«

»

1月 04

044中小企業におけるセキュリティ対策の公的ガイド活用法

大企業でもなかなか大変な情報セキュリティ対策は、中小企業では更に悩みが深い。インターネットを検索すればさまざまな参考資料があるが、IPAが無料で公開している「中小企業の情報セキュリティ対策ガイドライン」はトライしてみる価値のある指南書である。

□ 中小企業におけるセキュリティ対策の悩み
個人情報漏えい、ネットワーク侵入、コンピュータウィルス被害、等々、これだけ世の中で騒がれている情報セキュリティ対策については、これまで関心が低かった中小企業経営者でも「何とかしなければ」と思うだろう。対策のための情報も世の中には出回ってきており、地域の商工団体でセミナーが開催されたり、インターネットを検索すると多くの対策情報が入手できたりする。しかし、「ウィルス対策ソフトを入れただけでは不十分だが、ISMS認証を取るほどでもなかろう」という、具体的なポジションを決めかねているケースも多いものと考えられる。

□ IPAの「中小企業の情報セキュリティ対策ガイドライン」
3年ほど時間は経っているが、平成21年3月にIPA(独立行政法人情報処理推進機構)がおこなった「中小企業の情報セキュリティ対策に関する研究会」(*1)では、「投資対効果が見えづらい」(50.7%、平成19年IPA調査)、「セキュリティ対策推進人材の不足」(40.0%、同)といった中小企業の現状を踏まえたガイドを生み出した。
結論からいえば、「とにかく、何をやったら良いか全くわからない」レベルから、「ちゃんとした対策を実施したいが、大企業のような対策はできない」レベルまでを想定しており、取り組んでみる価値がある。

□ ガイドラインの構成
IPAのWebページ(*1)を見てもらえばわかるが、文書は以下のような構成になっている。
・中小企業の情報セキュリティ対策に関する研究会報告書(全28ページ)
・中小企業の情報セキュリティ対策ガイドライン(全8ページ)
別冊1:委託関係における情報セキュリティ対策ガイドライン(全10ページ)
別冊2:中小企業における組織的な情報セキュリティ対策ガイドライン(全49ページ)
別冊3-1:5分でできる自社診断シート(全2ページ)
別冊3-2:5分でできる!自社診断パンフレット(全8ページ)
本文である「中小企業の情報セキュリティ対策ガイドライン」は8ページもので、趣旨とガイドラインの使い方が書いてある。
別冊1の「委託関係における情報セキュリティ対策ガイドライン」は読者が委託元としての立場の場合のガイドである。
別冊2の「中小企業における組織的な情報セキュリティ対策ガイドライン」がこのガイドの中核となっており、ここには自社の情報セキュリティ対策について、企業にかかわらず共通的に実施すべき対策と、企業ごとに考慮すべき対策が記載されている。
別冊3の「5分でできる自社診断シート」は実質1ページ、25項目のチェックリストが掲載されており、実施レベルをチェックし、100点満点中の点数が出せる。

□ どう取り組めば良いか
取り組み前に先ず認識して欲しいのが、このガイドラインがあればセキュリティ対策を実施するための全てが手に入るわけではなく、あくまで、「何をすべきかが分かる」だけである。たとえば、「情報セキュリティポリシーを定期的に見直しすること」となっている部分は、どのようなセキュリティポリシーを作るべきかのサンプルも含めて記載はない。これらの実践そのものは読者に任せる形となっている。
では、「全くわからない」レベルの会社はどうすればいいのだろうか。
それは、「5分でできる自社診断シート」の項目を実施すればいいのである。この診断25項目は、「セキュリティポリシーの作成」のような堅苦しい規程づくりのようなものはなく、単に「~をやっているか」レベルのものである。

□ 2段階の取り組み
ガイドでは、自社の情報セキュリティ対策に関する取り組みを2段階に記載している。その最初の段階が、「5分でできる~」の段階であり、この診断で不十分であるという結果になったら先ずこの診断項目が十分になるようにする。それが十分になったら、次の段階で、別冊2の内容に入る。こちらもチェックリストになっているので、同様に、これが満足できるように取り組むのだ。このレベルをクリアして、さらに上のレベルを目指す段階ならば、このガイドラインは卒業で、ISMS等を用いることでさらに向上を目指せ、ということになる。

□ 本当にできるのか
上にも述べたように、中小企業でセキュリティ対策が進まない理由として、「人材が不足している」というものが上位にある。ガイドラインでも、「5分でできる~」についてはまだ、経営者の方が少しがんばればなんとかなるが、その次の段階となると、やはり担当者が欲しくなる。
「共通的に実施すべき対策」だけでも22項目あり、それぞれについて、他の源泉からも知識を求めてしっかりと内容を把握したうえで、どう実現するかを検討し、実行していく必要がある。人材のない場合はできるのかやはり不安になる。ただ、自社にとっての項目の重要性により力の入れ方のメリハリをつけることはできる。ある期間、集中的に検討をし、そこで何とか乗り切れるかどうか、ということになると思われる。
(2012.5.21 執筆:山田一彦)

*1:http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html