最近の情報セキュリティ事情について ~後編(具体的な情報セキュリティ対策の進め方)~

1.はじめに(前回コラムより)

前回コラム「最近の情報セキュリティ事情について:前編」はご覧になりましたか?

前回は、独立行政法人 情報処理推進機構(以下、IPA)が公表している「情報セキュリティ10大脅威2021」や、「桶の理論」を参考にして、次の内容についてご紹介しました。

  • 「テレワーク等のニューノーマルな働き方を狙った攻撃」といった新たな脅威の登場など、脅威も変化している。
  • 情報セキュリティ対策では、「ルール」「人」「技術」のバランスをとって全体のレベルを高めていくことが重要となる。

今回のコラムでは、情報セキュリティ対策の具体的な進め方についてご紹介します。略して「最近の情報セキュリティ事情について:後編(具体的な情報セキュリティ対策の進め方)」です。主に、「ルール」と「人」についての対策内容になります。

2.「中小企業の情報セキュリティガイドライン」

情報セキュリティはよく判らない・対策が大変だから・・・などの理由で、「特に対策は行っていない」「長らく対策の見直しはしていない」といった状態にはなっていませんか?あるいは、情報セキュリティ対策を、どのように・どこまで実施すればいいのか判らない、とお悩みではありませんか?

まず、情報セキュリティ対策に「ゴール」はありません。なぜなら、前回コラムでご説明したとおり、ITは日々進化し続けており、それに伴い情報セキュリティの脅威も変化するからです。だからといって、対策を放棄・放置してしまうのは避けるべきです。

我々がITを活用していくならば、少なくとも情報セキュリティに関心をもって、自分たちでできる対策を一歩ずつ進めていく責任があります。実際には、「組織の置かれている環境や、利用するIT、社会の状況などに応じて、適切な対策を継続的に講じていくこと」が求められます。

それでは、一歩目の情報セキュリティ対策としては、何をすればいいでしょうか?

まずは、「ルール」を定めることです。

ルールを定めていくことで、一定レベルの安全を担保する目標が明らかになります。

次の表は、「情報セキュリティ10大脅威2021」に記載されている「情報セキュリティ対策の基本」です。

図表1.情報セキュリティ対策の基本

出典:IPA「情報セキュリティ10大脅威2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html

基本的な対策を知るには、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」が参考になります(過去の塾生コラム『中小企業の情報セキュリティ対策は「できること」から!』でも紹介しておりますので、併せてご確認ください)。このガイドラインの付録である「情報セキュリティ5か条」には、図表1の各5項目に該当する具体的な対策例が記載されています。

情報セキュリティ対策の第一歩目としては、まずはこの「中小企業の情報セキュリティ対策ガイドライン」の内容にそってルールを定めていくことをお勧めします。付録として、「情報セキュリティ5か条」のほかにも「5分でできる!情報セキュリティ自社診断」「情報セキュリティハンドブック」など、すぐに活用できる情報セキュリティ対策が用意されています。

IPA「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

3.「SECURITY ACTION」

「中小企業の情報セキュリティ対策ガイドライン」の内容に取り組んでいくことに関連して、「SECURITY ACTION」制度についてもご紹介します。

「SECURITY ACTION」とは、中小企業自らが情報セキュリティ対策に取り組むことを「自己宣言」する制度です。上記の「情報セキュリティ5か条」や「情報セキュリティ自社診断」に基づく情報セキュリティ対策に取り組んでいくことで、「SECURITY ACTION」のロゴマークを使用できるようになります。

図表2. IPA「SECURITY ACTION」のロゴマーク

出典:IPA「SECURITY ACTIONロゴマークについて」
https://www.ipa.go.jp/security/security-action/about-sa/index.html

この「SECURITY ACTION」を自己宣言する効果として、取引先からの信頼が高まると共に、従業員の意識を高める活動にもつながります。またこの制度は、IT導入補助金などの申請要件にもなっています。まだ未宣言の中小企業の方々は、情報セキュリティ対策の取組の一つとして、この機会に自己宣言を目指してみてはいかがでしょうか?

4.「人」に対する情報セキュリティ対策

次に「人」に関する対策です。

今までご紹介してきた取組を行っていくことで、「ルール」は着実に整備されていきます。ただ、「ルール」が整備されるだけでは、対策が十分とはいえません。

多くの情報セキュリティ事故は、人的要因によって起こるといわれています。

例えば、SECURITY ACTIONを宣言した事業者を対象に、IPAが実態調査した報告書があります。その調査結果によると、上位1位から4位まで、すべて「人」に関する課題で占められています(図表3)。
このことからも、情報セキュリティ対策を進める上での課題は「人」だということがわかります。

図表3. 中小企業における除法セキュリティ対策を進める上での課題点

出典:IPA「2018年度SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」
https://www.ipa.go.jp/security/fy30/reports/sme/index.html

