた情報セキュリティに対する基本方針を、従業員や関係者に伝えるための文書を作成します。IPAからは、以下の項目のサンプルが公開されています。

  1. 経営者の責任
  2. 社内体制の整備
  3. 従業員の取組み
  4. 法令及び契約上の要求事項の遵守
  5. 違反及び事故への対応

情報セキュリティ自社診断

自社のセキュリティ対策がどのくらい実施できているかを把握するため、以下のような25項目のチェックリストが用意されています。

従業員としての対策は以下になります。

  • 電子メールの添付ファイルやURLリンクを介したウィルス感染への注意
  • 電子メールやFAXの宛先の送信ミスの防止
  • 重要情報はメール本文には書かない、添付ファイルのパスワード保護
  • 無線LANの適切な暗号化方式の設定
  • インターネットを介したウィルス感染やSNSへの書込みなどのトラブル対策
  • ウィルス感染などによる情報消失に備えたバックアップ
  • 重要書類を鍵の掛かる書庫への保管
  • 重要書類や電子媒体の持ち出し時の盗難や紛失の防止
  • 離籍時のパソコン画面の覗き見や勝手な操作の防止
  • 関係者以外の事務所への立ち入り制限
  • パソコンや備品の盗難防止
  • 重要な書類やデータを破棄する際の復元防止

組織としての対策は以下になります。

  • 従業員に対し守秘義務やルールを順守させる
  • 従業員へのセキュリティ教育や注意喚起を行う
  • 個人所有の情報機器を業務で利用する場合のセキュリティ対策
  • 取引先との契約書へのセキュリティ対策の明確化
  • クラウドサービスなど外部サービスの安全・信頼性を考慮した選定
  • セキュリティ事故発生時の対応体制や手順の整備

本格的なセキュリティ対策

自社に適したセキュリティ対策を行うためには、自社にどのようなセキュリティ上のリスクがあるかを把握し、事業に大きな影響を及ぼす事故を防ぐ対策を実施します。

  1. 管理体制の構築
    情報セキュリティの責任者から従業員への情報の伝達経路を確立し、またセキュリティ事故が発生した場合は、情報セキュリティ責任者へ状況が迅速に報告されるような連絡体制を整備します。
  2. IT利活用方針と情報セキュリティの予算化
    自社で利用している情報システムについて把握した上で、対策を検討し、予算を確保します。
  3. 情報セキュリティ規定の作成
    対策すべきリスクを特定し、対策を決定し、規定類を作成します。規定の内容は、組織的対策、人的対策、情報資産管理、アクセス制御及び認証、物理的対策、IT機器利用、IT基盤運用管理、システム開発及び保守、委託管理などです。
  4. 委託時の対策
    外部の委託業者に重要な情報を渡す場合は、委託先にも情報セキュリティ対策を実施してもらいます。
  5. 点検と改善
    計画したセキュリティ対策が正しく実行されているか、定期的に点検を行います。

 

IT
アセスメント、セキュリティ、ネットワーク、システム
散策路TOP
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

 

 

 

タイトルとURLをコピーしました