中小企業向けガイドライン
中小企業の場合、サイバーセキュリティ対策にかけられる費用が限られてしまうケースが多く、どうしても対策が後回しになってしまう傾向がみられます。サイバーセキュリティ対策は利益を生み出すわけではないので、万全の態勢を整えたからといってもそれだけではなかなか業績に直結しづらいのも影響しています。
しかしながら、サイバーセキュリティをないがしろにしてしまうといざ被害にあった際に経営が立ち行かなくなってしまい、会社や経営者は法的責任を追及されてしまいます。どこから手を付けてよいか迷われている担当者の方は、独立行政法人情報処理推進機構が公表している、「中小企業の情報セキュリティガイドライン」を参照されるとよいでしょう。
中小企業の情報セキュリティガイドラインは58ページありますが、中でも重要性の高い「情報セキュリティ五カ条」と「情報セキュリティ自社診断」について紹介します。
▶目次
1、情報セキュリティ五カ条
中小企業の情報セキュリティガイドラインの「情報セキュリティ五カ条」について解説します。
情報セキュリティ五カ条とは企業の規模を問わず必ず実施しておきたい内容をまとめたものですので、費用や予算の状況にかかわらず最優先で進めたい内容です。
情報セキュリティ五カ条とは
中小企業の情報セキュリティガイドラインにて掲載されている情報セキュリティの五カ条は、以下の通りです。
- OSやソフトウェアを常に最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する
- 共有設定を見直す
- サイバー脅威の手口を知る
OSやソフトウェアのセキュリティの問題を放置していると、それを悪用したウイルスに感染する可能性が高まります。
オフィスの場合には、ファイアーウォールや脆弱性対策など総合的なセキュリティ対策ソフトを、一括して導入するケースが一般的です。
パスワードが推測、解析されないよう強化します。また、使いまわしや長期間同じパスワードを使用し続けることを避け、セキュリティを強化しましょう。具体的には、英数字含む10字以上が望ましいパスワードです。
データ保管などのクラウドサービスやネットワーク接続の複合機など、必要最小限の範囲で公開を行いましょう。公開範囲を誤るとトラブルのもとになります。
最新の事例やサイバー攻撃に関するニュースに目を通して、サイバー脅威の事情を理解しておきましょう。
情報セキュリティ五カ条を実行するために
情報セキュリティ五カ条のうち、パスワードの強化、共有設定の見直し、サイバー脅威の手口の把握には費用はかかりません。ただし、実行するために手間や負担がかかってしまいます。また、OSの変更や更新、セキュリティソフトの導入については費用が掛かってしまいます。
したがって、情報セキュリティ五カ条を中小企業で実行するためには、経営者(あるいは幹部)がリーダーシップを取って実行することが望ましいでしょう。具体的な対策や作業については、現場スタッフの意見や作業が重要ですが、利益を生まない、好んで対応するスタッフが少ない項目であるだけに、経営者自身が行っていただくことがスムーズに進めるコツです。
2、5分で出来る情報セキュリティ自社診断
中小企業の情報セキュリティガイドラインの情報セキュリティ自社診断には、より具体的な情報セキュリティ対策の行動指針が記載されています。
非常にシンプルで、意識さえ高めればすぐにでも対応できることですので、まずは診断から行ってみましょう。
情報セキュリティ自社診断とは
情報セキュリティ自社診断とは、中小企業がどの程度情報セキュリティに関する意識を適切に持てているかを表す一つの指標です。
全部で25の質問があり、「実施している」場合は4点、「一部実施している」場合は2点、「実施していない」場合は0点です。100点を目指して取り組むことで、自社の情報に関する意識を高めることができます。
情報セキュリティ自社診断は3つのパートに分かれています。基本的対策、従業員の対策、組織としての対策です。
基本的対策と従業員の対策は、スタッフ個々に求められる内容ですので、定期的にスタッフ全員にも回答してもらうようにしましょう。
情報セキュリティ自社診断のメリット
中小企業にとっての情報セキュリティ自社診断のメリットは、どの項目もあまり費用が掛からないことと、情報の共有がしやすいことです。解説冊子も作成されていますので、スタッフ分を印刷し配布すれば、同じ意識をもって情報セキュリティ対策に取り組むことができます。
定期的に情報セキュリティに関するセミナーや試験を実施されている企業は少なくないと思いますが、常に目に付くことに行動指針を貼りだしておくと行動を習慣化するのに非常に便利です。終業後の片づけや離籍時のPCのロックなど、忙しいとつい忘れてしまいがちなポイントについても日々チェックをするようにすればおのずと対応できるようになります。
3、まとめ
中小企業がまず取るべきサイバーセキュリティ対策について、中小企業の情報セキュリティガイドラインを参考に案内しています。
中小企業の情報セキュリティガイドラインでは、中小企業がコストをかけずにまず実施できるセキュリティ対策について、情報セキュリティ五カ条と、情報セキュリティ自社診断にまとめています。まずは、情報セキュリティ五カ条で概要を把握し、自社診断で自社の状況と課題を確認しましょう。
これらの対策は、中小企業の場合経営者がリーダーシップを取って実施していくことが望ましいでしょう。