情報セキュリティ対策を始めようとするとき、中小企業の情報セキュリティ対策ガイドラインにたどり着く人は多いのではないでしょうか。ガイドラインと聞くと敷居が高いし、中身を開くと60頁もあって難しそうというイメージかもしれませんが、実はそんなことはありません。
本記事では、「中小企業の情報セキュリティ対策ガイドライン」について解説します。
中小企業の情報セキュリティ対策ガイドライン

中小企業の情報セキュリティ対策ガイドラインは、独立行政法人情報処理推進機構(IPA)が発行する中小企業向けのセキュリティガイドラインです。
ガイドラインなので、法律のような強制力はありませんが、セキュリティ対策を行っていくうえでの指標・指針になるので、担当者はチェックしておくべきでしょう。
最新版は、2019年3月発行の第3版です。B4サイズの冊子版と、PDF版が提供されていて、PDF版はIPAのウェブサイトにて無料でダウンロード可能です。
中小企業の情報セキュリティ対策ガイドラインの構成は、経営者向けの心構えをまとめた第1部「経営者編」と、担当者向けに実施手順をまとめた第2部「実践編」の2部構成・全60頁で、実践編を進めるにあたって必要な「情報セキュリティ規程サンプル」や「情報資産管理台帳ひな形」が「付録」として提供されています。
第1部 経営者編
経営者が知っておくべき事項や、経営者が認識すべき3原則、実行すべき重要7項目の取組が記載されています。
経営者が認識すべき「3原則」
- 情報セキュリティ対策は経営者のリーダーシップで進める
- 委託先の情報セキュリティ対策まで考慮する
- 関係者とは常に情報セキュリティに関するコミュニケーションをとる
実行すべき「重要7項目の取組」
- 情報セキュリティに関する組織全体の対応方針を定める
- 情報セキュリティ対策のための予算や人材などを確保する
- 必要と考えられる対策を検討させて実行を指示する
- 情報セキュリティ対策に関する適宜の見直しを指示する
- 緊急時の対応や復旧のための体制を整備する
- 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
- 情報セキュリティに関する最新動向を収集する
尚、この「3原則」「重要7項目」は、サイバーセキュリティ経営ガイドラインの「3原則」「重要10項目」と基本的に同じことを言ってます。詳細はまたの機会に解説します。
第2部 実践編
情報セキュリティ対策の担当者向けに、実務的な進め方が記載されています。ポイントは、セキュリティ対策を4つのステップに区切っていて、企業の状況に応じて対策をステップアップしていく立て付けです。中小企業といっても個人事業主から300人位の製造業まで従業員規模の違いもあるし、ITの利用頻度などの違いもあるので、どこまでやるかを決める際の目安になりますね。

できるところから始める(ステップ1)
情報セキュリティ対策って何をやれば良いの?という中小企業は情報セキュリティ5か条に取組みましょう。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
個人でも取組むべき基本的な対策ばかりですね。付録「情報セキュリティ5か条」は従業員への資料配布やポスター掲示に使いましょう。
組織的な取り組みを開始する(ステップ2)
はじめて組織的にセキュリティ対策に取組むときは、以下の手順でステップ2に取組みます。
①情報セキュリティ基本方針の作成周知
情報セキュリティ基本方針は、法令・ガイドラインの順守や、管理体制の整備、対策の実施、継続的改善などをまとめたものです。付録「情報セキュリティ基本方針サンプル」も参考になります。
②実施状況の把握
実施状況の把握するためのチェックリストが、5分でできる!情報セキュリティ自社診断です。5か条に加えて、メールやインターネットの利用、情報の持ち出しや保管、従業員教育や委託先管理など25項目が挙げられています。オンライン診断も可能です。
③対策の決定と周知
対策を決めるために付録「5分でできる!情報セキュリティ自社診断」の解説編の対策例を参考にしたり、社内に周知するために付録「情報セキュリティハンドブック(ひな形)」を編集して使用します。
本格的に取り組む(ステップ3)
本格的にセキュリティ対策に取組むときは、以下の手順でステップ3に取組みます。
①管理体制の構築
情報セキュリティ対策を推進するための管理体制を決定します。決定にあたっては付録「情報セキュリティ関連規程(サンプル)」を参考にしてください。
②IT利活用方針と情報セキュリティの予算化
利用している情報システムや今後の導入予定を把握し、それに必要となる情報セキュリティ対策を検討して予算を確保 します。
③情報セキュリティ規程の作成
経営者が避けたい重大事故から、対応すべきリスクを特定します。リスクは大小あると思いますので、大きなものを優先して対策を実施します。企業のリソースは限られているので、リスクが小さなものは許容(受容)する必要もでてきます。対策が決まったら文書化し社内規程にします。規程の策定にあたっては、付録「情報セキュリティ関連規程(サンプル)」も参考にしてください。
④委託時の対策
セキュリティ対策は自社だけでなく、委託先の対策も重要です。契約書や覚書に具体的な対策を明記します。また、委託先任せにならないように、適切に監督する必要があります。
⑤点検と改善
情報セキュリティ対策が本当に実行されているか、見落としている対策はないか、対策がセキュリティ事故防止のために役に立っているか、などを確認し、必要に応じて改善を加えていきます。
より強固にするための方策(ステップ4)
より強固な情報セキュリティ対策に取り組むために、6つの項目を解説しています。ステップ4に関しては、例えばステップ1やステップ2に取組む企業であっても、ウェブサイトやクラウドなど取り組みが必要な項目があると思うので、ピックアップして取り組んで良いと思います。
①情報収集と共有
情報セキュリティに関する情報収集の方法と情報共有の枠組みについて解説しています。
②ウェブサイトの情報セキュリティ
ウェブサイトを安全に構築し、運用するためのポイントを解説しています。また、対策の詳細が書かれた手引書などを紹介しています。
③クラウドサービスの情報セキュリティ
クラウドサービスを安全に利用するためのポイントを解説しています。チェックリストと解説は付録「クラウドサービス安全利用の手引き」に纏めてあります。
④セキュリティサービス例と活用
情報セキュリティに関する外部サービスの活用について解説しています。
⑤技術的対策例と活用
ITを活用する際の技術的対策を解説しています。
⑥詳細リスク分析の実施方法
付録「リスク分析シート」を活用した詳細リスク分析の実施方法を解説しています。ステップ3のリスク分析をより精緻にしたい場合などに参考にしてください。
まとめ
中小企業の情報セキュリティ対策ガイドラインは一見ボリュームがありますが、経営者は第1部、担当者は第2部の必要な個所だけ読めばよいだけなので、実はそこまでボリュームはありません。また、イラストや例示が多く、付録のサンプルを活用すれば中小企業でも対策を進めていくことが可能です。是非活用してみてください。