情報セキュリティ対策の「ルール」「人」「技術」の3要素のバランスをとっていくうえで、「人」の対策はなかなかやっかいです。これから、その「人の対策」の進め方について、2つのポイントをご紹介します。

5.情報セキュリティ対策は経営者の意識向上が大切

最初の「人の対策」は、「経営者自身の情報セキュリティ意識の向上」です。

「中小企業における情報セキュリティ対策を進める上での課題点」の第4位は、「経営者の意識がまだ低い」でした(32.4%)。そもそも、経営者の方々の情報セキュリティに対する理解と意識が低いままでは、組織としての情報セキュリティ対策がおろそかになりがちです。対策の重要性を見誤れば、経営にも大きな悪影響を及ぼしかねません。

「中小企業の情報セキュリティ対策ガイドライン」では、「経営者編」として「情報セキュリティ対策に関して、経営者が認識し、自らの責任で考えなければならない事項について」説明されており、その冒頭には、「経営者の皆様」向けに次の3点が記載されています。

図表4. 経営者の皆様へ

・情報セキュリティ対策は、経営に大きな影響を与えます!
・対策の不備により経営者が法的・道義的責任を問われます!
・組織として対策するために、担当者への指示が必要です!

出典:IPA「中小企業の情報セキュリティ対策ガイドライン第3版」
https://www.ipa.go.jp/files/000055520.pdf

また、同ガイドラインには、情報セキュリティ事故による不利益としてはどのような内容があるか、経営者としては何をやらなければいけないのか、についても事例を含めて具体的に記載されています。

図表5.情報セキュリティ事故により企業が被る主な不利益

・金銭の紛失
・顧客の喪失
・業務の停滞
・従業員への影響

図表6. 経営者は何をやらなければいけないのか(認識すべき「3原則」)

・情報セキュリティ対策は経営者のリーダシップで進める
・委託先の情報セキュリティ対策まで考慮する
・関係者とは常に情報セキュリティに関するコミュニケーションをとる

出典:IPA「中小企業の情報セキュリティ対策ガイドライン第3版」https://www.ipa.go.jp/files/000055520.pdf

もし経営者の情報セキュリティに対する認識や意思が低ければ、事故により不利益が生じる可能性が高まっていくといえるでしょう。

具体的にどのように取り組めばいいのかについては、同ガイドラインの中に詳細に記載されています。特に経営者の方々は、自組織の安全を守るためにも、積極的にこのガイドラインに目を通してみてください。

6.情報セキュリティ対策は関係者の共通認識が大切

もう一つの「人の対策」は、「各関係者の情報セキュリティ共通認識の向上」です。

改めて「中小企業における情報セキュリティ対策を進める上での課題点」のTOP3をみると、情報セキュリティに対する従業員の意識も知識も不足している状況が浮かび上がります。特に中小企業では人員も限られており、その中で対策を進めていくためには従業員一人一人の共通認識を高める必要があります。

図表7. 情報セキュリティ対策を進める上での課題点TOP3

第1位:従業員の意識がまだ低い
第2位:情報セキュリティ対策の知識をもった従業員がいない
第3位:業務を行うための人手が足りない状況である

加えて、最近では従業員のみならず、取引先等の関係者も含めた情報セキュリティ対策が求められます。なぜなら、取引先との間でもITを活用してビジネスを行うことが当たり前の世の中だからです。

取引先とウェブ会議をすることや、テレワークで重要情報のやり取りをすることはありませんか?

前回コラムでは「情報セキュリティ10大脅威」の第3位「テレワーク等のニューノーマルな働き方を狙った攻撃」や、第4位「サプライチェーンの弱点を悪用した攻撃」をご紹介しました。これらの攻撃は、単体での攻撃のみならず、組み合わせて攻撃されることもあります。

また、なぜ、「中小企業の情報セキュリティ対策ガイドライン」の経営者が認識すべき「3原則」のひとつとして、「委託先の情報セキュリティ対策まで考慮する」という文章があるのでしょうか?

それは、片方の関係者の情報セキュリティ意識が低いまま・対策が不十分なままだとすれば、自組織のみならず取引先も巻き込んだ情報セキュリティ事故が起きる可能性があるからです。

自分たちが、情報セキュリティ事故によって被害を受ける「被害者」となる可能性や、お取引先に被害を及ぼす「加害者」となってしまうことも考えられます。

これらのことから、「人の対策」では次の点に留意していく必要があります。

図表8. 「人の対策」における留意点

  • 情報セキュリティ被害は、人の問題によって生じるケースが多い。
  • 一部の人だけではなく、関係者を幅広くとらえて対策に取り組んでいく必要がある。関係者とは自組織だけではない。他組織も含めて考える必要がある。
  • 対象となる関係者も変化していくことや、関係者への理解の周知やルールを形骸化させないために、情報セキュリティ対策の取組は継続的に行う必要がある。

