中小企業の情報セキュリティ対策は「できること」から!
情報通信技術の進展に伴い、従来から存在したファイル共有や電子メールに加え、勤怠管理や財務会計、営業支援など新しくて便利なクラウドサービスが次々と登場しています。また、RPAやAI-OCRなどの技術を活用して、「作業の自動化」を行うことも珍しいことではなくなりました。中小企業においても、こうしたITツールを最大限に利活用して、「働き方改革」「生産性向上」を進めたいと考える経営者の方は多いのではないでしょうか。
ただし、ITツールの使い方を誤ると、個人情報や顧客情報などの大切な情報が外部に漏れる、あるいはウイルスに感染してデータが破壊されることが起こりえます。一度そうしたことが起こると、顧客からの信頼は失墜し、事業は停滞し、結果的に事業運営が困難となる事態につながりかねません。こうしたことが起こらないように、リスクを正しく評価し、必要な対策を講じることが「情報セキュリティ対策」です。
情報セキュリティ対策を行うことの重要性は、中小企業の経営者の方々にも理解されていることかと思います。しかし、実際に取り組もうとすると、「情報セキュリティに詳しい人材がいない」「何から手をつけたら良いのか分からない」といった事態が発生し、思うように進まないこともあります。
そこで今回は、情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)について、概要とメリットについて話をしたいと思います。
1.「中小企業の情報セキュリティ対策ガイドライン」の概要
ガイドラインには中小企業が情報セキュリティ対策に取り組む際の、
(1)経営者が認識し実施すべき指針(経営者編)
(2)社内において対策を実践する際の手順や手法(実践編)
がまとめられています。個人事業主や小規模事業者を含む中小企業の経営者や実務担当者の利用を想定し、専門用語の利用を避け、ITに詳しくない方でも理解しやすいように具体的な手順が示されています。
また、第3版となる2019年3月の改訂では、「クラウドサービス安全利用の手引き」が付録として追加されました。中小企業でもクラウドサービスの利用が進んでいますが、そうしたクラウドサービスを安全に利用するための留意事項やチェック項目をまとめることで、IT社会の変化に追随しています。
では、本題である「中小企業の情報セキュリティ対策ガイドライン」の具体的なメリットに話を移したいと思います。
2.ガイドラインにはすぐに使える付録が充実!
ガイドラインの最大の特徴は「すぐに使える付録が充実している」点です。付録を利用・活用することで、情報セキュリティ対策に着手できていない中小企業でも、効率的に情報セキュリティ対策を始めることができる点がメリットです。今回は筆者の視点で、実用性が高く、使いやすいと考える3つの付録を紹介したいと思います。
「情報セキュリティ5か条」
情報セキュリティ対策としてまず取り掛かるべき5つの項目を1枚に集約したものです。具体的には、
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
といった基本的な対策から始めることが勧められています。資料では、それぞれの項目に対する対策例が記載されているため、実施イメージのつきやすいものとなっています。
「5分でできる!情報セキュリティ自社診断」
25項目の設問に答えるだけで経営者ご自身あるいは実務担当者が自社の情報セキュリティ対策の状況を簡易的に診断できる付録です。
診断の結果、問題が見つかった項目は「解説編」の対策例を参考に、社内ルールの作成を行うと効果的です。インターネットに接続できるのであれば、IPAの情報セキュリティ対策支援サイト(https://security-shien.ipa.go.jp/)でも同様の診断ができますので、是非ご活用ください。
「情報セキュリティハンドブック」
従業員向けのルール周知のためのテンプレート集です。
「5分でできる!情報セキュリティ自社診断」と対になっており、問題が見つかった診断項目について社内ルールを検討する際の参考にもなります。本書を編集して作成したハンドブックを従業員に渡すことで、効率的に社内ルールの周知を行うことができます。特徴的なのは、テンプレートの中にも表やイラストが多く用いられており、従業員の理解を促すための工夫が始めから含まれている点です。資料に用いるイラストを見つけるのにも通常は手間がかかりますが、本書では始めからイラストが含まれている点が嬉しい点です。
なお、こちらのハンドブックはパワーポイントで編集可能なファイルとして公開されており、自社で設定したルールに沿って編集して利用することが想定されています。
3.中小企業の情報セキュリティ対策は「できること」から!
いかがでしたでしょうか。「情報セキュリティに詳しい人材がいない」などの理由で対策にこれまで取り組まれていなかったのであれば、まずは「できることから始める」ことをおすすめします。今回は、その際の有用なツールとして「中小企業の情報セキュリティ対策ガイドライン」を紹介させていただきました。
なお、ガイドラインの引用にあたっては「出典の明記」などの注意事項も存在しますので、詳細はガイドラインの公開サイト(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)をご確認ください。
中小企業診断士 猪飼 康博