セキュリティ対策ガイドラインについて

 2017.09.15 Secure Enterpriseポータル

大企業のセキュリティ対策は、情報セキュリティ部門が主体で活動します。そのため、経営者はほとんどノータッチでも、セキュリティ対策は機能します。しかし、中小企業ではまったく異なり、「経営者が主体となって」セキュリティ対策を講じなければなりません。

情報セキュリティ部門という専門組織の設置が難しい中小企業では、企業のトップが高いリーダーシップを発揮し、重要情報を守らなければならないのです。

しかし、「具体的にどのようなセキュリティ対策を取ればいいのか分からない」という方がほとんどなのではないでしょうか。

そこで今回は、IPA(情報処理推進機構)が発行している「中小企業の情報セキュリティガイドライン(第2.1版)」を参考に、特に重要部分を抜粋して、中小企業のセキュリティ対策を分かりやすく解説していきたいと思います。

経営者としての「情報への責任」を理解する

「情報が持つ価値」について、理解していない中小企業経営者はまだまだ多いように感じます。そのせいか、サイバー攻撃が深刻化する現状に対し「うちに重要情報などないよ」と発言する経営者も、少なくありません。

しかし、どんな企業であれ重要情報は必ず存在します。顧客情報、取引先情報、従業員情報、これらの情報は流出してしまうと、経営者は刑事責任を問われたり、多額の損害賠償を求められる可能性が大いにあります。

デジタル化社会が進む中、情報は時としてお金以上の価値を持つことがなんら珍しくないのです。

そのため、経営者はまず「情報漏えいが発生することで、どのような責任が問われるのか?」「企業はどのような損害を被るのか?」、さらに「経営者としてどう責任を持つべきなのか?」を考え、理解することが大切です。

経営者が認識すべきセキュリティ対策の「3原則」

ガイドラインの序盤では、経営者が認識すべきセキュリティ対策の3原則が紹介されています。これは、要約すると次のようなものです。 

≪原則1≫

IT活用が不可欠は現代社会において、経営者は自社のセキュリティリスクを十分に理解し、その上で経営者主体のセキュリティ対策に取り組む。

≪原則2≫

業務委託によるビジネスの遂行が当たり前になった昨今、委託先に個人情報や取引先情報を提示することも多い。委託先がどのようなセキュリティ対策を講じているかを考慮し、自社と同等かそれ以上のセキュリティ対策を講じれるようサポートする。 

≪原則3≫

業務上関係者(顧客、取引先、委託先、代理店、利用者、株主など)との信頼関係を築くために、自社のセキュリティ対策や、情報漏えい事件などが発生した際の対応について、常に明確に説明できるよう、経営者自身がセキュリティ対策について理解し整理しておく。 

この3原則については、経営者がセキュリティ対策に取り組む上で、常に念頭に置いていただきたいと思います。

最も基本である「情報セキュリティ5か条」から見直す

IPAが推進するセキュリティ対策の中で、最も基本的な対策となるのが「情報セキュリティ5か条」です。この5か条をすべてクリアすることで、初めてセキュリティ対策のスタートラインに立ったと言えるでしょう。

  • 第1条.OSやソフトウェアは常に最新の状態にしよう!
  • 第2条.ウイルス対策ソフトを導入しよう!
  • 第3条.パスワードを強化しよう!
  • 第4条.共有設定を見直そう!
  • 第5条.脅威や攻撃の手口を知ろう!

(詳細は「中小企業の情報セキュリティ対策ガイドライン第2部2項を参照)

いずれの対策もかなり基本とされたものです。しかし、一つでも欠かすことで、企業のセキュリティ対策はガクッと落ちてしまうでしょう。

経営者がやらなければならない「7つの取組」

ここで具体的な取り組みについて紹介します。セキュリティ対策において、経営者が行うことは非常に多くあり、それらは大まかに「7つの取組」として分類されています。

取組1.
セキュリティ対策について組織的に取り組む意思を業務上関係者に明示するために、企業全体としてのセキュリティ方針を定める

取組2.
セキュリティ対策強化と、万が一事件が発生した際に被害を最小限に留めるため、セキュリティ対策の資源(人材や予算など)を確保する

取組3.
自社のセキュリティリスクを理解した上で、担当者あるいは経営者自身で対応策を考え、予算を取り、実行する

取組4.
情報セキュリティ対策を一度で終わらせるのではなく、定期的な見直しのための計画を立てる

取組5.
業務委託の場合、契約書にセキュリティ対策に関する相手先の責任範囲や、実行すべきセキュリティ対策について明示し、適用させる

取組6.
情報セキュリティに関する最新の動向(攻撃傾向など)を常に収集し、脅威や対策の変化へ臨機応変に対応できる体制を整える

取組7.
万が一事件が発生したときを想定し、緊急連絡体制の整備と、それが機能するかどうかをチェックする

このように、具体的な取り組みとして明示すると、経営者は実に多くのことを行わなければなりません。これらの取り組み一つ一つが、企業の明日の利益と信頼を守るためだと理解しましょう。

セキュリティリスクの大きなものから重点的に対策を取る

存在するセキュリティリスクすべてに対応するとなると、多額の費用がかかります。かといって、セキュリティ対策に投じる費用がないと対策を取らないのは問題外です。そこで、セキュリティリスクの大きなものから重点的に対策を取り、最小限の費用で堅牢なセキュリティ対策を取れるよう取り組むことが大切です。

具体的にはまず、自社が抱える情報資産を整理した上で、各資産を「機密性」「完全性」「可用性」という3つの観点から、重要度を評価します(第2部4項を参照)。さらに、算出した重要度に対し、リスク値を掛けることで、セキュリティリスクを評価します(第2部5項を参照)。

この作業を全ての情報資産に対して行えば、自社が持つ各資産のセキュリティリスクを知ることが可能です。

こうして各資産のセキュリティリスクを整理できたら、「重点的に取り組むもの」と「許容できるもの」に分けて考えます。「許容できるもの」とは例えば、「企業パンフレットが盗難された」といったセキュリティリスクです。

パンフレットが盗難されたことで、企業が受ける損害はほとんどありません。取引先の信頼を損ねる事態でもないので、これは「許容できるもの」の範囲だと言えるでしょう。

このように、セキュリティリスクの大きなものから重点的に取り組む、という考え方によって、企業のセキュリティ対策費用を最小限に抑えられます。

まとめ

皆さんの企業では現在、どのようなセキュリティ対策を取っているでしょうか?さらに、そのセキュリティ対策は「堅牢」だと言えるでしょうか?もしも、「自社のセキュリティ対策は完璧だ」と旨を張って言えないのならば、IPAが発行している「中小企業の情報セキュリティ対策ガイドライン」を参考に、自社のセキュリティ対策を見つめ直してみてください。

セキュリティ対策が完璧と自負している経営者の皆さんも同様に、一度見直してみることをおすすめします。意外なところにセキュリティリスクが潜んでいることも、少なくありません。

日々深刻化するサイバー攻撃に対し、情報漏えいなどの事件を許さないためにも、経営者主体のセキュリティ対策を推進していきましょう。