7.「映像で知る情報セキュリティ」

従業員や取引先の関係者に対し、情報セキュリティの理解を深めてもらい、より望ましい行動や活動につなげていくために、今日からできる情報セキュリティ対策を一つご紹介します。

何はともあれ、各関係者に情報セキュリティの脅威や具体的な対策内容について理解を深めてもらうことが重要です。関係者の理解が不十分ならば、ルールを定めても形骸化してしまい期待通りの効果は望めません。例えば安全なパスワードの管理など、普段から情報セキュリティに注意している人には当たり前に理解していることであっても、関係者全員が同じ認識でいるとは限りません。

そこで、すぐできる活動として、動画コンテンツの活用があります。

動画であれば、多くの方々が時間場所問わず視聴することができますし、映像は記憶にも残りやすいです。例えば運転免許証の更新手続時などにも動画を活用していますが、動画による講習はそれなりの高い学習効果があるからです。

IPAから「映像で知る情報セキュリティ」と題して、多数の動画がYouTubeに公開されています。各動画は短時間なストーリー仕立てで判りやすく、様々な情報セキュリティの脅威や対策について理解を深めることができます。しかも、無料です。活用しない手はありませんね。もし業務上の都合などでYouTube視聴を禁止している場合は、IPAが各コンテンツをまとめて収納している無償提供のDVD-ROMを活用する方法もあります。(社内研修等、営利を目的としない用途の場合)

IPA「映像で知る情報セキュリティ」
https://www.ipa.go.jp/security/keihatsu/videos/

IPA「映像で知る情報セキュリティDVD-ROM」
https://www.ipa.go.jp/security/keihatsu/disk/index.html

 

例えば、前回コラムでご紹介した「情報セキュリティ10大脅威2021」の第3位として初登場したのは、「テレワーク等のニューノーマルな働き方を狙った攻撃」でした。ひとつの例として、そのテレワーク対策として作成された約10分のミニドラマ仕立ての動画をご紹介します。

テレワークする方々にこの動画を視聴してもらうことで、テレワークに対する情報セキュリティ対策につながっていきます。

図表9. 「妻からのメッセージ ~ テレワークのセキュリティ 」

出典:IPA「情報セキュリティ啓発映像 テレワークのセキュリティ対策」
https://www.ipa.go.jp/security/keihatsu/videos/20210310-1.html
https://www.youtube.com/watch?v=zDs88SLymwo

他にもいろいろな動画が公開されています。ぜひ、多くの関係者にこれら動画視聴を広めてみてください。

情報セキュリティに関心を持ってもらう・理解を深めてもらうために、例えば定期的にこれら動画コンテンツを視聴してもらうことが、「継続的な情報セキュリティ啓蒙活動」となります。

また、同じ動画を視聴した後であれば、関係者の間で共通認識の土台ができあがり、その後の活動も進めやすくなります。動画視聴後に関係者で実態把握や対策検討を行うなどすれば、「具体的な情報セキュリティ対策の強化」につながっていくでしょう。

8.安全なIT活用のために、継続的な情報セキュリティ対策を!

前回ならびに今回のコラムでは、レポート・ガイドライン・動画など数多くの公開情報をご紹介してきました。もちろん、これだけで対策が十分ということではありませんが、このような外部コンテンツを活用するだけでも、多大なコストをかけずに関係者の理解や認識を深め、有効な対策を進めていくことができます。

最後に、もっと詳しい情報をお探しの方のために、IPAの「情報セキュリティ・ポータルサイト」をご紹介します。例えば「特集 テレワークのセキュリティ」では、テレワーク対策に関連したリンク集が数多く記載されています。

IPA「ここからセキュリティ!情報セキュリティ・ポータルサイト」
https://www.ipa.go.jp/security/kokokara/study/company.html

 

「情報セキュリティ10大脅威」が年々変化するように、必要な情報セキュリティ対策も随時変化します。そのため、情報セキュリティ対策では「ルール」「人」「技術」のバランスをとりながら、脅威の変化にも対応していく必要があります。対策は一筋縄とはいきませんが、あきらめてしまう必要はありません。どのように対策していけばいいかお悩みの方々をフォローするために、多くの有益な情報が公開されています。これら情報を積極的に入手して具体的な活動につなげていくこと、活動を継続していくことこそが、効果的な情報セキュリティ対策になります。

これからITを活用することは、ますます増えていくことでしょう。ITを安全に利用していくために、経営者ならびに従業員・取引先など関係者が一丸となって、情報セキュリティに「関心を持ち」「積極的に」「継続的に」「当たり前の活動」として対策に取り組んでいきましょう!

当コラムが、皆様にとってお役に立てば幸いです。

竹原広機
中小企業診断士、情報処理安全確保支援士(登録番号 000525)、ITストラテジスト、PMP