こんにちは、オフィス電話本舗新人のMです。
今回はIPA(情報処理推進機構)より公開されている、中小企業に向けた「中小企業の情報セキュリティ対策ガイドライン」について解説したいと思います!
「うちみたいな小さなところ、狙われないから大丈夫」と思っていませんか?
IPAの調査では、企業の規模や業種問わず、サイバー攻撃を受けていることがわかっています。
そのため、「今まで大丈夫だったからこのままで大丈夫!」ではなく、「これからサイバー攻撃や重大インシデントがあるかもしれないからそのために大丈夫にしておこう!」と考え、備えておくことがとても重要です。
参考資料:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
中小企業の情報セキュリティガイドラインとは
「中小企業の情報セキュリティガイドライン」とは、IPA(情報処理推進機構)が策定、公開している中小企業向けの情報セキュリティ対策の具体的な対策を示したものです。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
対象利用者
個人事業主、小規模事業者をも含む中小企業(以下「中小企業等」)の利用を想定して作られています。
ちなみに、中小企業の定義は、中小企業庁より原則以下のように示されています。
| 業種分類 | 中小企業基本法の定義 |
| 製造業その他 | 資本金の額又は出資の総額が3億円以下の会社又は
常時使用する従業員の数が300人以下の会社及び個人 |
| 卸売業 | 資本金の額又は出資の総額が1億円以下の会社又は
常時使用する従業員の数が100人以下の会社及び個人 |
| 小売業 | 資本金の額又は出資の総額が5千万円以下の会社又は
常時使用する従業員の数が50人以下の会社及び個人 |
| サービス業 | 資本金の額又は出資の総額が5千万円以下の会社又は
常時使用する従業員の数が100人以下の会社及び個人 |
上記にあげた中小企業の定義は、中小企業政策における基本的な政策対象の範囲を定めた「原則」であり、法律や制度によって「中小企業」として扱われている範囲が異なることがあります。
主な内容
中小企業の情報セキュリティガイドラインは、経営者編と実践編に分かれています。
経営者編では経営者の視点で知っておくべきことや、責任として変えるべきサイバーセキュリティ対策について示しています。
実践編では、実際の対策の進め方が具体的に載っており、出来ていることの確認や、これからどう進めていくかを考えることができます。
経営編について~経営者が知っておくべきこと、負う責任~
まず経営編の内容について解説いたします。
最初に経営者が情報セキュリティ対策で知っておくべきなのは、対策が不十分でサイバー攻撃などの被害を被ってしまうと、不利益が生じ、その責任も負う必要があるということです。
不利益には以下の4つの種類があります。
- 金銭の損失
- 顧客の喪失
- 業務の停滞
- 従業員への影響
中小企業であっても取り扱っている情報は多岐にわたります。
個人情報やマイナンバー、クレジットカード情報、インターネットバンキング情報、業務内容や取引内容など、どれも大切な情報であり、情報漏洩してしまえば上記にあるように金銭や顧客(信頼)の損失につながります。
そうした情報セキュリティ対策のとられていない職場では、従業員も立場が守られていないと感じ、業務に対する意欲に影響が出てしまうでしょう。
また、これらの情報は法律で守られているものも多く、適切な対策をとらずに情報漏洩してしまった場合、経営者が損害賠償責任を負うことや、法律によっては刑事罰が課される恐れもあります。
画像引用元:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構の8ページ目より
経営者が情報セキュリティ対策で担う役割
企業の情報セキュリティ対策をする上で、経営者は以下の3つのことを求められてます。
①自らリーダーシップをとって進める
情報セキュリティ対策では、組織全体の対応方針を決めたり、そのための予算や人材の確保、緊急時の対応や復旧のための体制整備など企業全体に関わることが多くあります。
そのため、経営者自らリーダーシップをとることでスムーズに対策を進めることができるのです。
②委託先や共同で業務にあたっているビジネスパートナーの情報セキュリティ対策も考慮する
自社の情報セキュリティ対策ができていても、委託先やビジネスパートナーから情報漏洩が起きる可能性も考えられます。
そのため、委託先やビジネスパートナーが十分な情報セキュリティ対策をしているかどうかや、万が一の場合の責任は誰が負うのかなどを考慮しておく必要があります。
契約時にそれらを明確にしておくことや、情報セキュリティ対策をしっかり行っている相手を選ぶことなど、もしくはそれを担当者に指示することが経営者として重要な役割となります。
③ステークホルダーとは常に情報セキュリティ対策に関するコミュニケーションをとっておく
ステークホルダー(顧客、取引先、委託先、株主など関係者)とは常に情報セキュリティ対策についてコミュニケーションをとっていくことが重要です。
しっかり対策していると伝えることで信頼関係を築いたり、情報共有することで情報セキュリティに関する最新の動向を取集することもできます。
実践編について~情報セキュリティ対策を具体的に進めるためには~
実践編には、実際に情報セキュリティ対策を進めるための具体的な方法や、チェック項目などが載っています。
是非ガイドラインを読みながら自社ではどこまで出来ているのか、足りていない部分や次にするべきことは何なのかをチェックしてみてください。
忙しくてそこに割くリソースが足りないという場合には、まずはIPAで公開されている「5分でできる!情報セキュリティ自社診断」、中小企業の組織向けの「情報セキュリティ対策ベンチマーク」のご利用がおすすめです。
5分でできる!情報セキュリティ自社診断:IPA
組織の情報セキュリティ対策自己診断テスト:IPA
情報セキュリティ対策は当たり前の時代に!
どんどん電子による情報資産が増えていく中、ランサムウェアやウイルス、トロイの木馬といったマルウェアと呼ばれるインターネットの脅威もどんどん増え、日々その手段も進化しています。
しかし、今はこれら脅威はあって当たり前のものであり、被害にあったとしても、対策をしていなければ対策をしていなかった責任が生じてしまうのです。
情報セキュリティ対策は、していて当たり前の時代になっています。
ぜひ自社の現在の情報セキュリティ対策はどうなっているのか、足りない場合には次にどうしていくか考える指標として、「中小企業の情報セキュリティガイドライン」をご活用ください。
マルウェア等について詳しくは以下の記事をご覧ください。
「インターネットの脅威その1「ランサムウェア」とは?」
「インターネットの脅威その2「マルウェア」とは?」
「インターネットの脅威その3「トロイの木馬」とは?」
オフィス電話本舗ではこうした脅威への対策を行える製品も取り扱っております。ご興味のある方はぜひお気軽にお問い合わせください。
